Problem z usunięciem rozszerzenia w przeglądarce chrome

Dla specjalistów Bezpieczeństwo
#1

Witam Was , mam problem z usunięciem rozszerzenia w przeglądarce chrome , rozszerzenie nazywa się Media Player 1.1 , zaznaczam że używałem już adwcleaner w najnowszej wersji przeszukał system wyrzucił jakieś foldery i wpisy w rejestrze jednak po restarcie jest to samo, nie było żadnego antivirusa na danym komputerze , poniżej wstawiam logi z OTL

 

http://www.wklej.org/id/1279427/

 

http://www.wklej.org/id/1279428/

 

proszę o pomoc,

 

z góry dzięki za odpowiedzi.

#2

Odinstaluj SecretSauce, WPM17.8.0.3325, Media Player.

Pobierz Farbar Recovery Scan Tool 32-Bit Version

Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.

#3

usunięte, proszę:

 

http://www.wklej.org/id/1279450/

 

http://www.wklej.org/id/1279451/

#4

Odinstaluj PDF Reader Packages i Video Player.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
GroupPolicyUsers\S-1-5-21-597050238-2942739233-562214143-1003\User: Group Policy restriction detected <======= ATTENTION
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nationzoom.com/?type=hp&ts=1390223335&from=ild&uid=ST3250820AS_6QE14VKAXXXX6QE14VKA
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.nationzoom.com/?type=hp&ts=1390223335&from=ild&uid=ST3250820AS_6QE14VKAXXXX6QE14VKA
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.nationzoom.com/web/?type=ds&ts=1390223335&from=ild&uid=ST3250820AS_6QE14VKAXXXX6QE14VKA&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.nationzoom.com/?type=hp&ts=1390223335&from=ild&uid=ST3250820AS_6QE14VKAXXXX6QE14VKA
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nationzoom.com/?type=hp&ts=1390223335&from=ild&uid=ST3250820AS_6QE14VKAXXXX6QE14VKA
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.nationzoom.com/web/?type=ds&ts=1390223335&from=ild&uid=ST3250820AS_6QE14VKAXXXX6QE14VKA&q={searchTerms}
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKCU - {324E2EC3-4CF0-4083-B43D-F8EC059ED839} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3288691&CUI=UN17648397872512146&UM=2
BHO: Media Player - {e2c256b5-fb79-483e-bcab-e0b6342d106b} - C:\Program Files\MediaPlayerV1\MediaPlayerV1alpha863\ie\MediaPlayerV1alpha863.dll ()
BHO: Video Player - {f1634095-34ee-449d-af38-c1ebd838cfaf} - C:\Program Files\VideoPlayerV3\VideoPlayerV3beta3774\ie\VideoPlayerV3beta3774.dll ()
FF DefaultSearchEngine: nationzoom
FF HKLM\...\Firefox\Extensions: [ext@VideoPlayerV3beta3774.net] - C:\Program Files\VideoPlayerV3\VideoPlayerV3beta3774\ff
FF Extension: Video Player - C:\Program Files\VideoPlayerV3\VideoPlayerV3beta3774\ff [2014-01-22]
FF HKLM\...\Firefox\Extensions: [ext@MediaPlayerV1alpha863.net] - C:\Program Files\MediaPlayerV1\MediaPlayerV1alpha863\ff
FF Extension: Media Player - C:\Program Files\MediaPlayerV1\MediaPlayerV1alpha863\ff [2014-01-29]
CHR HomePage: hxxp://www.nationzoom.com/?type=hp&ts=1390223335&from=ild&uid=ST3250820AS_6QE14VKAXXXX6QE14VKA
CHR Plugin: (AVG SiteSafety plugin) - C:\Program Files\Common Files\AVG Secure Search\SiteSafetyInstaller\17.0.12\\npsitesafety.dll No File
CHR Plugin: (McAfee Security Scanner +) - C:\Program Files\McAfee Security Scan\3.0.318\npMcAfeeMss.dll No File
CHR Plugin: (Silverlight Plug-In) - C:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll No File
