Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Wirus reklamowy - nie mogę sobie poradzić sam

hemisys 17 Wrz 2016 18:57 984 24
  • #1 17 Wrz 2016 18:57
    hemisys
    Poziom 13  

    Witam,

    nie mogę poradzić sobie z wyskakującymi reklamami.

    Skanowałem: eset nod 32 smart antivir, adaware i Malwarebyte Anti Malware.

    Brak rezultatów tzn: coś zostało wyczyszczone przez Malwarebyte Anti Malware, a adaware ciągle znajduje to samo.

    Proszę o pomoc.

    Pozdrawiam

    0 24
  • #2 17 Wrz 2016 19:32
    Rafik_ck
    Poziom 23  

    Add Blocka masz ?
    Skanowałeś Malwarebyte Anti Malware ?

    0
  • #4 17 Wrz 2016 19:36
    hemisys
    Poziom 13  

    Nie mam add blocka i tak skanowałem Malwarebyte Anti Malware - nie wiem dlaczego system poprawił mi to co napisałem na megabytes w pierwszym poście. Już poprawiłem na Malwarebyte Anti Malware.

    Dra 98. za około 15 min bedę wolny i zabiorę się za FRST. Dziękuję

    Nie zaznaczyłem shortcut.txt - czy powtórzyć?

    0
  • Pomocny post
    #5 17 Wrz 2016 21:25
    Kolobos
    Spec od komputerów

    Zly dzial!

    Masz zainfekowany router jak widac:
    Tcpip\Parameters: [DhcpNameServer] 217.12.218.65 8.8.8.8
    Tcpip\..\Interfaces\{54f751e4-8263-421f-8147-a44c64c692ca}: [DhcpNameServer] 217.12.218.65 8.8.8.8

    Zaloguj sie do routera, zmien dnsy na 8.8.8.8 oraz 8.8.4.4. Do tego zablokuj dostep do panelu routera z internetu: http://www.tp-link.com.pl/article/?faqid=568 w przypadku innych marek ustawia sie podobnie.

    Przy okazji w ustawieniach Chrome wylacz przywracanie zestawu stron po starcie (masz tam szkodliwe adresy).

    0
  • #6 17 Wrz 2016 21:32
    hemisys
    Poziom 13  

    Wielkie dzięki!!
    Gdzie to jest w logu?

    0
  • Pomocny post
    #7 17 Wrz 2016 21:33
    Kolobos
    Spec od komputerów

    > Gdzie to jest w logu?

    Pytasz powaznie? Otworz FRST i patrz az znajdziesz:
    Tcpip\Parameters: [DhcpNameServer] 217.12.218.65 8.8.8.8
    Tcpip\..\Interfaces\{54f751e4-8263-421f-8147-a44c64c692ca}: [DhcpNameServer] 217.12.218.65 8.8.8.8

    Mozesz tez uzyc funkcji szukaj.

    0
  • #8 17 Wrz 2016 21:37
    hemisys
    Poziom 13  

    Tak poważnie:) Nie znam się ale mnie to zaciekawiło. Niestety nie znam się za bardzo bo i tak nic tu nie widzę.

    0
  • #10 17 Wrz 2016 22:06
    hemisys
    Poziom 13  

    Kurcze nie mogę tego Access Managment i ACL nigdzie odnaleźć. Mam router:TL-WR543G

    Czy przywrócenie do ustawień fabrycznych coś pomoże (hard reset)

    0
  • #11 18 Wrz 2016 13:06
    Kolobos
    Spec od komputerów

    Nie pomoze, zaraz znowu bedziesz mial podmienione dnsy.

    Czy w Security -> Remote Management masz ustawiony adres ip 0.0.0.0?

    To stary router, pomysl o wymianie na jakis nowszy, ktory nie jest tak dziurawy.

    0
  • #12 18 Wrz 2016 19:57
    hemisys
    Poziom 13  

    Kolobos napisał:
    Czy w Security -> Remote Management masz ustawiony adres ip 0.0.0.0?


    Tak.

    Dziś rozmawiałem z dostawcą Wyjaśnił mi, że w przypadku tej sieci wszystko jest ukryte. Moja sieć osiedlowa jest podłączona w sieć i połączona z głównym nadajnikiem, który komunikuje się z całą globalną siecią radiową. To sieć radiowa. On twierdzi, że cała ta struktura nie jest widoczna w internecie więc ustawianie:"Do tego zablokuj dostep do panelu routera z internetu: http://www.tp-link.com.pl/article/?faqid=568 w przypadku innych marek ustawia sie podobnie. " nie ma tu zastosowania.

    Dodatkowo, twierdzi, że jest baaardzo małe prawdopodobieństwo żeby w jego sieci zdarzyło się zainfekowanie routera. W jego karierze nie pamięta żeby to się u niego zdarzyło.

    Dodano po 1 [minuty]:

    PS, dopiero odpaliłem kampa po wczorajszych ustawieniach. Na razie na defence24.pl nie pojawiła mi się irytująca reklama, która była tam zawsze.

