Skocz do zawartości

Po usunięciu wirusa nie otwierają się filmy w Google Chrome


Rekomendowane odpowiedzi

Witam. Po usunięciu wirusa, który tworzył na pulpicie nowe ikony programów, w Google Chrome nie działa odtwarzanie filmów. Nie działa też instalowanie na nowo Google Chrome. Do tego Chrome jest w folderze "Bagsarah". Obecnie działa tylko Chrome w wersji bez instalacji. Poniżej logi, byłby także GMER, ale wywołuje on BSOD i nie da rady zrobić logów.

Shortcut: http://wklej.org/id/3111718/

Addition: http://wklej.org/id/3111719/

FRST: http://wklej.org/id/3111720/

Z góry dziękuję za wszelką udzieloną pomoc w rozwiązaniu problemu.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

System jest zainfekowany przez adware. Widoczne są dwie fałszywki Mozilli FireFox oraz Google Chrome (= choć nie ma oryginalnej wersji). Nie będę się rozpisywać, bo codziennie widzę tu to samo. 

 

Portale z oprogramowaniem / Instalatory - na co uważać 

 

1. Spróbuj uruchomić plik deinstalacyjny (nazwa zbliżona do uninstall.exe) z poziomu tego folderu: C:\Program Files (x86)\UCBrowser.

 

2. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
Task: {0C1D3284-F9EB-44E0-A7F7-3CC3A7352B0A} - System32\Tasks\Semogh Log => C:\Program Files (x86)\Haqayjoby\fujedom.exe [2017-05-11] (Google Inc.)
Task: {B6E4A906-D5D6-4BE8-AD33-C0F5C02D0EC7} - System32\Tasks\Microsoft\Windows\DeviceSettings\Grersk => msiexec.exe /i hxxp://D2bUH1bF1g584W.clOuDfroNt.net/mmtsk/occup.php?p=ST3500418AS_5VMCCGMVXXXX5VMCCGMV&d=20170511 /q 
Task: {02C2A22A-C29D-4D83-8BD7-259FE956A523} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-05-11] (UC Web Inc.) 
Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => 
RemoveDirectory: C:\Program Files (x86)\Haqayjoby
RemoveDirectory: C:\Program Files (x86)\UCBrowser
AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [25444]
AlternateDataStreams: C:\WINDOWS\system32\drivers:x64 [1498914]
AlternateDataStreams: C:\WINDOWS\system32\drivers:x86 [1223458]
FirewallRules: [{158FBB2C-7DB1-4EA0-8AF3-4E10CC2D8C78}] => (Allow) C:\Program Files (x86)\Bagsarah\Application\chrome.exe
FirewallRules: [{28B582FF-A45E-4734-B6B1-E08CB917A5A1}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{E4F68CA9-4FA9-42E4-BE4E-F74481E2F6B1}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe
RemoveDirectory: C:\Program Files (x86)\Bagsarah
RemoveDirectory: C:\Program Files (x86)\Firefox
HKLM\...\Providers\s06ycus6: C:\Program Files (x86)\Semogh Log\local64spl.dll [313856 2017-05-11] ()
C:\Program Files (x86)\Semogh Log
IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe
IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe
ShellExecuteHooks: Brak nazwy - {4EA8E362-3172-11E7-AE20-64006A5CFC23} - C:\Users\Milosz\AppData\Roaming\Przuherderse\Thicole.dll -> Brak pliku
C:\Users\Milosz\AppData\Roaming\Przuherderse
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
ShellIconOverlayIdentifiers: [JzShlobj] -> {9A0700D2-920A-4E52-8697-9B5230C92612} => C:\Program Files (x86)\Maoha\JiSuZip\JZipExt.dll [2016-12-27] (深圳市猫哈网络科技发展有限公司)
C:\Program Files (x86)\Maoha
GroupPolicy: Ograniczenia 
GroupPolicy\User: Ograniczenia 
S2 NPASRE; C:\Users\Milosz\AppData\Local\NPASRE\Snare.dll [830464 2017-05-10] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego]
R2 OneDirveSrv; C:\ProgramData\Microsoft OneDrive\setup\SyncTool.dll [129024 2017-05-10] () [brak podpisu cyfrowego]
S2 JszipService; C:\Program Files (x86)\Maoha\JiSuZip\JszipSvc.exe [X]
R1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [25444 ] (UC Web Inc.) 
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\Users\Milosz\Desktop\Tor Browser\Start Tor Browser.lnk
C:\Users\Milosz\Desktop\Pulpit\Mozilla Firefox.lnk
C:\Users\Milosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\test\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Program Files (x86)\Google
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome
C:\Users\User\AppData\Local\Google
DeleteKey: HKCU\Software\Google
DeleteKey: HKLM\SOFTWARE\Google
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox:

  • Odłącz synchronizację (o ile włączona): KLIK.
  • Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
  • Menu Historia > Wyczyść historię przeglądania.
  • Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin.
  • Ustaw tą przeglądarkę jako domyślną, aby cofnąć modyfikację infekcji.
4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 

 

5. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry).

 

bagsarah;firefox

 

Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 

 

6. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Nie udało się odinstalować programem - chińskie znaki, do tego nic się nie dzieje po użyciu. Usunąłem foldery i został tylko jeden - Security.

Logi:

ADW: http://wklej.org/id/3112313/

Fixlog: http://wklej.org/id/3112314/

Addition: http://wklej.org/id/3112315/

FRST: http://wklej.org/id/3112316/

SearchReg: http://wklej.org/id/3112317/

Shortcut: http://wklej.org/id/3112318/

+ Z czego wynika to, że zwykły antywirus nie jest w stanie usunąć tych wirusów?

Odnośnik do komentarza
  • 2 miesiące temu...

Witam, poproszę o nowy zestaw raportów FRST. Przepraszam za poźną odpowiedź.
 

+ Z czego wynika to, że zwykły antywirus nie jest w stanie usunąć tych wirusów?

 
 
Wynika to z tego, że oprogramowanie zabezpieczające praktycznie wszystkich producentów (prócz MBAM na przykład) ma kolosalny problem z detekcją infekcji adware / PUP. 
 
Te zagrożenia schodzą na drugą półkę - a to wnioskuje właśnie po problemach z detekcjami. Sam zgłaszam tygodniowo kilkadziesiąt próbek z adware / PUP do laboratorium Kasperskiego, by wyeliminować te infekcje przede wszystkim trzeba świadomości użytkowników - dlatego podaje ten artykuł o portalach z oprogramowaniem, które często są temu winne.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...