Problem z google.pl - próba pobierania aktualizacji flash

[adam86]

Witam,
ok. miesiąca temu wystapił problem ze wszystkimi urządzeniami połączonymi z routerem

wi-fi, polegający na tym, że strona googla nie chciała się włączyć i chciała pobrać

"aktualizację flasha". Pomogł w tym przypadku twardy reset routera.
Przeskanowałem nowe urządzenie w sieci (laptop dziewczyny) programami mawarebytes oraz

antispyware, które wykryly między innymi wirusa Babylon (który chyba nadal jest

aktywny..). Wszystko było ok do tego tygonia - znów powtórzyła się podmiana strony

google.pl, również pomogl twrady reset routera, tylko na jak dlugo... W załącznikach

przesyłam skany z tego laptopa i proszę o pomoc.
Pozdrawiam.

 

edit:

problem jest bardzo podobny do https://www.fixitpc.pl/topic/23140-strona-google-oceniona-jako-zagrożenie-i-fałszywe-aktualizacje-flash/

po pierwszym restarcie routera login został zmieniony, jednak problem i tak się powtórzył.

 

log z security check

 

 Results of screen317's Security Check version 0.99.83 
 Windows Vista Service Pack 1 x86 (UAC is enabled) 
 Out of date service pack!!
 Internet Explorer 8 Out of date!
 Internet Explorer 8 
``````````````Antivirus/Firewall Check:``````````````
avast! Antivirus  
 Antivirus up to date!  
`````````Anti-malware/Other Utilities Check:`````````
 xp-AntiSpy 3.98-1   
 SUPERAntiSpyware    
 CCleaner    
 Java 6 Update 11 
 Java version out of Date!
 Adobe Flash Player 10 Flash Player out of Date!
 Adobe Reader 9 Adobe Reader out of Date!
````````Process Check: objlist.exe by Laurent```````` 
 Windows Defender MSASCui.exe
 Malwarebytes Anti-Malware mbam.exe 
 Malwarebytes Anti-Malware mbamscheduler.exe  
 Windows Defender MSASCui.exe  
 AVAST Software Avast AvastSvc.exe 
 AVAST Software Avast AvastUI.exe 
`````````````````System Health check`````````````````
 Total Fragmentation on Drive C:  %
````````````````````End of Log``````````````````````
 

Addition.txt

FRST.txt

Shortcut.txt

gmer.txt

Extras.Txt

OTL.Txt

[picasso]

Opisywane objawy to infekcja routera a nie systemu, nawroty infekcji wskazują, że router nie jest zabezpieczony. Czy podczas resetów zmieniłeś login do routera na niestandardowy?

 

Babylon to nie wirus tylko adware, tu w postaci szczątkowej, owe szczątki rezydują w systemie już od dawna. I w podanych raportach brak oznak infekcji. A ten odczyt w GMER o ukrytym module to prawdopodobnie konsekwencja braku aktualizacji Vista (to będzie potem do nadrobienia):

 

Platform: Microsoft® Windows Vista™ Home Basic Service Pack 1 (X86) OS Language: Polish

Internet Explorer Version 8

 

Tylko drobne kosmetyczne działania na wpisy odpadkowe i puste:

 

1. Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-392944919-3480735444-3123389750-1000\...\MountPoints2: {1b9fd1f7-d877-11de-a659-002219e21dcf} - F:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\SYS83.exe
HKU\S-1-5-21-392944919-3480735444-3123389750-1000\...\MountPoints2: {a37e2f21-d31f-11e1-9d3b-002219e21dcf} - F:\Install.exe
HKU\S-1-5-21-392944919-3480735444-3123389750-1000\...\MountPoints2: {d1e3d435-7637-11df-b357-002219e21dcf} - F:\SLATKO/torta.exe
HKU\S-1-5-21-392944919-3480735444-3123389750-1000\...\Winlogon: [shell] C:\Windows\Explorer.exe [2927104 2009-04-04] (Microsoft Corporation) 
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL =
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
CHR HKLM\...\Chrome\Extension: [dhkplhfnhceodhffomolpfigojocbpcb] - C:\Users\weronika\AppData\Roaming\BabylonToolbar\CR\BabylonChrome1.crx [2012-08-08]
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
S3 massfilter; system32\drivers\massfilter.sys [X]
S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X]
S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X]
S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X]
AlternateDataStreams: C:\ProgramData\TEMP:587EB586
C:\Users\weronika\AppData\Local\Google
C:\Users\weronika\AppData\Roaming\BabylonToolbar
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\facemoods" /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BabylonToolbar /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E55E7026-EF2A-4A17-AAA7-DB98EA3FD1B1} /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. Również go przedstaw.

 

 

 

.

[adam86]

Podczas restaru routera login i haslo zmienilem na dość skomplikowane. Może to wina routera? Czytałem w niebezpieczniku, że jest jakaś luka w routerach, m.in. w moim modelu. Link do art.:

http://niebezpiecznik.pl/post/dziura-w-routerach-z-firmwarem-zyxel-a-m-in-tp-link/

 

W załączniku przesyłam wyniki skanów.

 

Pozdrawiam i dziekuję za pomoc.

Fixlog.txt

AdwCleanerS0.txt