Just nu i M3-nätverket
Gå till innehåll

Kan inte komma ut på google + att jag får ett polismeddelande


pminus

Rekommendera Poster

Hej,

Jag har problem att komma ut på google som är startsidan, men knappar jag in en annan sida så kommer jag ut på internet. Detta händer på båda mina laptops. På den ena fick jag nyligen upp en sida med polis meddelanden om att jag hade porr på min dator, vilket inte stämmer.

Har scannat med både Avast och Antimaleware på datorn och de hittar inget konstigt.

Vad gör jag för att få datorerna att fungera igen?

Med vänlig hälsning Pminus

 

Har Windows7 på båda datorerna
Router: ASUS RT-N56U

Modem: D-LINK DSL-320B H/W Z1 F/W 1.03

Länk till kommentar
Dela på andra webbplatser

1. Vad gjorde du för att få bort det falska polismeddelandet?

När fick du in det falska polismeddelandet?

 

2. Dator 2, KENNET-HP

Avinstallera "Java 8 Update 31" för det är en gammal version med kända säkerhetshål som gör det lätt att infektera datorn från en webbsida. De flesta behöver inte ha Java alls men om du måste är det viktigt att alltid ha den senaste versionen.

Samma sak gäller gamla Flash-versioner och Firefox-versioner och i denna dator är det gamla versioner så uppdatera eller avinstallera.

 

3. Det kan vara så att det skadliga programmet har loggat in på routern och ändrat DNS-inställningen, eller kanske att routern har hackats från internet. Det har rapporterats att din routermodell haft säkerhetsproblem t ex http://www.kb.cert.org/vuls/id/200814 . Det är därför viktigt att du kontrollerar att du har korrekta DNS-inställningar och senaste firmware-versionen.

Logga in på routern genom att skriva in 192.168.2.1 i webbläsarens adressfält.

 

Leta upp stället där det står vad routern använder för DNS-server, kan t ex finnas på en sida som heter WAN eller Internet. Skriv här vad det står för DNS-servrar.

 

Leta reda på var det står för versionsnummer. Om det inte är 3.0.0.4.376.3879 behöver du uppgradera till den versionen. Se sidan http://www.asus.com/se/Networking/RTN56U/HelpDesk_Download/ för att hitta den firmware-versionen och manualen där det står hur du får in den i routern. Ta inte beta-versionen 3.0.0.4.378.4850.

 

4. I båda datorerna:

Spara AdwCleaner av Xplode på Skrivbordet: https://toolslib.net/downloads/viewdownload/1-adwcleaner/

Stäng alla program, inklusive webbläsare.
Dubbelklicka på AdwCleaner för att starta programmet.

Klicka på Scan-knappen.
Vänta tills sökningen är klar.
Klicka på knappen Log file.
En rapport kommer upp, kopiera innehållet och klistra in i ditt svar.
Om rapporten inte kommer upp, så finns den även som C:\AdwCleaner\AdwCleaner[R0].txt

Länk till kommentar
Dela på andra webbplatser

1. Körde CClean och klickade runt lite...

Det falska polismeddelandet fick jag idag.

 

2. Java och Flash är uppdaterade, Firefox borttaget

 

3. Lyckas ej komma in på routern, har glömt lösenordet... :-(

Ominstallerat routern och uppdaterat med den FW som du angav.
DNS-serven är inställd på automatisk.

 

4. Från Dator1 & 2

 

 

Varför går det inte att klistra in text?

AdwCleanerR0.txt

AdwCleanerR0_2.txt

Länk till kommentar
Dela på andra webbplatser

1. Fick du bara det falska polismeddelandet i en flik i Internet Explorer eller tog det över datorn helt?

 

3. Bra!

Men ändra inloggningslösenordet i routern om du inte gjort det efter ominstallationen så att ett skadligt program inte kan logga in på routern och ändra om.

