Jump to content

Zainfekowany system, przeglądarka samoczynnie się uruchamia

dstjr

By dstjr
in Inne

 Share

Recommended Posts

dstjr

dstjr

Posted
Posted

Cześć,

Chciałem pobrać [Zawartość widoczna tylko dla zalogowanych użytkowników] ze wstawki jarexpol. Wszedłem na stronę pobierania i samo wygenerowanie linku nie jest takie od razu rzeczywiste, włączają się jakieś dodatkowe syfskie strony. Po którymś razie udało mi się wygenerować poprawne pobranie i pobrałem ten program, ale pobrała się jakaś paczka z driver boosterem i tam był program do uruchomienia i waga 3.99 GB do pobrania. Od razu zorientowałem się, że to jest lipa i usunąłem to. Po którymś razie udało mi się pobrać poprawną paczkę z driver boosterem. Postanowiłem przeskanować antyvirusem system i okazało się, że nawaliło mi się do systemu jakichś syfów, miały dopiski trojan. Usunąłem to wszystko, ale występuje jeden problem, gdy chcę uruchomić komputer ponownie wyskakuje okienko:

b688627f8f4e95d5.png

I Opera co jakiś czas samoczynnie się włącza z jakąś stroną, typu:

f56887435a3bab79.png

Jak to cholerstwo wywalić z systemu?

dstjr

dstjr

Posted
  • Author
Posted

Czego nie rozumiesz Remix? Zadałem pytanie, jak wywalić to cholerstwo z systemu, bo obecnie wyskakuje mi okienko, że jakiś program działa w tle i samoczynnie Opera uruchamia się co jakiś czas z jakąś stroną, podałem dla przykładu. Zeskanowałem system ponownie i nie wykryło żadnego syfu na komputerze.

Guest

Guest

Posted
Posted
4 minuty temu, dstjr napisał:

Czego nie rozumiesz Remix? Zadałem pytanie, jak wywalić to cholerstwo z systemu, bo obecnie wyskakuje mi okienko, że jakiś program działa w tle i samoczynnie Opera uruchamia się co jakiś czas z jakąś stroną, podałem dla przykładu. Zeskanowałem system ponownie i nie wykryło żadnego syfu na komputerze.

trzeba było patrzeć co się klika. Do usuwania infekcji to nie to forum, za głupi jesteśmy.

www.fixitpc.pl tu jest forum od tego

Guest

Guest

Posted
Posted

A na przyszłość zainstaluj to - ostrzega przed dodatkowymi programami w instalatorze - [Zawartość widoczna tylko dla zalogowanych użytkowników]

dstjr

dstjr

Posted
  • Author
Posted

Przeskanowałem system programem Malwarebytes, taki syf został wykryty:


3a6710944e67cb77.png

Po usunięciu tego syfu już wszystko jest w porządku. Ten syf ściągnął się na komputer wraz z fałszywą wersją Driver Boostera. Dziwne jest to, że serwis uploadrar podrzuca do pobrania niewłaściwą wersję, nie tą, którą wrzucił jarexpol. Dopiero za którymś razem udało mi się pobrać poprawną wersję od jarexpol. 

jarexpol

jarexpol

Posted
Posted (edited)
33 minuty temu, dstjr napisał:

Po usunięciu tego syfu już wszystko jest w porządku. Ten syf ściągnął się na komputer wraz z fałszywą wersją Driver Boostera. Dziwne jest to, że serwis uploadrar podrzuca do pobrania niewłaściwą wersję, nie tą, którą wrzucił jarexpol. Dopiero za którymś razem udało mi się pobrać poprawną wersję od jarexpol. 

Dużo dodaję, ale też i pobieram, mam zainstalowany Eset i on czasami krzyczy że zablokował 72 pozycje.

Nie miałem żadnej infekcji odkąd używam uploadrar.

