Skocz do zawartości

Strony nie działają - podmieniony DNS


effy90

Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Został użyty przestarzały FRST, najnowsza wersja jest z dzisiaj:

 

Rezultaty skanowania Farbar Recovery Scan Tool (FRST) (x64) Wersja:24-08-2015

 

 

W routerze są skonfigurowane poniższe serwery DNS, ten pierwszy jest z polski: KLIK. Nie jest jednak wykluczone, że adres jest pochodną infekcji. Układ z parą jakiś DNS + DNS Google jest podejrzany, takie pary z wykorzystaniem adresu Google jako "zapasowego" są ostatnio charakterystyczne dla infekcji.

 

Tcpip\Parameters: [DhcpNameServer] 80.72.37.106 8.8.8.8

 

 

Przeprowadź następujące działania:

 

1. Zaloguj się do routera:

  • Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
  • Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.
Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony:

 

2. Odinstaluj zbędny Akamai NetSession Interface (downloader m.in. produktów Autodesk) oraz stare Gadu-Gadu 10.

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
FF Homepage: hxxps://www.malwarebytes.org/restorebrowser/
ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku
ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku
ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku
CustomCLSID: HKU\S-1-5-21-1130217176-4031021830-1519301973-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll Brak pliku
CustomCLSID: HKU\S-1-5-21-1130217176-4031021830-1519301973-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\User\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll Brak pliku
C:\Program Files (x86)\mozilla firefox\plugins
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Pobierz najnowszy FRST z przyklejonego tematu: KLIK. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Podsumuj na czym stoimy.

Odnośnik do komentarza

Nie wiem o co chodzi, może przypadek, jeśli nic nie zmieniano i nie resetowano routera. Samo przechodzenie między ustawieniami routera nie wpływa na automatyczną konfigurację. Upewnij się jakie adresy DNS są ustawione w routerze obecnie. Tutaj symulator interfejsu Asus RT-N12, chodzi o WAN > Internet Connection > WAN DNS Setting: KLIK.

Odnośnik do komentarza

1) Na tej stronie nic nie mam wypełnione oprócz Dynamic IP oraz pozaznaczanych opcji "tak" dla: Enable UPnP?,  Get the WAN IP automatically?, Connect to DNS Server automatically?, podane nr MTU i MRU oraz opcja "nie" dla Enable PPPoE Relay?, a PPTP Options - none.

 

2) Po wejściu na link mający spr zabezpieczenie routera wyskoczyła inf: Gratulacje, dostęp do plików modemu jest zabezpieczony niestandardowym hasłem. Sugerujemy także zablokowanie dostępu do interfejsu zarządzającego z poziomu Internetu, szczegóy znajdziesz w instrukcji urzędzenia.

Tylko nie wiem jak mogłabym zmienić dostęp do interfejsu z poziomu Internetu i jak wtedy miałabym się z nim łączyć?

 

3) Akamai odinstalowałam ale bez gg10, ponieważ do nowego się nie przekonałam ;)

 

4) Załączam logi po naprawie. 

 

5) Wszystko dobrze się już łączy ale mam jeszcze problem z tym, że za każdym razem po wyłączeniu komputera wszystkie otworzone zakładki się zerują i nie ma możliwości ich przywrócenia (wcześniej można było) mimo, że opcja w ustawieniach "zaczynaj tam gdzie skończyłem" jest zaznaczona. Kiedyś zmieniłam w tym katalogu Bookmarks i inne katalogi podmieniałam i może coś namieszałam..

FRST.txt

Fixlog.txt

Addition.txt

Shortcut.txt

Odnośnik do komentarza

Widzę nadal tę samą kombinację adresów DNS w logu, nie wiem co o niej sądzić, ona wygląda podejrzanie. Na wszelki wypadek ustawiłabym tam adresy DNS Google.

 

 

Na tej stronie nic nie mam wypełnione oprócz Dynamic IP oraz pozaznaczanych opcji "tak" dla: Enable UPnP?, Get the WAN IP automatically?, Connect to DNS Server automatically?, podane nr MTU i MRU oraz opcja "nie" dla Enable PPPoE Relay?, a PPTP Options - none.

WAN DNS Setting > Connect to DNS Server automatically? przestaw na No > DNS Server 1 wprowadź adres 8.8.8.8 + DNS Server 2 wprowadź adres 8.8.4.4

 

 

Po wejściu na link mający spr zabezpieczenie routera wyskoczyła inf: Gratulacje, dostęp do plików modemu jest zabezpieczony niestandardowym hasłem. Sugerujemy także zablokowanie dostępu do interfejsu zarządzającego z poziomu Internetu, szczegóy znajdziesz w instrukcji urzędzenia.

 

Tylko nie wiem jak mogłabym zmienić dostęp do interfejsu z poziomu Internetu i jak wtedy miałabym się z nim łączyć?

Tu chodzi o zamknięcie furtki przez którą infekcje atakują router, tzn. zdalne zarządzanie nim z poziomu interfejsu internetowego. Wspominałam o tym:

 

Zabezpiecz router: (...) oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.

Wygląda na to, że w Twoim modelu odpowiednikiem tego ustawienia jest: zakładka Firewall > General > Enable Web Access from WAN? przestawić na No.

 

 

Akamai odinstalowałam ale bez gg10, ponieważ do nowego się nie przekonałam

Tu nie chodzi o przyzwyczajenia, lecz ogólniejszą perspektywę. Bezpieczeństwo i prywatność: stary program, stare biblioteki szyfrowania z lukami, przywraca też stary niebezpieczy Adobe Flash 10, a ogrom reklam niewiarygodny. Wydajność: jest to jedna z najcięższych i najbardziej zaśmieconych wersji Gadu, nowsze GG są przyjaźniejsze.

 

 

 

Czyli:

 

1. Konfigurujesz DNS oraz dostęp do panelu według podanych wyżej wskazówek i zapisujesz zmiany w routerze. Po konfiguracji routera uruchom ponownieWindows, by zaktualizował ustawienia.

 

2. Sprawa Gadu nadal aktualna.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pozycję Addition, dostarcz oba logi.

Edytowane przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso
Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...