Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Przekierowania, wirus, reklamy, strony erotyczne.

proszeopomoc1 28 Lut 2016 12:17 1119 8
  • #1 28 Lut 2016 12:17
    proszeopomoc1
    Poziom 4  

    Witam,

    Jestem tu nowy, więc proszę o pomoc i informację, co powinienem wkleić. W piątek po przyjeździe do domu połączyłem się z domową siecią WiFi. Od tego czasu przekierowuje mnie na strony adultx.top oraz różne strony z reklamami. Używam Chrome, ale na Operze jest to samo. Przeskanowałem obydwa komputery w sieci domowej (ponieważ na stacjonarce podobno problem wystąpił wcześniej). Problem niestety nadal występuje.
    Komputer skanowałem Adwcleanerem, Malwarebytes Anti-Malware, Eset nod 32. Nic nie wykrywa, a problem się powtarza. Zresetowałem nawet router, bo miałem podejrzenia, że to jego wina.
    Ustawiłem DNS na 8.8.8.8 i 8.8.4.4, ale problem nadal występuje.
    Proszę o pomoc. Wiem, że parę dni wcześniej był podobny temat.

    P.S. Dzięki za informacje jakie logi mam wkleić (mówiąc wkleić miałem na myśli jakie logi potrzeba), podejrzewałem tez Adblocka, ale po wyłączeniu to samo. Najbardziej zastanawia mnie to, że zainfekowany zostałem zaraz po połączeniu z siecią domową, a na telefonie mam takie same przekierowania, a przedtem byłem zupełnie w innej sieci i nie było żadnych problemów.

    0 8
  • Pomocny post
    #2 28 Lut 2016 13:15
    Kolobos
    Spec od komputerów

    Nadal masz zainfekowany router jak widac:
    Tcpip\Parameters: [DhcpNameServer] 5.39.222.159 8.8.8.8
    Tcpip\..\Interfaces\{5967e187-c82b-4610-9702-dacd232e8b9b}: [DhcpNameServer] 5.39.222.159 8.8.8.8
    Tcpip\..\Interfaces\{e9a76c76-457c-4bf3-9df6-f461a08fe2a4}: [DhcpNameServer] 5.39.222.159 8.8.8.8

    Reset niczego nie zmieni. Trzeba zablokowac dostep do panelu z internetu.

    Wykonaj: https://www.elektroda.pl/rtvforum/topic2874173.html




    Obok frst.exe utworz plik fixlist.txt z zawartoscia:
    Task: {0402A91C-283B-469A-8F36-E27793E2C5AF} - System32\Tasks\GyazoUpdateTaskMachineDaily => C:\Program Files (x86)\Gyazo\GyazoUpdate.exe [2016-01-19] ()
    Task: {09342FDE-25A7-483E-88DD-F0E3BBC9ED12} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
    Task: {15D12019-5651-4D80-94AC-993CC9E47B04} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
    Task: {21AFA4C9-9AD4-4B1C-9ADB-6069382CA3ED} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA
    Task: {31931E2D-6D5F-406F-8562-ACC9F32C0716} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA
    Task: {394D70D6-402F-4CCD-A110-EE1E6D76701C} - System32\Tasks\Opera scheduled Autoupdate 1418394317 => C:\Program Files (x86)\Opera\launcher.exe [2016-02-22] (Opera Software)
    Task: {3CCF1043-768E-4A74-AAA3-A9A5B3825189} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
    Task: {56BAD78C-7127-48E9-9D54-06ABAE0A6C35} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA
    Task: {6DC23FE5-9B77-41F4-BD21-2071D17DDF67} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA
    Task: {78BDACB3-15E9-46D8-A977-5E2D8D05C310} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku <==== UWAGA
    Task: {8965903B-D0E7-4E11-A5A4-064DD588EB2B} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
    Task: {B11FCF37-6D7C-49C1-8E98-768DEC004AB4} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
    Task: {BD261B1D-4DA6-4D95-A4BA-EA151EDDDBC1} - System32\Tasks\GyazoUpdateTaskMachine => C:\Program Files (x86)\Gyazo\GyazoUpdate.exe [2016-01-19] ()
    Task: {BDE6E847-7492-4B83-9006-373C7001E5A8} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA
    Task: {C993ABEC-032E-47F0-9BA3-90B170120781} - System32\Tasks\{50CC875B-733A-4766-B5FD-D1B6460F69F9} => pcalua.exe -a C:\Users\Admin\Desktop\raaaaama\InstalujAbc.exe -d C:\Users\Admin\Desktop\raaaaama
    Task: {CCBA5557-A73B-4C6B-97E7-5A7FDD5D39CD} - System32\Tasks\{288F137E-D85E-4E46-B6C0-EF92344DEE34} => pcalua.exe -a C:\Users\Admin\Desktop\raaaaama\Darmo_Rama3D.exe -d C:\Users\Admin\Desktop\raaaaama
    HKLM-x32\...\Run: [] => [X]
    HKU\S-1-5-21-2539594322-2554769816-3033245776-1000\...\Policies\Explorer: []
    ostaci.)
    S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-02-26] ()
    2016-02-27 01:04 - 2016-02-27 01:04 - 03286400 _____ (Enigma Software Group USA, LLC.) C:\Users\Admin\Downloads\SpyHunter-Installer (2).exe
    2016-02-26 22:46 - 2016-02-28 12:23 - 00000000 ____D C:\AdwCleaner
    2016-02-26 18:00 - 2016-02-26 18:00 - 00000000 _____ C:\autoexec.bat
    2016-02-26 17:59 - 2016-02-26 17:59 - 00022704 _____ C:\WINDOWS\system32\Drivers\EsgScanner.sys
    2016-02-26 17:58 - 2016-02-26 17:59 - 03286400 _____ (Enigma Software Group USA, LLC.) C:\Users\Admin\Downloads\SpyHunter-Installer.exe
    2016-02-26 17:58 - 2016-02-26 17:58 - 03286400 _____ (Enigma Software Group USA, LLC.) C:\Users\Admin\Downloads\SpyHunter-Installer (1).exe
    EmptyTemp:

    W FRST wybierz Napraw.

