Forum Sveta kompjutera

Nazad   Forum Sveta kompjutera > Test Run > Zaštita

Zaštita Virusi, anti-virus programi, firewall...

Odgovor
 
Alatke vezane za temu Vrste prikaza
Stara 15.5.2016, 0:04   #1
Wolverine
Intelov plaćenik
 
Avatar korisnika Wolverine
 
Član od: 29.10.2005.
Lokacija: Danger Zone
Poruke: 1.378
Zahvalnice: 5.221
Zahvaljeno 642 puta na 306 poruka
Slanje poruke preko Skypea korisniku Wolverine
Post Hijacker koji preusmerava proxy

Pozdrav, forumaši!

Problem mi stvara neki hijacker koji pokreće AutoConfigScript koji mi menja internet podešavanja. Budući da (još uvek) živim u studentskom domu, internetu pristupam putem AMRES-ovog proksija. Ovaj hijacker, naravno, menja podešavanja tako da se proksi gasi i da ja nemam pristup internetu. Naravno, kako to ide sa virusima, ne dozvoljava mi da promenim bilo šta. Privremeno "rešenje" je promena unosa u Registryu OneProxyPerUser u vrednost 1. To reši stvar trenutno, ali sutradan u neko doba dana bude ista priča. Zaboravio sam adresu koju program gura kao taj AutoConfigScript, ali čim se pojavi opet napisaću je ovde. Znam da je na kraju adrese "server.pac".

Takođe u Windows>System32>drivers>etc pored hosts fajla postoji i fajl koji se isto zove ali ima i ikonicu kao kalendar (vidi sliku).



Malwarebytes nalazi ovaj hijacker, navodno ga obriše, ali se, kao što rekoh, sutradan već javi. RogueKiller takođe, mada sam ga malopre pustio opet i obrisao je sve, videću da li će se ponoviti.

Fora je u tome što mi tehnički gasi izlaz na net, jer onog trenutka kada ugasi proksi onemogućava i sebi izlaz na net. Ne znam šta se dešava kada je na nekoj "necenzurisanoj" konekciji.

Evo šta je HijackThis našao. http://txt.do/5bovz (Izvinite što linkujem ovako, forum se buni zbog dužine posta.)

Takođe, ne znam da li je bitno, ali kada je hijacker aktivan, u Connections odeljku Internet Settingsa (gde nameštam proxy) stoji obavetšenje da "neka podešavanja namešta administrator sistema" na samom dnu prozorčeta. Sistem je Windows 10 sa novembarskim apdejtom.

Trenutno, "nukovanje" Windowsa nije opcija dok ne završimo rad na broju pa bih voleo da probam sva moguća rešenja.
Wolverine je offline   Odgovor sa citatom ove poruke
Stara 15.5.2016, 1:03   #2
LoneWolf
Deo inventara foruma
 
Član od: 9.1.2006.
Lokacija: Kafana
Poruke: 7.593
Zahvalnice: 1.590
Zahvaljeno 1.985 puta na 1.403 poruka
Slanje poruke preko Skypea korisniku LoneWolf
Određen forumom Hijacker koji preusmerava proxy

Uđi u Windows ali na Safe mode with networking, pokreni Ccleaner i bezbjedno obriši taj hosts file sa "kalendar ikonicom" iz Ccleanera. Ako odbije da ga obriše, promijeni mu ekstenziju u neku bezazlenu tipa doc, jpg i sl. pa ga onda obriši. Probaj to, pa probaj i sa Adwcleanerom da ga skršiš. Javi ako ne bude htio, jer ako neće tako onda mu ne gine Combofix iz safe mode-a.

P.S. Ako ti je registry fix privremeno rješenje, možeš ga učiniti trajnijim tako što instaliraš Deep freeze i "zamrzneš" postavke OS-a bar na dan-dva.
LoneWolf je offline   Odgovor sa citatom ove poruke
Sledeći korisnik se zahvaljuje korisniku LoneWolf na korisnoj poruci:
Wolverine (15.5.2016)
Stara 15.5.2016, 1:43   #3
Wolverine
Intelov plaćenik
 
Avatar korisnika Wolverine
 
Član od: 29.10.2005.
Lokacija: Danger Zone
Poruke: 1.378
Zahvalnice: 5.221
Zahvaljeno 642 puta na 306 poruka
Slanje poruke preko Skypea korisniku Wolverine
Određen forumom Re: Hijacker koji preusmerava proxy

Probaću sutra pa javljam! Hvala!
Wolverine je offline   Odgovor sa citatom ove poruke
Stara 15.5.2016, 10:05   #4
LoneWolf
Deo inventara foruma
 
Član od: 9.1.2006.
Lokacija: Kafana
Poruke: 7.593
Zahvalnice: 1.590
Zahvaljeno 1.985 puta na 1.403 poruka
Slanje poruke preko Skypea korisniku LoneWolf
Određen forumom Hijacker koji preusmerava proxy