 

4. Du kan behöva klicka på knappen "Källa" som är det översta vänstra knappen i svarsrutan innan du klistrar in.

 

 

I båda datorerna (men gärna en i taget så att jag inte blandar ihop loggarna:

 

5. Stäng alla program, inklusive webbläsare.
Dubbelklicka på AdwCleaner för att starta programmet.

Klicka på Scan-knappen.
Vänta tills sökningen är klar.

Klicka på Clean-knappen.
Tryck på OK.
Tryck på OK fler gånger om det kommer upp meddelanden.

Datorn kommer att startas om, om den inte gör det automatiskt får du göra det själv.
En rapport kommer upp, kopiera innehållet och klistra in i ditt svar.
Om rapporten inte kommer upp, så finns den även som C:\AdwCleaner\AdwCleaner[s0].txt

 

 

6. Skanna datorn online på http://www.eset.com/onlinescan/ och använd helst Internet Explorer till det.
För att inte skannern ska ta för lång tid på sig stäng av ditt antivirusprogram under tiden.

Välj alternativet Enable detection of potentially unwanted applications.

Klicka på Advanced Settings.
Ta bort bocken framför Remove found threats.
Bocka för:
Scan Archives
Scan for potentially unsafe applications
Enable Anti-Stealth Technology

Klicka på Start

När skanningen är klar klicka på List of found threats, följt av Export to a text file. Spara till en fil på skrivbordet, öppna filen, kopiera resultatet och klistra sedan in det i ditt svar.

 

 

7. Starta FRST.

Bocka för Addition.txt.

Skanna med FRST och bifoga sen de nya loggarna, 2 per dator.

Länk till kommentar
Dela på andra webbplatser

DETTA SVAR GÄLLER DATOR1

 

1. IE låste sig helt gick inte att stänga, använde ccleaner och startade om datorn då försvann sidan. Gäller bara Dator2.
 
3. Nya lösen är redan inlagda och dokumenterat på papper... ;-)
 
5.

# AdwCleaner v4.205 - Logfile created 25/05/2015 at 06:10:37
# Updated 21/05/2015 by Xplode
# Database : 2015-05-24.1 [server]
# Operating system : Windows 7 Home Premium Service Pack 1 (x64)
# Username : Kennet-2 - KENNET-2-HP
# Running from : C:\Users\Kennet-2\Desktop\adwcleaner_4.205.exe
# Option : Cleaning

***** [ Services ] *****


***** [ Files / Folders ] *****


***** [ Scheduled tasks ] *****


***** [ Shortcuts ] *****


***** [ Registry ] *****

Key Deleted : HKLM\SOFTWARE\Classes\protector_dll.protectorbho
Key Deleted : HKLM\SOFTWARE\Classes\protector_dll.protectorbho.1
Key Deleted : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2FA28606-DE77-4029-AF96-B231E3B8F827}
Key Deleted : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{B7FCA997-D0FB-4FE0-8AFD-255E89CF9671}
Key Deleted : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{D43B3890-80C7-4010-A95D-1E77B5924DC3}
Key Deleted : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2FA28606-DE77-4029-AF96-B231E3B8F827}
Key Deleted : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{B7FCA997-D0FB-4FE0-8AFD-255E89CF9671}
Key Deleted : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{D43B3890-80C7-4010-A95D-1E77B5924DC3}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}

***** [ Web browsers ] *****

-\\ Internet Explorer v11.0.9600.17801


-\\ Google Chrome v43.0.2357.65


*************************

AdwCleaner[R0].txt - [2006 bytes] - [24/05/2015 18:45:54]
AdwCleaner[R1].txt - [2065 bytes] - [25/05/2015 06:09:46]
AdwCleaner[s0].txt - [1651 bytes] - [25/05/2015 06:10:37]

########## EOF - C:\AdwCleaner\AdwCleaner[s0].txt - [1710 bytes] ##########


6. Den hittade inget, så det blev ingen fil?

7. Se bifogade filer.

 

8. Kan barnens surfplattor ha blivit drabbade också, de har androide?

Addition_1.txt

FRST_1.txt

Länk till kommentar
Dela på andra webbplatser

GÄLLER DATOR2
 
1. Det var den dator som fick polismeddelande. Men försvann efter att jag kört cccleaner och startat om datorn.
 
5.

