Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Zarażona sieć domowa? (podobny przypadek do opisywanych)

Schnaider 17 Wrz 2016 18:34 858 8
  • #1 17 Wrz 2016 18:34
    Schnaider
    Poziom 6  

    Mam u siebie dokładnie to samo ( https://www.elektroda.pl/rtvforum/viewtopic.php?p=15931947#15931947 ).
    Pomógł mi CCleaner v5, ale komp znów złapał infekcję.
    Przez 5 minut wszystko chodziło pięknie i szybko, a następnie na interia.pl zaczęły się już pojawiać reklamy mgid oraz głos dźwiękowy.
    Najlepsze jest to, że mam komercyjny Norton Security i nic nie widzi.

    Wątek zainfekowanej sieci domowej wydaje się być w moim przypadku sensowny.
    Malwarabytes i Adwcleaner nic nie widzą.
    Norton Security też ślepy.
    Zrobiłem przywrócenie do ustawień domyślnych w Win 10 z wyrzuceniem plików osobistych i formatem partycji systemowej - też bez skutku.

    W moim przypadku wyskakują mi notorycznie oprócz reklam dźwiękowych ("o zarabianiu mnóstwa pieniędzy przez internet") także reklamy mgid.
    https://www.pcrisk.pl/narzedzia-usuwania/8270-ads-by-mgidLink

    0 8
  • #2 17 Wrz 2016 21:04
    Kolobos
    Spec od komputerów

    @Schnaider nie wiem po co to piszesz. Przeciez w tym watku wszystko zostalo wyjasnione. Zainfekowany router (podmienione dnsy), Twoj lub dostawcy. Wystarczy zmienic dnsy pod windows lub lepiej w zainfekowanym routerze oraz zablokowac dostep do panelu routera z internetu.

    0
  • #3 17 Wrz 2016 22:34
    Schnaider
    Poziom 6  

    Kolobos pisałem, żeby wskazać na program CCleaner, który mi pomógł poukładać ten cały bałagan.
    Nie mam jeszcze za dużego doświadczenia z problemami dotyczącymi routerów.
    Zawsze myślałem, że w najgorszym razie format musi pomóc.
    Ten problem jest dla mnie całkowicie nowy i jeszcze nie do końca zrozumiały.

    > Jest możliwy taki błąd na routerze jeśli miałem go zabezpieczonego dobrym hasłem?

    > W mojej sieci pracują dwa komputery i drugi na Win 7 śmiga jak nowy, a Win 10 oberwał?
    > Czy to nie wskazywałoby, że problem jest tylko na kompie z Win 10?

    > Jeśli problem dotyczył tylko kompa z Win 10 to jest możliwe, że po przywróceniu ustawień początkowych z formatem systemu ponownie problem wystąpił?
    > To z kolei wskazywałoby, że jest temat na routerze i usprawiedliwiało dlaczego nawet komercyjne antywirusy nie mogą temu zapobiec?

    Poczytałem już wiele wątków i zrobiłem tak jak napisane.
    https://www.elektroda.pl/rtvforum/topic3249410.html

    Cytat:
    Jezeli sprawia Ci to problem to usta pod Windows dnsy na: 8.8.8.8 oraz 8.8.4.4 i powinno byc ok.


    W kontekście poniższego wątku zamieszczam jeszcze pliki FRST.
    https://www.elektroda.pl/rtvforum/topic3248847.html

    Wygląda na to, że teraz jest już wszystko poukładane i idzie jak powinno.
    Na pewno będę częściej korzystać z tego forum :D

    0
  • #4 18 Wrz 2016 13:20
    Kolobos
    Spec od komputerów

    > pisałem, żeby wskazać na program CCleaner, który mi pomógł poukładać ten cały bałagan.

    Nie pomogl, tylko tak Ci sie wydaje. Dlatego taka porada niczego nie wnosi do tematu.

    > Zawsze myślałem, że w najgorszym razie format musi pomóc.

    Jak widac nie, skoro problemem nie jest komputer tylko router.

    > Jest możliwy taki błąd na routerze jeśli miałem go zabezpieczonego dobrym hasłem?

    Tak, boty, ktory zmieniaja dnsy wykorzystuja inne bledy i nie potrzebuja hasla.

    > W mojej sieci pracują dwa komputery i drugi na Win 7 śmiga jak nowy, a Win 10 oberwał?

    Moze mial juz ustawione inne dnsy.

    Jak widac, masz podmienione dnsy (na ukrainiski i google):
    Tcpip\Parameters: [DhcpNameServer] 82.118.16.11 8.8.8.8
    Tcpip\..\Interfaces\{00d8e9c1-9fa3-488a-adf4-c43d0e02860e}: [DhcpNameServer] 82.118.16.11 8.8.8.8

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    Tcpip\Parameters: [DhcpNameServer] 82.118.16.11 8.8.8.8
    Tcpip\..\Interfaces\{00d8e9c1-9fa3-488a-adf4-c43d0e02860e}: [DhcpNameServer] 82.118.16.11 8.8.8.8

    W FRST wybierz Napraw.