Javi ako zapne pa da rješavamo
LoneWolf je offline   Odgovor sa citatom ove poruke
Stara 15.5.2016, 10:51   #5
toxic
Deo inventara foruma
 
Član od: 16.6.2008.
Lokacija: Bananaland
Poruke: 4.252
Zahvalnice: 599
Zahvaljeno 864 puta na 748 poruka
Određen forumom Re: Hijacker koji preusmerava proxy

Nisi napomenuo koji antivirus koristiš i da li on nešto prijavljuje. Nije na odmet da prođeš komp i sa Kaspersky Virus Removal Tool.
toxic je offline   Odgovor sa citatom ove poruke
Stara 15.5.2016, 12:52   #6
LoneWolf
Deo inventara foruma
 
Član od: 9.1.2006.
Lokacija: Kafana
Poruke: 7.593
Zahvalnice: 1.590
Zahvaljeno 1.985 puta na 1.403 poruka
Slanje poruke preko Skypea korisniku LoneWolf
Određen forumom Hijacker koji preusmerava proxy

Mora uspjeti da ga riješi sa pomenutim programima, a ako ne uspije - uvijek može da ubije hosts fajl ili skine drugi "prazan" i uredan s interneta.
LoneWolf je offline   Odgovor sa citatom ove poruke
Stara 15.5.2016, 13:00   #7
Wolverine
Intelov plaćenik
 
Avatar korisnika Wolverine
 
Član od: 29.10.2005.
Lokacija: Danger Zone
Poruke: 1.378
Zahvalnice: 5.221
Zahvaljeno 642 puta na 306 poruka
Slanje poruke preko Skypea korisniku Wolverine
Određen forumom Re: Hijacker koji preusmerava proxy

Kaspersky Virus Removal Tool nalazi SECON-QAD.dll. Upravo sam ga obrisao. Deluje smešno, al' ona promena opcija uglavnom nastupa negde popodne, tako da ćemo videti da li će se danas desiti.
Wolverine je offline   Odgovor sa citatom ove poruke
Stara 15.5.2016, 13:05   #8
LoneWolf
Deo inventara foruma
 
Član od: 9.1.2006.
Lokacija: Kafana
Poruke: 7.593
Zahvalnice: 1.590
Zahvaljeno 1.985 puta na 1.403 poruka
Slanje poruke preko Skypea korisniku LoneWolf
Određen forumom Hijacker koji preusmerava proxy

Ne djeluje smiješno nego postoje hijackeri koji se resetuju i reaktiviraju sistemskim tajmerom pa prate vrijeme kad si najneaktivniji a komp ti pritom bude upaljen, nešto kao scheduled task. To su lopovi odradili, ali se ipak može ukloniti i ubuduće spriječiti korištenjem softvera za imunizaciju (Spybot i sl.)
LoneWolf je offline   Odgovor sa citatom ove poruke
Stara 15.5.2016, 13:37   #9
Wolverine
Intelov plaćenik
 
Avatar korisnika Wolverine
 
Član od: 29.10.2005.
Lokacija: Danger Zone
Poruke: 1.378
Zahvalnice: 5.221
Zahvaljeno 642 puta na 306 poruka
Slanje poruke preko Skypea korisniku Wolverine
Određen forumom Re: Hijacker koji preusmerava proxy

Evo probah sve iz Safe Modea, samo nisam uspeo da nađem kako da izbrišem ovaj imposter hosts fajl iz CCleanera pa sam ga uklonio ručno. Butujem normalno i on i dalje tu. Ja ga obrisah opet ručno, ne znam da li će se opet pojaviti. Da li postoji neki program koji će ga u Safe Modeu obrisati jednom za svagda.
Wolverine je offline   Odgovor sa citatom ove poruke
Stara 15.5.2016, 13:42   #10
LoneWolf
Deo inventara foruma
 
Član od: 9.1.2006.
Lokacija: Kafana
Poruke: 7.593
Zahvalnice: 1.590
Zahvaljeno 1.985 puta na 1.403 poruka
Slanje poruke preko Skypea korisniku LoneWolf
Određen forumom Hijacker koji preusmerava proxy

Postoje namjenski alati za brisanje upornih fajlova, a ako ti ni oni ne pomognu onda stavi Linux na USB i iz Linuxa obriši taj fajl. Još jedno od rješenja: skini nedirnut hosts fajl s neta pa ga "prepiši" (overwrite) preko postojećeg. Evo jedan od programa za tu namjenu:

https://www.malwarebytes.org/fileassassin/

Radi iz safemode-a.
LoneWolf je offline   Odgovor sa citatom ove poruke
Sledeći korisnik se zahvaljuje korisniku LoneWolf na korisnoj poruci:
Wolverine (15.5.2016)
Stara 15.5.2016, 13:44   #11
Wolverine
Intelov plaćenik
 
Avatar korisnika Wolverine
 
Član od: 29.10.2005.
Lokacija: Danger Zone
Poruke: 1.378
Zahvalnice: 5.221
Zahvaljeno 642 puta na 306 poruka
Slanje poruke preko Skypea korisniku Wolverine
Određen forumom Re: Hijacker koji preusmerava proxy

Prošao sam i sa CCleanerom iz Safe Modea po tom fajlu i šatro ga obrisao. Restartujem komp i eto ga opet. Sad ću probati MBFA.

