Lunarna Opublikowano 10 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 10 Kwietnia 2016 Witam serdecznie Postaram się szczegółowo opisać problem. Po kliknięciu gdziekolwiek w obszarze strony (niekoniecznie w elementy aktywne) zostaje otwarta nowa zakładka z tytułem "Redirect". Przekierowanie odbywa się przez stronę hxxp://wonderlandads.com/afu.php?zoneid=437742 , następnie otwierają się oczywiście różne strony "wygrałeś", czy też jakiś serwisy, dzisiaj np: hxxp://offer.alibaba.com/market/indiv2.html?tv=3&isFeature=true&imp=5b1e961afuthuao6rdt&xp=M0khcP18sbmyn6cK6jFT1yXx9CXO0k67wfYky69h6w_nXDuuW29kTq_2-Nl2MdlhNEk8D2-TlyeyrEX-n-DSTSr7QxDgb06vNyT_pJQIXTo&pid=25894_&td=cldlr&aff_id=182850737&ct=2&size=300_250&an=1000000016001&bm=cpa&src=saf#s1&cn=1&cv=2&tp1=m_SRtSKfbmoP6ta8LNVMVCLwkNd4AjMQmGYrhLIFYhQGFsNnVmDUmoFbxp8WTWjQ6gInakAb2So682yDnPQnIrMR1erQYXtTuO_R73edKBKDHbEuXv1kiUnJvG_qGU1zE6Z- xzV_tUQS06hCCJLGkNaYnZ_GI8RDZj4PlORz91_yRqB57e8dzKNoNe5OQgOsbp5PEllM1_Zx7Y7JjkXdiVqupRROAgO7LLMK8m0NBSgq14A8ZihsfvKj2D2w6Fqa7bKPcaSYiXbykfh2BsPKfyd-Cx3APwzxu0uZcHKXXlYBeNN2duxL8ravQD08V52PaOdinl--V6a86NqglvaNnkqg9wg16jQysvLt2Be3oR5-77zYrMfT7gZfQOw4baZe3bmdw8d2QB1Q5nYUV67unljperLGwJ4WmXu_YTjGRi0nf-BBxOuidfvulLyZSH6GdbeKqIPlNt5tAidqrt3w0a7fIGEWsZcxeYG2q0vwK1lPD7z9OHpxIEjriDMt0Dafx8H33yZkZGnIybyrrPTvLI54yL86Q_zi6mmtahGWIjX6SbyYtDEMJrELjBBSk2jyAnPwzC7AoEk Nigdy nie zdarzyło mi się to na stronach google, youtube, facebook, wikipedia, stronach uczelni i paru innych. Nie mam żadnego addonu w przeglądarce, nic w menadżerze programów. W menadżerze zadań podejrzane wydają mi się wszystkie programy bez opisu więc się nie wypowiem, zamieszczę screenshota. Sprawdzałam, czy problem występuje na innych przeglądarkach, niestety tak. Miesiąc temu miałam problemy z rooterem i z własnej głupoty po resecie nie ustawiłam od razu hasła. Redirecta załapały wszystkie urządzenia, które chociaż raz połączyły się z domowym wifi (windows i android). Kilkudniowa kwarantanna od rootera nie daje żadnych efektów. Rooter był ponownie resetowany, ale problem występuje w dalszym ciągu. Wydaje mi się, że sam rooter jest zainfekowany. Swój komputer (zainfekowany) często podłączam do sieci udostępnianej przez telefon, który nie łączył się z rooterem i na szczęście ten telefon nie załapał jeszcze wirusa. I przepraszam, że menadżer w dwóch częściach, ale nie wiem, jak inaczej utrwalić jego zawartość... I czy może mi ktoś wytłumaczyć, dlaczego, skoro mam otwartą tylko jedną kartę w przeglądarce, w menadżerze mam ich 7? Przepraszam za długiego posta i proszę o pomoc Addition.txt GMER.txt Shortcut.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 10 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 10 Kwietnia 2016 Brakuje trzeciego obowiązkowego pliku FRST Shortcut. Uzupełnij. Odnośnik do komentarza
Lunarna Opublikowano 10 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 10 Kwietnia 2016 Tym razem zrobiłam według instrukcji i dodałam do pierwszego posta (przepraszam za wcześniejszą samowolkę ) Odnośnik do komentarza
picasso Opublikowano 11 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 11 Kwietnia 2016 Miesiąc temu miałam problemy z rooterem i z własnej głupoty po resecie nie ustawiłam od razu hasła. Redirecta załapały wszystkie urządzenia, które chociaż raz połączyły się z domowym wifi (windows i android). Kilkudniowa kwarantanna od rootera nie daje żadnych efektów. Rooter był ponownie resetowany, ale problem występuje w dalszym ciągu. Wydaje mi się, że sam rooter jest zainfekowany. Swój komputer (zainfekowany) często podłączam do sieci udostępnianej przez telefon, który nie łączył się z rooterem i na szczęście ten telefon nie załapał jeszcze wirusa. Tak, problemem jest infekcja routera. Powinnaś mieć adresy związane z Netia (przynajmniej pod takim IP widzę Cię na forum), a bieżący adres IP pobierany z routera zakreślony na kolorowo jest brytyjski: KLIK. Tcpip\Parameters: [DhcpNameServer] 80.243.191.66 8.8.8.8 Tcpip\..\Interfaces\{D2A7267B-1BE7-4BD7-B07E-0F0D34B34D29}: [DhcpNameServer] 80.243.191.66 8.8.8.8 Podaj jakim modelem routera dysponujesz. Do czyszczenia będą też szczątki adware w systemie, ale instrukcje podam zbiorczo z wytycznymi dla routera. Odnośnik do komentarza