Edited by jarexpol
dstjr

dstjr

Posted
  • Author
Posted

@Mr.Straight


Ty z :busted_cop::tooth: 


@jarexpol

Dzięki wielkie, że wrzucasz Driver Boostera Portable, nieraz pobierałem ten program z twojej wstawki i nigdy nie miałem takiego przypadku, jak tym razem. Ty na tym uploadrar masz jakieś bonusy za wrzucanie? Jeśli nie to pomyśl o wrzucaniu np. na zippyshare.com


 

user1

user1

Posted
Posted

Ładne robale, hosts zainfekowany no to wesoło :D

Jak dla mnie to najpierw hosts do edycji albowiem nie wiadomo co tam siedzi, usunie kolega zabawki a w hosts będą przekirowania i znowu zabawki wrócą ...

Plik hosts jest tu gdzie zaznaczono na czerowno, edytujesz np. Notepadem++

[Zawartość widoczna tylko dla zalogowanych użytkowników]

 

trzeba zerknąć czy syf nie dopisał czegoś poniżej tego co zaznaczyłem na zielono

 

dstjr

dstjr

Posted
  • Author
Posted
Godzinę temu, Mr.Straight napisał:

Sprawdziłem i u mnie jest tak :)

[Zawartość widoczna tylko dla zalogowanych użytkowników] 


Co Ty chcesz mi tutaj udowodnić... :bash: Mi po kliknięciu w ten baner, w który kliknąłeś nie otworzyło się poprawne pobieranie wstawki od jarexpola. Napisałem w poprzednim poście, że wcześniej pobierałem jego wstawki z uploadrar i nie miałem takiej przygody.

 

56 minut temu, kamiloxf napisał:

to tylko potwierdza regułę że w conajmniej 50% przypadków z malware wina jest pomiędzy fotelem a monitorem

 

Mędrzec się odezwał. Jak wytłumaczysz mi to, że najpierw pobrała mi się jakaś inna wstawka driver boostera, którą opisałem wyżej? I został podmieniony hosts w moim komputerze, przez to komputer został zainfekowany. To jest problem pomiędzy fotelem a monitorem? :bash:

dstjr

dstjr

Posted
  • Author
Posted
2 godziny temu, Mr.Straight napisał:

No cóż, jeśli nie korzystasz z komputera z głową to jest właśnie taki finał.


Taa, bo ja wiedziałem, że może coś takiego się porobić, wcześniej nie miałem takiej przygody, po prostu chciałem pobrać ten program i to wszystko.
 

2 godziny temu, Mr.Straight napisał:

Mój przykład pokazuje że używanie wtyczek do blokowania reklam okienek itp wcale nie jest takie głupie bo zamiast wirusa dostaje gotowy plik który chciałem

 

Używam w Operze Ad Blocker.
 

2 godziny temu, Mr.Straight napisał:

A co do drugiego akapitu to jakim cudem samo pobranie pliku podmieniło ci hosts na komputerze?


Jedynie, co zrobiłem to odpaliłem tego driver boostera i nic więcej nie zrobiłem. Więc przez to się to stało, a nie przez pobranie paczki rar.

dstjr

dstjr

Posted
  • Author
Posted

Przeskanowałem teraz dysk C i Dr.Web Cureit! wykrył to:


69718703a207141c.png


W pliku jest to:
 

Cytat

 

# localhost name resolution is handled within DNS itself.
#    127.0.0.1       localhost
#    ::1                    localhost

0.0.0.0                   telemetry.malwarebytes.com
0.0.0.0                   keystone.mwbsys.com

 


Zrobiłem nowy plik hosts. 


Poradnik:
 

[Zawartość widoczna tylko dla zalogowanych użytkowników]

[Zawartość widoczna tylko dla zalogowanych użytkowników]

user1

user1

Posted
Posted

W pliku hosts wszystkie linie które zaczynają się od # to zwykłe komentarze, więc wszystko po # może nie istnieć.

