MrSnajper utworzono 2 stycznia 2015 utworzono 2 stycznia 2015 Witam, Mam u siebie w domu problem z przekierowywaniem na stronę cityadspix.com, przeczytałem trochę internetu i przeczytałem, że w takiej sytuacji należy wykonać skan programem Farbar Recovery Scan Tool, co też zrobiłem, problem w tym, że nie bardzo wiem jak zinterpretować logi. I teraz tak, bo to może okazać się przydatne, jak do tego wszystkiego doszło. Sam podejrzewam, że ktoś z rodziny zainfekował router, bo sam będąc na studiach nie miałem tego problemu u siebie, dopiero przyjeżdżając na święta prawdopodobnie zaraziłem tym swój komputer, najgorsze jest to, że podłączając się do internetu w innym mieszkaniu, do innego routera dzieje się to samo, podejrzewam, że i tamtem został zainfekowany. Dlatego muszę usunąć problem z dwóch miejsc. Na dodatek problem występuje nie tyko na komputerze, po podłączeniu telefonu do sieci tam dzieje się to samo. Mógłby mi ktoś pomóc uporać się z tym problemem? Załączam logi z FRST: FRST: http://wklej.org/id/1582035/ Addition: http://wklej.org/id/1582036/ Da się to trwale usunąć?
Weststarr komentarz 2 stycznia 2015 komentarz 2 stycznia 2015 Spróbuj przeczyscic kilka razy programem ADW cleaner az logi programu bedą czyste i sprawdz czy problem ustał sprawdz dodatkowo przegladarki czy nie maja zainstalowanych jakichś rozszerzeń moze to tez być wina tego.
MrSnajper komentarz 2 stycznia 2015 Autor komentarz 2 stycznia 2015 ADW celaner pomógł, na chwile...Korzystam z Chrome'a, jedyne rozszerzenia jakie mam zainstalowane, to te, które sam zainstalowałem korzystając z Marketu Chrome'a.
Zayfi komentarz 3 stycznia 2015 komentarz 3 stycznia 2015 Ten wpis w FRST oznacza że przeglądarka Chrome została przekształcona przez infekcję w tzw. wersje tymczasową. CHR dev: Chrome dev build detected! <======= ATTENTION Musisz odinstalować Chrome całkowicie i zainstalować wersje stabilną. 1
MrSnajper komentarz 3 stycznia 2015 Autor komentarz 3 stycznia 2015 Sprawdzę to, ale jak wytłumaczyć fakt, że na innych urządzeniach wyskakują również podobne reklamy?
Zayfi komentarz 3 stycznia 2015 komentarz 3 stycznia 2015 Jest tu infekcja routera. Spojrzałem pobieznie na logi Tcpip\Parameters: [DhcpNameServer] 94.249.192.115 8.8.8.8 Tcpip\..\Interfaces\{42bb1fdb-7bc5-449b-a8ca-c680aaddf24b}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1 Tcpip\..\Interfaces\{6ce0fd01-0f8c-45f5-8155-55f6f0593c64}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1 Tcpip\..\Interfaces\{dbd0f74f-8d14-4d36-97fd-aaecd203c058}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1 Tcpip\..\Interfaces\{f4258c6c-704c-48ce-8379-ef05af0ee6eb}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1 Spróbujemy usunąć te wpisy, ale i tak czeka cię zapewne reset routera i ustawienie DNS od podstaw. Otwórz notatnik i wklej URLSearchHook: [S-1-5-21-2138852782-999833114-2195686520-1002] ATTENTION ==> Default URLSearchHook is missing. Tcpip\Parameters: [DhcpNameServer] 94.249.192.115 8.8.8.8 Tcpip\..\Interfaces\{42bb1fdb-7bc5-449b-a8ca-c680aaddf24b}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1 Tcpip\..\Interfaces\{6ce0fd01-0f8c-45f5-8155-55f6f0593c64}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1 Tcpip\..\Interfaces\{dbd0f74f-8d14-4d36-97fd-aaecd203c058}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1 Tcpip\..\Interfaces\{f4258c6c-704c-48ce-8379-ef05af0ee6eb}: [NameServer] 8.8.8.8,8.8.4.4,4.2.2.1,4.2.2.2,208.67.222.222,208.67.220.220,8.26.56.26,8.20.247.20,156.154.70.1,156.154.71.1 Reboot: plik zapisz jako fixlist.txt i umieść w F:\Download\Chrome. Uruchom FRST i kliknij w Fix. Przedstaw raport fixlog.txt i zrób nowy skan FRST. 1
MrSnajper komentarz 3 stycznia 2015 Autor komentarz 3 stycznia 2015 Przede wszystkim, już teraz dziękuję Ci za zainteresowanie się problemem;) Póki co przeinstalowałem Chrome'a, a oto logi: FRST: http://wklej.org/id/1583039/ Fixlist: http://wklej.org/id/1583043/ A mam jeszcze takie pytanie odnoście restartu routera i ustawiania DNS'ów od nowa, jak dokładnie z nimi to jest? Bo restartu już próbowałem, tyle, że to nic nie pomogło;]
