video player virus ?

[matikolud]

Witam jak w temacie brat wstawił jakiś plik o nazwie video player i pooznaczał znajomych no to pobrałem i uruchomiłem i nic się nie wyświetliło , a teraz przeglądarka google chrome zgłupiała , ponieważ gdy chcę otworzyć ustawienia to jest ok , ale gdy klikam żeby powrócić do ustawień fabrycznych to klikam i mi znikają ustawienia i wraca do strony głównej google.pl identycznie jest jak chcem zobaczyć rozszerzenia klikam i od razu się zamyka , dodatkowo np jak wchodzę na maila czy facebooka , to nie ma zielonej kłódki tylko jest przy tym żółty trójkącik  ( a po pewnym czasie się dowiaduje że to mu samo wskoczyło bo też od kogoś pobrał i to jest virus ...) , z góry dziękuję za odpowiedź .

Pozdrawiam

 

Extras.Txt

OTL.Txt

Addition.txt

FRST.txt

gmer.txt

[picasso]

Ten ten plik "Video Player" to był link inicjujący infekcję. W starcie uruchamia się niejaki "fact-update.exe". Do wykonania:

 

1. Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-3372699847-3746653199-2843972665-1000\...\Run: [Fact - Update Service] => C:\Users\mati\AppData\Local\fact-update.exe [584704 2014-05-28] ()
C:\Users\mati\AppData\Local\fact-update.exe
C:\Windows\SysWOW64\sqlite3.dll
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
FF HKLM-x32\...\Firefox\Extensions: [{ABDE892B-13A8-4d1b-88E6-365A6E755758}] - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext
FF HKLM-x32\...\Firefox\Extensions: [fe_12.0@nokia.com] - C:\Program Files (x86)\Nokia\Nokia Suite\Connectors\Bookmarks Connector\FirefoxExtension_12.0
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Start GeekBuddy.lnk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ALLUpdate" f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnTBMon" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BlazeServoTool" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\bpk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\COMODO Internet Security" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gadu-Gadu 10" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\IPLA!" f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Nonoh" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QuickTime Task" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RocketDock" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Skype" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Steam" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\tvncontrol" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WebCake Desktop" /f
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy objawy ustały.

 

 

 

.

[matikolud]

Niestety dalej gdy klikam w narzędzia a następnie rozszerzenia, google chrome się zamyka , zapomniałem dodać że np niektóre strony które chcem otworzyć , się nie otwierają i dostaje komunikat .

Rozszerzenie innej firmy zablokowało dostęp do tej strony.

Wyłącz rozszerzenia, a następnie ponownie załaduj tę stronę internetową

 

Kod błędu: ERR_BLOCKED_BY_CLIENT

 

avast pokazuje coś takiego

URL hxxp://vatansana.com/box/fb.php?0.31028873287141323|{gzip} Infekcja JS:Decode-BTB [Trj]

Fixlog.txt

2frst.txt

[picasso]

Niestety dalej gdy klikam w narzędzia a następnie rozszerzenia, google chrome się zamyka

W takim układzie rzuca się w oczy niezdefiniowane rozszerzenie "Novalx" zamontowane w Google Chrome, identyfikator unikatowy (Twój temat jest jedynym). Kolejne działania:

 

1. Otwórz Notatnik i wklej w nim:

 

CHR Extension: (Novalx) - C:\Users\mati\AppData\Local\Google\Chrome\User Data\Default\Extensions\pclbjfileoiccmnljjmamenllkhcgbjn [2014-05-29]

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

2. W Google Chrome spróbuj przeprowadzić to:

• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki.
• Ustawienia > karta Historia > wyczyść
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

Podaj co się dzieje.

 

 

 

.

[matikolud]

Wszystko jest okej, dzięki tej linijce poniżej

 

CHR Extension: (Novalx) - C:\Users\mati\AppData\Local\Google\Chrome\User Data\Default\Extensions\pclbjfileoiccmnljjmamenllkhcgbjn [2014-05-29]

 

ponieważ gdy kliknąłem w fix i następnie miałem zresetować chrome , a wcześniej już próbowałem zresetować i nie szło a teraz jak kliknąłem i się zresetowała to git . Tak więc bardzo dziękuję za pomoc ( rozszerzenia też już działają i wszystko jest szyfrowane mowa np o mailu i facebooku )

Pozdrawiam .