    0
  • #3 28 Lut 2016 13:55
    proszeopomoc1
    Poziom 4  

    wykonałem napraw ( przy 1 próbie FRS przestał działać, ale za 2 razem wszystko przebiegło pomyślnie.

    hmm zablokowałem routerowi (EDIMAX 7084gA) dostęp z internetu... ustawiłem domyślne dns z neostrady/orange... ale po ponownym uzyciu FRS w pliku mam ten sam dns... a 2 dns ustawiony jest na 8.8.8.8

    0
  • Pomocny post
    #4 28 Lut 2016 13:59
    Kolobos
    Spec od komputerów

    Wpisy sa ok, zostal tylko jeden do kasacji.

    Wykonaj taki fixlist.txt:
    Tcpip\..\Interfaces\{e9a76c76-457c-4bf3-9df6-f461a08fe2a4}: [DhcpNameServer] 5.39.222.159 8.8.8.8

    Po wykonaniu uruchom ponownie komputer i sprawdz czy nie ma juz 5.39.222.159.

    0
  • #5 28 Lut 2016 14:15
    proszeopomoc1
    Poziom 4  

    dobra zgadza się, dns są zmienione na te które wpisałem, wrzucam jeszcze logi z 2 komputera który jest w tej sieci, w nim po raz 1 zauważono infekcje parę dni wcześniej

    Mam jeszcze pytanie czy na telefonie bez roota mogę coś jeszcze zrobić poza wyczyszczeniem przegladarki ??

    0
  • Pomocny post
    #6 28 Lut 2016 14:35
    Kolobos
    Spec od komputerów

    Odinstaluj SpyHunter.

    Fixlist.txt dla FRST:
    Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — co miesiąc.job => C:\WINDOWS\system32\xp_eos.exe
    Task: C:\WINDOWS\Tasks\Powiadomienie o zakończeniu obsługi systemu Microsoft Windows XP — logowanie.job => C:\WINDOWS\system32\xp_eos.exe
    HKLM\...\Run: [UserFaultCheck] => %systemroot%\system32\dumprep 0 -u
    HKU\S-1-5-21-790525478-1844237615-682003330-1003\...\Run: [svchost.exe] => C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\AppLaunch.exe [58880 2008-07-25] (Microsoft Corporation)
    HKU\S-1-5-21-790525478-1844237615-682003330-1003\...\MountPoints2: H - H:\SISetup.exe
    HKU\S-1-5-21-790525478-1844237615-682003330-1003\...\MountPoints2: {69f7c103-2e8d-11e2-b985-00148536f0b7} - H:\SISetup.exe
    Toolbar: HKLM - Brak nazwy - {32099AAC-C132-4136-9E9A-4E364A424E17} - Brak pliku
    StartMenuInternet: chrome.exe - C:\Program Files\Google\Chrome\Application\chrome.exe hxxp://www.22find.com/?utm_source=b&utm_medium=prs&from=prs&uid=WDCXWD3000JS
    StartMenuInternet: (HKLM) Opera.exe - C:\Program Files\Opera\Opera.exe hxxp://www.22find.com/?utm_source=b&utm_medium=prs&from=prs&uid=WDCXWD3000JS
    R2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [770432 2014-01-09] (Enigma Software Group USA, LLC.)
    S3 esgiguard; C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [12288 2014-01-07] ()
    S3 EsgScanner; C:\WINDOWS\System32\DRIVERS\EsgScanner.sys [19984 2012-06-22] ()
    S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [X]
    2016-02-28 12:47 - 2016-02-28 12:50 - 00000000 ____D C:\AdwCleaner
    2013-05-21 16:00 - 2014-06-22 14:14 - 0003730 _____ () C:\Program Files\Mozilla Firefoxavg-secure-search.xml
    C:\Program Files\Enigma Software Group\
    EmptyTemp:


    Raczej nie, mozesz jedynie sprobowac zainstalowac inna przegladarke i sprawdzic czy tam jest ok.

    0
  • #7 28 Lut 2016 14:51
    proszeopomoc1
    Poziom 4  

    Wklejam logi z 2 komputera. Wydaje mi się, że usunąłeś coś dodatkowo związane z XP, dzięki. A temat zamknąć czy zostawić go jeszcze na wszelki wypadek?

    Hmm tak z ciekawości co jest nie tak z Spyhunterem4, bo zainstalowałem go jak brat coś zainstalował, żeby usunąć 22findera?

    0
  • #9 28 Lut 2016 15:04
    proszeopomoc1
    Poziom 4  

    No to jeszcze raz dzięki za pomoc. :) Temat zamykam.
    Przekierowania, wirus, reklamy, strony erotyczne.

    0