Moja Sieť Zadáva Automatické Query (SQL asi)

HackForum

Moja Sieť Zadáva Automatické Query (SQL asi)#
Zdravím mám dlho problém . mám podozrenie na Malware ..
.
google capcha mi občas píše toto
Your computer or network may be sending automated queries. To protect our users, we can't process your request right now. For more details visit .

automaticky sa mi pridávajú parametre do search query na vela stránkach , napríklad keď dám občas enter na nejakej stránke tak sa mi zmení zadaná hodnota (nie vždy).

keď niečo hladám na githube tak ma občas github zablokuje že "Ops blablabla" alebo keď som na jednej stránke odosielal support ticket tak ma tam zastavil systém a napísal mi niečo v zmysle že som idiot že bol zablokovaý môj pokus o SQL injection .

takže som presvedčený že mám malware . občas (raz za 2 dni) sa mi sam otvorí prieskumník. Alebo hneď po zapnutí PC sa mi ukáže CMD ktorý má názov nejakého exe programu ktorý sa spúšta (pritom "po spustení" mám všetko podozrivé vypnuté takže to musí byť rootkit).
ten program ktorý to CMDčko spúšta pri štarte s tým nemusí súvisieť , ale je pravdepodobné.

Teraz tá horšia časť , v browsery to nieje lebo mi tie query zadáva v všetkých browseroch a ja nemám rozšírenia , skôr si myslím že je to malware v routery alebo v PC . router skontrolovať neviem , a PC antivirus mi nič nehlási , skúšal som stiahnut free Eset ale nešlo mi aktualizovať najnovšie modely (možno aktualizáciu prekazil malware)
..
myslím že malware musí manipulovať sieťový provoz, vie mi niekto povedať ako najviac jednoducho viem zistiť či mi niekto manipuluje sietovú prevádzku ? vôbec niesom technicky moc zdatný takže nejaký jendoduchý spôsob.. btw ešte po novom mi občas nenačítajú rôzne stránky napríklad soom.cz píše mi že connecion timeout .. ale google,ig,fb atd fungujú vždy dobre .. divne .

vie mi niekto poradiť ? (niekto naozaj skúsený ideálne. Cez whire shark to asi nezistím lebo neviem čo je a čo nieje legitimný proces takže ideálne niečo jednoduchšie . .

ešte posledná vec ktorá s tým nemusí súvisieť , keď sa odpojím z wifi tak sa mi ikonka zmení na ikonku ktorá značí káblové pripojenie ale už som odpojený .. divné . a keď som pripojený ako teraz napríklad tak mi píše že neidentifikovatelná sieť žiadny prístup na internet(pritom prístup na internet mám ) .. celé je to divné ..
(odpovědět)
JsQ27 | 192.40.57.*4.2.2020 0:18
re: Moja Sieť Zadáva Automatické Query (SQL asi)#
stáhni si HijackThis [link]

1.Na systémovém disku si vytvoříme složku Hijackthis , stažený soubor vložíme do teto složky

2.Spustíme HijackThis a v okně programu klikneme na lištu- Do a system scan and save a logfile a počkáme...


3.Po chvíli vám vyskočí okno Poznámkového bloku s výpisem HJT. Tento výpis pošli sem nebo na můj mail

----------
Dum Spiro Spero
Spem retine
S ROZUMEM A ODVAHOU
Audacem Fortuna Iuvat
Sciens Vincit
Semper Fi
(odpovědět)
kasper | E-mail | Website6.2.2020 16:11
re: Moja Sieť Zadáva Automatické Query (SQL asi)#
ďakujem , spustil som to hneď v po stihnutí ,chvíľu po spustení sa mi tam ukazalo toto [link] tak som klikol na OK po dokončený vyzerá takto :(vela processov som netušil že mám) , mám to skúsiť oskenovať ešte keď mi to bude robiť tie problémy ? lebo teraz sa zdá že malware hybernuje , iba občas je aktívny (asi aby to nebolo tak nápadné) .


Logfile of Trend Micro HijackThis v2.0.5
Scan saved at 0:08:32, on 7. 2. 2020
Platform: Unknown Windows (WinNT 6.02.1008)
MSIE: Internet Explorer v11.0 (11.00.17134.0001)