EDIT: Iz Safe Modea MBFA kao obriše, ali opet isto stanje pri normalnom butu. Da li je moguće da se go**o nekako aktivira pri butovanju?
Wolverine je offline   Odgovor sa citatom ove poruke
Stara 15.5.2016, 15:42   #12
player1
V.I.P. Test Play
 
Član od: 5.4.2006.
Lokacija: Beograd
Poruke: 14.272
Zahvalnice: 4.068
Zahvaljeno 3.931 puta na 2.550 poruka
Određen forumom Re: Hijacker koji preusmerava proxy

Problem je sto ti alati samo ciste posledicu, dok je uzrok jos uvek i tu i samo pokrpi bilo koju promenu koju uradis rucno.
player1 je offline   Odgovor sa citatom ove poruke
Stara 15.5.2016, 19:03   #13
Wolverine
Intelov plaćenik
 
Avatar korisnika Wolverine
 
Član od: 29.10.2005.
Lokacija: Danger Zone
Poruke: 1.378
Zahvalnice: 5.221
Zahvaljeno 642 puta na 306 poruka
Slanje poruke preko Skypea korisniku Wolverine
Određen forumom Re: Hijacker koji preusmerava proxy

Tačno u 19:00 se desilo opet, taman negde u tom trenutku dobio sumnjivi request na Twitteru. Nalog koji je očigledno povezan sa nekom prevarom/malware sajtom.
Wolverine je offline   Odgovor sa citatom ove poruke
Stara 15.5.2016, 19:07   #14
LoneWolf
Deo inventara foruma
 
Član od: 9.1.2006.
Lokacija: Kafana
Poruke: 7.593
Zahvalnice: 1.590
Zahvaljeno 1.985 puta na 1.403 poruka
Slanje poruke preko Skypea korisniku LoneWolf
Određen forumom Hijacker koji preusmerava proxy

Citat:
Wolverine kaže: Pregled poruke
Tačno u 19:00 se desilo opet, taman negde u tom trenutku dobio sumnjivi request na Twitteru. Nalog koji je očigledno povezan sa nekom prevarom/malware sajtom.


Rekoh ti ja da ima "tajmer" i sad si se uvjerio. Ajd ovako, probaj iz Linuxa da ubiješ i obrišeš taj fajl i provjeri pod msconfig šta ti se pokreće u startupu i tokom boota. Sve procese koje ne prepoznaješ pobij, ili odaberi failsafe boot pa vidi jel ga riješilo. Dodaj hosts fajl u karantin antivirusa ako ni ovo ne pomogne.
LoneWolf je offline   Odgovor sa citatom ove poruke
Stara 15.5.2016, 19:17   #15
Wolverine
Intelov plaćenik
 
Avatar korisnika Wolverine
 
Član od: 29.10.2005.
Lokacija: Danger Zone
Poruke: 1.378
Zahvalnice: 5.221
Zahvaljeno 642 puta na 306 poruka
Slanje poruke preko Skypea korisniku Wolverine
Određen forumom Re: Hijacker koji preusmerava proxy

U startupu ne nalazim ništa sumnjivo -.-

https://we.tl/iIpkTC6NRB - evo bootloga od pre 10 minuta (kada je sve kao okej)
Wolverine je offline   Odgovor sa citatom ove poruke
Stara 15.5.2016, 19:21   #16
Sass Drake
V.I.P. Zaštita
 
Član od: 30.9.2007.
Lokacija: Hypnos Control Room, Tokyo Metropolitan Government Building
Poruke: 5.826
Zahvalnice: 1.141
Zahvaljeno 1.304 puta na 1.079 poruka
Određen forumom Re: Hijacker koji preusmerava proxy

Skini FRST odavde u zavisnosti od toga da li ti je Windows 32-bitni ili 64-bitni.

http://www.bleepingcomputer.com/down...ery-scan-tool/


Kada ga skineš, premjesti ga na Desktop, pokreni ga, pobrini se da je čekirano Addition.txt.
Klikni na Scan i sačekaj da završi. Kada završi otvoriće ti FRST.txt i Addition.txt. Njihov sadržaj kopiraj zasebno na http://pastebin.com i postavi linkove ovdje ka njima.
Sass Drake je offline   Odgovor sa citatom ove poruke
Stara 15.5.2016, 19:27   #17
LoneWolf
Deo inventara foruma
 
