Websearch Mocaflix w Google Chrome

[archgabriel01]

System: Win Xp

Przeglądarka Chrome

Mocafix ujawnia się przy każdorazowym odpaleniu przeglądarki

 

Dodam tylko, że zainfekowałem tym ustrojstwem frmowy komputer, chyba przez jakis download manager.

 

Proszę o pomoc

Extras.Txt

OTL.Txt

[Landuss]

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKLM\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://websearch.mocaflix.com/?l=1&q={searchTerms}"
IE - HKCU\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = "http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120914&user_guid=F6E967BA8D434379A8D7C27C17F5B0DE&machine_id=4a48ed6e3e2ec516b55f5a1b0ae727d1&browser=IE&os=win&os_version=5.1-x86-SP3&iesrc={referrer:source}"
IE - HKCU\..\SearchScopes\{BB74DE59-BC4C-4172-9AC4-73315F71CFFE}: "URL" = "http://websearch.mocaflix.com/?l=1&q={searchTerms}"
O4 - HKLM..\Run: [Driver Genius]  File not found
 
:Reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about"blank"
 
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Przez Panel sterowania odinstaluj: Download and Sa, PC Optimizer Pro, Search Assistant MocaFlix 1.66, StartNow Toolbar

 

Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

3. Uruchom AdwCleaner z opcji Delete

 

4. Uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowy log z OTL (bez extras)

Edytowane 27 Listopada 2012 przez picasso
Dodane usuwanie Download and Sa, PC Optimizer Pro, Search Assistant MocaFlix 1.66 //picasso

[archgabriel01]

Resetować firefoxa skoro uzywam chroma?

[Landuss]

Tak bo Firefox jest też tym zabrudzony.

[archgabriel01]

Nowy OTL

Wszystko gra?

OTL.Txt

[Landuss]

Wygląda, że jest w porządku. Sam oceń czy problemu już nie ma. Kończymy:

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij przywracanie systemu: KLIK

 

3. Zaktualizuj Firefoxa do wersji najnowszej: KLIK

[archgabriel01]

Wieczorem jak wróce z pracy wrzuce logi z domowego sprzetu bo tez tam się zalęgło.

 

Dziadzisko dalej sie otwiera... pomysły?

[picasso]

archgabriel01 do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcja Edytuj. Posty sklejam.

 

 

Dziadzisko dalej sie otwiera... pomysły?

 

Google Chrome w ogóle nie było tu czyszczone.

 

1. Wejdź do ustawień Google Chrome i w Rozszerzeniach odinstaluj Download and Sa.

 

2. Jeśli po tej operacji nadal będą jakieś przekierowania, kończy się tu operacja z OTL, bo on nic nie widzi więcej i trzeba ręcznie przejrzeć plik preferencji. Skopiuj na Pulpit poniższy plik, shostuj gdzieś i podaj do niego link:

 

C:\Documents and Settings\luku\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

 

 

 

 

.

[archgabriel01]

Pliczek preferences

https://www.dropbox....ic8/Preferences

 

Na wszelki wypadek OTL i Extras

---

Wywaliłem całe "preferences"

Po kilku mintuach dziadostwo pomimo usuniecia w/w pliku dalej sie odnawia.

Help

[picasso]

Logi z OTL po raz ponowny zbędne, przecież je mam z ostatniego podejścia, ostatnie operacje nie mają wybitnego wpływu na zawartość. Usuwam.

 

 

Po kilku mintuach dziadostwo pomimo usuniecia w/w pliku dalej sie odnawia.

 

Ale jakie "usuwanie pliku"?! Pliku Preferences nie masz usuwać na żywca, wstaw go na miejsce.

 

 

1. Przypatrzyłam się bliżej no i zły AdwCleaner używałeś. Wyraźnie kierujemy do przyklejonego, gdzie są jedyne autoryzowane linki i najnowsza wersja. Landuss nie poprosił o log z niego, ale widać dwa wybitne ślady używania staroci. Po pierwsze ten plik na dysku (to nie jest oryginalna instalka):

 

[2012-11-27 10:00:18 | 000,538,941 | ---- | M] () -- C:\Documents and Settings\luku\Desktop\AdwCleaner_www.INSTALKI.pl.exe

 

Po drugie w OTL zmajstrowane tak, jakbyś uruchamiał starą wadliwą wersję AdwCleaner 2.005 (m.in. Instalki podsuwają tę staroć), bo wyzerowane wszystkie domyślne wyszukiwarki Internet Explorer (to był błąd AdwCleaner w wersji 2.005). Bieżąca wersja AdwCleaner to daleko w przodzie 2.009. Zostaw to już, a domyślne wyszukiwarki IE trzeba ręcznie naprawić (i po tym nie uruchamiaj już AdwCleanerr, bo to znów wyzeruje). Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
@="Live Search"
"DisplayName"="@ieframe.dll,-12512"
"URL"="http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
"SuggestionsURLFallback"="http://api.bing.com/qsml.aspx?query={searchTerms}&maxwidth={ie:maxWidth}&rowheight={ie:rowHeight}&sectionHeight={ie:sectionHeight}&FORM=IE8SSC&market={language}"
"FaviconURLFallback"="http://www.bing.com/favicon.ico"
"URL"="http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC"
"FaviconPath"="C:\\Documents and Settings\\luku\\Ustawienia lokalne\\Dane aplikacji\\Microsoft\\Internet Explorer\\Services\\search_{0633EE93-D776-472f-A0FF-E1416B8B2E3A}.ico"
"DisplayName"="Bing"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG > Uruchom ten plik

