Strona łączenia z routerem, pingi i wirus

[Dostojny 0]

Dzień dobry,

Ostatnio założyłem temat, bo miałem na pendrive (nowy z fabryki) z wirusem. Chociaż pewny byłem, że to pen, to jednak niesamowicie dziwne mi się wydało, że z fabryki zainfekowany. Cały czas z tyłu głowy mam, że to może ja, więc staram się powiązać inne anomalie.

Dwa tygodnie temu kupiłem używany Router ZTE MF283+. Działał dobrze, ale testy pingów były straszne, 60-400-200-300-60-50 itd. Nie była to wina sieci więc myślałem, że routera, nie dało się go zaktualizować, wywalał błędy przy zapamiętaniu PIN, ale dział.

Powróciłem do starego routera przez pingi, jednak po włączeniu komputera odpalają mi się normalnie moje przeglądarki z ostatnimi stronami, a na końcu karta 192.168.0.1, które było IP routera ZTE. Po tygodniu miałem historię z wirusem na pendrive.

 

Zastanawiam się, czy ten router nie był zainfekowany i czy gdzieś nie siedzi mi wirus jednak, chociaż przeskanowałem wszystkim. Zrobiłem logi FRST, ale nic w nich nie widzę szczególnego, jak trzeba mogę dać.

Jak sprawdzić co otwiera 192.168.0.1? Zamykam ją, ale po restarcie ciągle wraca.

 

Dziękuję

[Gość]

Wykonaj reset routera.

Skonfiguruj go od nowa.

Zaktualizuj.

Zmień hasło z domyślnego na własne.

Wyinstaluj Firticlienta, ponieważ więcej będziesz mieć z nim problemów niż korzyści.

Zainstaluj solidną ochronę - klik.

[januzi 24]

logi z frst możesz dać, nie zaszkodzi obejrzeć

[Dostojny 0]

Wykonaj reset routera.

Skonfiguruj go od nowa.

Zaktualizuj.

Zmień hasło z domyślnego na własne.

Wyinstaluj Firticlienta, ponieważ więcej będziesz mieć z nim problemów niż korzyści.

Zainstaluj solidną ochronę - klik.

 

Do fabrycznych wykonałem od razu. Nie pomogło dalej pingi. Zmieniłem hasło i pingi. Nie dało się aktualizować, błąd aktualizacji. W innej zakładce pokazało, że aktualne, chociaż to pierwsza wersja softu była. Router mam w innym miejscu, niedługo go przywiozę, bo jak pisałem używam poprzedniego routera Fritz aktualnie.

Forticlienta używam do VPN i zdalnego pulpitu, więc zostawię, poza defenderem nie mam antywirusów, bo coś tam umiem, wiem w co nie klikać, obcych penów nie podłączam i jestem wyczulony na dziwne zachowania komputera, więc z 12 lat spokój miałem, do czasu teraz tego zagadkowego pena.

 

FRST https://pastebin.com/ZuDKSCaP

 

Ponawiam pytanie, jak wykryć co mi otwiera w domyślnej przeglądarce nowa kartę z 192.168.0.1 ? To jakaś pozostałość po tym dziwnym routerze, ale dziwne, bo on przecież nic nie instalował.

 

Tak nawiasem: linki wklej.to i org nie działają z tego tutka: http://forum.pclab.pl/topic/893302-WA%C5%BBNE-Wymagane-logi-systemowe-w-tym-dziale/page__p__11808087entry11808087

[januzi 24]

Jeszcze addition.txt

 

Te rzeczy wyglądają podejrzanie:

HKU\S-1-5-21-3198205522-3529470022-4186623779-1001\...\Run: [shell] => C:\Program Files (x86)\TP-Link\TP-Link TL-WN722N\WPS_TOOL_AUTO.vbs [152 2018-11-21] () [brak podpisu cyfrowego]

HKU\S-1-5-21-3198205522-3529470022-4186623779-1001\...\Run: [AVMUSBFernanschluss] => C:\Users\epep\AppData\Local\Apps\2.0\C5YPR9QT.HGB\VZ4JO8EB.G4L\frit..tion_b5355c80db433451_0002.0003_2a102519ec917cd0\AVMAutoStart.exe [139264 2018-12-03] (AVM Berlin) [brak podpisu cyfrowego]

 

Filutka pewnie będzie mogła powiedzieć coś więcej na ten temat.