Lunarna Opublikowano 13 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 13 Kwietnia 2016 Przepraszam, że odpisuję dopiero teraz, ale nie było mnie w domu i nie miałam możliwości sprawdzenia. Router to feralny model TP-LINK 54M Wireless ADSL2+ Router, nr modelu TD-W8901G. Już kiedyś miałam problem z włamaniem na ten router (2 albo 3 lata temu), po czym zmieniłam login i hasło do ustawień z admin admin na swoje. Z pewnych przyczyn musiałam zresetować router i przez 3 dni był ze standardowymi ustawieniami admin admin i bez zabezpieczenia wifi. Tak jak pisałaś, internet mam z Netii i nie do końca rozumiem jakim cudem mam dwa IP, ale chyba nie chcę tego wiedzieć. Odnośnik do komentarza
picasso Opublikowano 13 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 13 Kwietnia 2016 Router nie był/jest dostatecznie zabezpieczony. Instrukcje do wykonania: 1. Wykonaj aktualizację firmware: Jak zaktualizować oprogramowanie routera ADSL (dla TD-W8840T, TD-W8901G, TD-W8951ND oraz TD-W8961ND) Firmware dla TD-W8901G Po aktualizacji wdróż reset ustawień routera do ustawień fabrycznych, co powinno wyzerować ustawienia DNS wprowadzone przez hijackera. Następnie zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Odinstaluj Akamai NetSession Interface (zbędny "downloader" produktów Autodesk), Game Booster 3 (produkty IOBit nie są tu polecane), Java 8 Update 73, Java 8 Update 74 (stare wersje). 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {4bf99d86-1f37-4311-a79d-5136408f4421}Gw64; C:\Windows\System32\drivers\{4bf99d86-1f37-4311-a79d-5136408f4421}Gw64.sys [48784 2016-02-28] (StdLib) S3 catchme; \??\C:\ComboFix\catchme.sys [X] Task: {20A74FA4-81D2-4FE4-9D7A-5C9B89B4237C} - System32\Tasks\DriverToolkit Autorun => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Task: {C0FC2055-B707-46F5-AFDC-CC14A67B6D2F} - System32\Tasks\{1FFF8A45-CDA3-45FB-A8A0-DA3B96305192} => pcalua.exe -a F:\Sims3SP01Setup.exe -d F:\ Task: {FCB78D4A-3B88-4B4D-995E-8BF3DCF01BF8} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-03-05] (AVAST Software) Task: C:\Windows\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" HKLM\...\Run: [igfxTray] => "C:\Windows\system32\igfxtray.exe" HKLM-x32\...\Run: [] => [X] HKLM\...\Policies\Explorer: [RestrictRun] 0 HKU\S-1-5-21-318038007-921987228-2979523656-1000\...\Run: [bingSvc] => C:\Users\Kinia\AppData\Local\Microsoft\BingSvc\BingSvc.exe HKU\S-1-5-21-318038007-921987228-2979523656-1000\...\Policies\Explorer: [RestrictRun] 0 HKU\S-1-5-21-318038007-921987228-2979523656-1000\...\Policies\Explorer: [] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => No File ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => No File CHR HKLM\SOFTWARE\Policies\Google: Restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction HKU\S-1-5-21-318038007-921987228-2979523656-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-318038007-921987228-2979523656-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-318038007-921987228-2979523656-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=SL5M&ocid=SL5MDHP&osmkt=pl-pl CHR HKU\S-1-5-21-318038007-921987228-2979523656-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [No File] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main C:\Program Files\Common Files\AV\avast! Antivirus C:\Program Files (x86)\GUTB1A3.tmp C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\AVAST Software C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LOL Recorder.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk\Autodesk Design Review 2013.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autodesk\Content Service\Content Service — konsola konfiguracji.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Diablo III - Instrukcja.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Pomoc techniczna Blizzard.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Zarządzanie kontem Battle.net.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gnumeric C:\Users\Kinia\AppData\Local\cache C:\Users\Kinia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\Kinia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Autodesk\Zainstaluj*.lnk C:\Users\Kinia\Dropbox\Studia\6 semestr\Ciepło\easyQuizzy.lnk C:\Windows\System32\drivers\{4bf99d86-1f37-4311-a79d-5136408f4421}Gw64.sys CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść przeglądarki ze szczątków adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone, ręcznie je aktywuj. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 5. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Kinia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 6. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Lunarna Opublikowano 29 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 29 Kwietnia 2016 Bardzo dziękuję za pomoc! Wszystkie kroki zrobię w przyszły weekend i dam znać jak poszło. EDIT: Udało mi się w końcu Jedyną rzeczą, która się nie zgadza jest inna wartość w "Interface" w panelu routera, o której wspominają pod tym adresem hxxp://multimo.telestrada.pl/uwaga1 . Miało być "LAN", a mam "Both". Nie mogę także wejść na stronę testu z punktu pierwszego, błąd 404. Resztę wykonałam chyba prawidłowo, bo nic mi już nie wyskakuje Sprawdziłam też na tablecie, po przywróceniu do ustawień fabrycznych i połączeniu z routerem żadnych przekierowań. FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 1 Maja 2016 Zgłoś Udostępnij Opublikowano 1 Maja 2016 Jedyną rzeczą, która się nie zgadza jest inna wartość w "Interface" w panelu routera, o której wspominają pod tym adresem hxxp://multimo.telestrada.pl/uwaga1 . Miało być "LAN", a mam "Both". Właśnie "LAN" trzeba ustawić ręcznie. Wszystko wygląda OK w raportach. Jeszcze drobne działania dodatkowe: 1. Poprawka na puste wpisy. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software RemoveDirectory: C:\Windows\System32\Tasks\AVAST Software HKU\S-1-5-21-318038007-921987228-2979523656-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Kinia\AppData\Local\Akamai\netsession_win.exe" ShellIconOverlayIdentifiers-x32: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\Kinia\AppData\Roaming\Dropbox\bin\DropboxExt.34.dll No File ShellIconOverlayIdentifiers-x32: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\Kinia\AppData\Roaming\Dropbox\bin\DropboxExt.34.dll No File ShellIconOverlayIdentifiers-x32: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\Kinia\AppData\Roaming\Dropbox\bin\DropboxExt.34.dll No File S3 WinRing0_1_2_0; \??\D:\Game Booster 3\Driver\WinRing0x64.sys [X] CHR HomePage: Default -> msn.com/?pc=__PARAM__&ocid=__PARAM__DHP&osmkt=pl-pl CHR DefaultSearchURL: Default -> hxxp://www.bing.com/search?FORM=__PARAM__DF&PC=__PARAM__&q={searchTerms} CHR DefaultSearchKeyword: Default -> bing.com DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST zaś niesą potrzebne. 2. Były wcześniej także ślady adware, więc uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Odnośnik do komentarza
Andman Opublikowano 3 Maja 2016 Zgłoś Udostępnij Opublikowano 3 Maja 2016 Nie mogę także wejść na stronę testu z punktu pierwszego, błąd 404. Zmieniła się forma strony: https://cert.orange.pl/narzedzia Trzeba kliknąć w Skanuj w oknie "Analiza bezpieczeństwa modemu" Odnośnik do komentarza
Lunarna Opublikowano 26 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 26 Maja 2016 Witam, po dość długiej absencji w końcu wklejam wyniki Mam nadzieję, że tym razem już wszystko będzie dobrze. Poza tym sprawdziłam na stronie podanej przez Andman i wynik był pozytywny. A tak poza tym to mam pytanie: jaki program antywirusowy polecacie? Do tej pory używałam avasta. Fixlog.txt AdwCleanerS1.txt Odnośnik do komentarza
picasso Opublikowano 26 Maja 2016 Zgłoś Udostępnij Opublikowano 26 Maja 2016 Lunarna, ale to stary log AdwCleaner z 19/02/2016 Odnośnik do komentarza
Lunarna Opublikowano 26 Maja 2016 Autor Zgłoś Udostępnij Opublikowano 26 Maja 2016 No proszę, coś poszło nie tak. Wklejam właściwy AdwCleanerS2.txt Odnośnik do komentarza
picasso Opublikowano 26 Maja 2016 Zgłoś Udostępnij Opublikowano 26 Maja 2016 1. AdwCleaner wykrył drobne rzeczy. Uruchom go ponownie, zastosuj po kolei opcje Skanuj + Usuń. Gdy program ukończy czyszczenie: 2. Skasuj ręcznie pobrany FRST i jego logi z "Nowego folderu" na Pulpicie. Skorzystaj z DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To wszystko. Odnośnik do komentarza
Rekomendowane odpowiedzi