kolbe11 Opublikowano 19 Maja 2014 Zgłoś Udostępnij Opublikowano 19 Maja 2014 Witam, Mam problem z uciążliwym komunikatem. Kiedy próbuję wejść na youtube wyskakuje mi komunikat "Outdated Browser Detected" i nakazuje pobranie najnowszej wersji explorera który jak można się domyśli jest jakimś spyware, malware etc. Zrobiłem skan: Malwarebytes, Adwcleaner, JTR, niby wszystko usunięte, nawet przeinstalowałem Chrome dla pewności ale niestety komunikat dalej wyskakuje. Za pierwszym razem komunikat pojawiał się też na google ale po odśmieceniu pojawił się po jednym filmiku z powrotem. Dołączam pliki z OTL niestety nie jestem w stanie wychwycić nieprawidłowości. Z góry dzięki za pomoc. EDIT: Wszystkie logi dodane. Z własnej niewiedzy zrobiłem w międzyczasie ComboFixa dlatego też dokładam log. Wygląda na to, że coś głęboko siedzi, syfa złapałem najprawdopodobniej z transmisji Live, jeśli ktoś wczoraj oglądaj KSW z niepewnych stron może spodziewać się podobnych akcji. Dopiszę jeszcze, linki nie mają problemu z działaniem jeśli wchodzę z odnośnika, a tylko kiedy wpisuję adres bezpośrednio, dodatkowo internet chodzi wyraźnie wolniej. Jeszcze jedna wskazówka, po rozłączeniu i ponownym połączeniu przez chwilę problemu nie ma, z czasem dochodzi do tego, że w ogóle nie może załadować żadnej strony. Jest jedna dziwna rzecz, a mianowicie, mogę wejść na każdą stronę z zakładek bez problemu, wszystko śmiga. Ale jeśli chcę skorzystać z wyszukiwarki to [Filtr wulgaryzmów]: na googlach pojawiło mi się zamiast Outdated Browser obecnie mam nieaktualnego Flasha, ewentualnie na googlach, bing, youtube, facebook po prostu wyskakuje: strona internetowa jest niedostępna. OTL.Txt Extras.Txt Addition.txt FRST.txt Shortcut.txt AdwCleanerR5.txt GMER1.txt combo.txt Odnośnik do komentarza
kolbe11 Opublikowano 20 Maja 2014 Autor Zgłoś Udostępnij Opublikowano 20 Maja 2014 Istotna kwestia, zauważyłem, że problem z internetem ma również telefon połączony przez Wi-Fi, tzn. Facebook nie chce aktualizować, aplikacja YT działa bardzo wolno i co najważniejsze, informacja o aktualizacji pojawia się również na telefonie. Infekcja routera ? EDIT. Słuchajcie, wszystko jasne, to infekcja poprzez router: Win32/RBrute, Win32/Sality http://www.eset.pl/O_nas/Centrum_prasowe/Aktualnosci,news_id,7895 Odnośnik do komentarza
picasso Opublikowano 23 Maja 2014 Zgłoś Udostępnij Opublikowano 23 Maja 2014 Temat porządkuję usuwając zbędne lub wprowadzające w błąd posty. Ten usunięty już wtręt "wszystko jasne, Combofix rozwalił ci sytem" zupełnie oderwany od rzeczywistości. Owszem, to narzędzie nie jest do użytku "na pałę" (KLIK), ale tu nie ma nic wspólnego z objawami. Słuchajcie, wszystko jasne, to infekcja poprzez router Tak, jest tu infekcja routera, a konkretnie adres IP 23.253.94.129 jest wadliwy: Tcpip\Parameters: [DhcpNameServer] 23.253.94.129 8.8.8.8 Nie napisałeś jakie działania już podjąłeś, a należy przeprowadzić te operacje: zalogować się do routera, zmienić hasło logowania i adresy DNS. Zgłoś się tu z potwierdzeniem wykonania akcji, a po tym zadam dodatkowe czynności kosmetyczne spoza tematu zasadniczego. . Odnośnik do komentarza
kolbe11 Opublikowano 23 Maja 2014 Autor Zgłoś Udostępnij Opublikowano 23 Maja 2014 DNS zmieniony, hasło zmienione i tak w zasadzie widać dużą poprawę jednak zarówno google jak i youtube wyrzucają mi tym razem Update Your Flash Player. Jest duża poprawa mimo wszystko, nie blokuje mi stron, na telefonie już wszystko śmiga, google i youtube działają z poziomu odnośników i nic się nie wiesza. Ten Update Flasha to jednak na pewno jakaś pozostałość. Odnośnik do komentarza
