logo elektroda
logo elektroda
X
logo elektroda
Szukanie Zaawansowane
logo elektroda
REKLAMA
REKLAMA
Adblock/uBlockOrigin/AdGuard mogą powodować znikanie niektórych postów z powodu nowej reguły.

Jak usunąć wirus reklamowy? ESET, Adaware, Malwarebytes nie pomagają

hemisys 17 Wrz 2016 18:57 1374 24
REKLAMA
Zgłoś naruszenie prawa
| Nowy temat
  • #1 15937331
    hemisys
    Poziom 13  
    Posty: 353
    Ocena: 18
    Witam,

    nie mogę poradzić sobie z wyskakującymi reklamami.

    Skanowałem: eset nod 32 smart antivir, adaware i Malwarebyte Anti Malware.

    Brak rezultatów tzn: coś zostało wyczyszczone przez Malwarebyte Anti Malware, a adaware ciągle znajduje to samo.

    Proszę o pomoc.

    Pozdrawiam
  • REKLAMA
  • #2 15937390
    Rafik_ck
    Poziom 23  
    Posty: 676
    Pomógł: 19
    Ocena: 84
    Add Blocka masz ?
    Skanowałeś Malwarebyte Anti Malware ?
  • #4 15937401
    hemisys
    Poziom 13  
    Posty: 353
    Ocena: 18
    Nie mam add blocka i tak skanowałem Malwarebyte Anti Malware - nie wiem dlaczego system poprawił mi to co napisałem na megabytes w pierwszym poście. Już poprawiłem na Malwarebyte Anti Malware.

    Dra 98. za około 15 min bedę wolny i zabiorę się za FRST. Dziękuję

    Nie zaznaczyłem shortcut.txt - czy powtórzyć?
    Załączniki:
    • FRST.txt (67.25 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • Addition.txt (33.69 KB) Musisz być zalogowany, aby pobrać ten załącznik.
  • Pomocny post
    #5 15937727
    Kolobos
    Spec od komputerów
    Posty: 85163
    Pomógł: 17164
    Ocena: 10437
    Zly dzial!

    Masz zainfekowany router jak widac:
    Tcpip\Parameters: [DhcpNameServer] 217.12.218.65 8.8.8.8
    Tcpip\..\Interfaces\{54f751e4-8263-421f-8147-a44c64c692ca}: [DhcpNameServer] 217.12.218.65 8.8.8.8

    Zaloguj sie do routera, zmien dnsy na 8.8.8.8 oraz 8.8.4.4. Do tego zablokuj dostep do panelu routera z internetu: http://www.tp-link.com.pl/article/?faqid=568 w przypadku innych marek ustawia sie podobnie.

    Przy okazji w ustawieniach Chrome wylacz przywracanie zestawu stron po starcie (masz tam szkodliwe adresy).
  • REKLAMA
  • #6 15937742
    hemisys
    Poziom 13  
    Posty: 353
    Ocena: 18
    Wielkie dzięki!!
    Gdzie to jest w logu?
  • Pomocny post
    #7 15937747
    Kolobos
    Spec od komputerów
    Posty: 85163
    Pomógł: 17164
    Ocena: 10437
    > Gdzie to jest w logu?

    Pytasz powaznie? Otworz FRST i patrz az znajdziesz:
    Tcpip\Parameters: [DhcpNameServer] 217.12.218.65 8.8.8.8
    Tcpip\..\Interfaces\{54f751e4-8263-421f-8147-a44c64c692ca}: [DhcpNameServer] 217.12.218.65 8.8.8.8

    Mozesz tez uzyc funkcji szukaj.
  • #8 15937762
    hemisys
    Poziom 13  
    Posty: 353
    Ocena: 18
    Tak poważnie:) Nie znam się ale mnie to zaciekawiło. Niestety nie znam się za bardzo bo i tak nic tu nie widzę.
  • REKLAMA
  • #10 15937830
    hemisys
    Poziom 13  
    Posty: 353
    Ocena: 18
    Kurcze nie mogę tego Access Managment i ACL nigdzie odnaleźć. Mam router:TL-WR543G

    Czy przywrócenie do ustawień fabrycznych coś pomoże (hard reset)
  • #11 15938701
    Kolobos
    Spec od komputerów
    Posty: 85163
    Pomógł: 17164
    Ocena: 10437
    Nie pomoze, zaraz znowu bedziesz mial podmienione dnsy.

