Falsk Flash Player Update

[PCsnubben]

På en WinXP dator kommer det upp ett meddelande att uppdatera till Flash Player Pro i både Internet Explorer 8 och i senaste Google Chrome, se bifogad bild.

 

Filer bifogade från Farbar

 

 

Addition.txt

FRST.txt

[Cecilia]

1. På sidan http://www.virustotal.com klickar du på Choose File -knappen och klistrar in ett av följande filnamn i fältet "Filnamn", klicka på Öppna och sedan på Scan it!. Om det kommer upp en fråga om filen ska analyseras om så välj det alternativet. Vänta tills resultatet är klart. Klistra in länken (webbadressen) till resultatet här. Upprepa med nästa filnamn.

C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe

C:\WINDOWS\system32\FlashPlayerApp.exe

 

2. Starta Anteckningar.

Kopiera alla rader i rutan:

HKU\S-1-5-19\...\Run: [CTFMON.EXE] => [X]
HKU\S-1-5-19\...\Winlogon: [Userinit] 
HKU\S-1-5-19\...\Winlogon: [Shell] 
HKU\S-1-5-20\...\Run: [CTFMON.EXE] => [X]
HKU\S-1-5-20\...\Winlogon: [Userinit] 
HKU\S-1-5-20\...\Winlogon: [Shell] 
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = 
Toolbar: HKCU - No Name - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} -  No File
Toolbar: HKCU - No Name - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -  No File
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} -  No File
Toolbar: HKCU - No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} -  No File
FF HKCU\...\Firefox\Extensions: [{8A9386B4-E958-4c4c-ADF4-8F26DB3E4829}] - C:\Program\PriceGong\2.6.7\FF

och klistra in i Anteckningar. Kontrollera att inga filer har delats upp på två rader.

Spara filen på skrivbordet med namnet fixlist.txt.

 

Starta FRST som finns på skrivbordet.

Klicka på knappen Fix.

Vänta tills programmet är klart.

 

Programmet skapar en logg Fixlog.txt på skrivbordet.

Klistra in innehållet i den i ditt svar.

 

3. Om inte FRST startade om datorn gör det själv och kolla om problemet fortfarande är kvar.

 

Om det är kvar gör följande:

Spara ComboFix på Skrivbordet: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

Stäng av alla program du ser inklusive antivirusprogram och antispionprogram, men lämna brandväggen på.

Hur? Se http://www.bleepingcomputer.com/forums/topic114351.html

Kör ComboFix och följ anvisningarna som visas.

Om det kommer upp en fråga om du vill installera återställningskonsolen så svara Ja.

Mer detaljerad vägledning finns på http://www.bleepingcomputer.com/combofix/se/hur-combofix-ska-anvandas

 

Om det kommer upp något meddelande, t ex att ett rootkit har hittats, från ComboFix skriv ner det och skriv det sedan i ditt svar.

 

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när det körs eftersom så det kan hänga upp sig då.

 

När ComboFix är färdig ska en logg komma upp, klistra in den i ditt svar. Kontrollera att antivirusprogram mm är igång innan du ansluter till internet.

 

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.

[PCsnubben]

Kan lägga till att på en annan PC i samma nätverk med nyare OS kommer en annan falsk uppdateringspåminnelse upp, ang Internet Explorer. Se bild.

 

Dock efter installlation av Microsoft Security Essentials, så detekteras en Trojan som hittas i C:\Users\Administration\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\W3F96U7S\setup[1].exe

 

PWS:Win32/Fareit

http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?name=PWS%3aWin32%2fFareit&threatid=2147649041

 

Filen läggs automatiskt i Karantän av Microsoft Security Essentials på denna PC.

[PCsnubben]

Inget hittades i de två filerna av virustotal

 

Fortsätter...

[PCsnubben]

Fixlog bifogad

Fixlog.txt

[Cecilia]

Starta gärna en ny tråd för den andra datorn.

 

Har meddelandena om "Flash Player Update" upphört?

[PCsnubben]

Combofix fixade inte problemet.

 

Den lämnade många filer och nån mapp Qoobox

Combofix.txt, Catchlog...

ComboFix.txt

[Cecilia]

VARNINIG -ÅTERSTÄLLNINGSKONSOLEN (WINDOWS RECOVERY CONSOLE) ÄR INTE INSTALLERAD PÅ DEN HÄR DATORN !!

1. Fick du inte upp någon fråga om att installera återställningskonsolen?

Återställningskonsolen är bra att ha om något händer under rensningen så att Windows inte startar.

 

2. Hur länge sen är det som problemet började?

 

3. Spara RougueKiller på Skrivbordet.

http://www.adlice.com/softs/roguekiller/RogueKiller.exe

Stäng av alla program.

Ta bort alla externa enheter, t ex USB-minnen och externa hårddiskar, utom tangentbord och mus. Låt dem vara bortkopplade medan rensningen pågår.