# AdwCleaner v4.205 - Logfile created 25/05/2015 at 05:52:56
# Updated 21/05/2015 by Xplode
# Database : 2015-05-24.1 [server]
# Operating system : Windows 7 Home Premium Service Pack 1 (x64)
# Username : Kennet - KENNET-HP
# Running from : C:\Users\Kennet\Desktop\adwcleaner_4.205.exe
# Option : Cleaning

***** [ Services ] *****


***** [ Files / Folders ] *****

Folder Deleted : C:\Users\Kennet\Documents\PC Speed Maximizer
File Deleted : C:\Users\Kennet\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_gaiilaahiahdejapggenmdmafpmbipje_0.localstorage
File Deleted : C:\END

***** [ Scheduled tasks ] *****

Task Deleted : DealPlyUpdate

***** [ Shortcuts ] *****


***** [ Registry ] *****

Key Deleted : HKLM\SOFTWARE\Classes\protector_dll.protectorbho
Key Deleted : HKLM\SOFTWARE\Classes\protector_dll.protectorbho.1
Key Deleted : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{2FA28606-DE77-4029-AF96-B231E3B8F827}
Key Deleted : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{B7FCA997-D0FB-4FE0-8AFD-255E89CF9671}
Key Deleted : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{D43B3890-80C7-4010-A95D-1E77B5924DC3}
Key Deleted : [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{EC29EDF6-AD3C-4E1C-A087-D6CB81400C43}
Key Deleted : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2FA28606-DE77-4029-AF96-B231E3B8F827}
Key Deleted : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{B7FCA997-D0FB-4FE0-8AFD-255E89CF9671}
Key Deleted : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{D43B3890-80C7-4010-A95D-1E77B5924DC3}
Key Deleted : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{EC29EDF6-AD3C-4E1C-A087-D6CB81400C43}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}
Key Deleted : HKLM\SOFTWARE\Vittalia
Data Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings [ProxyOverride] - *.local

***** [ Web browsers ] *****

-\\ Internet Explorer v11.0.9600.17801


-\\ Mozilla Firefox v


-\\ Google Chrome v43.0.2357.65


*************************

AdwCleaner[R0].txt - [2659 bytes] - [24/05/2015 19:07:41]
AdwCleaner[R1].txt - [2718 bytes] - [25/05/2015 05:51:03]
AdwCleaner[s0].txt - [2312 bytes] - [25/05/2015 05:52:56]

########## EOF - C:\AdwCleaner\AdwCleaner[s0].txt - [2371 bytes] ##########


6. Den hittade inget, så det blev ingen fil?

7. Se bifogade filer.

9. Denna dator får en hel del pop up rutor när man surfar, hur får man bort dom?

Addition_2.txt

FRST_2.txt

Länk till kommentar
Dela på andra webbplatser

DETTA SVAR GÄLLER DATOR1

 

...

 

6. Den hittade inget, så det blev ingen fil?

 

7. Se bifogade filer.

 

8. Kan barnens surfplattor ha blivit drabbade också, de har androide?

6. Du ställde väl in Esets skanner så som jag skrev?

För det är ovanligt att inget hittas.

 

8. Nej

 

 

9. Starta programmet Anteckningar.

Kopiera alla rader i rutan:

CreateRestorePoint:
CloseProcesses:
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -  No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -  No File
Toolbar: HKU\S-1-5-21-286289482-3490534312-474868625-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
FF Plugin: @microsoft.com/GENUINE -> disabled No File
FF Plugin-x32: @microsoft.com/GENUINE -> disabled No File
CMD: ipconfig /flushdns
Reboot:
och klistra in i Anteckningar. Kontrollera att inga filer har delats upp på två rader.