    Czy w Security -> Remote Management masz ustawiony adres ip 0.0.0.0?

    To stary router, pomysl o wymianie na jakis nowszy, ktory nie jest tak dziurawy.
  • #12 15939618
    hemisys
    Poziom 13  
    Posty: 353
    Ocena: 18
    Kolobos napisał:
    Czy w Security -> Remote Management masz ustawiony adres ip 0.0.0.0?


    Tak.

    Dziś rozmawiałem z dostawcą Wyjaśnił mi, że w przypadku tej sieci wszystko jest ukryte. Moja sieć osiedlowa jest podłączona w sieć i połączona z głównym nadajnikiem, który komunikuje się z całą globalną siecią radiową. To sieć radiowa. On twierdzi, że cała ta struktura nie jest widoczna w internecie więc ustawianie:"Do tego zablokuj dostep do panelu routera z internetu: http://www.tp-link.com.pl/article/?faqid=568 w przypadku innych marek ustawia sie podobnie. " nie ma tu zastosowania.

    Dodatkowo, twierdzi, że jest baaardzo małe prawdopodobieństwo żeby w jego sieci zdarzyło się zainfekowanie routera. W jego karierze nie pamięta żeby to się u niego zdarzyło.

    Dodano po 1 [minuty]:

    PS, dopiero odpaliłem kampa po wczorajszych ustawieniach. Na razie na defence24.pl nie pojawiła mi się irytująca reklama, która była tam zawsze.
  • #13 15939688
    Kolobos
    Spec od komputerów
    Posty: 85163
    Pomógł: 17164
    Ocena: 10437
    Czy po zalogowaniu sie do routera masz w ustawieniach dhcp ustawione dnsy: 217.12.218.65 8.8.8.8
    Jezeli tak to router jest zainfekowany i nie wazne co mowi dostawca.
    Jezeli natomiast nie ma tam ustawionych dnsow 217.12.218.65 8.8.8.8 to znaczy, ze zmiany dokonala jakas infekcja na Twoim komputerze.
  • #14 15939771
    hemisys
    Poziom 13  
    Posty: 353
    Ocena: 18
    chyba nie. W oknie głównym "Status", w dziale WAN mam takie parametry:
    IP Address: 10.10.10.254 DHCP
    Subnet Mask: 255.255.255.0
    Default Gateway: 10.10.10.1 Release (to jest button w przeciwieństwie do reszty)
    DNS Server: 8.8.8.8 , 8.8.4.4

    Dodano po 1 [minuty]:

    Och, widzę że wielospacja tu nie działa, to DHCP jest sporo po prawej stronie a w pionie pod nim to Release
  • #15 15940543
    Kolobos
    Spec od komputerów
    Posty: 85163
    Pomógł: 17164
    Ocena: 10437
    W takim razie usun tylko szkodliwe dnsy pod windows.

    Utworz plik Fixlist.txt obok frst.exe z podana zawartoscia:
    Tcpip\Parameters: [DhcpNameServer] 217.12.218.65 8.8.8.8
    Tcpip\..\Interfaces\{54f751e4-8263-421f-8147-a44c64c692ca}: [DhcpNameServer] 217.12.218.65 8.8.8.8

    W FRST wybierz Napraw.
  • #16 15941795
    hemisys
    Poziom 13  
    Posty: 353
    Ocena: 18
    Zrobione. Jakieś wpisy sostały pomyślnie usunięte. Niestety Adwcleaner ciągle i ciągle wyszukuje 2 zagrożeń.

