Aktualizacja oprogramowania do routera + wirus w dziurawym routerze

[dark elvis]

Witam

Jakieś parę miechów temu "załapałem" wirusa "Your flash player is out of date. Please download update" czy jakoś tak. ADWclear, HitmanPRO wykrywały ten szajs i usuwały go MBAM już nie. Jednak po ponownym włączeniu sieci znów miałem ten sam błąd. W akcie desperacji zrobiłem formata i do czwartku było bez problemów.

W czwartek znowu jakiś szajs mi się pojawił, jednak tym razem to wirus "Policja" odsyłający do zapłaty grzywny przez ukash. I znowu adwcleaner znajduje w firefoxie (i tylko tam) jakiś pliczek, usuwa go, restart i jest to samo... MBAM znowu nic.

Przeczytałem, że mój wypasiony TP Link td-8901g może być winowajcą z powodu dziurawego oprogramowania. No to chcę robić upgrade systemu i tu pytanie co ściągnąć ?

Na naklejce z tyłu mam wersję 3.5 a na stronie TP Linka jest to tak opisane, że mając wersję oprogramowania v3 mogę ściągąć pliki z katalogu z v3 tylko. W katalogu v6 przy jednej aktualizacji napisane jest: "For TD-W8901G V6 hardware version only".

Nie jestem pewien czy dobrze rozumiem co do mnie piszą więc przychodzę tutaj aby nie zbrickować sobie routka.

Neta mam własnego (neo).

Które oprogramowanie jest dla mnie ?

Najnowsze stąd:

http://www.tp-link.com.pl/support/download/?model=TD-W8901G&version=V3#tbl_j

czy stąd

http://www.tp-link.com.pl/support/download/?model=TD-W8901G&version=V6#tbl_j

[Sevard]

Czytaj co masz napisane. Skoro pozwalają ściągnąć tylko wersję V3, to ściągnij V3. Najpewniej wersja V6 różni się pod względem sprzętowym i update do tej wersji może uszkodzić router.

Z innych ciekawostek - jeśli to problem z "zawirusowanym routerem", to można go naprawić bez aktualizacji softu (choć aktualizacja nadal jest zalecana). Trzeba tylko wyłączyć dostęp do ustawień routera z zewnątrz, zmienić hasło z domyślnego na cokolwiek innego oraz upewnić się, że DNSy ustawione w routerze są OK.

Z pozostałych rzeczy - sprawdź jeszcze, czy Emsisoft Anti-Malware lub HitmanPro 3 czegoś nie znajdą.

[dark elvis]

ACL i DNS dodałem w załącznikach. Hasło mam zmienione.

Widzę, że mam zmienione DNSy jednak ze 2 dni temu sprawdzałem to i nie było żadnego IP. Nie wiem skąd to się wzięło ;/

Przy DNS realy mam jeszcze "use auto discovered dns server only". Po wybrania oba pola "Primary DNS Server" oraz "Secondary DNS Server" mają wartośc N/A.

Czy to są prawidłowe wartości ?

[Sevard]

Pierwszy DNS wygląda dziwnie. Jest z Niemiec i widać sporo wyników z Google, które łączą go z infekcjami. Dodatkowo piszesz, że masz Neostradę, więc powinieneś mieć DNSy TP, skoro niczego nie ruszałeś. Pierwszy DNS do zmiany na jeden z wymienionych tutaj ( 194.204.159.1 lub 194.204.152.34).

8.8.8.8 to DNS Google, może zostać - jest bezpieczny.

W linku, który wrzuciłem wyżej masz też opisane co należy zrobić, żeby się zabezpieczyć przed tego typu infekcjami w przyszłości. Zrób to i zobacz, czy coś się zmieniło. Sprawdź też ustawienia DNS u siebie w systemie. Tu masz opisane jak do tego się przebić.

[dark elvis]

Po zmianie ACL i DNSów jak w pierwszym linku w firefoxie wszystko ok (wyczyściłem też cały cache przeglądarki). Jednak Xfire (box z reklamami włącza stronę "Polcji") i aplikacja Steam (wchodzę w znajomych/sklep/cokolwiek to wczytuje się "Policja") wywalają nadal do strony z tym szajsem ;/ Da się jakoś wyczyścić cache Steam i Xfire ?

