Prawdopodobnie zainfekowany router

[Rostov]

Piszę w imieniu koleżanki, która najprawdopodobniej ma zainfekowany router i nie może się nawet zarejestrować na tym forum, ponieważ wyskakuje jej info, że jej IP (ma stałe) znajduje się na liście spamerów. Napisała mi, że od jakiegoś czasu bardzo muli jej net. Gdy próbuje zalogować się przez klienta do sieci IRC, pojawia jej się taki oto komunikat:

 

 

-#- Połączenie zamknięte: "Closing link (43833345@176.103.32.3) [Z-Lined: You are listed in DroneBL. Please visit http://dronebl.org/lookup.do?ip=176.103.32.3]"

 

Używa 32-bitowego Windowsa 7 oraz routera TP LINK TL-WR543G.

 

Podsyłam jej logi z GMER'a i FRST:

 

gmer.txt

FRST.txt

Addition.txt

Shortcut.txt

 

[picasso]

Komentując stary wątek:

 

Ten komunikat mojego forum jest związany z rekordami w bazie StopForumSpam (KLIK) i w przypadku niewinnego użytkownika jest charakterystyczny dla wspólnego IP zewnętrznego (bądź systemu proxy dostawcy) danej sieci. Użytkownicy widziani pod tym samym IP, więc aktywność jednego nawet spamera z tej sieci ma skutki uboczne dla wszystkich jej użytkowników. Sprawa do omówienia z dostawcą, nie jestem w stanie nic zdziałać.

 

W raportach żadnych oznak infekcji, w tym oznak infekcji routera. Widać tylko wewnętrzne adresy routera. Wprawdzie ten odczyt nie jest gwarancją, że nie ma modyfikacji routera, ale po opisywanych objawach wątpię, by to o to chodziło.

 

Tcpip\Parameters: [DhcpNameServer] 192.168.2.254 192.168.1.254

Tcpip\..\Interfaces\{70AFD5D5-A181-4883-BF5E-C3BB4C895B2A}: [DhcpNameServer] 192.168.2.254 192.168.1.254

 

Mulenie netu zaś może być niepowiązane z powyższym problemem. W tym kontekście równie dobrze aktywności Kaspersky Internet Security mogą mieć coś do rzeczy.

 

PS. Zainstalowany lewy skaner SpyHunter. A poza tym byłyby do wykonania akcje bardziej kosmetyczne, ale to bez związku z problemami.

Edytowane 2 Czerwca 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso