Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

[Rozwiązano] Odtwarzanie się reklam po Chińsku na starcie systemu lub podczas korzystania.

cebuleq 22 Kwi 2018 09:38 333 16
  • #1 22 Kwi 2018 09:38
    cebuleq
    Poziom 3  

    Dzień dobry,

    Na wstępie chciałem zaznaczyć, że moja wiedza na temat zawiłości w komputerach jest naprawdę niewielka więc proszę o wyrozumiałość.

    Od jakiegoś czasu borykałem się z wirusem (?) który próbował się połączyć z chińskimi ip, które z kolei blokował nod (tak co kilka minut). Trochę to było denerwujące, ale żaden antywir nic nie znajdował, skanery tak samo, więc próbowałem na własną rękę coś robić poprzez czyszczenie rejestru, wyłączanie usług itd. Z tego co pamiętam to doszedłem, że to cholerstwo siedzi w explorer.exe (ale pewności nie mam czy moja dedukcja była odpowiednia). W internecie niestety niewiele było o tym napisane, lub ja nie potrafiłem znaleźć. Metodą prób i błędów komputer w końcu przestał próbować łączyć się z tymi Chińskimi serverami, choć nie wiem czy to moja zasługa czy coś innego się wydarzyło. Sprzęt mimo, że całkiem niezły to chodził mi może nienajszybciej ale w miarę, więc uznałem że problem jest chyba rozwiązany tylko że system stoi od 3 czy 4 lat bez formatu więc ma prawo działać trochę wolniej.
    Minęło +/- 3 miesiące...
    Niestety wczoraj podczas oglądania Netflixa ni stąd ni z owąd zaczęła odtwarzać mi się reklama po Chińsku (taka 2 minutowa mniej więcej). Myślałem ze to z innej zakładki, ale na pewno nie, bo zresetowałem komputer i po 20 minutach oglądania dalej Netflixa znów się odtworzyło to samo. Problem chyba nie leży też w przeglądarce, bo teraz uruchomiłem komputer i reklama zaczęła grać na dzień dobry.

    Po włączeniu msconfig odhaczyłem "diagnostic startup" zresetowałem komputer i jak na razie minęło ok pół godziny, a reklamy nie ma.
    Zdaję sobie sprawę, że problem w komputerze siedzi dalej i trzeba go raz a dobrze zlikwidować. Niestety nie mam zadnego backupu (czego bardzo żałuję) więc chciałbym uniknąć formatu.

    Czy możecie pomóc?

    Logi z Farbar (widziałem, że kilku osobom pomogliście poprzez ten program) w załączniku.

    Z góry bardzo dziękuję.

    0 16
  • Pomocny post
    #2 22 Kwi 2018 10:26
    krzychupar
    Poziom 40  

    Otwórz notatnik systemowy i wklej:

    CustomCLSID: HKU\S-1-5-21-2281362827-2091213084-196170869-1000_Classes\CLSID\{1F9099B6-6157-DADC-68B2-71F43D6805FF}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-2281362827-2091213084-196170869-1000_Classes\CLSID\{2E9099B6-6157-DADC-68B2-71F43D6805FF}\InprocServer32 -> no filepath
    Task: {0BD758E1-B380-47CB-AB8A-45AD4D042291} - System32\Tasks\{0A4CD889-18F5-4B02-BF11-A0279EB8FE6B} => C:\Windows\system32\pcalua.exe -a "F:\Z\OtherDriver\Intel SCT\Setup.exe" -d "F:\Z\OtherDriver\Intel SCT" -c -s
    Task: {BFD7BC88-884D-4EA4-A30E-6C340E2E3C0C} - System32\Tasks\Opera scheduled Autoupdate 1429353977 => C:\Program Files (x86)\Opera\launcher.exe
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
    HKU\S-1-5-21-2281362827-2091213084-196170869-1000\...\MountPoints2: {1486d503-61a4-11e7-a87c-ba57e8679c6a} - F:\AutoRun.exe
    HKU\S-1-5-21-2281362827-2091213084-196170869-1000\...\MountPoints2: {152e3dc5-019b-11e7-9a3c-d8cb8a1b38c8} - H:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2281362827-2091213084-196170869-1000\...\MountPoints2: {44de8d6e-e192-11e7-9e63-8aa0fd586af8} - H:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2281362827-2091213084-196170869-1000\...\MountPoints2: {5b149958-24c2-11e5-b9cb-d8cb8a1b38c8} - E:\setup.exe
    HKU\S-1-5-21-2281362827-2091213084-196170869-1000\...\MountPoints2: {a0aed44f-4bb7-11e7-b72a-806e6f6e6963} - F:\AutoRun.exe
    HKU\S-1-5-21-2281362827-2091213084-196170869-1000\...\MountPoints2: {a0aed4a7-4bb7-11e7-b72a-801f02df0654} - F:\AutoRun.exe
    HKU\S-1-5-21-2281362827-2091213084-196170869-1000\...\MountPoints2: {bfc0afa6-67bb-11e6-a513-d8cb8a1b38c8} - F:\autorun.exe
    HKU\S-1-5-21-2281362827-2091213084-196170869-1000\...\MountPoints2: {e43935e5-6859-11e5-9a24-d8cb8a1b38c8} - F:\startme.exe
    GroupPolicy: Restriction - Windows Defender <==== ATTENTION
    SearchScopes: HKLM -> DefaultScope value is missing
    SearchScopes: HKLM-x32 -> DefaultScope value is missing
    CHR HKU\S-1-5-21-2281362827-2091213084-196170869-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-2281362827-2091213084-196170869-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
    S3 MpKslFakeKy; no ImagePath
    S3 MpKslFakeKy; no ImagePath
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze, gdzie masz FRST.exe.
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • #3 22 Kwi 2018 11:23
    cebuleq
    Poziom 3  

