r.srvtrck.com - przekierowania
#1
Mam problem z przekierowaniami poprzez r.srvtrck.com
W momencie gdy wchodzę na nową stronę, potem jej pod zakładkę - mam powyższe przekierowanie.

Zmieniałem przeglądarkę, wtyczki, mam na stałe Nortona, do tego skanowałem Web Doctor-em, Zemaną, Malwarebytes i Adwcleaner - brak efektów wszystko niby czyste...

Aż się zastanawiam czy nie lepiej będzie Nortona wymienić na np. Bitdefendera którego też mam legalnego.

W załączeniu logi.


.txt   Addition.txt (Rozmiar: 52,43 KB / Pobrań: 265)
.txt   FRST.txt (Rozmiar: 78,52 KB / Pobrań: 350)
.txt   Shortcut.txt (Rozmiar: 39,68 KB / Pobrań: 284)

Może ktoś doradzi jak się tego draństwa pozbyć
Odpowiedz
#2
A może zmieniło Ci dns ?
Odpowiedz
#3
W laptopie mam ustawione automatyczne, router ma niezmienioną konfigurację.
Odpowiedz
#4
Jeśli korzystasz oficjalnie z przeglądarki Vivaldi, to przyczyna infekcji pochodzi zapewne z usługi synchronizacji wtedy należy je wyczyścić. Następnie przy zamkniętej przeglądarce przejdź do tej lokalizacji: C:\Users\xx\AppData\Local\Vivaldi\User Data\Default  (xx to twoja nazwa użytkownika) zaznacz wszystko i usuń, następnie uruchom przeglądarkę ponownie.
Odpowiedz
#5
Zapomniałeś napisać że mi wszystko wywali z przeglądarki....

Ehh, aż mam ochotę zapalić choć nie palę... Zakładki mi się poszły walić, a miałem tam dane dostępowe do firmy nowe ;/ Ja pierdziu....
Odpowiedz
#6
Zawsze trzeba mieć kopię jakąś - ja bynajmniej mam. Co do reszty no myślałem że to raczej każdy wie że się straci te dane. Napisz jeszcze czy rozwiązało to problem ?
Odpowiedz
#7
Szczerze? Nie wiem, bo przywróciłem z backupu wszystko* ponieważ muszę mieć te dostępy do pracy.
Jutro się tym zajmę - posprawdzam zakładki, wywalę niepotrzebne, wyeksportuję i potem w ten sposób wyczyszczę.

Tak się zastanawiam, mam podpięty pod konto MS laptop siostry, z tego co wiem może on być jakoś zawirusowany. Możliwe że MS mi synchronizuje co jakiś czas konto i dzięki temu mam redirectora?

*Wszystko oprócz wtyczek...
Odpowiedz
#8
Wątpię ten przypadek jest znany dobrze z infekcji przeglądarek Google Chrome i akcja działania jest taka sama, ale i też umiejętnie można przywrócić zakładki. Jeśli korzystasz z jakiś menadżerów haseł to też cześć istotnych rzeczy można odzyskać.
Odpowiedz
#9
Zakładki przywrócę z eksportu po czyszczeniu, tak się zastanawiam - znane jest źródło tej infekcji? Wtyczka? Strona?
Odpowiedz
#10
Jeśli można sie wtrącić do rozmowy.
Można zainstalować chrone w wirtualnym systemie synchronizować dane aby je odzyskać a potem ręcznie stworzyć kopie ustawień zakładek itp do pliku i przenieść na główny system wyczyścić dane w chmurze od chrome i wprowadzić te nie zainfekowane.
Warstwy ochrony

1)Ograniczenie/blokowanie dostępu do danych/aplikacji
2)Odizolowanie i tworzenie osobnych baz danych/aplikacji
3)Kopia zapasowa systemu/ważnych danych.
4)Wykrywanie i kasowanie wirusów/złośliwych aplikacji.
Odpowiedz
#11
Wszystko jest możliwe że przez jakieś rozszerzenie, FRST nie listuje tej przeglądarki. Konkretnie nie znam wektora tej infekcji, jak coś znajdę dam znać.
Odpowiedz
#12
@tachion ciekawa sprawa - mam wgranego jedynie nano adblocka, pliki wtedy przywrócone z kopii zapasowej bo jeszcze nie miałem chwili wolnej by je podmienić, ale co najdziwniejsze - przekierowania brak. Tak się zastanawiam czy jakaś wtyczka niema tego wbudowanego i będę wtyczki wgrywał po jednej dziennie.
Odpowiedz
#13
No wiadomo, tylko sprawdzaj w środowisku izolowanym. Wczoraj przeanalizowałem też uBarInstall pod względem owego przekierowania ale nie znalazłem tego odpowiedniego, nawet po docelowym ip
Odpowiedz
#14
Mam już pierwszy plugin zainfekowany:

[Aby zobaczyć linki, zarejestruj się tutaj]

w opiniach ktoś jeszcze pisał o reklamach w przeglądarce.
Odpowiedz
#15
Nic tu nie widzę złowrogiego od strony tego rozszerzenia. Wiem że jest wykrywany przez adwcleaner, ale na jakiej podstawie ? Nie ma żadnego przekierowania na wspomniany adres, nie dodaje się nic do skrótów, Preferences jak i Bookmarks czyste.
Odpowiedz
#16
Zastanawiam się czy to nie jest w module np. do reklam. W komentarzach widziałem że ktoś o nich wspominał.
Odpowiedz
#17
Sory ze sie wtrace ale zastanawia mnie ten wpis HKU\S-1-5-21-3270955984-2405592439-3731533474-1001\...\Run: [InstMP_Service] => C:\Users\rogac\AppData\Local\InstallShield\InstMP.exe [10240 2018-11-19] ()
Odpowiedz
#18
Nie ma problemu, ten wpis to sterownik od drukarki sieciowej Brothera. Odpowiada on za aktualizacje firmware w plujce, a że przy okazji banuje on tusze nieoficjalne, to tak już 3 lata mi przypomina, abym łaskawie uaktualnił drukarkę Smile
Odpowiedz
#19
Do którego Brothera? Mam ich skaner/drukarke DCP-152W i używam zamienników Smile
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
Odpowiedz
#20
Ten model:

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości