Wiem, że temat już był poruszany, więc zresetowałem ustawienia routera,
DNS oczywiście ustawiony na:
HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 173.234.241.50 8.8.8.8
log OTL przed “zabawą z routerem”: http://wklej.to/I2UuW
Proszę o wskazówki, jak tego “dziada” wywalić z kompa (przez infekcje routera wszyskie kompy przez WiFi zassały vira)
To nie jest infekcja systemu tylko routera.
Sprawdź na stronie producenta routera czy jest dostępna nowsza wersja firmware.
W panelu sterowania odinstaluj McAfee Security Scan i WiseEnhance.
Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.
Pobierz Farbar Recovery Scan Tool 64-Bit Version
Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.
po wykonaniu powyższych czynności, przedstawiam efekty:
FRST Addition: http://wklej.to/TOL4g
FRST log: http://wklej.to/MIIyt
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
HKLM-x32\...\Run: [] => [X]
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
Filter: text/xml - {807553E5-5146-11D5-A672-00B0D022E945} - No File
FF Extension: Widget context - C:\Users\Marek\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}\{140A2D0E-85CC-4ed3-9BA5-8FA35DA7FABA}.xpi [2014-03-30]
FF HKCU\...\Firefox\Extensions: [speedtest4354@BestOffers] - C:\Users\Marek\AppData\Roaming\Mozilla\Extensions\speedtest4354@BestOffers
FF Extension: Speed Test 127 - C:\Users\Marek\AppData\Roaming\Mozilla\Extensions\speedtest4354@BestOffers [2014-03-30]
R1 {2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gw64; C:\Windows\System32\drivers\{2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gw64.sys [61120 2014-04-24] (StdLib)
S3 getbus; \??\C:\Users\Marek\AppData\Local\Temp\getbus.sys [X]
C:\AdwCleaner
C:\Windows\system32\Drivers\{2c976a7f-dbdc-4756-870f-f6d183fe7a7e}Gw64.sys
C:\Users\Marek\AppData\Local\Temp\*.exe
Task: {02B76E1E-79C7-4A10-83B5-5AB58234EBFE} - System32\Tasks\{96330820-1BC1-4FC1-9814-FE9A165437ED} => C:\Windows\system32\msiexec.exe [2010-11-20] (Microsoft Corporation)
Task: {4FACC1C5-4374-439C-BE3A-71862563AAC2} - System32\Tasks\{41D3289C-F257-4AF9-AB16-4050CD43CFE8} => C:\Program Files (x86)\Trend Micro\HiJackThis\HiJackThis.exe [2010-03-25] (Trend Micro Inc.)
Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.
Kliknij Scan i pokaż nowy raport z FRST bez Addition.
wcześniej zablokowane stronki działają,
po wykonaniu fixa fixlog: http://wklej.to/RQOEX
scan FRST: http://wklej.to/2osbR
jak teraz wyglądają logi?
a po tych czynnośicach w IE nie mogę wejść na stronę google.pl (onet.pl i wp.pl działają), no i ni e mogę wejść na portal, który jest niezbędny do pracy: https://portal.linde.com/irj/portal
na chromie działa, ale w IE nie startuje
restart kompa pomógł, strona portalu linde w IE działa, ale już strona www.google.pl nie … hmmm
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :
HKU\S-1-5-21-595380280-4094464843-1775518093-1000\...\Run: [lollipop_04140754] => lollipop_04140754
C:\Users\Marek\AppData\Roaming\Vogy
C:\Users\Marek\AppData\Roaming\Tevyw
Uruchom FRST i kliknij Fix. Później skasuj folder C:\FRST
Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date
Dysk przeskanuj Malwarebytes Anti-Malware
Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.
http://wstaw.org/m/2014/03/25/2014-03-25_123039.png
Język PL > Settings > General Settings > Language > Polish
Security Check nie zalecił żadnych programów do zktualizacji,
niestety dalej w IE nie można wyświetlić strony: www.google.pl, niby niepotrzebna akcja, bo na Chromie śmiga i hula, ale jednak coś chyba jest nie do końca dobrze, bo jak google nie działa to może i inna strona serwisu też może hipotetycznie nie działać
Dzięki za dotychczasową pomoc Atis!