 

2. Na temat Google Chrome. Zamknij przeglądarkę, nie może być uruchomiona podczas edycji pliku Preferences! Otwórz plik Preferences w Notatniku, wyszukaj frazy urls_to_restore_on_startup, są dwie:

 

      },
     "homepage": "http://www.google.com/",
     "homepage_is_newtabpage": false,
     "session": {
        "restore_on_startup": 4,
        "urls_to_restore_on_startup": [ "http://www.google.pl/", "http://websearch.mocaflix.com/" ]
     }

 

   "session": {
     "restore_on_startup": 4,
     "restore_on_startup_migrated": true,
     "urls_to_restore_on_startup": [ "http://www.google.pl/", "http://websearch.mocaflix.com/" ]
  },

 

I wytnij z nich adres websearch.mocaflix.com doprowadzając do postaci:

 

      },
     "homepage": "http://www.google.com/",
     "homepage_is_newtabpage": false,
     "session": {
        "restore_on_startup": 4,
        "urls_to_restore_on_startup": [ "http://www.google.pl/" ]
     }

 

   "session": {
     "restore_on_startup": 4,
     "restore_on_startup_migrated": true,
     "urls_to_restore_on_startup": [ "http://www.google.pl/" ]
  },

 

3. Przez SHIFT+DEL skasuj z dysku te foldery:

 

C:\Documents and Settings\luku\Application Data\SendSpace

C:\Documents and Settings\All Users\Application Data\PC Optimizer Pro

C:\Documents and Settings\luku\Desktop\Stare dane programu Firefox

C:\Documents and Settings\luku\Desktop\Stare dane programu Firefox-1

 

 

 

 

.

[archgabriel01]

Takie pytanie numer 100 cofać się do kroków z początku tutoriala czy po prostu lecieć już na tym co mi napisałaś?

[picasso]

Zawsze jest aktualny tylko ostatni post z instrukcjami, w przeciwnym wypadku sami zaznaczamy, czyli aktualnie z mojego posta punkty 1 (rekonstrukcja wyszukiwarek IE) + 2 (edycja Preferences Google Chrome) + 3 (usunięcie wyliczonych folderów).

[archgabriel01]

done testuje

Namierzyłem problem nie wiem tylko jak sie go pozbyc.

Mocaflix każdorazowa wraca jeśli zsynchornizuje chroma. Dopoki nie synchronizowalem mocaflix nie działał czyli mocaflix jest zapisany tak jakby u nich w chmurze. Wychodzi na to, że muszę jakoś wyeksportować czystego loga do synchronizacji.

Da się jakoś wyczyscic synchronizacje bez utraty haseł?

[picasso]

Mocaflix każdorazowa wraca jeśli zsynchornizuje chroma.

 

Czyli na serwerze są złe ustawienia i je importujesz. Do wykonania przy zamkniętym Google Chrome edycja pliku Preferences wg wskazówek. Następnie otwórz Google Chrome i w sekcji "Po uruchomieniu" przestaw z "Kontynuuj gdzie skończyłem" na "Otwórz stronę nowej karty". Sprawdź czy rekonfiguracja tego miała odbicie na zapamiętanie nowych danych synchronizacji.

 

 

 

.

[archgabriel01]

Oki doki zsynchronizowałem same hasła i bryka. Teraz musze wyczyscic pozostałe dane na serwerze, żeby nie infekować pozostałych urządzeń.

Widze ze jest taka opcja prze link https://www.google.c...ngs/chrome/sync "Zatrzymać synchronizację i wyczyścić zsynchronizowane dane Chrome?

Czy na pewno chcesz zatrzymać synchronizację i wyczyścić wszystkie zsynchronizowane dane Chrome z serwerów Google?

Tego działania nie można cofnąć, a jego wykonywanie może potrwać kilka godzin." Boli sama myśł ze strace te dane

 

Podsumowując:

Dzięki za pomoc dla Landusa, a w szczególności dla picasso dałaś rade jesteś świetna

Na bank będzie donation z czystej sympatii.

 

Jaką mam pewność, że syf został całkowicie usunięty? Skanować czymś jeszcze aby się upewnić?

 

Wieczorem pojawię się z drugim sprzętem, zasyfionym tym samym

[picasso]

"Zatrzymać synchronizację i wyczyścić zsynchronizowane dane Chrome?

