Wyskakujące reklamy adcash i inne.

**Posty:** 23 · przez **crazik** 16 Maj 2015, 14:31

Witam,
OD jakiegoś czasu podczas przeglądania stron podczas klikniecia w odnośnik tudzież w puste miejsce na stronie otwierają się niechciane strony jak adcash i inne... Adblock czasami w ogole uniemozliwia mi podjecie jakichkolwiek czynności na stronie bo blokuje wszystko. Podobnie Malwarebytes.
Proszę o pomoc,
Pozdrawiam

**Posty:** 4765 · przez **ordynat** 16 Maj 2015, 16:51

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 85.114.135.20 8.8.8.8
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{9B5DF49A-9646-40A8-A5FE-12E1088E651B}: DhcpNameServer = 94.249.192.115 8.8.8.8
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{E8BEE635-3790-476F-A2ED-378E375C94D2}: DhcpNameServer = 85.114.135.20 8.8.8.8

Niemieckie DNS'y. Masz coś wspólnego z Niemcami? Używasz może router?

Poza tym w logach nie ma nic podejrzanego.

Na wszelki wypadek:
1) Użyj Adw-Cleaner http://www.programosy.pl/program,adwcleaner.html
najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

2) Zrób logi z FRST > http://forum.programosy.pl/frst-otl-zoek-vt139692.html
Przed skanem zaznacz "Additional" oraz "Shortcut"
.

**Posty:** 23 · przez **crazik** 16 Maj 2015, 21:56

Hej,
Trafna uwaga z tymi DNS! Używam routera adsl TP-LINK td-w8901g i już nieraz zdażyło się, że samoczynnie zmieniał DNS, albo zmieniał na 'use auto discovered dns only' podczas kiedy ja zawsze recznie wpisuje dnsy ORANGE. W ogole czesto zdarza mi sie restartowac router do ustawien fabrycznych, bo tylko to pomaga kiedy nie laczy mnie z internetem. Tak wiec nie mam nic wspolnego z Niemcami. To jakies zlosliwe oprogramowanie moze miec na to wplyw?
Dodaje pozostale logi.

**Posty:** 4765 · przez **ordynat** 17 Maj 2015, 08:28

W logach FRST nic ciekawego.

1) Do Notatnika wklej:

Kod: Zaznacz wszystko: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{9B5DF49A-9646-40A8-A5FE-12E1088E651B}] "DhcpNameServe"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{9B5DF49A-9646-40A8-A5FE-12E1088E651B}] "DhcpNameServe="8.8.8.8" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{C5CD1E0F-1634-470E-AE9A-79B3CCBC2AA1}] "DhcpNameServe"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{C5CD1E0F-1634-470E-AE9A-79B3CCBC2AA1}] "DhcpNameServe"="8.8.8.8" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] "DhcpNameServer"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters] "DhcpNameServer"="8.8.8.8"

Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >>
plik uruchom (dwuklik i OK).

2) Otwórz Notatnik i wklej w nim:

HKLM-x32\...\Run: [] => [X]
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
HKU\S-1-5-21-2993625184-2702795592-2348064946-1000\...\Run: [genesis_09101348] => /r
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
ProxyServer: [S-1-5-21-2993625184-2702795592-2348064946-1000] => http=127.0.0.1:13975;https=127.0.0.1:13975
Toolbar: HKU\S-1-5-21-2993625184-2702795592-2348064946-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File
FF HKU\S-1-5-21-2993625184-2702795592-2348064946-1000\...\Firefox\Extensions: [{2BB716EB-3B25-B726-D7B6-6125873C38FE}] - C:\Program Files (x86)\ver0Safer-Surf\178.xpi
S3 MSICDSetup; \??\G:\CDriver64.sys [X]
S3 NTIOLib_1_0_C; \??\G:\NTIOLib_X64.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.

3) Zaloguj się do routera:
- Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
- Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami:
http://multimo.telestrada.pl/uwaga1
http://www.pcworld.pl/artykuly/394764_3/Zmasowany.atak.na.routery.polskich.uzytkownikow.Orange.blokuje.falszywe.DNS.y.html

Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie:
http://cert.orange.pl/modemscan/

Napisz, jak oceniasz sytuację?
.

Autor postu otrzymał pochwałę

**Posty:** 23 · przez **crazik** 17 Maj 2015, 13:29

Czesc,
Czytalem juz kiedys ten post o atakach na routery orange i wykonalem regule ACL dla mojego routera, ale teraz patrze ze byla wylaczona. Z resztą zrobilem wszystko jak pisales i narazie jest w porzadku. Wychodzi na to za przyczyna byly 'zlosliwe' DNSY. Dzieki