Wirus przekierowuje automatycznie na ad-type.google.com


(damiano444492) #1

Witam,

od ponad tygodnia gdy klikam na stronach internetowych i w Mozilli Firefox, czy w Google Chrome, zostaję automatycznie przekierowany na strony ad-type.google.com.

Czytałem o tym wirusie na następujących stronach:

 

 

 

Na angielskich forach ludzie pisali, że to zakażenie routera i po jego resecie wszystko wróciło do normy, a dodatkowo na innym angielskim forum przeczytałem, że należy także zresetować przeglądarki internetowe.

Niestety, reset routera wykonałem - nic nie pomogło. Reset Mozilli i CHrome'a też wykonałem - i też nic mi to nie dało.

 

Dlatego zamieszczam raporty z programu FRST i bardzo Was proszę o pomoc.

 

1.

FRST.txt

http://wklej.org/id/1773842/

 

2.

Shortcut.txt

http://wklej.org/id/1773844/

 

3.

Addition.txt

http://wklej.org/id/1773843/


(Atis) #2

W logu:

Zaloguj się do routera i ustaw serwery DNS zalecane przez dostawcę internetu lub przywróć fabryczne ustawienia routera. Zablokuj zdalny dostęp do panelu administracyjnego i zabezpiecz router porządnym hasłem:

KLIK - KLIK - KLIK - KLIK


(damiano444492) #3

Dziękuję Ci za odpowiedź, Atisie.

Jednak nie rozumiem sensu pierwszego Twojego zdania:

“W logu …”

Co w tym logu? 

Chciałeś napisać “W logu tym a tym masz adres whois.domaintools.com, na który wejdź”, czy może “W logu tym a tym masz podane numery IP, które wykorzystaj”, czy może chodziło Ci o jeszcze co innego?


(Atis) #4

Czego nie rozumiesz? Masz ustawione szkodliwe adresy DNS.

Czy to jest Twój dostawca internetu?


(damiano444492) #5

Mam Internet z Orange, z usługi “Neostrada”. Nigdzie na umowie ani dokumentach z routera nie ma napisanego, że

“IP Location United Kingdom United Kingdom Gosport Dedicated Server Hosting”.

Ta lokalizacja, Wielka Brytania, to lokalizacja czego? Źródła mojego Internetu?


(Atis) #6

http://blog.orange.pl/wojciechjabczynski/entry/uwazajcie-na-ataki-hakerow-sprawdzcie-jak-mozna-sie-zabezpieczyc/


(damiano444492) #7

Mam router TP-LINK, model “TD-W8901G ver 3.5” - czyli jeden z tych, które mają “dziurę” w zabezpieczeniach

 

Modele routerów z “dziurami” w zabezpieczeniach zostały wymienione np. tu:

http://multimo.telestrada.pl/uwaga1

czy tu:

http://niebezpiecznik.pl/post/dziura-w-routerach-z-firmwarem-zyxel-a-m-in-tp-link/

 

 

Skan narzędziem od Orange, które stwierdza, czy router jest bezpieczny, wykazało, że jest - mimo, że jest to model z “dziurą” w zabezpieczeniach…

 

Narzędzie od Orange znajduje się tu:

https://cert.orange.pl/modemscan/

Skan dał mi w wyniku uśmiechniętą buźkę i tekst:

“Gratulacje, dostęp do plików modemu jest zabezpieczony niestandardowym hasłem. Sugerujemy także zablokowanie dostępu do interfejsu zarządzającego z poziomu Internetu, szczegóy znajdziesz w instrukcji urzędzenia.”

mimo, że mam router, który ma “dziurę” w zabezpieczeniach.

Ale w sumie hasło na routerze mam inne niż domyślne (domyślnym było “admin”), więc może rzeczywiście to jakaś ochrona jest.

 

 

Pierwsze, co poradziłeś, to żebym zalogował się do routera.

 

Jest to także pierwsze, co radzą także na innych stronach:

 

http://www.download.net.pl/jak-zabezpieczyc-routery-oraz-udostepniony-sprzet-przed-dostepem-z-internetu/n/1899/

Cytat: “Aby wyłączyć tę opcję, należy zalogować się na routerze, a następnie (…)”

 

http://www.tp-link.com.pl/article/?faqid=568

Tytuł artykułu: Jak sprawdzić czy router ADSL firmy TP-LINK jest zabezpieczony przed dostępem niepowołanych osób od strony Internetu.

Cytat: “Krok1 - Zaloguj się na stronie konfiguracyjnej routera. Wpisz w pasek adresu przeglądarki internetowej http://192.168.1.1/  i naciśnij przycisk Enter.”