Boot mode: Normal

Running processes:
C:\Program Files\WindowsApps\B9ECED6F.Splendid_1.0.15.
0_x64__qmba6cd70vzyy\ACMON.exe
C:\Users\adino\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [link]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = [link]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [link]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [link]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = %11%\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [Adobe Creative Cloud] "C:\Program Files (x86)\Adobe\Adobe Creative Cloud\ACC\Creative Cloud.exe" --showwindow=false --onOSstartup=true
O4 - HKCU\..\Run: [OneDrive] "C:\Users\adino\AppData\Local\Microsoft\One
Drive\OneDrive.exe" /background
O4 - HKCU\..\Run: [OPENVPN-GUI] C:\Program Files\OpenVPN\bin\openvpn-gui.exe
O4 - HKCU\..\Run: [NordVPN] C:\Program Files (x86)\NordVPN\NordVPN.exe
O4 - HKCU\..\Run: [ProtonVPN] C:\Program Files (x86)\Proton Technologies\ProtonVPN\ProtonVPN.exe
O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
O18 - Protocol: tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\SysWOW64\tbauth.dll
O18 - Protocol: windows.tbauth - {14654CA6-5711-491D-B89A-58E571679951} - C:\Windows\SysWOW64\tbauth.dll
O23 - Service: AdobeUpdateService - Adobe Inc. - C:\Program Files (x86)\Common Files\Adobe\Adobe Desktop Common\ElevationManager\AdobeUpdateService.
exe
O23 - Service: Adobe Genuine Monitor Service (AGMService) - Adobe Systems, Incorporated - C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGMService.exe
O23 - Service: Adobe Genuine Software Integrity Service (AGSService) - Adobe Systems, Incorporated - C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGSService.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: ASLDR Service (ASLDRService) - ASUSTek Computer Inc. - C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\AsLdrSrv.exe
O23 - Service: Intel(R) Content Protection HECI Service (cphs) - Intel Corporation - C:\Windows\SysWow64\IntelCpHeciSvc.exe
O23 - Service: Device Activation Service (DevActSvc) - Unknown owner - C:\Program Files (x86)\ASUS\ASUS Device Activation\DevActSvc.exe
O23 - Service: @%SystemRoot%\system32\DiagSvcs\Diagnostics
Hub.StandardCollector.ServiceRes.dll,-1000 (diagnosticshub.standardcollector.service) - Unknown owner - C:\Windows\system32\DiagSvcs\DiagnosticsHub
.StandardCollector.Service.exe (file missing)
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @oem8.inf,%ServiceDisplayName%;ESIF Upper Framework Service (esifsvc) - Intel Corporation - C:\Windows\SysWOW64\esif_uf.exe
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: Google Chrome Elevation Service (GoogleChromeElevationService) - Google LLC - C:\Program Files (x86)\Google\Chrome\Application\79.0.3945.1
30\elevation_service.exe
O23 - Service: Služba Google Update (gupdate) (gupdate) - Google LLC - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Služba Google Update (gupdatem) (gupdatem) - Google LLC - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
O23 - Service: Intel(R) HD Graphics Control Panel Service (igfxCUIService2.0.0.0) - Unknown owner - C:\Windows\system32\igfxCUIService.exe (file missing)
O23 - Service: Intel(R) Capability Licensing Service TCP IP Interface - Intel(R) Corporation - C:\Program Files\Intel\iCLS Client\SocketHeciServer.exe
O23 - Service: Intel(R) TPM Provisioning Service - Intel(R) Corporation - C:\Program Files\Intel\iCLS Client\TPMProvisioningService.exe
O23 - Service: Intel(R) Dynamic Application Loader Host Interface Service (jhi_service) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Intel(R) Management and Security Application Local Management Service (LMS) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
O23 - Service: Malwarebytes Service (MBAMService) - Malwarebytes - C:\Program Files\Malwarebytes\Anti-Malware\MBAMService
.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: nordvpn-service - Unknown owner - C:\Program Files (x86)\NordVPN\nordvpn-service.exe
O23 - Service: OpenVPNService - - C:\Program Files\OpenVPN\bin\openvpnserv2.exe
O23 - Service: OpenVPN Interactive Service (OpenVPNServiceInteractive) - The OpenVPN Project - C:\Program Files\OpenVPN\bin\openvpnserv.exe
O23 - Service: OpenVPN Legacy Service (OpenVPNServiceLegacy) - The OpenVPN Project - C:\Program Files\OpenVPN\bin\openvpnserv.exe
O23 - Service: ProtonVPN Service - Unknown owner - C:\Program Files (x86)\Proton Technologies\ProtonVPN\ProtonVPNService.exe
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @oem22.inf,%RtkBtManServ.SvcDesc%;Realtek Bluetooth Device Manager Service (RtkBtManServ) - Realtek Semiconductor Corp. - C:\Windows\RtkBtManServ.exe
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\SecurityHealthAgent.
dll,-1002 (SecurityHealthService) - Unknown owner - C:\Windows\system32\SecurityHealthService.e
xe (file missing)
O23 - Service: @%SystemRoot%\system32\SensorDataService.ex
e,-101 (SensorDataService) - Unknown owner - C:\Windows\System32\SensorDataService.exe (file missing)
O23 - Service: @%SystemRoot%\System32\SgrmBroker.exe,-100 (SgrmBroker) - Unknown owner - C:\Windows\system32\SgrmBroker.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spectrum.exe,-101 (spectrum) - Unknown owner - C:\Windows\system32\spectrum.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\TieringEngineService
.exe,-702 (TieringEngineService) - Unknown owner - C:\Windows\system32\TieringEngineService.ex
e (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-1
10 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)
O23 - Service: @%systemroot%\system32\xbgmsvc.exe,-100 (xbgm) - Unknown owner - C:\Windows\system32\xbgmsvc.exe (file missing)

--
End of file - 8901 bytes


ďakujem budem rád za radu .

(odpovědět)
JSQ27 | 192.40.57.*7.2.2020 0:22
re: Moja Sieť Zadáva Automatické Query (SQL asi)#
Ešte dodám , štandarne používam duckduckgo ale keď som použil google tak som videl dole vo vyhladavani že mi to určilo polohi na základe posledného vyhladavanie v "spojené štáty amerivké" alebo saudská arábia a podobne . Pritom ja mám nonstop NL(holandskú VPN) , takže je divne že mi google hlási napríklad Spojené štáty americké či českú republiku alebo trenčín,Bratislava na Slovensku atd..
Nemusí to stým súvisieť , ale je to divne .
(odpovědět)
JsQ27 | 192.40.57.*7.2.2020 0:30
re: Moja Sieť Zadáva Automatické Query (SQL asi)#
Stáhni Malwarebytes' Anti-Malware [link]

Spusť instalaci , na konci máš mít zatrhnuto:
Aktualizace Malwarebytes' Anti-Malware a Spustit aplikaci Malwarebytes' Anti-Malware,
klikni na konec. Aktualizace se stáhne a nainstaluje.
Klikni na Provést rychlý sken a klikni na tlačítko Skenovat nyní.Objeví se hláška, klikni na OK a potom na zobrazit výsledky.
Zkopíruj sem obsah logu.
Pokud budou problémy , můžeš spustit v nouz. režimu.


Stáhni ATF Cleaner
[link]
Poklepej na ATF Cleaner.exe, klikni select all found, pak klik empty selected.


Stáhni si TFC
[link]
Otevři soubor a zavři všechny ostatní okna, Klikni na Start k zahájení procesu. Program by neměl trvat dlouho.
Poté by se měl PC restartovat, pokud ne , proveď sám.

Stáhni si AdwCleaner [link] [link]

Ulož ho na plochu
Ukonči všechny programy , okna i prohlížeče
Spusť program a klikni na „Prohledat-Search“
Po skenu se objeví log ( jinak je uložen systémovém disku jako AdwCleaner[].txt), jeho obsah sem vlož.

Spusť znovu AdwCleaner (u Windows Vista či Windows7, klikni na AdwCleaner pravým a vyber „Spustit jako správce“
Klikni na „ Clean-Delete“
Program provede opravu, po automatickém restartu neukáže log (C:\AdwCleaner [S?].txt) , jeho obsah sem celý vlož.

Stáhni si Junkware Removal Tool
[link]
na plochu.
Vypni si rez. ochranu antiviru. Pravým tl. myši klikni na JRT.exe a vyber „spustit jako správce“. Budeš vyzván ke stisknutí jakékoliv klávesy (licence). Na nějakou klikni.
Začne skenování programu. Skenování může trvat dlouhou dobu , podle množství nákaz. Po ukončení skenu se objeví log (JRT.txt) , který se uloží na ploše.
Zkopíruj sem jeho obsah.



----------
Dum Spiro Spero
Spem retine
S ROZUMEM A ODVAHOU
Audacem Fortuna Iuvat
Sciens Vincit
Semper Fi
(odpovědět)
kasper | E-mail | Website7.2.2020 18:41
re: Moja Sieť Zadáva Automatické Query (SQL asi)#
Malwarebytes som skúšal už dávno , nič to nehlásilo, aj neaktualizovaný eset nič nehlásil . musí to byť nejaký polymorphny rootkit alebo sa to schovalo do routru.


skúsim ešte ten ATF clener ale moc tomu šancu nedávam , potom dám vediet . dakujem.
(odpovědět)
JsQ27 | 46.166.142.*8.2.2020 19:20
re: Moja Sieť Zadáva Automatické Query (SQL asi)#
udělej všechno co jsem ti napsal v návodu

----------
Dum Spiro Spero
Spem retine
S ROZUMEM A ODVAHOU
Audacem Fortuna Iuvat
Sciens Vincit
Semper Fi
(odpovědět)
kasper | E-mail | Website8.2.2020 22:23
re: Moja Sieť Zadáva Automatické Query (SQL asi)#
Skúsil som ten ATF Clener , mal som zaškrknuté všetko a po tom čo som to vyčistil tak mi ide počítač svižne ako nový , všetko reaguje bleskovo .

