|
Zaštita Virusi, anti-virus programi, firewall... |
|
Alatke vezane za temu | Vrste prikaza |
15.5.2016, 0:04 | #1 |
Intelov plaćenik
|
Hijacker koji preusmerava proxy
Pozdrav, forumaši!
Problem mi stvara neki hijacker koji pokreće AutoConfigScript koji mi menja internet podešavanja. Budući da (još uvek) živim u studentskom domu, internetu pristupam putem AMRES-ovog proksija. Ovaj hijacker, naravno, menja podešavanja tako da se proksi gasi i da ja nemam pristup internetu. Naravno, kako to ide sa virusima, ne dozvoljava mi da promenim bilo šta. Privremeno "rešenje" je promena unosa u Registryu OneProxyPerUser u vrednost 1. To reši stvar trenutno, ali sutradan u neko doba dana bude ista priča. Zaboravio sam adresu koju program gura kao taj AutoConfigScript, ali čim se pojavi opet napisaću je ovde. Znam da je na kraju adrese "server.pac". Takođe u Windows>System32>drivers>etc pored hosts fajla postoji i fajl koji se isto zove ali ima i ikonicu kao kalendar (vidi sliku). Malwarebytes nalazi ovaj hijacker, navodno ga obriše, ali se, kao što rekoh, sutradan već javi. RogueKiller takođe, mada sam ga malopre pustio opet i obrisao je sve, videću da li će se ponoviti. Fora je u tome što mi tehnički gasi izlaz na net, jer onog trenutka kada ugasi proksi onemogućava i sebi izlaz na net. Ne znam šta se dešava kada je na nekoj "necenzurisanoj" konekciji. Evo šta je HijackThis našao. http://txt.do/5bovz (Izvinite što linkujem ovako, forum se buni zbog dužine posta.) Takođe, ne znam da li je bitno, ali kada je hijacker aktivan, u Connections odeljku Internet Settingsa (gde nameštam proxy) stoji obavetšenje da "neka podešavanja namešta administrator sistema" na samom dnu prozorčeta. Sistem je Windows 10 sa novembarskim apdejtom. Trenutno, "nukovanje" Windowsa nije opcija dok ne završimo rad na broju pa bih voleo da probam sva moguća rešenja. |
15.5.2016, 1:03 | #2 |
Deo inventara foruma
|
Hijacker koji preusmerava proxy
Uđi u Windows ali na Safe mode with networking, pokreni Ccleaner i bezbjedno obriši taj hosts file sa "kalendar ikonicom" iz Ccleanera. Ako odbije da ga obriše, promijeni mu ekstenziju u neku bezazlenu tipa doc, jpg i sl. pa ga onda obriši. Probaj to, pa probaj i sa Adwcleanerom da ga skršiš. Javi ako ne bude htio, jer ako neće tako onda mu ne gine Combofix iz safe mode-a.
P.S. Ako ti je registry fix privremeno rješenje, možeš ga učiniti trajnijim tako što instaliraš Deep freeze i "zamrzneš" postavke OS-a bar na dan-dva. |
Sledeći korisnik se zahvaljuje korisniku LoneWolf na korisnoj poruci: | ||
Wolverine (15.5.2016) |
15.5.2016, 1:43 | #3 |
Intelov plaćenik
|
Re: Hijacker koji preusmerava proxy
Probaću sutra pa javljam! Hvala!
|
15.5.2016, 10:05 | #4 |
Deo inventara foruma
|
Hijacker koji preusmerava proxy
Javi ako zapne pa da rješavamo
|
15.5.2016, 10:51 | #5 |
Deo inventara foruma
Član od: 16.6.2008.