 

http://www.tp-link.com.pl/article/?faqid=110

Tytuł artykułu: “Dlaczego nie można zalogować się na stronę konfiguracyjną routera i modemu DSL firmy TP-LINK?”

Cytat: "Krok 2 Sprawdź adres IP routera.

Domyślny adres IP routera TP-LINK to 192.168.1.1."

 

http://www.pcadvisor.co.uk/how-to/network-wifi/how-connect-your-router-change-settings-3515634/

Cytat: “4. Open a web browser and type this number – in this case 192.168.3.1 - into the address bar, then press Enter. (Don’t add http:// before the IP address. You should now see the login screen for your router.”

 

Ale nie mogę zalogować się do routera.

W pasku adresu wpisałem “192.168.1.1” i wcisnąłem Enter, ale wyświetliła mi się informacja "Strona internetowa jest niedostępna"

 

Co to oznacza, że nie mogę się zalogowac do routera pod adresem 192.168.1.1?

Dlaczego nie mogę się zalogowac do routera pod adresem 192.168.1.1?

 

 

W tym artykule

http://www.download.net.pl/jak-zabezpieczyc-routery-oraz-udostepniony-sprzet-przed-dostepem-z-internetu/n/1899/

jest rada:

“Zabezpieczenia swojego routera można sprawdzić na stronie ShieldsUP! - wystarczy przejść pod link, a następnie kliknąć “Proceed” i wybrać opcję “GRC’s Instant UPnP Exposure Test”.”

Więc na stronie ShieldsUP!

https://www.grc.com/x/ne.dll?bh0bkyd2

zrobiłem, co mówili w tym artykule.

W wyniku dostałem wiadomości:

"Your equipment at IP:

 (i tu mi podało, że moje IP to nie 192.168.1.1, lecz 217.xx.xx.xx - iksy sam zrobiłem, bo nie wiem, czy mogę zdradzić IP :slight_smile: )"

oraz

"THE EQUIPMENT AT THE TARGET IP ADDRESS

DID NOT RESPOND TO OUR UPnP PROBES!

(That’s good news!)"

 

W pasku adresu wpisałem “217.xx.xx.xx” (zamiast iksów oczywiście odpowiednie cyferki) i wcisnąłem Enter, ale wyświetliła mi się informacja “Strona internetowa jest niedostępna

 

Czyli według ShieldsUP! jestem bezpieczny.

Mimo że moje IP jest inne niż 192.168.1.1

Mimo że nie mogę się zalogować na router także używając IP podanego przez ShieldsUP!, czyli “217.xx.xx.xx”

Nie rozumiem tego.

 

 

Cybertarcza (Tarcza bezpieczeństwa) firmy Orange na stronie

https://www.cert.orange.pl/cybertarcza

podała mi:

“Twój adres IP: 217.xx.xx.xx”

Czyli IP taki sam, jak na ShieldsUP!

 

 

Zgodnie ze stroną

http://www.tp-link.com.pl/article/?id=115

sprawdziłem konfigurację adresów IP.

Wpisałem “cmd”, potem “ipconfig/all”

W wyniku otrzymałem, że Default Gateway (Brama domyślna) to 192.168.1.1, Adres IPv4 to 192.168.1.100, Serwery DNS to 5.xxx.xxx.xx oraz 31.x.xxx.xx (znowu nie wiem, czy je mogę podać, więc “zaiksowałem” cyfry)

 

 

Zgodnie z tym, co napisali na stronach

http://www.tp-link.com.pl/article/?id=115

oraz

http://www.tp-link.com.pl/article/?faqid=110

w “cmd” wykonałem - jak to nazywam - “ping”

 

Najpierw wpisałem “ping 192.168.1.1”

w wyniku dostałem cztery wiadomości:

"Upłynął limit czasu połączenia

Upłynął limit czasu połączenia

Upłynął limit czasu połączenia

Upłynął limit czasu połączenia"

 

Potem wpisałem “ping 192.168.1.100”

w wyniku dostałem cztery wiadomości:

"Odpowiedź z 192.168.1.100: bajtów=32 czas<1 ms TTL=128

Odpowiedź z 192.168.1.100: bajtów=32 czas<1 ms TTL=128

Odpowiedź z 192.168.1.100: bajtów=32 czas<1 ms TTL=128

Odpowiedź z 192.168.1.100: bajtów=32 czas<1 ms TTL=128"

 

Wykonując “ping’a”, dla 192.168.1.1 nie otrzymałem odpowiedzi, a dla 192.168.1.100 otrzymałem odpowiedź - czy to oznacza, że 192.168.1.100 jest adresem IP mojego routera czy też mojego komputera?

 

Aha, jeszcze jedna sprawa.