    Zrobiłem jak napisałeś. Podczas naprawy zawiesiło się wszystko kompletnie (czekałem ze 20 minut). Program nie odpowiadał, cały Windows się zwiesił. Zrestartowałem go przyciskiem na blaszaku. Wyskoczył log ze fix zakończony, ale Windows odpalił się jakby w ramówce z trybu awaryjnego (pasek tak wyglądał i okienka). Uznałem, że zrobię mu jeszcze raz "fix" i normalnie teraz już program skończył skanowanie i zresetował komputer. Przy resecie niestety bluescreen. Dwa razy zrobil sie bluescreen i Windows z tego co zrozumiałem wrócił do stanu sprzed kilku dni (rzeczywiście jeda aplikacja ktora zaktualizowala logo ma je znowu stare). Niestety znowu na dzień dobry słyszę to Chińskie dziecko jak z reklamy.
    Aha, mimo że system zrobił ten backup na kilka dni wstecz to wyskoczył mi fixlog jak włączyłem FRST.

    Czy próbować zrobić fix ponownie?
    Fixlog w zalączniku.

    Z góry dziękuję za odpowiedź.

    0
  • #4 22 Kwi 2018 11:52
    Kolobos
    Spec od komputerów

    Zamiesc nowe logi z FRST, ze skanowania.

    0
  • #6 22 Kwi 2018 12:04
    Kolobos
    Spec od komputerów

    Nic specjalnego tutaj nie widac.

    Wykonaj Fixlist.txt dla FRST:
    CustomCLSID: HKU\S-1-5-21-2281362827-2091213084-196170869-1000_Classes\CLSID\{1F1F3F6C-D01D-6DE2-541C-97B4741E23A7}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-2281362827-2091213084-196170869-1000_Classes\CLSID\{1F9099B6-6157-DADC-68B2-71F43D6805FF}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-2281362827-2091213084-196170869-1000_Classes\CLSID\{2E1F3F6C-D01D-6DE2-541C-97B4741E23A7}\InprocServer32 -> no filepath
    CustomCLSID: HKU\S-1-5-21-2281362827-2091213084-196170869-1000_Classes\CLSID\{2E9099B6-6157-DADC-68B2-71F43D6805FF}\InprocServer32 -> no filepath
    HKU\S-1-5-21-2281362827-2091213084-196170869-1000\...\MountPoints2: {1486d503-61a4-11e7-a87c-ba57e8679c6a} - F:\AutoRun.exe
    HKU\S-1-5-21-2281362827-2091213084-196170869-1000\...\MountPoints2: {152e3dc5-019b-11e7-9a3c-d8cb8a1b38c8} - H:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2281362827-2091213084-196170869-1000\...\MountPoints2: {44de8d6e-e192-11e7-9e63-8aa0fd586af8} - H:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2281362827-2091213084-196170869-1000\...\MountPoints2: {5b149958-24c2-11e5-b9cb-d8cb8a1b38c8} - E:\setup.exe
    HKU\S-1-5-21-2281362827-2091213084-196170869-1000\...\MountPoints2: {a0aed44f-4bb7-11e7-b72a-806e6f6e6963} - F:\AutoRun.exe
    HKU\S-1-5-21-2281362827-2091213084-196170869-1000\...\MountPoints2: {a0aed4a7-4bb7-11e7-b72a-801f02df0654} - F:\AutoRun.exe
    HKU\S-1-5-21-2281362827-2091213084-196170869-1000\...\MountPoints2: {bfc0afa6-67bb-11e6-a513-d8cb8a1b38c8} - F:\autorun.exe
    HKU\S-1-5-21-2281362827-2091213084-196170869-1000\...\MountPoints2: {e43935e5-6859-11e5-9a24-d8cb8a1b38c8} - F:\startme.exe
    SearchScopes: HKLM -> DefaultScope value is missing
    SearchScopes: HKLM-x32 -> DefaultScope value is missing
    C:\Users\Sebastian\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi
    FF HKU\S-1-5-21-2281362827-2091213084-196170869-1000\...\Firefox\Extensions: [acewebextension_unlisted@acestream.org] - C:\Users\Sebastian\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi
    C:\Users\Sebastian\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi
    FF Extension: (__MSG_extName__) - C:\Users\Sebastian\AppData\Roaming\ACEStream\extensions\awe\firefox\acewebextension_unlisted.xpi [2018-01-24]
    C:\Users\Sebastian\AppData\Local\Google\Chrome\User Data\Default\Extensions\mjbepbhonbojpoaenhckjocchgfiaofo
    CHR Extension: (Ace Script) - C:\Users\Sebastian\AppData\Local\Google\Chrome\User Data\Default\Extensions\mjbepbhonbojpoaenhckjocchgfiaofo [2018-02-20]
    CHR HKU\S-1-5-21-2281362827-2091213084-196170869-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-2281362827-2091213084-196170869-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx
    S4 YT Updater Service; C:\Program Files (x86)\Common Files\YT Updater\ytupdater.exe [16384 2015-01-26] (hxxp://ytdownloader.biz/) [File not signed]

