Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Reklamy dźwiękowe - zarażona sieć domowa.

n3ckol 14 Wrz 2016 22:27 921 23
  • #1 14 Wrz 2016 22:27
    n3ckol
    Poziom 5  

    Witam, tak jak w temacie, wyskakują losowo w przeglądarce (czasami) reklamy dźwiękowe po polsku. Nie mogę także pisać na niektórych forach ponieważ w okienko dialogowe wkleja się reklama, której nie mogę usunąć.
    Nie działają także niektóre funkcje, jak przełączanie zakładek w poczcie na o2, czy otwieranie spoilerów na forum. Dzieje się tak na każdym komputerze w sieci.
    NOD 32 nic nie wykrywa, combo fix nic nie wykrywa, ADW cleaner nic nie wykrywa.
    Wrzucam logi po skanach.
    Co robić?

    0 23
  • #3 14 Wrz 2016 22:56
    n3ckol
    Poziom 5  

    Combofix - my bad - lecz na szczęście nic nie usunął :)
    MBAMM - nic nie wykrył.

    0
  • #4 15 Wrz 2016 07:36
    krzychupar
    Poziom 40  

    Otwórz notatnik systemowy i wklej:
    HKU\S-1-5-21-1010041903-1152109541-1030066200-1000\...\Policies\Explorer: []
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    HKU\S-1-5-21-1010041903-1152109541-1030066200-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
    S3 MSICDSetup; \??\D:\CDriver64.sys [X]
    S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X]
    S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
    2016-09-14 21:33 - 2016-09-14 21:33 - 00000000 ____D C:\AdwCleaner
    2016-09-13 23:05 - 2016-09-13 23:05 - 00019168 _____ C:\ComboFix.txt
    2016-09-13 23:02 - 2016-09-13 23:06 - 00000000 ____D C:\Qoobox
    2016-09-13 23:02 - 2016-09-13 23:05 - 00000000 ____D C:\Windows\erdnt
    2016-09-13 23:02 - 2011-06-26 08:45 - 00256000 _____ C:\Windows\PEV.exe
    2016-09-13 23:02 - 2010-11-07 19:20 - 00208896 _____ C:\Windows\MBR.exe
    2016-09-13 23:02 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
    2016-09-13 23:02 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
    2016-09-13 23:02 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
    2016-09-13 23:02 - 2000-08-31 02:00 - 00098816 _____ C:\Windows\sed.exe
    2016-09-13 23:02 - 2000-08-31 02:00 - 00080412 _____ C:\Windows\grep.exe
    2016-09-13 23:02 - 2000-08-31 02:00 - 00068096 _____ C:\Windows\zip.exe
    2016-09-13 23:01 - 2016-09-13 23:01 - 05658674 ____R (Swearware) C:\Users\Jacek\Downloads\ComboFix.exe
    2016-07-14 10:24 - 2016-07-14 10:24 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
    2016-09-12 11:21 - 2016-09-12 11:21 - 0000153 _____ () C:\ProgramData\Microsoft.SqlServer.Compact.351.32.bc
    2016-07-16 02:21 - 2016-07-16 02:21 - 0000016 _____ () C:\ProgramData\mntemp
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • #5 15 Wrz 2016 10:31
    n3ckol
    Poziom 5  

    Zrobione, nadal wklejają mi się reklamy w okienko dialogu na innych forach + zauważyłem, że pojawiają mi się inne reklamy niż powinny na stronach. Podczas wchodzenia na niektóre strony reklamy się nie ładują, a po chwili na ich miejsce wskakuję te z wirusa.

    Co do reklamy dźwiękowej, podejrzewam, że dalej występuje. Jak gdzieś mi wyskoczy to jeszcze potwierdzę.

    0
  • #6 15 Wrz 2016 10:40
    Kolobos
    Spec od komputerów

    Zamiesc nowe logi z FRST, ze skanowania.

    0
  • #7 15 Wrz 2016 11:59
    n3ckol
    Poziom 5  

    Proszę ;) Co to jest za chłam, że go nigdzie nie widać :/
    @edit- te reklamy, które zastępują te co powinny się wyświetlać pochodzą od mgid. Może to coś pomoże. +reklamy dźwiękowe to reklamy o "zarabianiu mnóstwa pieniędzy przez internet".

    0
  • #8 15 Wrz 2016 15:21
    Kolobos
    Spec od komputerów

    Jeszcze nowy addition (zaznacz w Frst zeby sie utworzyl).

    0
  • #10 15 Wrz 2016 15:55
    Kolobos
    Spec od komputerów

    Ktorej przegladarki dotyczy ten problem?

    0
  • #11 15 Wrz 2016 16:23
    n3ckol
    Poziom 5  

    Sęk w tym, że tyczy się to każdej przeglądarki.
    @PS zapomniałem dodać, że czasami jak się zamyka okienko w przeglądarce to wyskakuje komunikat "Czy na pewno zamknąć kartę? Niektóre zmiany mogą nie zostać zapisane." Mimo, że na stronie nic nie robiłem. Także jest to zdarzenie losowe.

    0
  • #14 15 Wrz 2016 22:42
    Kolobos
    Spec od komputerów

    Zmiana dnsow tez nie pomogla?

    0
  • #15 15 Wrz 2016 23:19
    n3ckol
    Poziom 5  

    Zmieniłem także DNS na ipv6.
    Póki co wyświetlają się "normalne" reklamy i mogę pisać na forach. Jak się coś zmieni dam znać.
    Co to może być, że na automatycznych dns mi się takie bzdury wyświetlają i blokują skrypty?

    Bardzo Wam dziękuję za pomoc. :)

    0
  • #16 15 Wrz 2016 23:23
    Kolobos
    Spec od komputerów

    Zaloguj sie do routera i podaj jakie dnsy pobiera od dostawcy.

    Dnsy zmien dla ipv4, z ipv6 nie korzystasz.

    0
  • #17 15 Wrz 2016 23:33
    n3ckol
    Poziom 5  

    W ustawieniach DHCP?
    Główny i zastępczy DNS nie są ustawione (0.0.0.0)

    0
  • #18 16 Wrz 2016 07:51
    Kolobos
    Spec od komputerów

    Nie, w WAN (Status) powinien byc podany dns od dostawcy.

    W DHCP mozesz ustawic 8.8.8.8 oraz 8.8.4.4 wtedy bedzie przydzielal te dnsy.

    0
  • #19 16 Wrz 2016 10:34
    n3ckol
    Poziom 5  

    Główny DNS: 46.17.97.220
    Zastępczy: 8.8.8.8

    0
  • #20 16 Wrz 2016 10:49
    Kolobos
    Spec od komputerów

    To rosyjski dns, Twoj dostawca ma zainfekowany router, zglos to koniecznie dostawcy.

    0
  • #21 16 Wrz 2016 12:16
    n3ckol
    Poziom 5  

    Zgłosić zgłoszę, ale niestety inea to stado baranów i prawdopodobnie i tak z tym nic nie zrobią. Zainfekowany jest router (czyli mój sprzęt) czy coś od nich?
    + Po kogo stronie jest to wina, jeśli wgl można ją określić.

    0
  • #22 16 Wrz 2016 12:24
    tikka.masala
    Poziom 20  

    n3ckol napisał:
    Zgłosić zgłoszę, ale niestety inea to stado baranów i prawdopodobnie i tak z tym nic nie zrobią. Zainfekowany jest router (czyli mój sprzęt) czy coś od nich?
    + Po kogo stronie jest to wina, jeśli wgl można ją określić.


    Pewno pudelko ktore masz w domu mialo niezmienione haslo domysle administratora, wiec jakis robot natrafil na router i zainfekowal go.

    0
  • #23 16 Wrz 2016 12:39
    n3ckol
    Poziom 5  

    No nie zmieniałem niestety hasła, ale z góry wyłączyłem dostęp do routera online.
    Da radę coś zrobić bez ingerencji inei? Oni mi przyślą mietka, który przyjdzie bez komputera i ustawia router z instrukcji -_-
    Przy wadliwym łączu przysłali mi kretyna, który zmierzył sobie prędkość jednorazowo i powiedział, że wszystko jest ok i ja coś wymyślam (pokazywałem mu wcześniejsze pomiary i monitorowania łącza), wyciągnął rękę i zażyczył sobie 50 zł. Musiałem się męczyć z ineą, że sobie jaja robią z klientów, a typa wystawiłem ze drzwi bez grosza.

    @EDIT: nowy DNS:
    62.21.99.94
    62.21.99.95
    Czy te są dobre? Zresetowałem router do ustawień fabrycznych i ponownie go skonfigurowałem.

    0
  • #24 16 Wrz 2016 13:29
    Domino_2
    Pomocny dla użytkowników

    Te DNSy są już z PL.

    0