Wyskakujące okienko aktualizacji flesh pleyera

[maro]

mam problem

W czasie przeglądania Internetu przez IE lub inna przeglądarkę nagle wskakuje prośba o aktualizację Flash Player pomimo ze wersja jest aktualna: 

 

OTL: http://wklej.org/id/1664024/

 

Jeszcze jeden skrypt z OTL:

http://wklej.org/id/1664069/

 

 

POPRAWKA:

Shortcut: http://wklej.org/id/1664129/

Addition: http://wklej.org/id/1664124/

FRST: http://wklej.org/id/1664131/

Gmer: http://wklej.org/id/1664132/

 

 

Mam nadzieję ze teraz wszystko będzie OK. Ale jak by co to proszę o wytyczne.

[picasso]

Temat czyszczę ze zbędnej dyskusji. Logi proszę umieszczaj jako załączniki forum a nie serwisie wklejkowym. Co to za "skrypt do OTL"? Kto to polecał / montował? Kompletne bzdury - jako "skrypt OTL" wklejono log z AdwCleaner! Nic oczywiście się nie wykonało.

 

Próbując rozwiązać problem posługiwałeś się skanerem z czarnej listy - SpyHunter. Z daleka od tego dziadostwa. Jeśli chodzi o infekcję, to tu nie pomogą żadne skany, skrypty czy inne fiksy uruchomione spod Windows. Infekcja nie jest w Windows tylko w routerze. Pierwszy adres jest szkodliwy - austriacki:

 

Tcpip\Parameters: [DhcpNameServer] 91.194.254.105 8.8.8.8

 

 

Do przeprowadzenia następujące działania:

 

1. Zaloguj się do routera:

• Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
• Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.

Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony dalsze poboczne działania:

 

2. Przez Panel sterowania odinstaluj: stary Adobe AIR, uszkodzony Applian FLV Player oraz adware Search App by Ask, Video Converter Packages.

