Po usunięciu wirusa nie otwierają się filmy w Google Chrome

[ullortnaci]

Witam. Po usunięciu wirusa, który tworzył na pulpicie nowe ikony programów, w Google Chrome nie działa odtwarzanie filmów. Nie działa też instalowanie na nowo Google Chrome. Do tego Chrome jest w folderze "Bagsarah". Obecnie działa tylko Chrome w wersji bez instalacji. Poniżej logi, byłby także GMER, ale wywołuje on BSOD i nie da rady zrobić logów.

Shortcut: http://wklej.org/id/3111718/

Addition: http://wklej.org/id/3111719/

FRST: http://wklej.org/id/3111720/

Z góry dziękuję za wszelką udzieloną pomoc w rozwiązaniu problemu.

[Miszel03]

System jest zainfekowany przez adware. Widoczne są dwie fałszywki Mozilli FireFox oraz Google Chrome (= choć nie ma oryginalnej wersji). Nie będę się rozpisywać, bo codziennie widzę tu to samo. 

 

Portale z oprogramowaniem / Instalatory - na co uważać 

 

1. Spróbuj uruchomić plik deinstalacyjny (nazwa zbliżona do uninstall.exe) z poziomu tego folderu: C:\Program Files (x86)\UCBrowser.

 

2. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
Task: {0C1D3284-F9EB-44E0-A7F7-3CC3A7352B0A} - System32\Tasks\Semogh Log => C:\Program Files (x86)\Haqayjoby\fujedom.exe [2017-05-11] (Google Inc.)
Task: {B6E4A906-D5D6-4BE8-AD33-C0F5C02D0EC7} - System32\Tasks\Microsoft\Windows\DeviceSettings\Grersk => msiexec.exe /i hxxp://D2bUH1bF1g584W.clOuDfroNt.net/mmtsk/occup.php?p=ST3500418AS_5VMCCGMVXXXX5VMCCGMV&d=20170511 /q 
Task: {02C2A22A-C29D-4D83-8BD7-259FE956A523} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-05-11] (UC Web Inc.) 
Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => 
RemoveDirectory: C:\Program Files (x86)\Haqayjoby
RemoveDirectory: C:\Program Files (x86)\UCBrowser
AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [25444]
AlternateDataStreams: C:\WINDOWS\system32\drivers:x64 [1498914]
AlternateDataStreams: C:\WINDOWS\system32\drivers:x86 [1223458]
FirewallRules: [{158FBB2C-7DB1-4EA0-8AF3-4E10CC2D8C78}] => (Allow) C:\Program Files (x86)\Bagsarah\Application\chrome.exe
FirewallRules: [{28B582FF-A45E-4734-B6B1-E08CB917A5A1}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{E4F68CA9-4FA9-42E4-BE4E-F74481E2F6B1}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe
RemoveDirectory: C:\Program Files (x86)\Bagsarah
RemoveDirectory: C:\Program Files (x86)\Firefox
HKLM\...\Providers\s06ycus6: C:\Program Files (x86)\Semogh Log\local64spl.dll [313856 2017-05-11] ()
C:\Program Files (x86)\Semogh Log
IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe
IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe
ShellExecuteHooks: Brak nazwy - {4EA8E362-3172-11E7-AE20-64006A5CFC23} - C:\Users\Milosz\AppData\Roaming\Przuherderse\Thicole.dll -> Brak pliku
C:\Users\Milosz\AppData\Roaming\Przuherderse
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
ShellIconOverlayIdentifiers: [JzShlobj] -> {9A0700D2-920A-4E52-8697-9B5230C92612} => C:\Program Files (x86)\Maoha\JiSuZip\JZipExt.dll [2016-12-27] (深圳市猫哈网络科技发展有限公司)
C:\Program Files (x86)\Maoha
GroupPolicy: Ograniczenia 
GroupPolicy\User: Ograniczenia 
S2 NPASRE; C:\Users\Milosz\AppData\Local\NPASRE\Snare.dll [830464 2017-05-10] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego]
R2 OneDirveSrv; C:\ProgramData\Microsoft OneDrive\setup\SyncTool.dll [129024 2017-05-10] () [brak podpisu cyfrowego]
S2 JszipService; C:\Program Files (x86)\Maoha\JiSuZip\JszipSvc.exe [X]
R1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [25444 ] (UC Web Inc.) 
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\Users\Milosz\Desktop\Tor Browser\Start Tor Browser.lnk
C:\Users\Milosz\Desktop\Pulpit\Mozilla Firefox.lnk
C:\Users\Milosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\test\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Program Files (x86)\Google
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome
C:\Users\User\AppData\Local\Google
DeleteKey: HKCU\Software\Google
DeleteKey: HKLM\SOFTWARE\Google
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść historię przeglądania.
• Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin.
• Ustaw tą przeglądarkę jako domyślną, aby cofnąć modyfikację infekcji.

4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 

 

5. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry).

 

bagsarah;firefox

 

Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 

 

6. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

[ullortnaci]

Nie udało się odinstalować programem - chińskie znaki, do tego nic się nie dzieje po użyciu. Usunąłem foldery i został tylko jeden - Security.

Logi:

ADW: http://wklej.org/id/3112313/

Fixlog: http://wklej.org/id/3112314/

Addition: http://wklej.org/id/3112315/

FRST: http://wklej.org/id/3112316/

SearchReg: http://wklej.org/id/3112317/

Shortcut: http://wklej.org/id/3112318/

+ Z czego wynika to, że zwykły antywirus nie jest w stanie usunąć tych wirusów?

[Miszel03]

Witam, poproszę o nowy zestaw raportów FRST. Przepraszam za poźną odpowiedź.
 

+ Z czego wynika to, że zwykły antywirus nie jest w stanie usunąć tych wirusów?

 
 
Wynika to z tego, że oprogramowanie zabezpieczające praktycznie wszystkich producentów (prócz MBAM na przykład) ma kolosalny problem z detekcją infekcji adware / PUP. 
 
Te zagrożenia schodzą na drugą półkę - a to wnioskuje właśnie po problemach z detekcjami. Sam zgłaszam tygodniowo kilkadziesiąt próbek z adware / PUP do laboratorium Kasperskiego, by wyeliminować te infekcje przede wszystkim trzeba świadomości użytkowników - dlatego podaje ten artykuł o portalach z oprogramowaniem, które często są temu winne.