Czy na pewno chcesz zatrzymać synchronizację i wyczyścić wszystkie zsynchronizowane dane Chrome z serwerów Google?

Tego działania nie można cofnąć, a jego wykonywanie może potrwać kilka godzin." Boli sama myśł ze strace te dane

 

Trudno, musisz wyczyścić dane zapisane w chmurze, by przestały się powielać niepożądane ustawienia. Poza tym, aktualnie lokalne Google Chrome ma zapisane określone ustawienia i hasła, te dane po ponownej aktywacji synchronizacji powinny zostać zapisane na serwerze.

 

 

Jaką mam pewność, że syf został całkowicie usunięty? Skanować czymś jeszcze aby się upewnić?

 

Na tyle na ile sprawdziłam raporty jest w porządku. Za bardzo nie ma też tu jakiego skanera dobrać, specjalizowany w adware AdwCleaner był już używany.

 

 

 

 

.

[archgabriel01]

Witam. Przepraszam, że wczoraj się nie pojawiłem, ale po pracy najzwyczajniej padłem na ryja ze zmęczenia.

Wracam z tematem Mocaflix.

System Win 7

Mocaflix ujawnia się przy każdorazowym odpaleniu przeglądarki.

Załączam logi z drugiego i ostatniego zainfekowanego komputera.

Możemy zaczynać akcję dewastację mocaflixa

OTL.Txt

Extras.Txt

[picasso]

Tematy łączę razem, bo to się zazębia. W tych logach nie ma ani śladu Mocaflix, czyli dane są w Google Chrome na poziomie tu niewidzialnym, a nabyte pewnie przez ową nieszczęsną synchronizację. Do wykonania:

 

1. Zamknij przeglądarkę Google Chrome, nie może być uruchomiona w procesach, w przeciwnym wypadku Preferences ulegnie uszkodzeniu. Otwórz w Notatniku plik:

 

C:\Users\luk\AppData\Local\Google\Chrome\User Data\Default\Preferences

 

Wyszukaj frazy urls_to_restore_on_startup i zastąp / wymaż adresy. Po edycji uruchom przeglądarkę i sprawdź czy to bagno gdzieś się jeszcze pojawia.

 

2. Druga sprawa. I tu wygląda na to, że używałeś przestarzały AdwCleaner 2.005 z błędem. Masz kompletnie wyrąbane wyszukiwarki Internet Explorer. Naprawiaj. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
@="Bing"
"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"
"DisplayName"="@ieframe.dll,-12512"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
@="Bing"
"URL"="http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC"
"DisplayName"="@ieframe.dll,-12512"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

3. Odinstaluj adware Deinstalator Strony V9 i jakiś podrzejrzany zestaw Premium Access, XXX Access.

 

4. Uwaga dodatkowa: HiJackThis usuń. Tu jest system 64-bit, a HijackThis nie jest z nim kompatybilny, przedstawia błędne dane, bo nie ma dostępu do części stricte 64-bitowej.

 

 

 

 

.

[archgabriel01]

Wydaje mi sie ze ok, ale tego mocaflix w preferences znalazłem wiecej niz 2 wpisy. Ctl + F i po frazie "moca" znalazłem z 4-5 wszystkie usunalem.

Wyglada na to ze ok.

-premium access, xxx access to moje aplikacje

[picasso]

Znalazłeś jeszcze pewnie w dns prefetching, ale to nie ma znaczenia, bo to tylko cache uruchamianych stron (dynamicznie aktualizowane). Istotne jest usunięcie adresów uruchomieniowych. Kończąc sprawy:

 

1. Wyczyść foldery Przywracania systemu: KLIK.

 

2. Zaktualizuj Windows i programy: KLIK. Wg raportu system w ogóle nie aktualizowany oraz zainstalowane:

 

64bit- Ultimate Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
""Office14.PROPLUSR" = Microsoft Office Professional Plus 2010
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla IE)
"FileZilla Client" = FileZilla Client 3.5.3
"Mozilla Firefox 16.0.1 (x86 pl)" = Mozilla Firefox 16.0.1 (x86 pl)
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_287.dll ()
FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation)

 

W podsumowaniu: deinstalacja starszych Adobe + Silverlight i zastąpienie najnowszymi, aktualizacja Firefox i FileZilla, instalacja SP1 dla Office 2010, pełna aktualizacja Windows 7 (SP1 + IE9 + reszta łat). Instalacja IE9 jest istotna, mimo nie używania go (silnik używany i tak przez różne funkcje Windows).

 

 

.

[archgabriel01]

Ostatnie pytanie czy mocaflix to zwykła robaczna przeglądarka czy jest też może na tyle złośliwe, że wykrada dane?

[picasso]

To mi wygląda na zwykłe adware, które uprzykrza życie, przekierowuje na sponsorowane linki i być może pobiera jakieś statystyki użytkowe w rozumieniu "pod content reklamodawczy". Nie jest to trojan.

 

 

 

.