DNSy w systemie mam automatyczne i wszystkie pola są puste. Zostawić czy zmienić na te z Orange/TPsy ?

[Minamir]

Spróbuj wyczyścić sytemowy cache DNSów. W tym celu otwórz wiersz poleceń (np. spod Win+R > cmd) i wpisz tam

ipconfig /flushdns

Dla pewności jeszcze zrobił bym to przy wyłączonych wszystkich programach używających netu, a potem restart kompa, chociaż te dwa kroki nie powinny być wymagane.

[dark elvis]

Wprowadziłem komende, reset i chyba jest ok. Steam normalnie się wczytuje.

Czy ktoś mógłby mi powiedzieć co to jest za dziadostwo w FF ? Bo za kazdym razem ADW mi to wykrywa.

# AdwCleaner v3.311 - Log utworzony 13/10/2014 o 13:57:36
# Aktualizacja 30/09/2014 przez Xplode
# System operacyjny : Windows 7 Professional Service Pack 1 (64 bits)
# Użytkownik : elvis - ELVISKOMP
# Ścieżka : C:\Users\elvis\Desktop\adwcleaner_3.311.exe
# Opcja : Szukaj

***** [ Usługi ] *****


***** [ Pliki / Foldery ] *****


***** [ Zadania ] *****


***** [ Skróty ] *****


***** [ Rejestr ] *****


***** [ Przeglądarki internetowe ] *****

-\\ Internet Explorer v10.0.9200.16521


-\\ Mozilla Firefox v31.0 (x86 pl)

[ Plik : C:\Users\elvis\AppData\Roaming\Mozilla\Firefox\Profiles\6byqpaom.default\prefs.js ]


*************************

AdwCleaner[R0].txt - [685 octets] - [13/10/2014 13:57:36]

########## EOF - C:\AdwCleaner\AdwCleaner[R0].txt - [744 octets] ##########

I log z Hitmana po czysczeniu DNSów:

HitmanPro 3.7.9.225
www.hitmanpro.com

   Computer name . . . . : ELVISKOMP
   Windows . . . . . . . : 6.1.1.7601.X64/8
   User name . . . . . . : elviskomp\elvis
   UAC . . . . . . . . . : Enabled
   License . . . . . . . : Free

   Scan date . . . . . . : 2014-10-13 13:53:08
   Scan mode . . . . . . : Normal
   Scan duration . . . . : 3m 5s
   Disk access mode  . . : Direct disk access (SRB)
   Cloud . . . . . . . . : Internet
   Reboot  . . . . . . . : No

   Threats . . . . . . . : 0
   Traces  . . . . . . . : 9

   Objects scanned . . . : 1 072 005
   Files scanned . . . . : 18 210
   Remnants scanned  . . : 211 478 files / 842 317 keys

Suspicious files ____________________________________________________________

   C:\Users\elvis\AppData\Local\PunkBuster\BF4\pb\PnkBstrK.sys
	  Size . . . . . . . : 139 264 bytes
	  Age  . . . . . . . : 5.1 days (2014-10-08 12:35:50)
	  Entropy  . . . . . : 7.7
	  SHA-256  . . . . . : 641F3F332133540A507F1A6FDD59DC4D9356920F28C0AAEF152D1F727308D04C
	  RSA Key Size . . . : 2048
	  Authenticode . . . : Valid
	  Fuzzy  . . . . . . : 24.0
		 The .reloc (relocation) section in this program contains code. This is an indication of malware infection.
		 Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
		 Authors name is missing in version info. This is not common to most programs.
		 Version control is missing. This file is probably created by an individual. This is not typical for most programs.
		 Time indicates that the file appeared recently on this computer.
		 Program contains PE structure anomalies. This is not typical for most programs.
		 The file is a device driver. Device drivers run as trusted (highly privileged) code.
		 Program is code signed with a valid Authenticode certificate.