Spara filen på skrivbordet med namnet fixlist.txt.

 

Stäng av alla program.

Starta FRST som finns på skrivbordet.

Klicka på knappen Fix.

Vänta tills programmet är klart.

Om datorn inte startas om automatiskt så gör det själv.

 

Programmet skapar en logg Fixlog.txt på skrivbordet.

Klistra in innehållet i den i ditt svar.

Länk till kommentar
Dela på andra webbplatser

GÄLLER DATOR2

 

1. Det var den dator som fick polismeddelande. Men försvann efter att jag kört cccleaner och startat om datorn.

 ...

 

9. Denna dator får en hel del pop up rutor när man surfar, hur får man bort dom?

1. Jag har inte kunnat se något spår av en polistrojan i datorn så jag skulle tro att den aldrig infekterade datorn ordentligt.

 

9. Borde bli mindre när AdwCleaner har rensat och följande är gjort.

 

Starta programmet Anteckningar.

Kopiera alla rader i rutan:

CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} ->  No File
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} -  No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} -  No File
Toolbar: HKU\S-1-5-21-3314580401-1480148052-1539406664-1001 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  No File
FF Plugin: @microsoft.com/GENUINE -> disabled No File
FF Plugin-x32: @microsoft.com/GENUINE -> disabled No File
FF Extension: No Name - C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} [not found]
CMD: ipconfig /flushdns
Reboot:
och klistra in i Anteckningar. Kontrollera att inga filer har delats upp på två rader.

Spara filen på skrivbordet med namnet fixlist.txt.

 

Stäng av alla program.

Starta FRST som finns på skrivbordet.

Klicka på knappen Fix.

Vänta tills programmet är klart.

Om datorn inte startas om automatiskt så gör det själv.

 

Programmet skapar en logg Fixlog.txt på skrivbordet.

Klistra in innehållet i den i ditt svar.

Länk till kommentar
Dela på andra webbplatser

6. Jag bockade i 3 och av 1... ;-)

9. Från Dator1

Fix result of Farbar Recovery Scan Tool (x64) Version: 24-05-2015 01
Ran by Kennet-2 at 2015-05-25 13:15:21 Run:1
Running from C:\Users\Kennet-2\Desktop
Loaded Profiles: Kennet-2 (Available Profiles: Kennet-2)
Boot Mode: Normal
==============================================

fixlist content:
*****************
CreateRestorePoint:
CloseProcesses:
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
Toolbar: HKU\S-1-5-21-286289482-3490534312-474868625-1000 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
FF Plugin: @microsoft.com/GENUINE -> disabled No File
FF Plugin-x32: @microsoft.com/GENUINE -> disabled No File
CMD: ipconfig /flushdns
Reboot:
*****************

Restore point was successfully created.
Processes closed successfully.
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\EnableShellExecuteHooks => value Removed successfully
HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value Removed successfully
HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value Removed successfully
HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value Removed successfully
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\{318A227B-5E9F-45bd-8999-7F8F10CA4CF5} => value Removed successfully
"HKCR\CLSID\{318A227B-5E9F-45bd-8999-7F8F10CA4CF5}" => key Removed successfully
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\{CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} => value Removed successfully
HKCR\CLSID\{CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} => key not found.
HKU\S-1-5-21-286289482-3490534312-474868625-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} => value Removed successfully
HKCR\CLSID\{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} => key not found.
"HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE" => key Removed successfully
"HKLM\Software\Wow6432Node\MozillaPlugins\@microsoft.com/GENUINE" => key Removed successfully

========= ipconfig /flushdns =========


IP-konfiguration f�r Windows

DNS-matcharens cacheminne har rensats.

========= End of CMD: =========



The system needed a reboot.