Lokacija: Bananaland
Poruke: 4.294
Zahvalnice: 618
Zahvaljeno 875 puta na 758 poruka
|
Re: Hijacker koji preusmerava proxy
Nisi napomenuo koji antivirus koristiš i da li on nešto prijavljuje. Nije na odmet da prođeš komp i sa Kaspersky Virus Removal Tool.
|
15.5.2016, 12:52 | #6 |
Deo inventara foruma
|
Hijacker koji preusmerava proxy
Mora uspjeti da ga riješi sa pomenutim programima, a ako ne uspije - uvijek može da ubije hosts fajl ili skine drugi "prazan" i uredan s interneta.
|
15.5.2016, 13:00 | #7 |
Intelov plaćenik
|
Re: Hijacker koji preusmerava proxy
Kaspersky Virus Removal Tool nalazi SECON-QAD.dll. Upravo sam ga obrisao. Deluje smešno, al' ona promena opcija uglavnom nastupa negde popodne, tako da ćemo videti da li će se danas desiti.
|
15.5.2016, 13:05 | #8 |
Deo inventara foruma
|
Hijacker koji preusmerava proxy
Ne djeluje smiješno nego postoje hijackeri koji se resetuju i reaktiviraju sistemskim tajmerom pa prate vrijeme kad si najneaktivniji a komp ti pritom bude upaljen, nešto kao scheduled task. To su lopovi odradili, ali se ipak može ukloniti i ubuduće spriječiti korištenjem softvera za imunizaciju (Spybot i sl.)
|
15.5.2016, 13:37 | #9 |
Intelov plaćenik
|
Re: Hijacker koji preusmerava proxy
Evo probah sve iz Safe Modea, samo nisam uspeo da nađem kako da izbrišem ovaj imposter hosts fajl iz CCleanera pa sam ga uklonio ručno. Butujem normalno i on i dalje tu. Ja ga obrisah opet ručno, ne znam da li će se opet pojaviti. Da li postoji neki program koji će ga u Safe Modeu obrisati jednom za svagda.
|
15.5.2016, 13:42 | #10 |
Deo inventara foruma
|
Hijacker koji preusmerava proxy
Postoje namjenski alati za brisanje upornih fajlova, a ako ti ni oni ne pomognu onda stavi Linux na USB i iz Linuxa obriši taj fajl. Još jedno od rješenja: skini nedirnut hosts fajl s neta pa ga "prepiši" (overwrite) preko postojećeg. Evo jedan od programa za tu namjenu:
https://www.malwarebytes.org/fileassassin/ Radi iz safemode-a. |
Sledeći korisnik se zahvaljuje korisniku LoneWolf na korisnoj poruci: | ||
Wolverine (15.5.2016) |
15.5.2016, 13:44 | #11 |
Intelov plaćenik
|
Re: Hijacker koji preusmerava proxy
Prošao sam i sa CCleanerom iz Safe Modea po tom fajlu i šatro ga obrisao. Restartujem komp i eto ga opet. Sad ću probati MBFA.
EDIT: Iz Safe Modea MBFA kao obriše, ali opet isto stanje pri normalnom butu. Da li je moguće da se go**o nekako aktivira pri butovanju? |
15.5.2016, 15:42 | #12 |
V.I.P. Test Play
Član od: 5.4.2006.
Lokacija: Beograd
Poruke: 14.766
Zahvalnice: 5.408
Zahvaljeno 4.097 puta na 2.672 poruka
|
Re: Hijacker koji preusmerava proxy
Problem je sto ti alati samo ciste posledicu, dok je uzrok jos uvek i tu i samo pokrpi bilo koju promenu koju uradis rucno.
|
15.5.2016, 19:03 | #13 |
Intelov plaćenik
|
Re: Hijacker koji preusmerava proxy
Tačno u 19:00 se desilo opet, taman negde u tom trenutku dobio sumnjivi request na Twitteru. Nalog koji je očigledno povezan sa nekom prevarom/malware sajtom.
