x-kom hosting

Cobalten.com - wirus?

greston
utworzono
utworzono

Witam, 

Od pewnego czasu wchodząc na niektóre strony www przekierowuje mnie na stronę cobalten.com/cośtam i potem na kolejną z reklamą. Skanowałem Malwerbytes, AdwCleaner i CCleaner jednak nic to nie dało. Również Windows Defender i płyta ratunkowa Kaspersky nic nie znalazło. Dołączam logi z FRST. Z góry dziękuję za pomoc.

Addition_15-07-2018 20.29.19.txt

FRST_15-07-2018 20.29.20.txt

Shortcut_15-07-2018 20.29.20.txt

Mateusz993
komentarz
komentarz

Spróbuj ComboFixem

greston
komentarz
komentarz
2 minuty temu, Mateusz993 napisał:

Spróbuj ComboFixem

ComboFix na Windowsie 10 może narobić szkód. Wiem z autopsji.

  • Super 1
Twój_Anioł_Stróż
komentarz
komentarz

Z logów wynika, że nie masz żadnej infekcji, nie masz żadnych problemów.

 

Uruchom FRST.
W polu SEARCH (SZUKAJ) wklej:

cobalten


kliknij na przycisk "Search Registry" (Szukaj w Rejestrze).
Raport z tego będzie tam, gdzie jest FRST.

greston
komentarz
komentarz
9 godzin temu, Twój_Anioł_Stróż napisał:

Z logów wynika, że nie masz żadnej infekcji, nie masz żadnych problemów.

 

Uruchom FRST.
W polu SEARCH (SZUKAJ) wklej:


kliknij na przycisk "Search Registry" (Szukaj w Rejestrze).
Raport z tego będzie tam, gdzie jest FRST.

Niestety nic nie znalazło. Czy istnieje taka możliwość, że router ma wirusa?

Twój_Anioł_Stróż
komentarz
komentarz
Cytuj

Tcpip\Parameters: [DhcpNameServer] 185.162.9.70 8.8.4.4
Tcpip\..\Interfaces\{d1f119d2-b3ca-4883-8c71-7e34b34acdb6}: [DhcpNameServer] 185.162.9.70 8.8.4.4

Teoretycznie jest to możliwe, bo ten zaznaczony na dyniowo DNS jest na czarnej liście https://ipindetail.com/ip-lookup/185.162.9.70.html

 

Zaloguj się do routera:
- Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
- Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami:
http://multimo.telestrada.pl/uwaga1
http://www.pcworld.pl/artykuly/394764_3/Zmasowany.atak.na.routery.polskich.uzytkownikow.Orange.blokuje.falszywe.DNS.y.html

Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie:
https://cert.orange.pl/modemscan/index.py

 

greston
komentarz
komentarz
47 minut temu, Twój_Anioł_Stróż napisał:

Teoretycznie jest to możliwe, bo ten zaznaczony na dyniowo DNS jest na czarnej liście https://ipindetail.com/ip-lookup/185.162.9.70.html

 

Zaloguj się do routera:
- Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
- Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami:
http://multimo.telestrada.pl/uwaga1
http://www.pcworld.pl/artykuly/394764_3/Zmasowany.atak.na.routery.polskich.uzytkownikow.Orange.blokuje.falszywe.DNS.y.html

Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie:
https://cert.orange.pl/modemscan/index.py

 

Zmieniałem ustawienia DNS na Google i Orange jednak nic to nie dało, nadal mnie przekierowuje. Test potwierdzający zabezpieczenie wypada pomyślnie : "Jesteś bezpieczny. Interfejs administracyjny Twojego modemu jest niedostępny z Internetu." Zmieniłem hasło dostępu do routera, ale po skonfigurowaniu routera nie mogę dostać się do jego panelu. 

Twój_Anioł_Stróż
komentarz
komentarz (edytowane)

Przeinstaluj przeglądarkę.

Czasami to pomaga, choć nie zawsze, bo np.Chrome ma zawsze włączoną automatyczną synchronizację, czyli zawsze ściąga z serwera poprzednie konfiguracje, w tym także poprzednie "wirusy".

Firefox też tak chyba ma - nie używam go, więc nie mam pewności.

.

greston
komentarz
komentarz (edytowane)
Dnia 16.07.2018 o 11:39, Twój_Anioł_Stróż napisał:

Przeinstaluj przeglądarkę.

Czasami to pomaga, choć nie zawsze, bo np.Chrome ma zawsze włączoną automatyczną synchronizację, czyli zawsze ściąga z serwera poprzednie konfiguracje, w tym także poprzednie "wirusy".

Firefox też tak chyba ma - nie używam go, więc nie mam pewności.

.

Przeinstalowałem Chrome jednak nic to nie pomogło. Problem występuje też na Edge. Zauważyłem, że wpisując cobalten.com przekierowuje mnie na stronę Google.

Twój_Anioł_Stróż
komentarz
komentarz (edytowane)

Ciekawa sytuacja: na 100 % nie masz żadnego szkodnika.

Skąd więc przekierowania? Jedynym wytłumaczeniem jest: jakieś duchy opanowały Twój komputer.

 

Zrób jeszcze log FRST - zobaczymy, czy na pewno zniknęło to 185.162.9.70

greston
komentarz
komentarz (edytowane)
4 godziny temu, Twój_Anioł_Stróż napisał:

Ciekawa sytuacja: na 100 % nie masz żadnego szkodnika.

Skąd więc przekierowania? Jedynym wytłumaczeniem jest: jakieś duchy opanowały Twój komputer.

 

Zrób jeszcze log FRST - zobaczymy, czy na pewno zniknęło to 185.162.9.70

Skanowałem tymi samymi programami co wcześniej nawet w trybie awaryjnym i nic nie znalazło. Dołączam logi. Bardziej zastanawia mnie dlaczego wpisując cobalten.com wyskakuje mi strona Google? W trybie incognito Chrome ten problem nie występuje.

Addition_18-07-2018 10.12.07.txt

FRST_18-07-2018 10.12.07.txt

Shortcut_18-07-2018 10.12.07.txt

Twój_Anioł_Stróż
komentarz
komentarz (edytowane)
Cytuj

Tcpip\Parameters: [DhcpNameServer] 185.162.9.70 8.8.4.4
Tcpip\..\Interfaces\{d1f119d2-b3ca-4883-8c71-7e34b34acdb6}: [DhcpNameServer] 185.162.9.70 8.8.4.4

W logach to dalej jest.

Dam to do usuwania, ale usuwanie poprzez FRST raczej jest bez sensu, bo literki "DHCP" oznaczają, że to jest na routerze, więc usunięcie z Rejestru komputera nic nie da.

 

Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

Cytuj

Tcpip\Parameters: [DhcpNameServer] 185.162.9.70 8.8.4.4

Tcpip\..\Interfaces\{d1f119d2-b3ca-4883-8c71-7e34b34acdb6}: [DhcpNameServer] 185.162.9.70 8.8.4.4
C:\Users\Piotrek\Downloads\SearchReg.txt
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Brak pliku
HOSTS:
EmptyTemp:


Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

 

Jeszcze raz użyj MBAM https://downloads.malwarebytes.com/file/mbam_current/

MBAM to jedyny skaner, który potrafi wykryć i usunąć tę infekcję (przynajmniej teoretycznie).

.

Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!

Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.

×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Strona wykorzystuje pliki cookies w celu prawidłowego świadczenia usług i wygody użytkowników. Warunki przechowywania i dostępu do plików cookies możesz zmienić w ustawieniach przeglądarki.