    0
  • #7 22 Kwi 2018 12:17
    cebuleq
    Poziom 3  

    Zrobione, ale niestety nie pomogło. A nie ma możliwości "przyłapania" wirusa na gorącym uczynku jak odtwarza te rzeczy na zasadzie wyłapania jaki proces nadaje głos? Teraz to trwa już ładnych kilka minut, więc czasu miałbym wystarczająco chyba.

    0
  • Pomocny post
    #8 22 Kwi 2018 12:24
    Kolobos
    Spec od komputerów

    Problem wystepuje w Chrome? Jezeli tak to usun katalog profilu przegaladarki oraz dane synchronizacji z konta google. Wczesniej zgraj zakladki o ile sa Ci potrzebne.

    0
  • #9 22 Kwi 2018 12:40
    cebuleq
    Poziom 3  

    Ok, wyrzuciłem całą zawartość folderu "user data" (6GB), mam nadzieję ze o ten chodziło. Nie wszystkie pliki dały się usunąć, chrome zaczął działać dziwacznie więc usunąłem może zbyt dużo lub nie to co trzeba ale... wciąż jestem zalogowany. Może chodziło o inny folder?

    Był przypadek, że głos pojawił się zanim zdążyłem cokolwiek kliknąć, więc chyba niekoniecznie Chrome. Ale zwróciłem uwagę, że jak włącza się komputer to jako 1 rzecz wyskakuje aktualizacja adobe, a ja mam wyłączony autostart dla adobe, więc może tam jest ukryty wirus?

    0
  • Pomocny post
    #10 22 Kwi 2018 15:17
    Kolobos
    Spec od komputerów

    Miales usunac tylko: C:\Users\Sebastian\AppData\Local\Google\Chrome\User Data\Default

    Czy przy wylaczonym Chrome lub wlaczonej innej przegladarce tez slychac ten glos?

    Wykonaj jeszcze taki Fixlist.txt:
    Task: {2F7B7ECB-AF6F-4C6A-99D0-5467B6A52A00} - System32\Tasks\WiseCleaner\WRCSkipUAC => C:\Program Files (x86)\Wise\Wise Registry Cleaner\WiseRegCleaner.exe [2017-12-06] (WiseCleaner.com)
    Task: {75121079-4BF6-42AE-A31E-57DA1E4EEE54} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2018-02-09] (Adobe Systems Incorporated)
    Task: {AF6F7DAB-B90E-410B-B85E-D91CBCB29E63} - System32\Tasks\Adobe Flash Player PPAPI Notifier => C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_28_0_0_126_pepper.exe [2017-12-14] (Adobe Systems Incorporated)
    Task: {E025DFCC-25B8-48F2-A68E-18C2E28F6A0B} - System32\Tasks\ASUS\ASUS Product Register Service => C:\Program Files (x86)\ASUS\APRP\aprp.exe [2014-03-25] (ASUSTek Computer Inc.)
    Task: {F833CFE9-AD31-4C13-9009-9EB1C8759066} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2017-12-14] (Adobe Systems Incorporated)
    HKU\S-1-5-21-2281362827-2091213084-196170869-1000\...\RunOnce: [FlashPlayerUpdate] => C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_28_0_0_126_pepper.exe [1332736 2017-12-14] (Adobe Systems Incorporated)
    S4 YT Updater Service; C:\Program Files (x86)\Common Files\YT Updater\ytupdater.exe [16384 2015-01-26] (hxxp://ytdownloader.biz/) [File not signed]
    S3 MpKslFakeKy; no ImagePath
    S3 MpKslFakeKy; no ImagePath

    Zamiesc log z TDSSKiller.