    0
  • #13 18 Wrz 2016 20:20
    Kolobos
    Spec od komputerów

    Czy po zalogowaniu sie do routera masz w ustawieniach dhcp ustawione dnsy: 217.12.218.65 8.8.8.8
    Jezeli tak to router jest zainfekowany i nie wazne co mowi dostawca.
    Jezeli natomiast nie ma tam ustawionych dnsow 217.12.218.65 8.8.8.8 to znaczy, ze zmiany dokonala jakas infekcja na Twoim komputerze.

    0
  • #14 18 Wrz 2016 20:51
    hemisys
    Poziom 13  

    chyba nie. W oknie głównym "Status", w dziale WAN mam takie parametry:
    IP Address: 10.10.10.254 DHCP
    Subnet Mask: 255.255.255.0
    Default Gateway: 10.10.10.1 Release (to jest button w przeciwieństwie do reszty)
    DNS Server: 8.8.8.8 , 8.8.4.4

    Dodano po 1 [minuty]:

    Och, widzę że wielospacja tu nie działa, to DHCP jest sporo po prawej stronie a w pionie pod nim to Release

    0
  • #15 19 Wrz 2016 09:30
    Kolobos
    Spec od komputerów

    W takim razie usun tylko szkodliwe dnsy pod windows.

    Utworz plik Fixlist.txt obok frst.exe z podana zawartoscia:
    Tcpip\Parameters: [DhcpNameServer] 217.12.218.65 8.8.8.8
    Tcpip\..\Interfaces\{54f751e4-8263-421f-8147-a44c64c692ca}: [DhcpNameServer] 217.12.218.65 8.8.8.8

    W FRST wybierz Napraw.

    0
  • #16 19 Wrz 2016 20:29
    hemisys
    Poziom 13  

    Zrobione. Jakieś wpisy sostały pomyślnie usunięte. Niestety Adwcleaner ciągle i ciągle wyszukuje 2 zagrożeń.

    ***** [ Rejestr ] *****

    Wykryto klucz: HKCU\Software\Microsoft\Internet Explorer\DOMStorage\castplatform.com
    Wykryto klucz: HKCU\Software\Microsoft\Internet Explorer\DOMStorage\cdn.castplatform.com


    ***** [ Przeglądarki internetowe ] *****

    Nie wykryto szkodliwych obiektów w przeglądarkach opartych na Firefoksie.
    Wykryto preferencje Chromium: [C:\Users\Bals\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] - hxxp://www.yoursearching.com/?type=hp&ts=1451...890cgbzfwegfbeoec6m6c5e&from=cor&uid=st325062
    Wykryto preferencje Chromium: [C:\Users\Bals\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences] - hxxp://www.mysites123.com/?type=hp&ts=1454192...9gcz5w0zcg9t5odqfg9c&from=amt&uid=st3250620a_

    *************************

    0
  • #17 19 Wrz 2016 20:36
    Kolobos
    Spec od komputerów

    Uruchom regedit i sprobuj recznie usunac:
    HKCU\Software\Microsoft\Internet Explorer\DOMStorage\castplatform.com
    oraz:
    HKCU\Software\Microsoft\Internet Explorer\DOMStorage\cdn.castplatform.com

    Chrome mozesz przywrocic do ustawien fabrycznych, w ostatecznosci odinstalowac, usunac katalog profilu i zainstalowac ponownie.

    0
  • #18 28 Wrz 2016 15:34
    hemisys
    Poziom 13  

    Przepraszam za długi brak odpowiedzi.

    W rejestrze nie ma takiego wpisu. Odinstalowałem chrome a ponieważ adwcleaner usuwa to robactwo tylko w trybie awaryjnym to po zdeinstalowaniu chrome revouninstalerem oczyściłem komuter w trybie awaryjnym.

    Po restarcie sprawdziłem adwcleanerem - czysto!

    Pobrałem ponownie chrome zainstalowałem i robak powrócił.

    0
  • #19 28 Wrz 2016 15:46
    Kolobos
    Spec od komputerów

    Co dokladnie wykrywa po zainstalowaniu chrome? Przed ponowna instalacja usunales profil przegladarki?

    0
  • #20 28 Wrz 2016 19:59
    hemisys
    Poziom 13  

    tak wszystkie dane usunięte, wykrywa to: Wirus reklamowy - nie mogę sobie poradzić sam

    0
  • #21 28 Wrz 2016 20:02
    Kolobos
    Spec od komputerów

    W Chrome masz wlaczona synchronizacje ustawien z konta google? To by tlumaczylo wystapienie problemu po ponownej instalacji.

    0
  • #22 28 Wrz 2016 20:48
    hemisys
    Poziom 13  

    Tak mam włączoną synchronizację.

    0
  • #24 30 Wrz 2016 14:52
    hemisys
    Poziom 13  

    och, nie wiedziałem, że coś takiego jest! Usunięte, wszystko czyściutkie! Bardzo dziękuję! Cieszę się, że są ludzie tacy jak ty, którzy bezinteresownie poświęcają swoją energię i czas żeby pomagać innym.

    Na zakończenie chciałbym jeszcze zapytać, co to były za świństwa i czy powinienem teraz czegoś się bać? Pozmieniać wszędzie hasła?

    Pozdrawiam

    0
  • Pomocny post
    #25 30 Wrz 2016 15:28
    Kolobos
    Spec od komputerów

    Nie musisz zmieniac hasel.

    0