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
S2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [X]
S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-03-15] ()
R3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
Task: {0AA18C7C-D7C0-4840-BCE9-93C5766AA5BC} - System32\Tasks\WLANStartup => C:\Program Files (x86)\Samsung\Easy Settings\WLANStartup.exe
Task: {0EF68685-8544-4505-8F39-95C7336BD85C} - System32\Tasks\{FC8A38A7-1D09-41E3-8568-302112AEF3C8} => Iexplore.exe http://ui.skype.com/ui/0/6.1.60.129/pl/abandoninstall?page=tsBing
Task: {281AEB59-D066-4D12-8056-EB6EABC2B7EB} - System32\Tasks\{FC87CAD8-7887-4240-8EF2-F69EF12FA099} => pcalua.exe -a "C:\Users\Marek\AppData\Roaming\0C1I1L1R1J0M1P0I1G\VuuPC Packages\uninstaller.exe" -c /Uninstall /NM="VuuPC Packages" /AN="0C1I1L1R1J0M1P0I1G" /MBN="VuuPC Packages"
Task: {2A29F745-B86C-43B9-9DAB-41A732965D84} - System32\Tasks\Updater26766.exe => C:\Users\Marek\AppData\Local\Updater26766\Updater26766.exe 
Task: {7F31B7D9-5036-4807-8BC5-F15A9328BF14} - System32\Tasks\{2CC8C255-1946-4129-9906-F2646553B758} => pcalua.exe -a "C:\Program Files (x86)\EStaff\Uninstall\SpXml.exe"
Task: {84E7AC55-DF90-498F-A87F-6EF7433F5499} - System32\Tasks\4677 => Wscript.exe C:\Users\Marek\AppData\Local\Temp\launchie.vbs //B 
Task: {88A3A4AE-1BA7-4B7B-BAD0-AD450A78E3B7} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe
Task: {B41F59A4-DEBC-46BC-9208-988246386E31} - System32\Tasks\{6B9BC0EA-6FB7-4DC4-947C-46195CB786BE} => pcalua.exe -a "c:\Program Files (x86)\Microsoft Silverlight\5.1.10411.0\Silverlight.Configuration.exe" -c -uninstallApp 3457725076.portal.qtrax.com
Task: {C37D6B63-467D-4B19-865D-8EFD4E34B0EC} - System32\Tasks\{7C3E2EE4-C097-4033-A809-9846061BC599} => pcalua.exe -a C:\Users\Marek\Desktop\vkaraoke.exe -d C:\Users\Marek\Desktop
Task: {D0531B56-E824-4977-9FDE-95C321DAD4C2} - System32\Tasks\{0885DE04-EC57-4556-860F-E8E7701E8EC4} => pcalua.exe -a "C:\ProgramData\Tarma Installer\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}\Setup.exe" -c /remove /q0
Task: {FDF00679-F413-4634-84D5-B7815D2AA1DC} - System32\Tasks\0 => Iexplore.exe 
GroupPolicyUsers\S-1-5-21-1229153242-3201741155-1693493588-1004\User: Group Policy restriction detected 
GroupPolicyUsers\S-1-5-21-1229153242-3201741155-1693493588-1001\User: Group Policy restriction detected 
HKU\S-1-5-21-1229153242-3201741155-1693493588-1001\...\Run: [KiesPDLR.exe] => C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe Run
HKU\S-1-5-21-1229153242-3201741155-1693493588-1001\...\Policies\system: [DisableLockWorkstation] 0
HKU\S-1-5-21-1229153242-3201741155-1693493588-1001\...\Policies\system: [DisableChangePassword] 0
HKU\S-1-5-21-1229153242-3201741155-1693493588-1001\...\Policies\Explorer: [NoFolderOptions] 0
HKU\S-1-5-21-1229153242-3201741155-1693493588-1001\...\Policies\Explorer: [NoControlPanel] 0
HKU\S-1-5-21-1229153242-3201741155-1693493588-1001\...\Policies\Explorer: [DisallowRun] 0
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=NAV&pvid=20.4.0.40
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
SearchScopes: HKU\S-1-5-21-1229153242-3201741155-1693493588-1001 -> {1838EEB7-D790-4C38-977B-7610FC411ABC} URL =
CHR HomePage: Default -> hxxp://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki
CHR StartupUrls: Default -> "hxxp://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki", "hxxp://pl.msn.com/?pc=UP97&ocid=UP97DHP"
C:\sh4ldr
C:\ProgramData\Ashampoo\YourDeals.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Applian FLV Player.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Your Software Deals.lnk
C:\Users\Marek\AppData\Roaming\Enigma Software Group
C:\Users\Marek\Downloads\Install Flash_10924_i43986853_il345.exe
C:\Users\Marek\Start Menu\Programs\SpyHunter
C:\Users\Marek\Stary Laptop\LAPTOP\pulpit\pulpit\Mozilla Firefox.lnk
C:\Users\Public\Desktop\Applian FLV Player.lnk
C:\Windows\System32\DRIVERS\EsgScanner.sys
Reg: reg delete HKCU\Software\Clients\StartMenuInternet\OperaMail /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
CMD: ipconfig /flushdns
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

[maro]

Zrobiłem zgodnie z zaleceniami (chyba) bynajmniej się starałem dokładnie z wytycznymi. Mam nadzieję ze wszystko dobrze?

 

Dwa załączniki zgodnie z wytycznymi

Fixlog.txt

FRST.txt

[picasso]

Linia DhcpNameServer już ma poprawne DNS. Mam nadzieję, że router został zabezpieczony wg wskazówek. Natomiast Fix FRST uruchamiałeś dwa razy (skrypty są jednorazowego użytku) - jaki był powód, program się zawiesił? Pomijając ten zgrzyt, wszystko wygląda na wykonane. Kończymy:

 

Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

[maro]

BAARDZO Dziękuję. Wszystko pięknie funkcjonuje.