   C:\Users\elvis\AppData\Local\PunkBuster\FC3\pb\pbcl.dll
	  Size . . . . . . . : 953 886 bytes
	  Age  . . . . . . . : 92.6 days (2014-07-12 23:09:24)
	  Entropy  . . . . . : 7.6
	  SHA-256  . . . . . : 6D5E2CD4A7A43EB00B600BA783AD3BEE6B817C030A40600D40367173A6ECEB13
	  Fuzzy  . . . . . . : 29.0
		 The .reloc (relocation) section in this program contains code. This is an indication of malware infection.
		 Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
		 Authors name is missing in version info. This is not common to most programs.
		 Version control is missing. This file is probably created by an individual. This is not typical for most programs.
		 Program contains PE structure anomalies. This is not typical for most programs.

   C:\Users\elvis\AppData\Local\PunkBuster\FC3\pb\PnkBstrK.sys
	  Size . . . . . . . : 138 032 bytes
	  Age  . . . . . . . : 92.6 days (2014-07-12 23:09:37)
	  Entropy  . . . . . : 7.8
	  SHA-256  . . . . . : ABAF3FACF01E10E4C685F79C3B9E5D2118B3CF8629C4277EBE035B2A10474148
	  RSA Key Size . . . : 2048
	  Authenticode . . . : Valid
	  Fuzzy  . . . . . . : 22.0
		 The .reloc (relocation) section in this program contains code. This is an indication of malware infection.
		 Entropy (or randomness) indicates the program is encrypted, compressed or obfuscated. This is not typical for most programs.
		 Authors name is missing in version info. This is not common to most programs.
		 Version control is missing. This file is probably created by an individual. This is not typical for most programs.
		 Program contains PE structure anomalies. This is not typical for most programs.
		 The file is a device driver. Device drivers run as trusted (highly privileged) code.
		 Program is code signed with a valid Authenticode certificate.


Cookies _____________________________________________________________________

   C:\Users\elvis\AppData\Roaming\Microsoft\Windows\Cookies\67560EU4.txt
   C:\Users\elvis\AppData\Roaming\Microsoft\Windows\Cookies\7N05OCXF.txt
   C:\Users\elvis\AppData\Roaming\Microsoft\Windows\Cookies\ITUXDUCI.txt
   C:\Users\elvis\AppData\Roaming\Microsoft\Windows\Cookies\UI013I2Y.txt
   C:\Users\elvis\AppData\Roaming\Mozilla\Firefox\Profiles\6byqpaom.default\cookies.sqlite:doubleclick.net
   C:\Users\elvis\AppData\Roaming\Mozilla\Firefox\Profiles\6byqpaom.default\cookies.sqlite:server.cpmstar.com

[Minamir]

Plik prefs.js to plik tekstowy z ustawieniami Firefoxa. AdwCleaner zdaje się go raportować jeśli użytkownik wprowadził zmiany w opcjach przeglądarki, miałem to samo. Najnowsza wersja AdwCleaner, w tej chwili 4.000, już nie raportuje tego pliku, ściągnij ją i przeskanuj jeszcze raz.

W drugim logu wspomniane są pliki Punk Bustera, systemu anti-cheat którego używają niektóre gry. Program skanujący oznaczył je jako podejrzane, bo te pliki są zaszyfrowane. Jest tam FC3 i BF4, więc podejrzewam że jeśli grałeś w Battlefielda 4 i Far Cry 3, to wszystko jest ok.

Ostatnia sekcja drugiego loga to ciasteczka, z czego 2 ostatnie linijki pochodzą ze stron z reklamami - warto pobrać do przeglądarki coś do blokowania reklam, pop-upów itp.

[dark elvis]

Tak, grałem w w/w gry, chodziło mi właśnie o te ciasteczka z IE i FF.

Jeżeli to tylko spam reklam to jakoś to przeżyję.

DNSy w systemie mam automatyczne i wszystkie pola są puste. Zostawić czy zmienić na te z Orange/TPsy ?

EDIT:

Xfire nadal łapie to dziadostwo ;/

EDIT:

Steam też ;/

[Sevard]

DNSy w systemie mam automatyczne i wszystkie pola są puste. Zostawić czy zmienić na te z Orange/TPsy ?

Gdy zostawisz je puste, to system automatycznie będzie korzystał z tych ustawionych na routerze, więc możesz je zostawić tak jak są. Nie robi to różnicy.

Co do Xfire, to może to coś gdzieś w nim siedzi. Przeinstaluj Xfire i wyczyść pliki z ustawieniami.