Len nový problém(možno aj väčší) je ten že po vyčistení pomocou atf cleaner všetky stránky extremne dlho načítavajú ako keby som mal prečerpané data(ale nemám) , keď sa chcem pripojiť napríklad na youtube pripája sa to najprv bez šifrovanej komunikácie (nemám tam zámoček ale výkričník) až po minúte sa to načíta a ukaže sa tam "zabezpečené" , je to tým že mi to odstranilo vyrovnávajúcu pamäť alebo také niečo ?.
prečo to robí ? divné.


neviem či mi to odstránilo nejaký malware ale pochybujem o tom dám potom vedieť . prípadne ak nebude iná možnosť spravím si zálohu niekde na cloude a skúsim obnoviť továrenské nastavenia .
(odpovědět)
JsQ27 | 46.166.142.*9.2.2020 2:51
re: Moja Sieť Zadáva Automatické Query (SQL asi)#
Ok skúsil som reštartovať počítač, zapnutie trvalo asi 25 minút , dúfam že to už nebude robiť . vyzerá to sľubne , stránky už načítavajú rýchlo , ikonka na wifi sa zmenila na štandardnú wifi ikonku , na začiatku sa tuším neotvorilo to CMDčko . Nechcem to zakríknuť no vyzerá to tak že som sa toho zbavil.

.. vlastne nie , pôvodný problem zostáva , preklikal som sa pár krát cez pager na githube a vyhodilo mi to tú hlášku na githube [link] . takže problém zostáva .


(odpovědět)
JsQ27 | 89.39.107.*9.2.2020 3:45
re: Moja Sieť Zadáva Automatické Query (SQL asi)#
mám podozrenie že sa mi malware schoval do asus aplikácie . sú dôležité pre chod počítača alebo ich môžem dať do karantnény ?

# -------------------------------
# Malwarebytes AdwCleaner 8.0.2.0
# -------------------------------
# Build: 01-27-2020
# Database: 2020-01-24.1 (Cloud)
# Support: [link]
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start: 02-09-2020
# Duration: 00:00:49
# OS: Windows 10 Home
# Scanned: 34824
# Detected: 13


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

PUP.Optional.InstallCore HKCU\Software\csastats

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.

***** [ Hosts File Entries ] *****

No malicious hosts file entries found.

***** [ Preinstalled Software ] *****

Preinstalled.ASUSDeviceActivation Folder C:\Program Files (x86)\ASUS\ASUS DEVICE ACTIVATION
Preinstalled.ASUSDeviceActivation Registry HKLM\Software\Wow6432Node\\Microsoft\Window
s\CurrentVersion\Uninstall\{9C4B0706-9F9A-4
7BF-B417-0A111FC52B04}
Preinstalled.ASUSLiveUpdate Registry HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\
{B10B5AB0-C30B-4842-97A2-2E9577666DEF}
(odpovědět)
JsQ27 | 89.39.107.*9.2.2020 5:30
re: Moja Sieť Zadáva Automatické Query (SQL asi)#
v tom AdwCleaner všechno co našel dej všechno odstranit
a pokračuj podle návodu

napiš mi na mail co mám v svém profilu
ať máme na sebe lepší kontakt

----------
Dum Spiro Spero
Spem retine
S ROZUMEM A ODVAHOU
Audacem Fortuna Iuvat
Sciens Vincit
Semper Fi
(odpovědět)
kasper | E-mail | Website9.2.2020 16:33
re: Moja Sieť Zadáva Automatické Query (SQL asi)#
v AdwCleaner klikni Clean-Delete


----------
Dum Spiro Spero
Spem retine
S ROZUMEM A ODVAHOU
Audacem Fortuna Iuvat
Sciens Vincit
Semper Fi
(odpovědět)
kasper | E-mail | Website9.2.2020 22:30
re: Moja Sieť Zadáva Automatické Query (SQL asi)#
No sú to predinštalované aplikácie od asusu , preto mi to príde divné to odstranovať . mám to určite odstániť ? niesu to nejaké dôležité ovládače ?

díky
(odpovědět)
JsQ27 | 89.39.107.*10.2.2020 0:53
re: Moja Sieť Zadáva Automatické Query (SQL asi)#
smaž to nejsou to důležité věci

----------
Dum Spiro Spero
Spem retine
S ROZUMEM A ODVAHOU
Audacem Fortuna Iuvat
Sciens Vincit
Semper Fi
(odpovědět)
kasper | E-mail | Website10.2.2020 12:02

Zpět
Svou ideální brigádu na léto najdete na webu Ideální brigáda
 
 
 

 
BBCode