==== End of Fixlog 13:15:38 ====

 

 


9. Från Dator2


Fix result of Farbar Recovery Scan Tool (x64) Version: 24-05-2015 01
Ran by Kennet at 2015-05-25 13:19:39 Run:1
Running from C:\Users\Kennet\Desktop
Loaded Profiles: Kennet (Available Profiles: Kennet)
Boot Mode: Normal
==============================================

fixlist content:
*****************
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
Toolbar: HKU\S-1-5-21-3314580401-1480148052-1539406664-1001 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
FF Plugin: @microsoft.com/GENUINE -> disabled No File
FF Plugin-x32: @microsoft.com/GENUINE -> disabled No File
FF Extension: No Name - C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} [not found]
CMD: ipconfig /flushdns
Reboot:
*****************

Restore point was successfully created.
Processes closed successfully.
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\ => value Removed successfully
HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value Removed successfully
HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value Removed successfully
HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value Removed successfully
"HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}" => key Removed successfully
HKCR\CLSID\{DBC80044-A445-435b-BC74-9C25C1C588A9} => key not found.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\{318A227B-5E9F-45bd-8999-7F8F10CA4CF5} => value Removed successfully
"HKCR\CLSID\{318A227B-5E9F-45bd-8999-7F8F10CA4CF5}" => key Removed successfully
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar\\{CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} => value Removed successfully
HKCR\CLSID\{CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} => key not found.
HKU\S-1-5-21-3314580401-1480148052-1539406664-1001\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} => value Removed successfully
HKCR\CLSID\{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} => key not found.
"HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE" => key Removed successfully
"HKLM\Software\Wow6432Node\MozillaPlugins\@microsoft.com/GENUINE" => key Removed successfully
C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} not found.

========= ipconfig /flushdns =========


IP-konfiguration f�r Windows

DNS-matcharens cacheminne har rensats.

========= End of CMD: =========



The system needed a reboot.

==== End of Fixlog 13:21:05 ====

Länk till kommentar
Dela på andra webbplatser

Får fortfarande en hel del pop ups på Dator2 av alla olika möjliga saker, men ingen polis eller porr(hade jag inte förrut heller)... :-)

Men startsidan google funkar klockrent nu iallafall...

Hittade du något konstig i alla logg filer?

Länk till kommentar
Dela på andra webbplatser

Hej igen,

Nu kom sonen(10år) med sin androide telefon med något liknande problem dvs att han hade porr på sin mobil och riskerade fängelse mm. Låter snarligt det som det som fanns på Dator2. Kompisen hade gått in på en hemsida angående Glanshammar IF för att kolla någon tävling. Nu dök det upp något om att filerna var krypterade och man måste betala pengar etc... Något med JavaScript, så nu kan han inte surfa med mobilen längre... *pust*

Länk till kommentar
Dela på andra webbplatser

Angående mobilen:

Har du prövat med att stänga av mobilen, eventuellt ta bort batteriet för att vara säker på att den är helt avstängd, och sen sätta igång den igen?

 

 

Angående datorn:

Vi har rensat bort en del som har med reklam att göra, men vi kan pröva med en återställning av internetanslutningen också.

Starta programmet Anteckningar.
Kopiera alla rader i rutan:

CreateRestorePoint:
CloseProcesses:
CMD: ipconfig /flushdns
CMD: netsh winsock reset catalog
CMD: netsh int ip reset c:\resetlog.txt
Reboot:
och klistra in i Anteckningar. Kontrollera att inga filer har delats upp på två rader.
Spara filen på skrivbordet med namnet fixlist.txt.

Stäng av alla program.
Starta FRST som finns på skrivbordet.
Klicka på knappen Fix.
Vänta tills programmet är klart.
Om datorn inte startas om automatiskt så gör det själv.

Programmet skapar en logg Fixlog.txt på skrivbordet.
Klistra in innehållet i den i ditt svar.
Länk till kommentar
Dela på andra webbplatser

Mobilen är troligen fixad, startade om och laddade ner Avast och ccleaner från googleplay körde igenom den och såg till att få en ny start sida till internet, så nu kanske det är löst...
Var det konstigt att det kom nästan samtidigt med datorerna eller var det väntat, du som har mer koll? :-)
 

 

Kan jag gör likadant på båda datorerna?

