Wirus Flash player

[spinoza]

Witam,

od wczoraj borykam się z problemem,że cały czas  wyskakuje mi reklama abym pobrał flash-a , przestało mi działać kilka stronek.

Skanowałem  malwarebytes i "niby" pozbyłem się kłopotu ale po restarcie nic się nie zmieniło.

Licze na pomoc!

 

Extras log

http://wklej.org/id/1343190/

http://wklej.org/id/1343192/

Otl

 

Proszę log

http://wklej.org/id/1343206/

Wygląda czysto

https://www.virustotal.com/pl/file/b5237e04006436f5c1a156d46bc0fc8f5ffff049a04a66170fdf934a971f512e/analysis/1398450256/

[Janusz.]

Dostarcz jeszcze log z MBAM'a skoro nim skanowałeś.

 

Na stronie virustotal.com przeskanuj ten plik

C:\Windows\PLFSetI.exe

 

W własne opcje skanowania wklej

 
:OTL
O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-4222167611-1466645718-2392735768-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O4 - HKU\.DEFAULT..\RunOnce: [SPReview] "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"http://go.microsoft.com/fwlink/?LinkID=122915" /build:7601 File not found
O4 - HKU\S-1-5-18..\RunOnce: [SPReview] "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"http://go.microsoft.com/fwlink/?LinkID=122915" /build:7601 File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O8:[b]64bit:[/b] - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200 File not found
O13[b]64bit:[/b] - gopher Prefix: missing
O13 - gopher Prefix: missing
O18:[b]64bit:[/b] - Protocol\Handler\skype4com - No CLSID value found
O18 - Protocol\Handler\ms-help - No CLSID value foundO21:[b]64bit:[/b] - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21:[b]64bit:[/b] - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O33 - MountPoints2\{10faca67-6d5f-11e2-b2b3-00262d5311b2}\Shell - "" = AutoRun
O33 - MountPoints2\{10faca67-6d5f-11e2-b2b3-00262d5311b2}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{10faca79-6d5f-11e2-b2b3-00262d5311b2}\Shell - "" = AutoRun
O33 - MountPoints2\{10faca79-6d5f-11e2-b2b3-00262d5311b2}\Shell\AutoRun\command - "" = E:\AutoRun.exe
O33 - MountPoints2\{2d3f7d9d-8353-11e2-a8db-00262d5311b2}\Shell - "" = AutoRun
O33 - MountPoints2\{2d3f7d9d-8353-11e2-a8db-00262d5311b2}\Shell\AutoRun\command - "" = H:\AutoRun.exe
O33 - MountPoints2\{90611377-34a5-11e3-99f9-00262d5311b2}\Shell - "" = AutoRun
O33 - MountPoints2\{90611377-34a5-11e3-99f9-00262d5311b2}\Shell\AutoRun\command - "" = E:\HTC_Sync_Manager_PC.exe
O33 - MountPoints2\{abdabe23-4160-11e3-b099-00262d5311b2}\Shell - "" = AutoRun
O33 - MountPoints2\{abdabe23-4160-11e3-b099-00262d5311b2}\Shell\AutoRun\command - "" = E:\HTC_Sync_Manager_PC.exe
O33 - MountPoints2\E\Shell - "" = AutoRun
O33 - MountPoints2\E\Shell\AutoRun\command - "" = E:\HTC_Sync_Manager_PC.exe
 
:Commands
[emptytemp]
 

Kliknij wykonaj skrypt, zatwierdź restart. zrób nowy log. infekcji jako tako tam nie widziałem. oprócz tego dziwnego pliku to nic specjalnego. 

[spinoza]

Nowe logi 

otl

http://wklej.org/id/1343253/

[Janusz.]

w logu nic ciekawego nie widzę oprócz

O4:64bit: - HKLM..\Run: [PLFSetI] C:\Windows\PLFSetI.exe ()

O4 - HKLM..\Run: [AMD AVT] C:\Windows\SysWow64\cmd.exe (Microsoft Corporation)

i kilku pustych wpisów których nie zaznaczyłem. pobierz adwcleaner z tej:

www.bleepingcomputer.com/download/adwcleaner/ 

  strony, użyj opcji scan and clean/skanuj i usuń. wstaw log z usuwania i powiedz czy pomogło. 

[spinoza]

Zrobione.  Nadal wyskakuje reklama flash mimo aktualizacji

[Janusz.]

Możesz jeszcze zresetować przeglądarkę do ustawień fabrycznych i router, również do ustawień fabrycznych. być może jest to infekcja dnsów.

[3moMojzeszQ..;p]

yo, podpinam się do tego problemu :< połowa stron mi nie działa na obu laptopach i fonie, ale spotkałem jeszcze kilka osób z tym samym problemem. wiecie czego to może być wina ? 

[spinoza]

Przywróciłem ustawienia przeglądarki nic nie pomogło, routera nie ruszę bo  nie mam do niego dostępu;/ 

I tak jak kolega wyżej pisał nie idzie w ogóle przeglądać neta.