|
15.5.2016, 19:07 | #14 | |
Deo inventara foruma
|
Hijacker koji preusmerava proxy
Citat:
Rekoh ti ja da ima "tajmer" i sad si se uvjerio. Ajd ovako, probaj iz Linuxa da ubiješ i obrišeš taj fajl i provjeri pod msconfig šta ti se pokreće u startupu i tokom boota. Sve procese koje ne prepoznaješ pobij, ili odaberi failsafe boot pa vidi jel ga riješilo. Dodaj hosts fajl u karantin antivirusa ako ni ovo ne pomogne. |
|
15.5.2016, 19:17 | #15 |
Intelov plaćenik
|
Re: Hijacker koji preusmerava proxy
U startupu ne nalazim ništa sumnjivo -.-
https://we.tl/iIpkTC6NRB - evo bootloga od pre 10 minuta (kada je sve kao okej) |
15.5.2016, 19:21 | #16 |
V.I.P. Zaštita
Član od: 30.9.2007.
Lokacija: Hypnos Control Room, Tokyo Metropolitan Government Building
Poruke: 5.914
Zahvalnice: 1.181
Zahvaljeno 1.320 puta na 1.094 poruka
|
Re: Hijacker koji preusmerava proxy
Skini FRST odavde u zavisnosti od toga da li ti je Windows 32-bitni ili 64-bitni.
http://www.bleepingcomputer.com/down...ery-scan-tool/ Kada ga skineš, premjesti ga na Desktop, pokreni ga, pobrini se da je čekirano Addition.txt. Klikni na Scan i sačekaj da završi. Kada završi otvoriće ti FRST.txt i Addition.txt. Njihov sadržaj kopiraj zasebno na http://pastebin.com i postavi linkove ovdje ka njima. |
15.5.2016, 19:27 | #17 |
Deo inventara foruma
|
Hijacker koji preusmerava proxy
Ako ni to ne uspije udri ga Hiren's boot cd-om i mora da umre
|
15.5.2016, 19:30 | #18 |
Intelov plaćenik
|
Re: Hijacker koji preusmerava proxy
FRST - http://pastebin.com/ASw6GJHp
Addition - http://pastebin.com/ZY9KGGXb U FRST-u videh ovo: AutoConfigURL: [HKLM-x32] => hxxp://xn--koa.net/server.pac Whitelisted je za Internet. To je adresa koju gura f--king hijack. |
15.5.2016, 19:45 | #19 |
V.I.P. Zaštita
Član od: 30.9.2007.
Lokacija: Hypnos Control Room, Tokyo Metropolitan Government Building
Poruke: 5.914
Zahvalnice: 1.181
Zahvaljeno 1.320 puta na 1.094 poruka
|
Re: Hijacker koji preusmerava proxy
|
15.5.2016, 19:52 | #20 |
Intelov plaćenik
|
Re: Hijacker koji preusmerava proxy
Ovo će, dakle, napraviti automatski bypass hijacka? Kako će se to ponašati kada nisam na domskom netu (tj. kada ne koristim proxy, npr: odnesem komp u redakciju)?
|
Bookmarks sajtovi |
Alatke vezane za temu | |
Vrste prikaza | |
|
|
Slične teme | ||||
tema | temu započeo | forum | Odgovora | Poslednja poruka |
Koji od ovih laptopova odabrati? | sanchez | ŠDK - Prenosni računari | 0 | 15.2.2015 16:36 |
Svet kompjutera 6/2013 | Nenad Vasovic | Sadržaj novog broja SK | 43 | 28.6.2013 11:51 |
Koji sajt koristite za social networking? | --ComputerBoy-- | Brbljaonica | 44 | 1.6.2010 17:02 |
[AAR] Vampire the Masquerade: Bloodlines | Maladikt | Role-Play | 113 | 20.3.2010 2:08 |
Uzeo bih IrDA na USB2.0 - koji je najbolji ??? | Ilic Marko | Komunikacioni uređaji i umrežavanje | 3 | 23.2.2006 19:45 |