[picasso]

Czy w Google Chrome wykonałeś wszystkie trzy zalecone akcje, nie tylko reset przeglądarki? Na zakończenie:

 

1. Uruchom TFC - Temp Cleaner.

 

2. Usuń używane narzędzia z folderu C:\Users\mati\Desktop\Nowy folder (2). Zastosuj DelFix.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Te dwa programy Adobe zaktualizuj:

 

==================== Installed Programs ======================
 

Adobe Reader XI - Polish (HKLM-x32\...\{AC76BA86-7AD7-1045-7B44-AB0000000001}) (Version: 11.0.00 - Adobe Systems Incorporated)

Adobe Shockwave Player 12.0 (HKLM-x32\...\Adobe Shockwave Player) (Version: 12.0.6.147 - Adobe Systems, Inc.)

 

 

 

.

[matikolud]

Adobre reader wyświetlił że mam najnowszą wersję , shockwave player zaaktualizowany , wszystkie punkty powyżej wykonane , tyle że jak otwieram chrome to usuwa mi się dodatek ad block , ciągle muszę włączać avast online secruity i jak usuwam dodatek novalx to się usuwa a jak zamknę chrome i otwieram ponownie to znowu muszę włączyć avasta , ściągnąc ad blocka i odinstalować novalx .

[picasso]

tyle że jak otwieram chrome to usuwa mi się dodatek ad block , ciągle muszę włączać avast online secruity i jak usuwam dodatek novalx to się usuwa a jak zamknę chrome i otwieram ponownie to znowu muszę włączyć avasta , ściągnąc ad blocka i odinstalować novalx

Poproszę o nowy raport FRST, włącznie z Addition.

 

 

Adobre reader wyświetlił że mam najnowszą wersję

Wg Twojego raportu Addition jest tu zainstalowana wersja 11.0.00. Najnowsza to 11.0.07. Link w przyklejonym: KLIK.

 

 

 

.

[matikolud]

Logi

Addition.txt

FRST.txt

[picasso]

Nic tu nowego nie widać. To mi pachnie uszkodzonym profilem.

 

1. Poproszę o odtworzenie tego wadliwego układu, tzn. doprowadź do stanu, gdy otwierasz Chrome i: brakuje Ad-blocka, Avast jest wyłączony, a Novalx na miejscu. Gdy ten układ uzyskasz, skopiuj na Pulpit cały folder:

 

C:\Users\mati\AppData\Local\Google\Chrome\User Data\Default

 

Spakuj do ZIP, shostuj gdzieś i podaj do tego link.

 

2. Następnie w oryginalnej lokalizacji User Data usuń folder Default i uruchom Google Chrome. Zrzuci nowy czysty profil. Zainstaluj AdBlocka. Następnie sprawdź co się dzieje przy kolejnych startach Google.

 

 

 

.

[matikolud]

teraz w avascie wyskoczyło 

hxxp://66.199.231.59/d73d63fc

 

URL:Mal URL:Mal

link : http://www.speedyshare.com/3Q9Hz/Default.7z

jak chcem usunąć default to pisze

że potrzebuję uprawnień do wykonania tej akcji .

[picasso]

Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: C:\Users\mati\AppData\Local\Google\Chrome\User Data\Default

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

.

[matikolud]

Log

Fixlog.txt

[picasso]

Komenda nie podołała. Przejdź w Tryb awaryjny Windows i ponów to co podałam. Dostarcz wynikowy fixlog.txt.

 

 

.

[matikolud]

Proszę bardzo log z trybu awaryjnego

Fixlog.txt

[picasso]

Niestety folder jest zablokowany i nie udało się. Z pewnością to jego blokada jest przyczyną niemożności utrzymania układu rozszerzeń (zmiany się po prostu nie zapisują). Zanim podam bardziej radykalne metody sprawdź może czy reinstalacja Google Chrome coś tu zdziała. Folder "Default" z profilem jest skopiowany na Pulpit, więc w razie czego jakiś plik stamtąd będzie można potem odtworzyć.

 

Odinstaluj Google Chrome via Panel sterowania. Przy deinstalacji odpowiedz twierdząco na pytanie o usuwanie danych użytkownika. Po tej akcji sprawdź czy na dysku ostał się folder i czy można go ruszyć / skasować:

 

C:\Users\mati\AppData\Local\Google\Chrome

 

 

.

[matikolud]

Jest wszystko okej , nic się już samo nie kasuję , jak ustawiam tak zostaje , więc dziękuję bardzo raz jeszcze .

Pozdrawiam .