Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Czy te strony infekują Windowsa?

maciek442 04 Sie 2018 14:15 306 15
  • #1 04 Sie 2018 14:15
    maciek442
    Poziom 5  

    Witam was, zauważyłem że łączą się z moim Windowsem 10 dziwne strony, nawet gdy nie mam odpalonej przeglądarki. Są to strony typu:
    login.adf.ly
    IP 104.20… z Cloudflare
    bidadvertiser33.com 1
    bidvertiser.com 2
    infolinks.com
    Dwa tygodnie temu pobrałem legalny system ze strony Microsoftu. Wgrałem go na czysto. Mam urządzenie kiano slimstick z wbudowanym w bios tego urządzenia kluczem microsoftu. Wystarczy pobrać taką samą wersję 10tki, jaka była na tym urządzeniu w oryginale i system dostaje klucz z automatu. Jedynie co mogłem pobrać z innych źródeł to sterowniki do tego urządzenia.
    Jak wpisuję w CMD polecenie net user to wyświetla mi pod administratorem moje konto, a pod gościem jakąś długą nazwę WDAGUtillityAccoun, czyli nie powinno być tego gościa?
    Mało tego, wczoraj siedziałem sobie na czacie, a jakiś nowy nick wlazł mi na priv i zaczął do mnie dziwnie pisać. Powtarzać to co u mnie w pokoju rozmawiałem z rodziną, pisał mi to co wyszukiwałem w google, na końcu mi idiota napisał że jest bogiem. Dopiero dziś wyczytałem informację , że to urządzenie ma wbudowany mikrofon. Nie mogłem po aktualizacjach 10 uzyskać połączenia, więc jakiś koleś z innego forum podał mi link do sterowników wifi na to urządzenie. Możliwe że sprzedał mi sterowniki z trojanem. Stąd je pobrałem:
    h t t p s : / / winclub.pl/topic/13113-sterowniki-do-kiano-slimstick-wifibtaudio/

    Dziś zrobiłem formata 10 tki i po kilku godzinach te strony znowu powróciły. Tylko, że ja nie wgrywałem już tych sterowników od nicka miensn.
    Wydaje mi się, że przez te kilka miesięcy siedząc w naszej sieci zainfekował inne komputery z Windowsem lub telefony, a teraz łatwo mu było znowu mnie namierzyć?

    0 15
  • #5 07 Sie 2018 22:10
    maciek442
    Poziom 5  

    Tylko, że ja już zrobiłem format systemu. Jednak nadal mi co jakiś czas rozłącza internet.

    0
  • #6 07 Sie 2018 22:17
    RADU23
    Moderator - Komputery Serwis

    Miał kolega zamieścić logi z FRST.
    Nie odsyłaj do zewnętrznych serwerów. Pliki zamieszczamy poprzez użycie "Dodaj załącznik" Czy te strony infekują Windowsa?

    0
  • #7 07 Sie 2018 22:23
    maciek442
    Poziom 5  

    Przepraszam już zmieniam.

    0
  • #8 07 Sie 2018 22:32
    RADU23
    Moderator - Komputery Serwis

    Plik plikiem. A logów wciąż kolega nie zamieścił do wglądu.

    0
  • #9 07 Sie 2018 22:51
    maciek442
    Poziom 5  

    Proszę o to logi.

    0
  • Pomocny post
    #10 07 Sie 2018 22:54
    RADU23
    Moderator - Komputery Serwis

    Jeszcze Addition.txt

    Dodano po 1 [minuty]:

    Otwórz notatnik i wklej zawartość:

    Cytat:
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <==== UWAGA
    HKU\S-1-5-21-3843495339-483403127-1340575775-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.yahoo.com/?fr=chrf-iryus&type=ypi_znlrm_00_00_ie
    SearchScopes: HKU\S-1-5-21-3843495339-483403127-1340575775-1001 -> {7E661F3D-5D2F-499F-8883-B9FED7C9F91D} URL = hxxps://search.yahoo.com/search?p={searchTerms}&intl=us&fr=chrf-iryus&type=ypi_znlrm_00_00_ie
    U3 iswSvc; Brak ImagePath
    2018-08-07 00:01 - 2018-08-07 00:02 - 000000000 ____D C:\AdwCleaner


    Plik zapisz pod nazwą fixlist.txt i umieść w folderze, gdzie masz FRST.exe.
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • #11 07 Sie 2018 23:12
    maciek442
    Poziom 5  

    Dziękuje naprawiło. Tylko nadal nie wiem co z tymi stronami, ponieważ wygląda teraz że zmieniły nazwę na:
    crl.usertrust.com
    crl.usertrust.com.cdn.cloudflare.net
    Z tym samym IP zaczynającym się od 104.. Google mówi, że to wirusy i spyware.

    0
  • #13 08 Sie 2018 22:22
    Kolobos
    Spec od komputerów

    usertrust.com ma zwiazek z certyfikatami.

    0
  • #14 08 Sie 2018 23:34
    maciek442
    Poziom 5  

    Już miałem te dwa programy zainstalowane, teraz przeskanowałem nimi jeszcze raz i nic nie znalazło. Mam ten ZoneAlarm, zablokowałem te strony i ich IP wchodząc w Firewall > View Zones > Add >> w Opcjach Host/Site wpisałem nazwę strony: www.infolinks.com i kolejne w drugich www.bitvertiser.com,, w Opcjach IP Address ich adresy IP. Ale za jakiś czas znowu mi rozłączyło internet i oczywiście pojawił się cały komplet tych stron od login.adf.ly po bidavertiser33.com, infolinks, bidvertiser.com. Czyli ta blokada nic nie dała, a jedynie w Operze przestała działać wyszukiwarka google. Wyświetlała tylko komunikat, sprawdź problemy z DNS, więc usunąłem te filtry blokujące w ZoneAlarm. W Operze mam tylko dodatki Adblock, uBlock Orgin i Google Translate. Czyżby Opera miała coś wspólnego z tymi stronami?

    0
  • Pomocny post
    #15 09 Sie 2018 07:44
    Kolobos
    Spec od komputerów

    Odinstaluj Opere, usun katalog profilu przegladarki i zainstaluj Opere ponownie.

    0
  • #16 09 Sie 2018 14:50
    maciek442
    Poziom 5  

    Pliki Opery znalazłem w tych miejscach w systemie:
    C:\Użytkownicy\Nazwa_użytkownika\AppData\Local\Opera Software
    C:\Użytkownicy\Nazwa_użytkownika\AppData\Roaming\Opera Software
    C:\Windows\System32\oobe
    Czy tylko te dwa powyższe usunąć?

    0