 


Dator2 som strulade mest:

Loaded Profiles: Kennet (Available Profiles: Kennet)
Boot Mode: Normal
==============================================

fixlist content:
*****************
CreateRestorePoint:
CloseProcesses:
CMD: ipconfig /flushdns
CMD: netsh winsock reset catalog
CMD: netsh int ip reset c:\resetlog.txt
Reboot:
*****************

Restore point was successfully created.
Processes closed successfully.

========= ipconfig /flushdns =========


IP-konfiguration f�r Windows

DNS-matcharens cacheminne har rensats.

========= End of CMD: =========


========= netsh winsock reset catalog =========


Winsock-katalogen har nollst�llts.
Du m�ste starta om datorn f�r att slutf�ra nollst�llningen.


========= End of CMD: =========


========= netsh int ip reset c:\resetlog.txt =========

�terst�llning av Allm�n, OK!
�terst�llning av Gr�nssnitt, OK!
�terst�llning av Undergr�nssnitt, OK!
Slutf�r �tg�rden genom att starta om datorn.


========= End of CMD: =========



The system needed a reboot.

==== End of Fixlog 15:31:23 ====

Länk till kommentar
Dela på andra webbplatser

För mig så låter det som att du med datorn och sonen i mobilen har kommit in på en dålig eller hackad webbsida som innehållit skadlig kod, t ex i en annons. Kontrollera dock i routern att den använder DNS-inställningar från din internetleverantör.

 

Eftersom dator 1 inte verkar ha några problem så tycker jag inte att det finns något behov av återställa internetanslutningen där.

 

Om du fortfarande har problem med dator 2:

Spara RougueKiller på Skrivbordet: http://www.adlice.com/softwares/roguekiller/
För 32-bitars Windows: Klicka på en av de tre första knapparna som det står "Portable 32 bits" på.
För 64-bitars Windows: Klicka på en av de tre första knapparna som det står "Portable 64 bits" på.
Stäng av alla program.
Ta bort alla externa enheter, t ex USB-minnen och externa hårddiskar, utom tangentbord och mus. Låt dem vara bortkopplade medan rensningen pågår.

Kör RogueKiller. Om det inte går att köra så pröva flera gång, men om det fortfarande inte går så pröva med att döpa om programmet till winlogon.exe.

Vänta tills "Prescan" har avslutats.
Klicka på "Scan"-knappen uppe till höger.
Vänta tills skanningen är klar.
Klicka på "Report"-knappen.
En rapport skapas. Klistra in innehållet i den i ditt svar.
 

Länk till kommentar
Dela på andra webbplatser

Om jag skulle få problem med den andra dator är det då bara att köra lika dant på denna?

 

Hur kollar jag DNS-servern?

Jag har Telia som leverantör.

 

 

 

Här är resultatet från Dator2:

 

 

RogueKiller V10.7.0.0 (x64) [May 25 2015] by Adlice Software

mail : http://www.adlice.com/contact/

Feedback : http://forum.adlice.com

Website : http://www.adlice.com/softwares/roguekiller/

Blog : http://www.adlice.com

 

Operating System : Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Started in : Normal mode

User : Kennet [Administrator]

Started from : C:\Users\Kennet\Desktop\RogueKillerX64.exe

Mode : Scan -- Date : 05/25/2015 20:35:25

 

¤¤¤ Processes : 1 ¤¤¤

[suspicious.Path] DCService.exe(2240) -- C:\ProgramData\DatacardService\DCService.exe[-] -> Killed [TermProc]

 

¤¤¤ Registry : 20 ¤¤¤

[PUM.Orphan] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | WebCheck : {E6FB5E20-DE35-11CF-9C87-00AA005127ED} -> Found

