Skocz do zawartości
imusewindows

Wejście na zainfekowane forum. Przekierowania do linkbucks

Rekomendowane odpowiedzi

Dzień dobry, forum na którym się uczęszczałem zostało zainfekowane. Mam obawy czy mój komputer nie został zainfekowany :( Poza tym większość linków z twittera otwiera się poprzez linkbucks mimo iż pierwotnie nie ma tych linków w tym systemie. Czy może to być powiązanie ?

Załączam logi z OTL

OTL.Txt

Extras.Txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

BTW przeczytałem gdzieś że może to być spowodowane atakiem na router więc zresetowałem go i jak na razie jest spokój

Na to wygląda, że była to infekcja na poziomie routera. Ta infekcja przekierowań już była na forum (KLIK) i w Twoim pierwszym raporcie OTL stały takie IP:

 

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 62.113.218.132 8.8.8.8

O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{164477E4-A16F-4776-A4EA-126B49B5AB24}: DhcpNameServer = 192.168.42.129

O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{97B6F3FB-C7A4-4348-AE0E-EC19AEB4617F}: DhcpNameServer = 62.113.218.132 8.8.8.8

 

Ten 62.113.218.132 podejrzany, wg Whois jakiś niemiecki serwer. W dostarczonym tu nowym FRST nie widać już tych adresów. Po resecie routera należy także zmienić jego hasła dostępowe. Zrobiłeś to?

 

 


Brak oznak infekcji po stronie systemu. Załaduj tylko mini poprawki.

 

1. Otwórz Notatnik i wklej w nim:

 

URLSearchHook: (No Name) - {687578b9-7132-4a7a-80e4-30ee31099e03} - No File
SearchScopes: HKCU - {7A84FABE-6EBF-43EB-A773-EFC4FD676E2B} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253
Toolbar: HKCU - No Name - {687578B9-7132-4A7A-80E4-30EE31099E03} - No File
C:\Users\Admin\AppData\Roaming\ProgSense

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

2. Uruchom TFC - Temp Cleaner.

 

Przy okazji: widzę w Tempach plik modelu ICReinstall_FLAC To MP3 Converter 4.0.4_isdmgr.exe (czyli downloader portalowy a nie instalator zasadniczy). Do wglądu: KLIK.

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Ale ja pytam czy zmieniłeś hasło do routera już po resecie ustawień, oczywiście na inne niż było poprzednio.

 

A skrypt wykonany poprawnie. Przez SHIFT+DEL skasuj folder C:\FRST.

 

 

.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...