Kolejna sprawa, # dodajesz na początku linii wtedy, gdy chcesz wyłączyć np. zablokowanie adresu IP a więc:

 

# 127.0.0.1 www.elektroda.pl

to nie zadziała albowiem stoi # więc linia jest pomijana, wpisujesz sobie # gdy chcesz np. tymczasowo odblokować sobie dane IP/WWW

 

127.0.0.1 www.elektroda.pl

spowoduje iż wszelakie próby wejścia pod adres www.elektroda.pl zostaną przekierowane na adres 127.0.0.1 czyli donikąd, jest to adres Twojego komputera

 

W hosts ci bardziej ogarnięci blokują sobie wszystko i hosts działa niezależnie od przeglądarek. Chodzi o to że na dany adres www/IP jeśli widnieje na liście i ma przekierowanie nie połaczy się zupełnie nic. Programy, skrypty przekierowujące i inne także.

Ja blokuję np. adresy IP mozilli w celu zatrzymania aktualizacji przeglądarki i wtyczek.

 

Dobrym sposobem na ochronę jest blokowanie zakresów IP z róznych krajów, u mnie bana mają całe zakresy przyznane pod np. jakiś konkretny kraj, np. Białoruś, Ukraina, Rosja. Dlaczego? Ano dlatego że życie nauczyło iż stamtąd najwięcej syfu się kiedyś brało.

 

No i kolego, VirtualBox + ten sam Windows w wirtualce to podstawa w dzisiejszych czasach. Jeśli Twój porcesor obsługuje VT-d (oprócz VT-x) to spokojnie postawisz sobie na normalnym systemie wirtualną kopię i to tam testuj sobie strony WWW, programy i inne.

Gdy wirtualka padnie to ją przywracasz z kopii w zaledwie 5 sekund (czas kopiowania kopii w docelowe miejsce).

 

W załączniku załączam Tobie czysty plik hosts, spróbuj wyrzucić ten który masz i wrzuć ode mnie.

Nie wiem jaki masz Windows (7,8,10) więc albo jako ADMINISTRATOR usuń swój plik albo w trybie AWARYJNYM jeśli będzie ujadał coś o prawach UŻYTKOWNIKA.

Zamień pliki i przeskanuj raz jeszcze komputer.

 

PS. Na komputerświat uważaj, średnia wieku adminów 21-24lata, moderatorów 18-20lat a forumowiczów 11-13! U mnie KŚ jest właśnie na hosts'ie bez # :D

[Zawartość widoczna tylko dla zalogowanych użytkowników]

moszter

moszter

Posted
Posted
17 godzin temu, dstjr napisał:

Przeskanowałem system programem Malwarebytes, taki syf został wykryty:


[Zawartość widoczna tylko dla zalogowanych użytkowników]

Po usunięciu tego syfu już wszystko jest w porządku. Ten syf ściągnął się na komputer wraz z fałszywą wersją Driver Boostera. Dziwne jest to, że serwis uploadrar podrzuca do pobrania niewłaściwą wersję, nie tą, którą wrzucił jarexpol. Dopiero za którymś razem udało mi się pobrać poprawną wersję od jarexpol. 

Wszystkie hosty mają swoje plusy i minusy, chcesz żeby coś szybko się pobrało / długo było aktywne, to albo płacisz, albo musisz przecierpieć dużą ilość reklam, ale najważniejsze nie pobierasz nić z tych reklam, odznaczasz pobieranie przez ich akcelerator, czekasz trochę i masz to co chcesz pobrać, bez syfu.

 

Pamiętaj: Niekiedy blokery mogą zablokować możliwość pobrania pliku.

bunio1 likes this
Marczi

Marczi

Posted
Posted

Witam, ostatnio też miałem taki problem u znajomego z samoczynnie uruchamiającą się stroną, która podpisana była pod proces "explorer.exe", ale pozbyłem się tego ruskiego świństwa dzięki programowi FRST (Farbar Recovery Scan Tool). Na wielu stronach są poradniki jak używać owego programu zależnie od danego problemu, który występuje.

 

 

 

 

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
×
 Share
Go to topic listing

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

  I accept