picasso Opublikowano 23 Maja 2014 Zgłoś Udostępnij Opublikowano 23 Maja 2014 Objaw wskazuje, że reset ustawień routera nie był pomyślny (nowy infekcyjny IP przypisany). Poproszę o nowy log FRST (bez Addition i Shortcut). Odnośnik do komentarza
kolbe11 Opublikowano 23 Maja 2014 Autor Zgłoś Udostępnij Opublikowano 23 Maja 2014 Oto log, ale dziwne bo DNSy w IP Config pokazuje mi 8.8.8.8. FRST.txt Odnośnik do komentarza
picasso Opublikowano 23 Maja 2014 Zgłoś Udostępnij Opublikowano 23 Maja 2014 Wg raportu FRST IP pobrane z routera jest już poprawne, ale niepotrzebnie zreplikowałeś adres Google. Jako Podstawowy i Zapasowy stoi dokładnie to samo IP Google: 8.8.8.8. Skoryguj, by Zapasowy był rzeczywiście różny. Zapasowym Google jest 8.8.4.4. Tcpip\Parameters: [DhcpNameServer] 8.8.8.8 8.8.8.8 Skoro nadal jest problem z komunikatami, może trzeba opróżnić bufor DNS. Od razu też poprzednio wspominane poprawki na wpisy puste. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKCU - {C507CCFA-2A70-4A09-AC54-3095DB815AFD} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=198484&p={searchTerms} Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.fdf - C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll No File FF Plugin-x32: @nitropdf.com/NitroPDF - C:\Program Files (x86)\Nitro\Pro 8\npnitromozilla.dll No File S1 aswTdi; \??\C:\Windows\system32\drivers\aswTdi.sys [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 cpuz134; \??\C:\Users\Kolbe\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X] Task: {99E77C41-19DC-41A1-B561-D06FC7F50B4B} - System32\Tasks\{59278CFA-8759-4369-9C11-E205765C2367} => H:\Gry\FINAL FANTASY VII\ff7_en.exe Task: {F0B86B6E-06CC-4048-B080-194CE023ADEA} - System32\Tasks\{C6684A3A-373D-42E3-A4DB-157355E02FEA} => C:\Users\Kolbe\Desktop\vfd21-080206\vfdwin.exe AlternateDataStreams: C:\Windows:{4B9A1497-0817-47C4-9612-D6A1C53ACF57} AlternateDataStreams: C:\ProgramData\TEMP:D1B5B4F1 AlternateDataStreams: C:\Users\Kolbe\Ustawienia lokalne:dVN5DgGGU4zccna0nq6l5K AlternateDataStreams: C:\Users\Kolbe\AppData\Local:dVN5DgGGU4zccna0nq6l5K AlternateDataStreams: C:\Users\Kolbe\AppData\Local\Dane aplikacji:dVN5DgGGU4zccna0nq6l5K AlternateDataStreams: C:\Users\Kolbe\AppData\Local\Temporary Internet Files:UJKslb48ts5WSVDf C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\ProgramData\Spybot - Search & Destroy C:\Windows\System32\Tasks\Safer-Networking C:\Windows\SysWOW64\RegFile3.txt C:\Windows\SysWOW64\sqlite3.dll CMD: sfc /scanfile=C:\Windows\system32\Wat\WatAdminSvc.exe CMD: ipconfig /flushdns CMD: C:\Users\Kolbe\Downloads\ComboFix.exe /uninstall Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Jako ostatnia komenda wykonuje się deinstalacja ComboFix, więc czekaj cierpliwie. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zresetuj ręcznie system. Wyczyść cache przeglądarek: - Firefox: Opcje > Zaawansowane > Sieć > opróżnij pamięć podręczną + menu Historia > Wyczyść historię przeglądania - Google Chrome: Ustawienia > karta Historia > wyczyść 3. Odinstaluj Pandora Service (zbędnik instalowany z KMPlayer). 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. . Odnośnik do komentarza
kolbe11 Opublikowano 23 Maja 2014 Autor Zgłoś Udostępnij Opublikowano 23 Maja 2014 Wygląda na to, że problem zażegnany, wszystko śmiga jak powinno. Doskonała robota, ogromnie dziękuję za pomoc. Mam jeszcze takie pytanie, jaki antywirus/security byś poleciła. Używałem swego czasu Noda jak miałem licencję, obecnie Avast który nigdy mnie nie zawiódł, aż do teraz. Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 23 Maja 2014 Zgłoś Udostępnij Opublikowano 23 Maja 2014 Akcje wykonane, ale: 1. Nadal nie są poprawione adresy DNS routera i stoją dwa identyczne, Zapasowy miał być zmieniony: Tcpip\Parameters: [DhcpNameServer] 8.8.8.8 8.8.8.8 2. Ten plik nie miał sygnatury Microsoftu: ==================== Services (Whitelisted) ================= S3 WatAdminSvc; C:\Windows\system32\Wat\WatAdminSvc.exe [1255736 2012-09-10] () Zadałam więc jego skan naprawczy, ale to się nie udało, komenda SFC zwróciła następujący błąd: ========= sfc /scanfile=C:\Windows\system32\Wat\WatAdminSvc.exe ========= Funkcja Ochrona zasobów systemu Windows nie może wykonać żądanej operacji. Spróbuj raz jeszcze, ale w innym środowisku. Wejdź do Trybu awaryjnego Windows. Uruchom linię komend cmd, wklej tę komendę i ENTER: sfc /scanfile=C:\Windows\system32\Wat\WatAdminSvc.exe Podaj czy pokazuje się ten sam błąd. Mam jeszcze takie pytanie, jaki antywirus/security byś poleciła. Używałem swego czasu Noda jak miałem licencję, obecnie Avast który nigdy mnie nie zawiódł, aż do teraz. Ja nie widzę potrzeby wymiany antywirusa. I żaden antywirus czy pakiet zabezpieczeń nie uchroni przed infekcją, którą miałeś, gdyż to nie jest infekcja po stronie systemu tylko infekcja zewnętrznego urządzenia. To router musi zostać zabezpieczony, a podstawowa sprawa to niedomyślny login. Ogólnie na ten temat: KLIK. . Odnośnik do komentarza
kolbe11 Opublikowano 23 Maja 2014 Autor Zgłoś Udostępnij Opublikowano 23 Maja 2014 Niestety, ten sam błąd. Czyli jaki powinien być drugi DNS ? Odnośnik do komentarza
picasso Opublikowano 23 Maja 2014 Zgłoś Udostępnij Opublikowano 23 Maja 2014 Niestety, ten sam błąd. Dodaj mi szukanie na wystąpienia tego pliku. Uruchom SystemLook x64 i w oknie wklej: :filefind WatAdminSvc.exe Klik w Look. Czyli jaki powinien być drugi DNS ? vs. Skoryguj, by Zapasowy był rzeczywiście różny. Zapasowym Google jest 8.8.4.4. Czyli ma być ustawiona para adresów Google: - Podstawowy: 8.8.8.8 - Zapasowy: 8.8.4.4 . Odnośnik do komentarza
kolbe11 Opublikowano 23 Maja 2014 Autor Zgłoś Udostępnij Opublikowano 23 Maja 2014 SystemLook w załączniku + DNS zmieniony. SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 23 Maja 2014 Zgłoś Udostępnij Opublikowano 23 Maja 2014 SystemLook nie mógł obliczyć sumy kontrolnej tego pliku ("Unable to calculate MD5"), co sugeruje, że plik jest po prostu zablokowany przez uprawnienia (dlatego nie jest odczytywana sygnatura MS, która prawdopodobnie jest). Blokada powoduje też, iż skan SFC nie może się wykonać. Spróbujmy go odblokować: 1. Otwórz Notatnik i wklej w nim: SetDefaultFilePermissions: C:\Windows\system32\Wat\WatAdminSvc.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt. 2. Zrób nowy skan SystemLook na ten sam warunek co poprzednio. . Odnośnik do komentarza
kolbe11 Opublikowano 23 Maja 2014 Autor Zgłoś Udostępnij Opublikowano 23 Maja 2014 I kolejne logi. Ale ja chyba wiem co to jest ten WatAdminSvc. Fixlog.txt SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 23 Maja 2014 Zgłoś Udostępnij Opublikowano 23 Maja 2014 Ale ja chyba wiem co to jest ten WatAdminSvc. Tu w ogóle nie chodzi o to co jest, doskonale wiem co to za komponent (aktywacja Windows), tylko o usterkę tego komponentu. Blokada pliku uniemożliwiająca pobór danych o nim jest nienormalna. Ten plik w normalnych okolicznościach nie jest zablokowany. Akcje pomyślnie wykonane, plik został odblokowany skryptem FRST, problemu już nie powinno być. Kończymy: 1. Uruchom TFC - Temp Cleaner. 2. Usuń używane narzędzia za pomocą DelFix. Przez SHIFT+DEL (omija Kosz) skasuj to co nie zostanie usunięte oraz te foldery: C:\Windows\erdnt C:\Windows\ERUNT 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Zaktualizuj systemowy Internet Explorer 8 do wersji 11. To tyle. . Odnośnik do komentarza
kolbe11 Opublikowano 23 Maja 2014 Autor Zgłoś Udostępnij Opublikowano 23 Maja 2014 Super, wielkie dzięki jeszcze raz, pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi