Skocz do zawartości

BrowserProtect.exe, Delta Search, Babylon Toolbar - Malware w instalatorze NapiProjekt i zamulenie PC


Gość

Rekomendowane odpowiedzi

Witam,

 

Od ponad 2 tygodni czekam na aktualizację KIS 2013. Najnowsza obecna wersja ma błąd - skanowanie rootkitów w tle zawiesza się i zużywa 100% jednego rdzenia CPU. W związku z tym, miałem wyłączonego KIS i oczywiście coś złapałem... (Po wykonaniu wszystkich niżej wymienionych czynności tymczasowo obszedłem ten problem z KIS wyłączając skanowanie w trakcie bezczynności i wyłączając skanowanie w poszukiwaniu rootkitów).

 

Jestem pewny że przyczyną był jakiś śmieciowy dodatek do NapiProjekt. Aktualizacja PotPlayera jakiś czas temu spowodowała że opcja "Znajdź i dopasuj napisy" zniknęła z menu plików filmowych z prawokliku. W jednym z ostatnich kroków podczas reinstalacji NapiProjekt pojawiło się jakieś info odnośnie śmieciowego dodatku. Nie mogłem go odznaczyć, bo na ekranie nie było żadnego "zaptaszkowanego kwadracika". Dodatkowo wyświetlany tekst o tym dodatku był wcięty w lewy górny róg...

 

Obejrzałem film TPB AFK po czym zauważyłem, że zmieniła się strona główna w Google Chrome, system strasznie mulił. W procesach BrowserProtect.exe od razu wzbudził moje podejrzenia. W awaryjnym usunąłem folder C:\Users\Jacek\AppData\Local\BrowserProtect.exe , wszystkie znalezione w rejestrze wpisy dotyczące BrowserProtect, z Google Chrome usunąłem śmieciowe rozszerzenie Delta Search. Owe rozszerzenie zmieniło stronę główną na Delta Search, więc przywróciłem google.pl . W normalnym trybie usunąłem usługę BrowserProtect, puściłem Malwarebytes Anti-Malware i Kaspersky TDSSKiller, ale nic nie znalazły.

 

Log z AdwCleaner

Po wyżej wymienionych akcjach i przywróceniu domyślnych ustawień IE PC już nie muli. Nie jestem pewny czy coś jeszcze muszę zrobić więc daję logi z OTL:

OTL.txt

Extras.txt

i GMER (Oooo... jest wsparcie dla x64 :) ):

Skanowanie wstępne nawet się nie zaczęło z powodu błędu. W związku z błędem zaptaszkowana była opcja "Quick scan", więc zmieniłem ptaszek na C: . Ponownie wyskoczył wyżej wymieniony błąd oraz taki sam dotyczący C:\Users\Jacek\NTUSER.DAT . Zaraz po tym skan się zakończył, trwał bardzo krótko (za krótko(?)).

Log z GMER

 

 

 Results of screen317's Security Check version 0.99.62  

 Windows 7 Service Pack 1 x64 (UAC is disabled!)

 Internet Explorer 9  

``````````````Antivirus/Firewall Check:``````````````

 Windows Security Center service is not running! This report may not be accurate!

Norton 360    

 WMI entry may not exist for antivirus; attempting automatic update.

`````````Anti-malware/Other Utilities Check:`````````

 Malwarebytes Anti-Malware wersja 1.70.0.1100  

 Driver Cleaner.NET Retail v.3.4.5.0  

 Adobe Reader XI  

 Google Chrome 25.0.1364.172  

 Google Chrome 26.0.1410.43  

````````Process Check: objlist.exe by Laurent````````

`````````````````System Health check`````````````````

 Total Fragmentation on Drive C:  

````````````````````End of Log``````````````````````

Odnośnik do komentarza
  • 2 tygodnie później...
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Właściwie już nic nie ma, wykonaj tylko drobne korekty:

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\Windows\SysWow64\searchplugins
C:\Windows\SysWow64\Extensions

:Commands
[emptytemp]


Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.


Klik w Wykonaj skrypt. Zatwierdź restart.

2. Otwórz Notatnik i wklej w nim:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]

[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]

[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]


Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

3. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

4. Napraw błąd WMI numer 10 nagrany w Dzienniku zdarzeń: KLIK.

5. Wyczyść foldery Przywracania systemu: KLIK.

 

GMER (...) Skanowanie wstępne nawet się nie zaczęło z powodu błędu.

 
Nie jest wykluczona interferencja naboju KIS 2013.



.

Odnośnik do komentarza

1. Zrobiłem, zatwierdziłem restart.

2. Zrobiłem.

3. Zrobiłem.

4. Płytę instalacyjną mam od razu z SP1, ale zastosowałem automatyczną poprawkę.

5. Przywracanie systemu zawsze mam wyłączone.

 

Co do Gmera to możliwe, mimo że oczywiście wyłączyłem KISa przed uruchomieniem GMERa.

 

Dzięki za pomoc. Zawsze wolę jak ktoś spojrzy fachowym okiem na logi.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...