    Do tego router dostawcy (o ile to router dostawcy) uzywa dns z usa:
    63.233.233.233

    Mozliwe, ze tez szkodliwy, warto zglosic do dostawcy lub wlasciciela routera z ktorego masz internet.

    Ustaw w routerze, w ustawieniach dhcp dnsy na 8.8.8.8 oraz 8.8.4.4

    Do tego sprawdz czy masz wylaczony Remote Management.

    0
  • #5 18 Wrz 2016 21:38
    Schnaider
    Poziom 6  

    Dzięki za odpowiedź.

    Cytat:
    Jak widac, masz podmienione dnsy (na ukrainiski i google):
    Tcpip\Parameters: [DhcpNameServer] 82.118.16.11 8.8.8.8
    Tcpip\..\Interfaces\{00d8e9c1-9fa3-488a-adf4-c43d0e02860e}: [DhcpNameServer] 82.118.16.11 8.8.8.8

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    Tcpip\Parameters: [DhcpNameServer] 82.118.16.11 8.8.8.8
    Tcpip\..\Interfaces\{00d8e9c1-9fa3-488a-adf4-c43d0e02860e}: [DhcpNameServer] 82.118.16.11 8.8.8.8
    Czyli tak naprawdę nic ma się nie zmienić czy po kopiuj/wklej zapomniałeś wyedytować? :wink:
    (8.8.8.8 oraz 8.8.4.4)

    Cytat:
    Do tego router dostawcy (o ile to router dostawcy) uzywa dns z usa:
    63.233.233.233

    Mozliwe, ze tez szkodliwy, warto zglosic do dostawcy lub wlasciciela routera z ktorego masz internet.
    Tak, to jest router dostawcy, ale 62.233.233.233 to podstawowy DNS Netia/Dialog, więc powinno być OK.
    https://pl.wikipedia.org/wiki/Net24

    Cytat:
    Do tego sprawdz czy masz wylaczony Remote Management.
    Sprawdzony - był wyłączony (Disabled).

    0
  • Pomocny post
    #6 19 Wrz 2016 09:31
    Kolobos
    Spec od komputerów

    > Czyli tak naprawdę nic ma się nie zmienić czy po kopiuj/wklej zapomniałeś wyedytować? :wink:

    Fixlist dla FRST usunie te wpisy, wiec cos sie zmieni...

    Wykonaj to co podalem:
    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    Tcpip\Parameters: [DhcpNameServer] 82.118.16.11 8.8.8.8
    Tcpip\..\Interfaces\{00d8e9c1-9fa3-488a-adf4-c43d0e02860e}: [DhcpNameServer] 82.118.16.11 8.8.8.8

    W FRST wybierz Napraw.

    Czy w ustawieniach dhcp routera widzisz ten szkodliwy adres 82.118.16.11?

    0
  • #7 19 Wrz 2016 17:45
    Schnaider
    Poziom 6  

    Cytat:
    Fixlist dla FRST usunie te wpisy, wiec cos sie zmieni...

    Wykonaj to co podalem:
    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    Tcpip\Parameters: [DhcpNameServer] 82.118.16.11 8.8.8.8
    Tcpip\..\Interfaces\{00d8e9c1-9fa3-488a-adf4-c43d0e02860e}: [DhcpNameServer] 82.118.16.11 8.8.8.8

    W FRST wybierz Napraw.
    OK. Wszystko jasne.
    Wykonałem. Fixlog i FRST załączone.

    Cytat:
    Czy w ustawieniach dhcp routera widzisz ten szkodliwy adres 82.118.16.11?
    Nie widzę tego adresu. W zakładce status (printscreen w poście wcześniej) jest jedynie wpisany DNS 62.233.233.233.
    Natomiast nawet gdybym chciał zmienić DNS wygląda na to, że na tym routerze linksys WRT54GC nie jest to możliwe.
    Przekopałem już różne fora i tak przynajmniej z nich wynika. Być może jest taka możliwość, ale na pewno nie w taki prosty sposób jak w przypadku WRT54G
    http://setuprouter.com/router/linksys/wrt54g/dns.htm

    Poniżej 3 kroki co dokładnie widzę.

    0
  • Pomocny post
    #8 19 Wrz 2016 20:33
    Kolobos
    Spec od komputerów

    Wszystko wyglada ok.

    0
  • #9 19 Wrz 2016 22:18
    Schnaider
    Poziom 6  

    Sprzęt chodzi jak nowy.
    Dzięki za pomoc.

    0