P.S. jak można nauczyć się analizować logi np. z OTL?
Pobierz i uruchom TDSSKiller
Kliknij Start scan i jeśli coś wykryje wybierz Skip
Pokaż raport z tego programu zapisany na: C:\TDSSKiller.wersja_data_czas_log.txt
Nie widać żadnej infekcji.
Resetowanie ustawień programu Internet Explorer:
http://windows.microsoft.com/pl-pl/internet-explorer/reset-ie-settings#ie=ie-11
no i znów to samo, kilka dni hulało, a dziś strony YT, FB i strona google i wszystkie jego aplikacje (gmail, translator itp)
właśnie przeprowadzam skan, za chwilkę dodam skan z OTL
oto efekt skanu OTL: http://wklej.to/9rgyQ
Wygląda na to, że zainfekowany jest router:
Zabezpiecz router porządnym hasłem i zablokuj dostęp zdalny do panelu administracyjnego.
Sprawdź na stronie producenta routera czy jest dostępna nowsza wersja firmware.
Podstawy zabezpieczenia routerów: KLIK
no już wcześniej (tak jak na początku tematu), konfigurowałem router i wgrywałem nowy firmware ze strony producenta, posiadam router ads: EDIMAX AR - 7084GA, jakieś pomysły jak go zabezpieczyć ??
Mam to samo.(tylko ja nie mogę pozwolić sobie na reset routera).
1.Reset całego rutera!.
2/. Późnej zabezpiecz router przed dostęp z zewnątrz tzn, aby po wpisaniu adresu ip nie wyświetlał się dostęp do routera.
Foto z innego routera ale opiera się na tym samym opragromowaniu rozwiązanie:
http://i.imgur.com/DkZpCCn.png
http://i.imgur.com/kmSeg8d.png
Rozwiązanie lepsze od powyższego:
Nie, gdyż albo pamięć mnie zawiodła, albo owy virus zmienił hasło dostępu do routera. Luka w firmware pozwala, na wyciągniecie hasła (http://niebezpiecznik.pl/post/dziura-w-routerach-z-firmwarem-zyxel-a-m-in-tp-link/). Między innymi właśnie to wykorzystuje virus. (W moim przypadku podejrzewam, że virus również zmienił coś w oprogramowaniu rutera, gdyż romfile różni, się od tego przed infekcją).
jutro zresetuję router i zobaczę czy przypisanie DNS na sztywno i ustawienie zabezpieczeń rozwiąże problem na dłużej niż na kilka dni
Zaleceam, zrobienie hard reset 30/30/30
Mając włączone urządzenie (router, access point) przyciskami i trzymamy guzik reset na 30 sekund.
Bez puszczania przycisku resetu wyłączamy zasilanie urządzenia na następne 30 sekund.
Podłączamy zasilanie trzymając przycisk przez następne 30 sekund, po czym puszczamy przycisk resetu i sprawdzamy czy urządzenie posiada ustawienia fabryczne.
Nie zapomnij, ustawić dostępu tylko po kablu inaczej przypisanie DNS na sztywno nie pomoże.
Czy również posiadasz internet od neti’i??
internet faktycznie jest od Netii, ale dzięki ruterowi używam w dużej części internetu przez Wi-Fi (oprócz rutera również Access point)
Dziś FB nie dziąła, ale YT i gmail działa, ale i tak rtobie restart ustawień fabrycznych i konfig rutera, bo mam dosyć co chwila majstrowanie przy ruterze i kompie
reset ustawień zrobiony (metoda 30/30/30), ustawienia routera zrobione, ale nie ma zakładki z opcjami: CWMP
screen menu:
To ustaw Acl jak na fotce. I sprawdź czy połączysz się za pośrednictwem IP. W google wyszukaj hasło moje IP. A później przepisz IP w polu adresu http://xxx.xxx.xxx.xxx jeśli połączysz się routerem to dalej nie jest zabezpieczony jeżeli nie uzyskasz dostępu to konfiguracja routera jest bezpieczna.