 

Kör RogueKiller (i Vista och Windows 7 högerklicka på programmet och välj "Kör som administratör). Om det inte går att köra så pröva flera gång, men om det fortfarande inte går så pröva med att döpa om programmet till winlogon.exe.

 

Vänta tills "Prescan" har avslutats.

Klicka på "Scan"-knappen uppe till höger.

Vänta tills skanningen är klar.

En rapport "RKreport.txt" ska då ha skapats på Skrivbordet. Klistra in innehållet i den i ditt svar.

 

4. Gör en noggrann skanning med MBAM. Om något hittas klistra in loggen i ditt svar.

 

5. Skanna datorn online på http://www.eset.com/onlinescan/

För att inte skannern ska ta för lång tid på sig stäng av ditt antivirusprogram under tiden.

 

Avbocka alternativet Remove found threats

Bocka för Scan Archives

 

Klicka på Advanced Settings

Bocka för:

Scan for potentially unwanted applications

Scan for potentially unsafe applications

Enable Anti-Stealth Technology

 

Klicka på Start

 

När skanningen är klar klicka på List of found threats, följt av Export to a text file. Spara till en fil på skrivbordet, öppna filen, kopiera resultatet och klistra sedan in det i ditt svar.

[PCsnubben]

Igår satt jag uppkopplad via TeamViewer till denna första problemdator med XP (och den andra datorn jag nämnde med Win7), så vissa saker gick inte att göra pga att nätverksuppkopplingen bröts ibland.

 

Idag är jag på plats, och jag tror inte att problemet sitter i datorerna utan i routern.

Jag anslöt nämligen först min mobil via wifi och sedan även min laptop.

Med båda dessa får jag upp samma sak när jag går till google.com

Dvs antingen en varning om att Internet Explorer bör uppdateras, eller Flash Player.

 

Jag ska testa att fabriksåterställa routern.

Jag har hittat lite info om att vissa TP-Link Routers/Modem kan hackas.
http://www.bleepingcomputer.com/forums/t/526812/help-google-redirects-to-a-fake-flash-player-update-on-both-pc-and-mobile/

http://www.fbi.gov/news/stories/2011/november/malware_110911/DNS-changer-malware.pdf

[PCsnubben]

Eset OnlineScanner har jag också kört.

(På båda datorerna)

Loggar bifogat.

Men problemet kvarstår ändå !

EsetPC1.txt

EsetPC2.txt

[PCsnubben]

Konfigurationen är följande:

 

1st TP-Link ADSL Modem/Router
1st DLINK DIR600 Router

 

Alla datorer och enheter är anslutna till DLINK Routern.

 

Jag har nu uppdaterat firmware i båda.

Efter att ha uppdaterat firmwaren i DLINK ROUTERN verkar problemet ha försvunnit !

[Cecilia]

Ja, routern hade varit mitt nästa förslag. Förutom att någon kan ha hackat routern utifrån internet förekommer det att man får in något skadligt i datorn som loggar in på routern och ändrar DNS-inställningen till en riggad server, som sen serverar annonser och/eller försöker få in mer skadliga program som i detta fall. Det är därför även viktigt att ändra lösenordet för inloggning till routern (inte samma sak som krypteringsnyckeln) . När man uppdaterar firmware i routern brukar alla inställningar återgå till standardvärden, så se till att gå igenom dem, byt inloggningslösenord, krypteringsnyckel och stäng av remote hantering.

 

Nu återstår bara avinstallationer av specialprogrammen:

1. Tryck Windows-tangenten + R
Kopiera och klistra in denna rad:
ComboFix /Uninstall

Observera att det är ett mellanrum före /
Klicka på OK.

2. Ladda ner avinstallationsprogrammet OTC till Skrivbordet: http://oldtimer.geekstogo.com/OTC.exe
Dubbelklicka på filen för att starta programmet.
Tryck på knappen CleanUp! och FRST m.fl. rensningsprogram kommer att avinstalleras efter en omstart av datorn. Ta bort eventuella loggar.

3. Byt alla lösenord som ägaren använder i datorn och på internet eftersom dessa kan ha kommit i orätta händer.
http://mnin.blogspot.com/2009/02/why-i-enjoyed-tiggersyzor.html beskriver ett skadligt program som spionerar genom att ta skärmbilder, logga tangentbordsnedtryckningar och läsa lösenord som är lagrade i webbläsare, epostprogram etc.

4. Förbättra skyddet i datorn, se mina Råd för en säkrare dator: http://ceciliasec.wordpress.com/rad/
Det är mycket viktigt att hålla alla småprogram i datorn uppdaterade, gamla versioner av t ex Flash, Java och Adobe Reader innehåller kända säkerhetshål, vilka kan användas av en webbsida för att infektera datorn. Jag tycker att Secunias program (länk på min webbsida) är en bra hjälp för att kontrollera hur det står till med säkerhetshål i datorn och ange vad som behöver åtgärdas.

[PCsnubben]

OK, tack för hjälpen !