CHR Plugin: (Unity Player) - C:\Users\Dom\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll No File
CHR Extension: (Media Player) - C:\Users\Dom\AppData\Local\Google\Chrome\User Data\Default\Extensions\bcmfdpdbnohgbcfmgdocogkdicgfcnci [2014-01-30]
CHR HKLM\...\Chrome\Extension: [dknkjnkhedbanphkkpbpcgoblmkbfhlf] - C:\Users\Dom\AppData\Local\CRE\dknkjnkhedbanphkkpbpcgoblmkbfhlf.crx [2013-09-04]
CHR HKLM\...\Chrome\Extension: [ihaohmgpipoocphjpdjcklkkoicnceho] - C:\Program Files\VideoPlayerV3\VideoPlayerV3beta3774\ch\VideoPlayerV3beta3774.crx [2014-01-10]
CHR HKLM\...\Chrome\Extension: [pkmpcdbgnfjfeelcpebpkflcmbkclfho] - C:\Users\Dom\AppData\Local\CRE\pkmpcdbgnfjfeelcpebpkflcmbkclfho.crx [2014-01-10]
CHR HKCU\...\Chrome\Extension: [dknkjnkhedbanphkkpbpcgoblmkbfhlf] - C:\Users\Dom\AppData\Local\CRE\dknkjnkhedbanphkkpbpcgoblmkbfhlf.crx [2013-09-04]
CHR HKCU\...\Chrome\Extension: [pkmpcdbgnfjfeelcpebpkflcmbkclfho] - C:\Users\Dom\AppData\Local\CRE\pkmpcdbgnfjfeelcpebpkflcmbkclfho.crx [2013-09-04]
CHR StartMenuInternet: Google Chrome - C:\Program Files\Google\Chrome\Application\chrome.exe http://www.nationzoom.com/?type=sc&ts=1390223335&from=ild&uid=ST3250820AS_6QE14VKAXXXX6QE14VKA
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
C:\Program Files\MediaPlayerV1
C:\ProgramData\WPM
C:\Users\Dom\AppData\Roaming\newnext.me
C:\Users\Dom\AppData\Local\Mobogenie
C:\Users\Dom\AppData\Local\cache
C:\Users\Dom\AppData\Local\Temp\*.exe
C:\Users\Dom\AppData\Local\Temp\*.dll
Task: {0231C16D-C833-47AE-88C7-E59115A22AC7} - System32\Tasks\Torntv V7.0-firefoxinstaller => C:\Program Files\Torntv V7.0\Torntv V7.0-firefoxinstaller.exe <==== ATTENTION
Task: {3A52FCF6-874D-41D6-BC0F-7AA40A99F725} - System32\Tasks\Torntv V7.0-codedownloader => C:\Program Files\Torntv V7.0\Torntv V7.0-codedownloader.exe <==== ATTENTION
Task: {4365DD3A-5ED0-4324-805D-9A9156C68157} - System32\Tasks\Torntv V7.0-chromeinstaller-dev => C:\Program Files\Torntv V7.0\Torntv V7.0-chromeinstaller.exe <==== ATTENTION
Task: {D6510EA1-6A28-4D28-AF26-F8432819CDA2} - System32\Tasks\Torntv V7.0-updater => C:\Program Files\Torntv V7.0\Torntv V7.0-updater.exe <==== ATTENTION
Task: {E51CB401-3E04-45C8-A0C3-2433B451F643} - System32\Tasks\Torntv V7.0-enabler => C:\Program Files\Torntv V7.0\Torntv V7.0-enabler.exe <==== ATTENTION
Task: C:\Windows\Tasks\Torntv V7.0-chromeinstaller-dev.job => C:\Program Files\Torntv V7.0\Torntv V7.0-chromeinstaller.exe <==== ATTENTION
Task: C:\Windows\Tasks\Torntv V7.0-codedownloader.job => C:\Program Files\Torntv V7.0\Torntv V7.0-codedownloader.exe <==== ATTENTION
Task: C:\Windows\Tasks\Torntv V7.0-enabler.job => C:\Program Files\Torntv V7.0\Torntv V7.0-enabler.exe <==== ATTENTION
Task: C:\Windows\Tasks\Torntv V7.0-firefoxinstaller.job => C:\Program Files\Torntv V7.0\Torntv V7.0-firefoxinstaller.exe <==== ATTENTION
Task: C:\Windows\Tasks\Torntv V7.0-updater.job => C:\Program Files\Torntv V7.0\Torntv V7.0-updater.exe <==== ATTENTION

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

#5

http://www.wklej.org/id/1279461/

 

http://www.wklej.org/id/1279462/

 

proszę

 

ps. zauważyłem teraz dopiero że po tym fixie w logu on chcial reset ja tego nie zrobilem tylko od razu dalem opcje scan i wstawilem logi czy to dobrze ?