    0
  • Pomocny post
    #12 23 Kwi 2018 22:00
    RADU23
    Moderator - Komputery Serwis

    Wykonaj taki Fixlist:

    Cytat:
    HKU\S-1-5-21-2281362827-2091213084-196170869-1000\...\MountPoints2: {1486d503-61a4-11e7-a87c-ba57e8679c6a} - F:\AutoRun.exe
    HKU\S-1-5-21-2281362827-2091213084-196170869-1000\...\MountPoints2: {152e3dc5-019b-11e7-9a3c-d8cb8a1b38c8} - H:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2281362827-2091213084-196170869-1000\...\MountPoints2: {44de8d6e-e192-11e7-9e63-8aa0fd586af8} - H:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2281362827-2091213084-196170869-1000\...\MountPoints2: {5b149958-24c2-11e5-b9cb-d8cb8a1b38c8} - E:\setup.exe
    HKU\S-1-5-21-2281362827-2091213084-196170869-1000\...\MountPoints2: {a0aed44f-4bb7-11e7-b72a-806e6f6e6963} - F:\AutoRun.exe
    HKU\S-1-5-21-2281362827-2091213084-196170869-1000\...\MountPoints2: {a0aed4a7-4bb7-11e7-b72a-801f02df0654} - F:\AutoRun.exe
    HKU\S-1-5-21-2281362827-2091213084-196170869-1000\...\MountPoints2: {bfc0afa6-67bb-11e6-a513-d8cb8a1b38c8} - F:\autorun.exe
    HKU\S-1-5-21-2281362827-2091213084-196170869-1000\...\MountPoints2: {e43935e5-6859-11e5-9a24-d8cb8a1b38c8} - F:\startme.exe
    HKU\S-1-5-21-2281362827-2091213084-196170869-1000\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/pl-pl/?ocid=iehp
    SearchScopes: HKLM -> DefaultScope value is missing
    SearchScopes: HKLM-x32 -> DefaultScope value is missing
    CHR HKU\S-1-5-21-2281362827-2091213084-196170869-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
    CHR HKU\S-1-5-21-2281362827-2091213084-196170869-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx

    0
  • #13 24 Kwi 2018 21:50
    cebuleq
    Poziom 3  

    Już myślałem, że sprawa rozwiązana ale po trzech godzinach odpaliło się znowu. Ale była dużo krótsza, jeśli to cokolwiek może znaczyć.

    0
  • Pomocny post
    #14 24 Kwi 2018 21:55
    RADU23
    Moderator - Komputery Serwis

    Zamieść ponownie logi z FRST.

    0
  • #15 24 Kwi 2018 22:53
    cebuleq
    Poziom 3  

    Utworzył się jedynie plik "fixlog.txt" który załączyłem. "addition" i "FRST" się nie utworzyły tym razem. Komputer też się nie zresetował. Zrobiłem reset manualny i też nic.

    Dodano po 6 [minuty]:

    Aa ok one robią się tylko przy scanie. Zrobiłem scan jeszcze raz logi w zał.

    0
  • Pomocny post
    #16 25 Kwi 2018 08:22
    Kolobos
    Spec od komputerów

    Wykonaj taki Fixlist.txt:
    2017-09-21 22:52 - 2017-09-21 22:52 - 012431360 _____ () C:\Windows\servicing\Editions\Macro.dll
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\52678485.sys => ""="Driver"
    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\52678485.sys => ""="Driver"

    Zainstaluj do Chrome uBlock Origin, AdBlock usun.

    0
  • #17 10 Lip 2018 22:56
    cebuleq
    Poziom 3  

    Dziękuję wszystkim za pomoc. Oczywiście chciałem poczekać jakieś 2 tygodnie żeby sie upewnić, czy aby na pewno pozbyłem się problemu no i zupełnie zapomniałem zamknąć wątek. Ostatni fixlog ewidentnie załatwił sprawę, wszystko już działa jak należy. Temat do zamknięcia!

    Fixlog użytkownika Kolobos poradził sobie z wirusem.

    0