Na obu stronach:

http://www.tp-link.com.pl/article/?id=115

oraz

http://www.tp-link.com.pl/article/?faqid=110

na obrazkach możemy zobaczyć, że po wpisaniu “ping 192.168.1.1” otrzymali w odpowiedzi “TTL=64”. 

Ja, dla “ping 192.168.1.100”, otrzymałem “TTL=128”.

Czy to źle, czy dobrze?

 

Dodam jeszcze, że wpisałem w pasek adresu “192.168.1.1” i nie mogłem się zalogować na router - wyświetliła mi się informacja “Strona internetowa jest niedostępna”

Potem wpisałem w pasek adresu “192.168.1.100” i także nie mogłem się zalogować na router - wyświetliła mi się informacja “Strona internetowa jest niedostępna”

 

 

Zainfekowane adresy DNS podane są tutaj:

http://multimo.telestrada.pl/uwaga1

Zgodnie z tym, co otrzymałem w “cmd”, po wpisaniu “ipconfig/all”, moje DNSy są inne niż te zainfekowane.

 

 

Chciałem odnowić IP ojego komputera

(tak przy okazji: czym IP komputera różni się od IP routera?

IP podane przez Cybertarczę Orange oraz ShieldsUP! to IP mojego komputera, tak?

Bo to IP ma postać trzy_cyfry.dwie_cyfry.dwie_cyfry.dwie_cyfry

, a nie

trzy_cyfry.trzy_cyfry.jedna_cyfra.jedna_cyfra (jak chociażby mój router, który ma 192.168.1.1).

Czy może mój komputer ma IP 192.168.1.100, jak podali w “ipconfig/all”?)

zgodnie z:

http://www.tp-link.com.pl/article/?id=96

Tytuł artykułu: “W jaki sposób odnowić adres IP komputera?

Mają poradę dla dwóch przypadków:

  1. Dla systemu Windows 2000/XP/2003

oraz

  1. Dla systemu Windows Vista

A ja mam Windows 7 i nie podali, co mam zrobić

 

 

Podsumowując:

Sytuacja jest dziwna.

Wszystkie strony i skanery internetowe (skaner Orange, ShieldsUP!) oraz sprawdzenie, czy moje DNSy są zainfekowane, dały w wyniku, że mój router jest OK.

Ale, “ipconfig/all” dało jedno IP, a ShieldsUP! i Cybertarcza Orange dały drugie IP.

Zalogowanie się na router używając pierwszego IP było niemożliwe.

Zalogowanie się na router używając drugiego IP także było niemożliwe.

 

Co to znaczy? Bo sam już nie wiem…

 

Jakie ja tak w ogóle mam IP?

“cmd” podaje jedno, a ShieldsUP! i Cybertarcza Orange - drugie.

Ale żadne z tych dwóch, wpisane w pasek adresu, nie pozwala mi zalogować się do routera.

Czyli jakie mam IP?


(Atis) #8

Czy możesz wytłumaczyć w jakim celu to wszystko wkleiłeś?

Masz ustawione szkodliwe DNS i nie mają znaczenia jakieś skanery.

W linku masz wyjaśnione, że jeśli nie można się zalogować, to należy przywrócić fabryczne ustawienia.:

http://blog.orange.pl/wojciechjabczynski/entry/uwazajcie-na-ataki-hakerow-sprawdzcie-jak-mozna-sie-zabezpieczyc/

http://routers.awordpress.net/files/2013/06/TD-W8901G-reset1.jpg


(damiano444492) #9

Przepraszam, rozpisałem się po to, żebyście mieli jak najlepszy pogląd na sytuację.

Rzeczywiście, na stronie

http://blog.orange.pl/wojciechjabczynski/entry/uwazajcie-na-ataki-hakerow-sprawdzcie-jak-mozna-sie-zabezpieczyc/

jest wszystko napisane.

Kluczowe są słowa “Jeśli nie możecie się zalogować do panelu administracyjnego oznacza to, że cyber-przestępcy zmienili login i hasło. W takiej sytuacji trzeba wykonać reset fabryczny modemu i od nowa skonfigurować na nim Neostradę.”, bo ja właśnie nie mogę się zalogować do routera.

Wykonam reset routera.

Dziękuję za rady, cierpliwość, i przepraszam, że nie ogarnąłem od razu z tym resetem.

 


 

Mam jeszcze jedno pytanie.

Oprócz laptopa, na którym mam ten problem, w domu mamy jeszcze komputer stacjonarny. Komputer stacjonarny także korzysta z routera. Router jest podpięty do komputera stacjonarnego.

Na moim laptopie problem występuje, a na komputerze stacjonarnym wszystko jest w porządku - nie wyskakują żadne okienka podczas klikania.

Mógłby ktoś mi łopatologicznie wyjaśnić, dlaczego?