#6

Trzeba było wyrazić zgodę na restart i również w przypadku AdwCleaner.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.nationzoom.com/?type=sc&ts=1390223335&from=ild&uid=ST3250820AS_6QE14VKAXXXX6QE14VKA
FF Plugin: @google.com/npPicasa3,version=3.0.0 - C:\Users\Dom\Documents\Szkoła\Picasa3\npPicasa3.dll No File
S2 Update Kozaka; "C:\Program Files\Kozaka\updateKozaka.exe" [X]
S3 WinRing0_1_2_0; \??\C:\Program Files\IObit\Game Booster 3\Driver\WinRing0.sys [X]
C:\Users\Dom\AppData\Local\CRE
C:\AdwCleaner

Uruchom FRST i kliknij Fix. Później skasuj folder C:\FRST

Zmień stronę startową w Chrome: Ustawianie strony startowej

Pobierz TFC - Temp File Cleaner Uruchom TFC i kliknij Start.

Usuń stare punkty przywracania:

Aby usunąć wszystkie punkty przywracania

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware PRO.

http://wstaw.org/m/2012/12/29/2012-12-29_005346.png

#7

zrobiłem wszystko jak kazałeś :slight_smile:

 

z chromem i firefoxem wszystko w porządku poznikały rozszerzenia :) 

 

jednak jest lekki problem jeszcze ze stroną startową w firefoxie , jakiego ustawienia bym nie użył zawsze pierwszą stroną jest portal nationzoom :frowning:

#8

W pasek adresu wpisz: about:config

W polu Szukaj wpisz: nationzoom

Teraz kliknij prawym na każdej wartości i wybierz Resetuj.

Jeżeli nadal będzie problem to zresetuj ustawienia:

https://support.mozilla.org/pl/kb/przywracanie-domyslnych-ustawien-firefoksa-latwe-r

#9

w about:config nie widzi danego hasła.

 

po restarcie nadal nationzoom wbija się na stronę startową.

#10

Usuń adres w właściwościach skrótu od przeglądarki:

Kliknij prawym na ikonie od przeglądarki -> Właściwości -> Element docelowy

http://wstaw.org/m/2014/02/22/shortcut-ff-nationzoom.png

#11

dzięki bardzo kolego ! :slight_smile: , rozwiązało to problem.

 

mam jeszcze jedno pytanie mianowicie zaktualizowałem teraz chrome i pojawiło się kilka rzeczy 

 

  1. znowu wpadło rozszerzenie Torntv ( oczywiście skasowałem je )

 

  1. malaware zablokował jakiś adres ip ( z tego co pisało to z chrome ) 

 

czy mam się obawiać czegokolwiek ?

#12

Aktualizacja nie mogła zainstalować szkodliwych dodatków.

Nie ma sensu tego usuwać skoro błyskawicznie ponownie zainfekowałeś system.

MBAM nie może nic blokować gdybyś zainstalował zgodnie z zaleceniami:

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware PRO.

#13

kupiłem pełną wersję malware , stąd mam włączony moduł ochrony . 

 

rozumiem że z powrotem infekcja wróciła ?

#14

Jak to infekcja sama wróciła?

Tego typu programy przeważnie instalują się za zgodą użytkownika, najczęściej jako dodatek do do instalatora normalnego programu. Trzeba dokładnie czytać komunikaty podczas instalacji programów i nie wyrażać zgody na instalacje adware.

Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń. Wyraź zgodę na restart.

#15

jedyne komunikaty jakie wyskakiwały podczas aktualizacji to z chrome były to dwa komunikaty z google update .

przeskanowalem adwcleanerem nic nie znalazl po restarcie w chromie pojawilo sie rozszerzenie Torntv :frowning: nie potrzebnie chyba to aktualizowalem

daj znac czy mam jakies logi wstawiac czy odpuscic :frowning:

#16

Użyj Shortcut Cleaner:

http://www.bleepingcomputer.com/download/shortcut-cleaner/

Pokaż raport FRST i Addition.

#17

http://www.wklej.org/id/1280042/

 

http://www.wklej.org/id/1280043/

 

http://www.wklej.org/id/1280046/

#18

Zmień stronę startową w Chrome.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

SearchScopes: HKLM - DefaultScope value is missing.
S2 eamonm; system32\DRIVERS\eamonm.sys [X]
C:\AdwCleaner
C:\Users\Dom\AppData\Local\genienext
C:\Program Files\VideoPlayerV3
C:\Users\Dom\AppData\Local\Temp\*.exe
MSCONFIG\Services: vToolbarUpdater17.0.12 => 2
MSCONFIG\Services: WsysSvc => 2
MSCONFIG\startupreg: NextLive => C:\Windows\system32\rundll32.exe "C:\Users\Dom\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l

Uruchom FRST i kliknij Fix. Skasuj folder C:\FRST

#19

zrobilem jak powiedziales , pozniej restart i nadal rozszerzenie jest w chromie dodatkowo wlacza sie z automatu tryb programisty

#20

Nie widać żadnego rozszerzenia i nic szkodliwego.

Resetowanie ustawień przeglądarki