Zayfi komentarz 3 stycznia 2015 komentarz 3 stycznia 2015 Dalej masz problemy bo log wskazuje że wadliwe DNS zostały usuniete. Gdzie masz internet, kto jest dostawcą? 1
MrSnajper komentarz 3 stycznia 2015 Autor komentarz 3 stycznia 2015 Dostawcą jest Netia, a co do problemów, to póki co nic nie wyskakuje, być może problem został rozwiązany;]
Zayfi komentarz 3 stycznia 2015 komentarz 3 stycznia 2015 A mam jeszcze takie pytanie odnoście restartu routera i ustawiania DNS'ów od nowa, jak dokładnie z nimi to jest? Bo restartu już próbowałem, tyle, że to nic nie pomogło;] Ale to nie jest DNS netii Tcpip\Parameters: [DhcpNameServer] 5.175.225.190 8.8.8.8 To są adresy DNS Netii 213.241.79.38 213.241.79.37 83.238.255.76 195.114.173.153 195.116.55.69, a tu masz co i jak z routerem http://www.pcworld.pl/artykuly/394764_3/Zmasowany.atak.na.routery.polskich.uzytkownikow.Orange.blokuje.falszywe.DNS.y.html http://multimo.telestrada.pl/uwaga1 1
MrSnajper komentarz 3 stycznia 2015 Autor komentarz 3 stycznia 2015 Postępując zgodnie z instrukcją z drugiego linku, tę część ""Access Management"->"ACL" jest jako "Activated" i w zakładce "Interface" jest tylko LAN." miałem na odwrót, więc mieniłem tak, jak powinno być. Odnoście drugiej części Nie mam żadnych DNS'ów: klik. Powinienem po prostu zmienić opcję z Auto na User i ustawić któreś z tych, które podałeś? I jest jakaś różnica które, czy po prostu pierwsze z brzegu? Teraz jeszcze tylko opcja tych ataków na router, niestety, trochę głupio się przyznawać, ale ten problem występował u mnie już z tydzień, może dwa, dopiero teraz postanowiłem się na to wziąć, dlatego zastanawiam się, czy koniecznym jest zmienienie moich wszystkich haseł?
Zayfi komentarz 3 stycznia 2015 komentarz 3 stycznia 2015 zastanawiam się, czy koniecznym jest zmienienie moich wszystkich haseł? Jeśli chodzi o hasła w przegladarkach to ta infekcja nie wykrada haseł. Trzeba zmienić tylko hasło do routera. To powinno rozwiać Twoje watpliwości. Mozesz wpisać adresy DNS które podałem, ale wcześniej sprawdź czy masz łaczność. http://www.forumpc.pl/tutorials/article/497-jak-usun%C4%85%C4%87-your-flash-player-may-be-out-of-date-please-update-to-continue-itp/ 1
MrSnajper komentarz 3 stycznia 2015 Autor komentarz 3 stycznia 2015 Okey, wszystko pozmieniałem jak było w instrukcjach, dzięki wielkie za pomoc :) Jak na razie wszystko w porządku.
MrSnajper komentarz 1 lutego 2015 Autor komentarz 1 lutego 2015 Witam ponownie odświeżając temat. mam niestety znowu problemy i chciałbym się poradzić mądrzejszych ode mnie. Już mówię o co chodzi, pomoc @Zafi'ego była nieoceniona, problem został rozwiązany, jednak wychodzi na to, że to nie mój komputer by problemem, gdyż ja będąc na studiach poza moim miejscem zamieszkania nie miałem oczywiście dostępu to sieci domowej i routera, więc któryś z domowników musiał przyczynić się do obecnych problemów;] Obydwa komputery próbowałem uleczyć ADWCleaner'em, po czym zrobiłem skan FRSTem, poniżej zamieszczam logi, byłbym wdzięczy za pomoc w interpretowaniu ich. Logi z pierwszego komputera: FRST http://wklej.org/id/1619675/ Addition: http://wklej.org/id/1619676/ Logi z drugiego komputera: FRST: http://wklej.org/id/1619679/ Addtion: http://wklej.org/id/1619682/ Jako wskazówkę dodam jeszcze tylko, że sam wywnioskowałem tyle, iż musi być znowu coś nie tak z routerem, bo nawet na telefonie wyskakują mi głupoty(podejrzane strony). A jeśli chodzi o komputer, bo tego też nie powiedziałem wcześniej, mam to samo, co wcześniej, niemalże kompletnie nie da się nic zrobić, bo co chwile następują przekierowania do stron, które wolałbym omijać;] Co ciekawe, nawet aplikacja Spotify nie uchroniła się od tego, czasami zmieniając tam playlistę otwiera mi się przeglądarka i włącza strona. Naprawdę jest to uciążliwe i byłbym wdzięczy za jakąkolwiek pomoc;] Pozdrawiam.
Zayfi komentarz 2 lutego 2015 komentarz 2 lutego 2015 Infekcja dotyczy routera i ja tu nie pomogę magicznymi skryptami. Post nr2 punkt 1. Reszta cię nie dotyczy. http://www.fixitpc.pl/topic/25783-trojan-dns-changer/
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.