Član od: 9.1.2006.
Lokacija: Kafana
Poruke: 7.593
Zahvalnice: 1.590
Zahvaljeno 1.985 puta na 1.403 poruka
Slanje poruke preko Skypea korisniku LoneWolf
Određen forumom Hijacker koji preusmerava proxy

Ako ni to ne uspije udri ga Hiren's boot cd-om i mora da umre
LoneWolf je offline   Odgovor sa citatom ove poruke
Stara 15.5.2016, 19:30   #18
Wolverine
Intelov plaćenik
 
Avatar korisnika Wolverine
 
Član od: 29.10.2005.
Lokacija: Danger Zone
Poruke: 1.378
Zahvalnice: 5.221
Zahvaljeno 642 puta na 306 poruka
Slanje poruke preko Skypea korisniku Wolverine
Određen forumom Re: Hijacker koji preusmerava proxy

FRST - http://pastebin.com/ASw6GJHp

Addition - http://pastebin.com/ZY9KGGXb


U FRST-u videh ovo:

AutoConfigURL: [HKLM-x32] => hxxp://xn--koa.net/server.pac


Whitelisted je za Internet. To je adresa koju gura f--king hijack.
Wolverine je offline   Odgovor sa citatom ove poruke
Stara 15.5.2016, 19:45   #19
Sass Drake
V.I.P. Zaštita
 
Član od: 30.9.2007.
Lokacija: Hypnos Control Room, Tokyo Metropolitan Government Building
Poruke: 5.826
Zahvalnice: 1.141
Zahvaljeno 1.304 puta na 1.079 poruka
Određen forumom Re: Hijacker koji preusmerava proxy

  • Otvori Notepad i iskopiraj sljedeći tekst koji se nalazi unutar Kod polja.

    Kod:
    HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxySettingsPerUser] 1 <======= ATTENTION (Restriction - ProxySettings)
    AutoConfigURL: [HKLM-x32] => hxxp://xn--koa.net/server.pac
  • U okviru Notepad-a klikni na File --> Save As
  • Fajl nazovi Fixlist i sačuvaj na Desktop
  • Dvoklikom ponovo pokreni FRST.exe
  • Klikni na Fix i sačekaj dok program ne završi.
  • Ukoliko program zatraži restart računara, omogući mu da to nesmetano obavi.
  • Nakon završetka rada, otvoriće se fixlog.txt, sa sadržajem koji treba da kopiraš u temu.
  • Takođe, na Desktop-u će se nalaziti (fixlog.txt).
Sass Drake je offline   Odgovor sa citatom ove poruke
Stara 15.5.2016, 19:52   #20
Wolverine
Intelov plaćenik
 
Avatar korisnika Wolverine
 
Član od: 29.10.2005.
Lokacija: Danger Zone
Poruke: 1.378
Zahvalnice: 5.221
Zahvaljeno 642 puta na 306 poruka
Slanje poruke preko Skypea korisniku Wolverine
Određen forumom Re: Hijacker koji preusmerava proxy

Ovo će, dakle, napraviti automatski bypass hijacka? Kako će se to ponašati kada nisam na domskom netu (tj. kada ne koristim proxy, npr: odnesem komp u redakciju)?
Wolverine je offline   Odgovor sa citatom ove poruke
Odgovor

Bookmarks sajtovi

Alatke vezane za temu
Vrste prikaza

Vaš status
Ne možete postavljati teme
Ne možete odgovarati na poruke
Ne možete slati priloge uz poruke
Ne možete prepravljati svoje poruke

BB kod: uključeno
Smajliji: uključeno
[IMG] kod: uključeno
HTML kod: isključeno


Slične teme
tema temu započeo forum Odgovora Poslednja poruka
Koji od ovih laptopova odabrati? sanchez ŠDK - Prenosni računari 0 15.2.2015 16:36
Svet kompjutera 6/2013 Nenad Vasovic Sadržaj novog broja SK 43 28.6.2013 11:51
Koji sajt koristite za social networking? --ComputerBoy-- Brbljaonica 44 1.6.2010 17:02
[AAR] Vampire the Masquerade: Bloodlines Maladikt Role-Play 113 20.3.2010 2:08
Uzeo bih IrDA na USB2.0 - koji je najbolji ??? Ilic Marko Komunikacioni uređaji i umrežavanje 3 23.2.2006 19:45


Sva vremena su po Griniču +2 h. Sada je 11:08.


Powered by vBulletin® verzija 3.8.7
Copyright ©2000–2020, vBulletin Solutions, Inc.
Hosted by Beograd.com