Chrome infekuje komputer - podejrzane procesy od Google w menadżerze zadań, które powodują błędy

[Krzycho92]

Od kilku dni po uruchomieniu komputera automatycznie włącza się przeglądarka Google Chrome (mimo, że nie ma jej w autostarcie) wczytując plik Index.html z internetowego kursu, który pobrałem. W pasku adresu pojawia się lokalizacja tego HTML'a "C:\Users\Krzycho\AppData\Local\Temp". Karty z poprzedniej sesji, które nie zostały zamknięte otwierają się razem z tą "autostartową". Usunąłem ten plik index.html, ale po ponownym uruchomieniu komputera nadal to samo.

Poza tym co jakiś czas pojawia się komunikat Windowsa, aby zezwolić na uruchomienie jakiejś aplikacji o nazwie "1251.exe" - nie pamiętam czy za każdym razem nazwa programu jest ta sama, ale zawsze są to cyfry z rozszerzeniem ".exe".

Dzisiaj natomiast pojawił się już błąd nieznanej mi aplikacji "peverify.exe" (widoczny na screenie). Spojrzałem do menadżera urządzeń, a tam kilka również podejrzanych procesów pochodzących m.in. od Google: "1251.exe" (dwukrotnie), "ariana.exe", "peverify.exe" (dwukrotnie).

Użyłem ADWCleanera, znalazł coś właśnie od Google'a i (chyba) usunął, ale to nic nie dało (załączam log).

 

 

Przy okazji chciałbym poprosić o wskazanie skutecznego i możliwie lekkiego dla systemu operacyjnego narzędzia do ochrony przed infekcjami "łapanymi" przez przeglądarkę bez wiedzy użytkownika. Zwracam uwagę na to co instaluje, ale wydaje mi się, że czasem przeglądarka coś w tle przemyca i przed tym chciałbym się uchronić.

FRST.txt

Addition.txt

Shortcut.txt

AdwCleanerR0.txt

GMER.txt

[picasso]

W Harmonogramie zadań uruchamiają się szkodniki:

 

Task: {A57136FB-14AA-475C-A6D9-90575A2FB5F6} - System32\Tasks\Update\cryptex => C:\Users\Krzycho\AppData\Local\Temp\ariana.exe [2015-04-08] ()

Task: {CCDD0FAA-E2D9-43E1-AD37-33F3945F02DC} - System32\Tasks\Update\Google Update => Chrome.exe

 

Znaleziska AdwCleaner w cache HTML5 Local Storage nie powiązane, AdwCleaner nie widzi tego wcale. Do wdrożenia następujące akcje:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: {A57136FB-14AA-475C-A6D9-90575A2FB5F6} - System32\Tasks\Update\cryptex => C:\Users\Krzycho\AppData\Local\Temp\ariana.exe [2015-04-08] () 
Task: {CCDD0FAA-E2D9-43E1-AD37-33F3945F02DC} - System32\Tasks\Update\Google Update => Chrome.exe
HKU\S-1-5-21-2253125196-3734906773-2982781718-1000\...\Run: [LightShot] => C:\Users\Krzycho\AppData\Local\Skillbrains\lightshot\Lightshot.exe
C:\Program Files (x86)\Temp
C:\Users\Krzycho\AppData\Roaming\EF611A56-1B3A-4EC8-9C3F-71D219768C5E
C:\Users\Krzycho\AppData\Roaming\Imminent
C:\Windows\system32\*.tmp
C:\Windows\System32\Tasks\Update
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Update
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut), zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt.

[Krzycho92]

Po restarcie komputera przez FRST (ukończenie fix'a) Chrome sam się nie uruchomił. Menadżer zadań czysty.

FRST.txt

Addition.txt

Fixlog.txt

[picasso]

Gładko poszło. Kolejna porcja czynności:

 

1. Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

 

2. Przeprowadź pełne skanowanie za pomocą Malwarebytes Anti-Malware i dostarcz wyniki.

[Krzycho92]

AntiMalware nic nie wykrył. Czy mogę go wykorzystywać jako zabezpieczenie przed podobnymi infekcjami, czy był on potrzebny jednorazowo i go usunąć?

Fixlog.txt

AntiMalware.txt

[picasso]

MBAM zostaw sobie do skanów na żądanie, pełna ochrona z rezydentem jest niestety płatna. Skoro program nic nie wykrył, to możemy kończyć:

 

Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zaktualizuj systemowy Internet Explorer (wykrywana strasznie stara wersja IE8). Wszystkie kroki opisane tutaj: KLIK.

[Krzycho92]

Zrobione, wstawiam jeszcze log z Delfixa. Dziękuję za pomoc.

DelFix.txt

[picasso]

Miałeś użyć DelFix do usunięcia narzędzi, a punkty Przywracania systemu wyczyścić ręcznie z poziomu opcji. Natomiast Ty zastosowałeś DelFix do usuwania punktów Przywracania systemu... Czy wybrałeś wcześniej opcję usuwania narzędzi?

[Krzycho92]

(...) Zastosuj DelFix, wyczyść foldery Przywracania systemu (...)

Zrozumiałem to jako "zastosuj Delfix do wyczyszczenia punktów przywracania systemu ". Więc tylko tą opcję zaznaczyłem.

 

Czy mam usunąć Delfix'em narzędzia użyte do dezynfekcji (druga opcja w programie)?

[picasso]

No właśnie o to mi chodziło, by w programie wykonać to co jest w moim opisie narzędzia. W opisie jest wyraźnie powiedziane, by skorzystać z opcji "Remove disinfection tools". Inne nie są wskazywane.

[Krzycho92]

Poprawiłem.

DelFix.txt

[picasso]

Zadanie wykonane. Skasuj z dysku plik C:\Delfix.txt. To tyle.