[3moMojzeszQ..;p]

ja na szczęście mam dostęp do routera ale moje kochane szczęście nie pozwoli mi na sprawdzenie czy restart routera coś da bo hasła do neta nie pamiętam :/ mam gdzieś zapisane tylko późno już i nie chce mi się szukać. I tak jak pisałeś przeglądarką nic nie da bo mi na 2 laptopach tak się dzieje i na fonie więc przyczyna musi tkwić gdzieś w źródle internetu.

tylko nie wiem jak to mogło się stać mam masę zabezpieczeń a mimo to nic nie wykryło :/

[Nezvik]

Odinstaluj:

McAfee Security Scan

 

Wykonaj jeszcze:

:OTL
MOD - [2013-02-01 22:55:52 | 000,200,704 | ---- | M] () -- C:\Windows\PLFSetI.exe
IE:[b]64bit:[/b] - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
IE - HKLM\..\SearchScopes,DefaultScope = {67A2568C-7A0A-4EED-AECC-B5405DE63B64}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE - HKLM\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE:[b]64bit:[/b] - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC
IE:[b]64bit:[/b] - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7

IE - HKU\S-1-5-21-4222167611-1466645718-2392735768-1000\..\SearchScopes,DefaultScope = {67A2568C-7A0A-4EED-AECC-B5405DE63B64}
IE - HKU\S-1-5-21-4222167611-1466645718-2392735768-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE10SR
IE - HKU\S-1-5-21-4222167611-1466645718-2392735768-1000\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = http://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACAW_plPL521
IE - HKU\S-1-5-21-4222167611-1466645718-2392735768-1000\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE - HKU\S-1-5-21-4222167611-1466645718-2392735768-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = localhost:21320
FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF:[b]64bit:[/b] - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_13_0_0_182.dll File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
CHR - default_search_provider: search_url = {google:baseURL}search?q={searchTerms}&{google:RLZ}{google:originalQueryForSuggestion}{google:assistedQueryStats}{google:searchFieldtrialParameter}{google:bookmarkBarPinned}{google:searchClient}{google:sourceId}{google:instantExtendedEnabledParameter}{google:omniboxStartMarginParameter}ie={inputEncoding}
CHR - default_search_provider: suggest_url = {google:baseSuggestURL}search?{google:searchFieldtrialParameter}client={google:suggestClient}&gs_ri={google:suggestRid}&xssi=t&q={searchTerms}&{google:cursorPosition}{google:currentPageUrl}{google:pageClassification}sugkey={google:suggestAPIKeyParameter},
O3:[b]64bit:[/b] - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4:[b]64bit:[/b] - HKLM..\Run: [PLFSetI] C:\Windows\PLFSetI.exe ()
O4 - HKU\S-1-5-21-4222167611-1466645718-2392735768-1000..\Run: [Facebook Update] C:\Users\Jonasz\AppData\Local\Facebook\Update\FacebookUpdate.exe (Facebook Inc.)
O8:[b]64bit:[/b] - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200 File not found
O13[b]64bit:[/b] - gopher Prefix: missing
O16 - DPF: {C345E174-3E87-4F41-A01C-B066A90A49B4} http://trial.trymicrosoftoffice.com/trialoaa/buymsoffice_assets/framework//microsoft/wrc32.ocx (WRC Class)
O18:[b]64bit:[/b] - Protocol\Handler\skype4com - No CLSID value found
O18 - Protocol\Handler\ms-help - No CLSID value found
O21:[b]64bit:[/b] - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
DRV:[b]64bit:[/b] - [2014-03-27 21:01:11 | 000,061,120 | ---- | M] (StdLib) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\wStLibG64.sys -- (wStLibG64)
 


:Files
C:\Windows\SysNative\drivers\wStLibG64.sys
C:\Users\Jonasz\Documents\Mobogenie
C:\Users\Jonasz\AppData\Local\Mobogenie
C:\Program Files (x86)\Mega Browse
C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-4222167611-1466645718-2392735768-1000UA.job
C:\Windows\tasks\FacebookUpdateTaskUserS-1-5-21-4222167611-1466645718-2392735768-1000Core.job
C:\ProgramData\Ament.ini
 
:Commands
[emptytemp]
[emptyflash]
 

Ten fix jest przeznaczony tylko i wyłącznie dla użytkownika spinoza. Wykonanie tego fixa przez inne osoby nie rozwiąże problemu, a może spowodować problemy z systemem!

 

Daj log z usuwania i nowy log OTL, jeśli to nie rozwiąże sprawy.

 

 

Dodatkowo kosmetyka:

Wejdź w panel sterowania -> Opcje indeksowania -> Zaawansowane -> Odbuduj

[3moMojzeszQ..;p]

mogę wiedzieć czy zadziałało ?

[Janusz.]

mogę wiedzieć czy zadziałało ?

Jeśli chcesz pomocy to nie podpinaj się pod czyiś temat tylko napisz nowy. 

[spinoza]

Log z usuwania

 

http://wklej.org/id/1343809/

 

Otl 

http://wklej.org/id/1343813/

 

Problem nadal jest;/

[Nezvik]

Dałeś to samo, ale nie ważne. Wychodzi na to, że jest to infekcja DNS po stronie routera.

 

Naciśnij start --> uruchom --> wpisz cmd --> wpisz ipconfig /all

Sprawdź co masz w "Karta ethernet..." w polu "serwery DNS". Przepisz je.

 

 

W logu OTL widać szkodliwe DNSy:

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 173.234.241.50 8.8.8.8
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{5C8672D6-48FE-476F-8F4A-37E6AB907ADB}: DhcpNameServer = 173.234.241.50 8.8.8.8

 

Musisz zmienić to w routerze / zrestartować do ustawień fabrycznych.

[spinoza]

Problem rozwiązany!

Przez to że nie miałem dostępu do routera musiałem coś wykombinować, pomogła zmiana adresów DNS w karcie sieciowej.