[Dostojny 0]

Jeszcze addition.txt

 

Te rzeczy wyglądają podejrzanie:

HKU\S-1-5-21-3198205522-3529470022-4186623779-1001\...\Run: [shell] => C:\Program Files (x86)\TP-Link\TP-Link TL-WN722N\WPS_TOOL_AUTO.vbs [152 2018-11-21] () [brak podpisu cyfrowego]

HKU\S-1-5-21-3198205522-3529470022-4186623779-1001\...\Run: [AVMUSBFernanschluss] => C:\Users\epep\AppData\Local\Apps\2.0\C5YPR9QT.HGB\VZ4JO8EB.G4L\frit..tion_b5355c80db433451_0002.0003_2a102519ec917cd0\AVMAutoStart.exe [139264 2018-12-03] (AVM Berlin) [brak podpisu cyfrowego]

 

Filutka pewnie będzie mogła powiedzieć coś więcej na ten temat.

 

WPS TOOL AUTO to jest od chyba karty tplinka żeby się WPS łączyć, zainstalowałem takie coś. Mogę wywalić.

AVM berlin to chyba apka Fritza żeby mieć zdalną drukarkę.

 

Dzięki

[Gość]

Podaj Addition.txt. Wygląda jakbyś miał górnika, a przynajmniej pozostałości po nim:

 

2019-01-20 14:57 - 2019-01-20 14:57 - 000000000 ____D C:\Users\epep\AppData\Roaming\NiceHash Miner 2
2019-01-20 14:54 - 2019-01-20 16:35 - 000000000 ____D C:\Users\epep\AppData\Roaming\nhm2
2019-01-20 14:54 - 2019-01-20 14:54 - 000002471 _____ C:\Users\epep\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\NiceHash Miner 2.lnk
2019-01-20 14:54 - 2019-01-20 14:54 - 000002463 _____ C:\Users\epep\Desktop\NiceHash Miner 2.lnk
2019-01-19 15:51 - 2019-03-17 10:13 - 000000000 ____D C:\Users\epep\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MultiMiner
2019-01-19 15:51 - 2019-03-17 10:13 - 000000000 ____D C:\Users\epep\AppData\Local\MultiMiner
2019-01-19 15:51 - 2019-01-19 16:42 - 000000000 ____D C:\Users\epep\AppData\Roaming\MultiMiner
2019-01-19 14:20 - 2019-01-20 15:25 - 000000000 ____D C:\Users\epep\AppData\Local\minergate

 

Celowo go instalowałeś?

[Dostojny 0]

Celowo go instalowałeś?

 

Tak, sprawdzałem możliwości hashowania.

 

Addition (wywaliłem hektary linijek blizzarda i innych prawidłowych, a te dziwne linijki niewidomego pochodzenia mają kawałek "frit....czyli to od router fritz apki do drukarki itd.): https://pastebin.com/6VMeSQ2B

 

Zanim moje pytanie zniknie zapomniane:

Jak/gdzie/czym można sprawdzić co otwiera kartę po włączeniu komputera z 192.168.0.1 (adres podejrzanego routera co ostatnio używałem)? Otwiera się w firefoxie, a jest on domyślną przeglądarką, więc coś chce się połączyć, a nie wiem jak sprawdzić co daj taką komendę.

 

Dziękuję za zainteresowanie i pomoc.

[januzi 24]

https://support.mozilla.org/en-US/kb/how-to-set-the-home-page

[Dostojny 0]

Ok.

Znalazłem chyba winowajcę.

Do sprawdzania zasięgu Routera LTE ZTE MF283+ używałem programu polecanego na forum: 3wg3-watch-v3 (for zte mf283+).zip

Teraz nie używam tego routera, ale programu nie kasowałem, chociaż nie sądziłem, że on coś może robić, bo to portable i nie powinien sam się uruchamiać.

Po jego skasowaniu już mi się ta strona 192.186.0.1 nie włącza.

 

Doszedłem do tego przypadkiem (szukając poszlak) zauważając ilość zużycia danych przez aplikację:

Program ten do LTE to zwykły CMD z jedna linijką, który pokazuje jaki się ma BTS i jakie pasmo LTE i parametry.

 

To raczej nie jest możliwe, ale ten mikro programik zużył 1,2GB, tylko teraz martwi mnie, czy zużył to na upload czy download, bo jeśli to jakiś wirus wykradający mi dane to nieciekawie.

Chyba, że jakiś zbugowany i zjadł tyle.

VirusTotal.com znalazł jednym cos takiego

McAfee-GW-Edition BehavesLike.Suspicious-JAR.tc 20190320

 

 

Może dlatego takie pingi miał router, przez ten program co sieć zajmował. Napiszcie proszę, czy to wirus może być, to poinformuje, żeby te linki pokasowali do tego programu.

Mogę go gdzieś podlinkować jeśli potrzeba.

 

Dziękuję