[PUM.Orphan] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad | WebCheck : {E6FB5E20-DE35-11CF-9C87-00AA005127ED} -> Found

[PUM.Orphan] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{18DF081C-E8AD-4283-A596-FA578C2EBDC3} -> Found

[PUM.Orphan] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Found

[PUM.Orphan] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9} -> Found

[PUM.Orphan] (X86) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{92780B25-18CC-41C8-B9BE-3C9C571A8263} | CLSID : {E0DD6CAB-2D10-11D2-8F1A-0000F87ABD16} -> Found

[suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\DCService.exe (C:\ProgramData\DatacardService\DCService.exe) -> Found

[Hidden.From.SCM] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\VBoxAswDrv (\??\C:\Program Files\AVAST Software\Avast\ng\vbox\VBoxAswDrv.sys) -> Found

[suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\DCService.exe (C:\ProgramData\DatacardService\DCService.exe) -> Found

[suspicious.Path] (X64) HKEY_LOCAL_MACHINE\System\ControlSet002\Services\DCService.exe (C:\ProgramData\DatacardService\DCService.exe) -> Found

[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{71E96AD4-1393-4627-9364-B9890BA9EBE4} | NameServer : 195.67.199.18 195.67.199.19 [-][sWEDEN (SE)] -> Found

[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{872A8505-680F-4949-88AA-24B8429F364F} | NameServer : 195.67.199.18 195.67.199.19 [-][sWEDEN (SE)] -> Found

[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{71E96AD4-1393-4627-9364-B9890BA9EBE4} | NameServer : 195.67.199.18 195.67.199.19 [-][sWEDEN (SE)] -> Found

[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{872A8505-680F-4949-88AA-24B8429F364F} | NameServer : 195.67.199.18 195.67.199.19 [-][sWEDEN (SE)] -> Found

[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{71E96AD4-1393-4627-9364-B9890BA9EBE4} | NameServer : 195.67.199.18 195.67.199.19 [-][sWEDEN (SE)] -> Found

[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{872A8505-680F-4949-88AA-24B8429F364F} | NameServer : 195.67.199.18 195.67.199.19 [-][sWEDEN (SE)] -> Found

[PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> Found

[PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> Found

[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> Found

[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> Found

 

¤¤¤ Tasks : 0 ¤¤¤

 

¤¤¤ Files : 0 ¤¤¤

 

¤¤¤ Hosts File : 0 ¤¤¤

 

¤¤¤ Antirootkit : 0 (Driver: Loaded) ¤¤¤

 

¤¤¤ Web browsers : 0 ¤¤¤

 

¤¤¤ MBR Check : ¤¤¤

+++++ PhysicalDrive0: Hitachi HTS547575A9E384 +++++

--- User ---

[MBR] 54cbc968c3d90c84380bafb3685e7976

[bSP] 31b3c7d68690718eccc4b5e87923c08c : Windows Vista/7/8 MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 199 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]

1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 409600 | Size: 695438 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]

2 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 1424666624 | Size: 19663 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]

3 - [XXXXXX] FAT32-LBA (0xc) [VISIBLE] Offset (sectors): 1464936448 | Size: 102 MB

User = LL1 ... OK

User = LL2 ... OK

Länk till kommentar
Dela på andra webbplatser

Ja, det går bra att använda fixlist.txt i inlägg 16 i alla datorer.

 

Vilka DNS-servrar som din router använder sig av bör visas på någon av dess inställningssidor, kanske någon som heter typ Status.

 

Du kan pröva med att återställa webbläsarna i datorn med extra reklam, se Step 5 på sidan http://malwaretips.com/blogs/remove-rdsrv-com-virus/#browser (bara det avsnittet).

Länk till kommentar
Dela på andra webbplatser

DNS-servern stod på manuell och följande 63.143.35.66 och 8.8.8.8.

Senast jag var inloggad stod den på automatik och 0.0.0.0 och 0.0.0.0

 

Vad skall modemet vara inställt på?