    ***** [ Rejestr ] *****

    Wykryto klucz: HKCU\Software\Microsoft\Internet Explorer\DOMStorage\castplatform.com
    Wykryto klucz: HKCU\Software\Microsoft\Internet Explorer\DOMStorage\cdn.castplatform.com


    ***** [ Przeglądarki internetowe ] *****

    Nie wykryto szkodliwych obiektów w przeglądarkach opartych na Firefoksie.
    Wykryto preferencje Chromium: [C:\Users\Bals\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] - hxxp://www.yoursearching.com/?type=hp&ts=1451823730&z=21a87c947081abe112d890cgbzfwegfbeoec6m6c5e&from=cor&uid=st325062
    Wykryto preferencje Chromium: [C:\Users\Bals\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] - hxxp://www.mysites123.com/?type=hp&ts=1454192613&z=9903d25027227afed86d329gcz5w0zcg9t5odqfg9c&from=amt&uid=st3250620a_

    *************************
  • REKLAMA
  • #17 15941817
    Kolobos
    Spec od komputerów
    Posty: 85163
    Pomógł: 17164
    Ocena: 10437
    Uruchom regedit i sprobuj recznie usunac:
    HKCU\Software\Microsoft\Internet Explorer\DOMStorage\castplatform.com
    oraz:
    HKCU\Software\Microsoft\Internet Explorer\DOMStorage\cdn.castplatform.com

    Chrome mozesz przywrocic do ustawien fabrycznych, w ostatecznosci odinstalowac, usunac katalog profilu i zainstalowac ponownie.
  • #18 15960167
    hemisys
    Poziom 13  
    Posty: 353
    Ocena: 18
    Przepraszam za długi brak odpowiedzi.

    W rejestrze nie ma takiego wpisu. Odinstalowałem chrome a ponieważ adwcleaner usuwa to robactwo tylko w trybie awaryjnym to po zdeinstalowaniu chrome revouninstalerem oczyściłem komuter w trybie awaryjnym.

    Po restarcie sprawdziłem adwcleanerem - czysto!

    Pobrałem ponownie chrome zainstalowałem i robak powrócił.
  • #19 15960188
    Kolobos
    Spec od komputerów
    Posty: 85163
    Pomógł: 17164
    Ocena: 10437
    Co dokladnie wykrywa po zainstalowaniu chrome? Przed ponowna instalacja usunales profil przegladarki?
  • #20 15960700
    hemisys
    Poziom 13  
    Posty: 353
    Ocena: 18
    tak wszystkie dane usunięte, wykrywa to: Jak usunąć wirus reklamowy? ESET, Adaware, Malwarebytes nie pomagają
  • #21 15960704
    Kolobos
    Spec od komputerów
    Posty: 85163
    Pomógł: 17164
    Ocena: 10437
    W Chrome masz wlaczona synchronizacje ustawien z konta google? To by tlumaczylo wystapienie problemu po ponownej instalacji.
  • #22 15960844
    hemisys
    Poziom 13  
    Posty: 353
    Ocena: 18
    Tak mam włączoną synchronizację.
  • #24 15964189
    hemisys
    Poziom 13  
    Posty: 353
    Ocena: 18
    och, nie wiedziałem, że coś takiego jest! Usunięte, wszystko czyściutkie! Bardzo dziękuję! Cieszę się, że są ludzie tacy jak ty, którzy bezinteresownie poświęcają swoją energię i czas żeby pomagać innym.

    Na zakończenie chciałbym jeszcze zapytać, co to były za świństwa i czy powinienem teraz czegoś się bać? Pozmieniać wszędzie hasła?

    Pozdrawiam
  • Pomocny post
    #25 15964240
    Kolobos
    Spec od komputerów
    Posty: 85163
    Pomógł: 17164
    Ocena: 10437
    Nie musisz zmieniac hasel.
| Nowy temat
Zgłoś naruszenie prawa

Podsumowanie tematu

✨ Użytkownik zmagał się z wirusem reklamowym, który powodował wyskakujące reklamy, mimo skanowania przy użyciu ESET NOD32, Adaware i Malwarebytes Anti-Malware. Po analizie logów FRST okazało się, że router był zainfekowany, co skutkowało podmianą serwerów DNS. Użytkownik został poinstruowany, aby zalogować się do routera i zmienić ustawienia DNS na 8.8.8.8 oraz 8.8.4.4, a także zablokować dostęp do panelu routera z internetu. Po usunięciu szkodliwych wpisów z systemu i przeglądarki Chrome, problem z reklamami został rozwiązany. Użytkownik zrozumiał, że synchronizacja ustawień z konta Google mogła przywrócić problem po reinstalacji przeglądarki.
Wygenerowane przez model językowy.
REKLAMA