Länk till kommentar
Dela på andra webbplatser

63.143.35.66 är en falsk/hackad DNS-server.  Att det har ändrats tyder på att någon har tillgång till routern på ett eller annat sätt, men om du ändrade inloggningslösenordet ska det inte kunna bero på ett skadligt program i en dator.  Kontakta Asus för att få besked om säkerhetsproblem med routern. Man har tre års reklamationsrätt när det gäller ursprungliga fel och det är möjligt att detta kan räknas som det. Kontakta kommunens konsumentvägledare eller Konsumentverket för att få hjälp att utreda det.

 

Eller gäller detta inte routern eftersom du skriver "modemet"?

Det har också en firmware och kan behöva uppdateras det också: http://www.dlink.com/se/sv/support/product/dsl-320b-adsl-2-ethernet-modem

Annars är det väl så gammalt att det kan behöva bytas ut.

 

Normal inställning är "automatik".

Länk till kommentar
Dela på andra webbplatser

Det var i modemet som jag läste ut den hackade IP adressen.
Kollade tidigare och det finns ingen nyare F/W till H/W Z1.
 
Skall jag byta lösen en gång till på modemet?
 

I routern kan jag inte se någon IP adress utan bara att den är inställd på auto (DNS-server).
 
 
Modemet och Routern köpte jag för 1-2år sedan.
 
Kan du rekommendera någon annan "billigt" modem, som är bättre?

Länk till kommentar
Dela på andra webbplatser

Hör med D-links support, så som jag skrev om routern tidigare, eftersom ditt modem inte är så gammalt även om modellen är det.

 

Du kan ändra routern från auto till fasta DNS-servrar för då kommer det inte att spela någon roll vad det blir för DNS-servrar i modemet, men helt säkert är det ju inte eftersom en hackare kan tänkas ändra annat i modemet också. Förutsättningen är att allt är kopplat till routern och ingen utrustning/apparat (mer än routern) är ansluten direkt till modemet. Det bästa är att ställa in din internetleverantörs DNS-servrar, men det går också att använda öppna DNS-servrar som OpenDNS eller Googles:

https://www.opendns.com/ och https://use.opendns.com/

https://developers.google.com/speed/public-dns/

 

När det gäller inköp av modem föreslår jag att du frågar här: //eforum.idg.se/forum/151-k%C3%B6pa-n%C3%A4tverksutrustning/

Det kan också tänkas att du kan få ett billigt via din internetleverantör.

 

 

Avinstallationer och råd:

 

1. Stäng alla program, inklusive webbläsare.
Dubbelklicka på AdwCleaner för att starta programmet.
Klicka på Uninstall-knappen.

2. Ladda ner avinstallationsprogrammet OTC till Skrivbordet: http://oldtimer.geekstogo.com/OTC.exe
Dubbelklicka på filen för att starta programmet.
Tryck på knappen CleanUp!.

FRST RogueKiller kommer att avinstalleras efter en omstart av datorn. Ta bort eventuella loggar.

3. Byt alla lösenord som du och andra i hemmet använder på internet eftersom dessa kan ha kommit i orätta händer.

4. Förbättra skyddet i datorn, se mina Råd för en säkrare dator: http://ceciliasec.wordpress.com/rad/
Det är mycket viktigt att hålla alla småprogram i datorn uppdaterade, gamla versioner av t ex Flash, Java och Adobe Reader innehåller kända säkerhetshål, vilka kan användas av en webbsida för att infektera datorn. Jag tycker att Secunias program (länk på min webbsida) är en bra hjälp för att kontrollera hur det står till med säkerhetshål i datorn och ange vad som behöver åtgärdas.

Länk till kommentar
Dela på andra webbplatser

  • 2 veckor senare...

Arkiverat

Det här ämnet är nu arkiverat och är stängt för ytterligare svar.

×
×
  • Skapa nytt...