Zapora systemowa blokuje GoogleUpdate.exe

[Szary Wilk 0]

Witam.

 

Z powodu malware i spyware, które już chyba udało mi się usunąć, dla pewności odinstalowałem przeglądarkę google chrome i chciałem zainstalować ją ponownie. Niestety, gdy uruchamiam domyślny instalator, po krótkiej chwili pokazuje mi się komunikat: "Nie można połączyć się z internetem. Jeśli używasz firewalla, dodaj GoogleUpdate.exe do białej listy."

 

Próbowałem już dodawać ten program zgodnie z instrukcjami do listy wyjątków, próbowałem wyłączać zaporę całkowicie, wyłączałem antywirusa i nic nie pomaga

 

FRST: http://wklejto.pl/747487

 

Shortcut: http://wklejto.pl/747488

 

Addition: http://wklejto.pl/747489

[Gość]

Addition.txt raportuje że Google Chrome jest na liście zainstalowanych aplikacji:

 

Google Chrome (HKLM-x32\...\Google Chrome) (Version: 75.0.3770.80 - Google LLC)

i według FRST.txt Google Chrome jest domyślną przeglądarką:

 

Internet Explorer Wersja 8 (Domyślna przeglądarka: Chrome)

Poza tym nie do końca usunąłeś infekcje w systemie.

Uruchom FRST a następnie (poprzez skrót klawiszowy CTRL + Y) otwórz notatnik systemowy. Wklej w nim poniższą zawartość:

 

CloseProcesses:
C:\Users\Default\Links\OneDrive.lnk
C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Microsoft OneDrive.lnk
C:\Users\SEBASTIAN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CodeBlocks\CodeBlocks CC Test.lnk
CustomCLSID: HKU\S-1-5-21-3661218254-78094117-2364795831-1000_Classes\CLSID\{162C6FB5-44D3-435B-903D-E613FA093FB5}\InprocServer32 -> C:\Users\SEBASTIAN\AppData\Local\Microsoft\OneDrive\17.3.6743.1212\amd64\FileCoAuthLib64.dll => Brak pliku
FirewallRules: [{804D6FD3-FA99-45F3-9241-8E566F324F06}] => (Allow) %ProgramFiles% (x86)\Google\Update\GoogleUpdate.exe Brak pliku
FirewallRules: [{5AF3B7BD-F88C-4B45-A6B6-CABF701A4AB4}] => (Allow) %ProgramFiles% (x86)\Google\Update\GoogleUpdate.exe Brak pliku
GroupPolicy\User: Ograniczenia ? <==== UWAGA
GroupPolicyScripts: Ograniczenia <==== UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
Task: {2658110B-F403-4C7B-BB25-440E5E04756A} - Brak ścieżki do pliku
Task: {5D750C44-C34C-47B9-A1CD-7F6ECD45CBE9} - System32\Tasks\{84111F27-0BB9-4489-A017-7AA88C2ADEE1} => msiexec.exe /package "F:\Game.msi"
Task: {85F77163-CF6F-4A56-9DFD-E8E80FB7575E} - Brak ścieżki do pliku
Task: {990016F1-89C5-46A0-85B1-A7E3FC549754} - System32\Tasks\AdwCleaner_onReboot => C:\Users\SEBASTIAN\Pobrane\adwcleaner-7-3-0-0.exe
Task: {F67CF757-FCF8-4968-A490-58F73A40BDE8} - Brak ścieżki do pliku
Task: {F9C6B03D-FFCA-4F96-8002-6EEFA2B7021D} - Brak ścieżki do pliku
Tcpip\..\Interfaces\{BDB7B0CE-88F7-4BAC-AE31-F4C98C51FCC9}: [NameServer] 185.130.104.222,95.216.188.196,116.203.6.218,185.4.64.13
Tcpip\..\Interfaces\{CDB7DDED-8765-4A79-A98D-5217EAA80697}: [NameServer] 185.130.104.222,95.216.188.196,116.203.6.218,185.4.64.13
Tcpip\..\Interfaces\{D2A2C361-3F91-4621-9592-C63DE0E040D4}: [NameServer] 185.130.104.222,95.216.188.196,116.203.6.218,185.4.64.13
URLSearchHook: [s-1-5-21-3661218254-78094117-2364795831-1000] UWAGA => Brak domyślnego URLSearchHook
URLSearchHook: HKU\S-1-5-21-3661218254-78094117-2364795831-1000 - (Brak nazwy) - {B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4} - Brak pliku
Toolbar: HKLM - Brak nazwy - {B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4} -  Brak pliku
Toolbar: HKLM-x32 - Brak nazwy - {B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4} -  Brak pliku
CHR HKLM\...\Chrome\Extension: [fagakgcelolinfnkfgekcnedpaklfcok] - hxxps://clients2.google.com/service/update2/crx
S3 panda_url_filteringd; \??\C:\Program Files\Panda Security URL Filtering\panda_url_filteringd.sys [X]
2019-06-09 11:51 - 2019-06-09 11:51 - 006922240 _____ C:\Program Files (x86)\GUT953D.tmp
2019-06-09 11:51 - 2019-06-09 11:51 - 000000000 ____D C:\Program Files (x86)\GUM953C.tmp
2019-06-09 10:58 - 2019-06-09 10:59 - 000000000 ____D C:\Program Files (x86)\GUM4588.tmp
2019-06-09 09:44 - 2019-06-09 10:16 - 000000000 ____D C:\Windows\820C0EEB9B124AD5B39DD15ED1DBDD06.TMP
2019-06-09 09:16 - 2019-06-09 09:16 - 000000266 __RSH C:\Users\SEBASTIAN\ntuser.pol
2019-06-09 09:14 - 2019-06-09 11:43 - 000000000 ____D C:\Users\SEBASTIAN\AppData\Local\prunld6500
2019-06-09 09:14 - 2019-06-09 09:14 - 000000000 ____D C:\ProgramData\{81DBEB01-0EA2-FAF1-DA13-7276DAF42B27}
2019-06-09 09:14 - 2019-06-09 09:14 - 000000000 ____D C:\ProgramData\{53B99716-72B5-2893-CD6F-10A4CD8849F5}
2019-06-09 09:13 - 2019-06-09 09:14 - 000003274 __RSH C:\ProgramData\ntuser.pol
2019-06-09 09:12 - 2019-06-09 09:17 - 000000000 ____D C:\Users\SEBASTIAN\AppData\Local\Mail.Ru
2019-06-09 09:12 - 2019-06-09 09:13 - 000000000 ____D C:\ProgramData\Mail.Ru
2019-06-09 09:12 - 2019-06-09 09:12 - 000000000 ____D C:\Users\SEBASTIAN\AppData\Roaming\view
2019-06-08 19:27 - 2019-06-08 20:00 - 000000000 ____D C:\Users\SEBASTIAN\AppData\Roaming\perky_little_things
2019-06-08 19:27 - 2019-06-08 20:00 - 000000000 ____D C:\Users\SEBASTIAN\AppData\Roaming\Defold
2019-06-08 19:27 - 2019-06-08 19:27 - 000000000 ____D C:\Users\SEBASTIAN\AppData\Roaming\1f6dddc7dcb706f3bf7447f157d0e70d628ac223
EmptyTemp:

Poprzez skrót klawiszowy CTRL + S (albo przez Plik -> Zapisz) zapisz zmiany w notatniku a następnie w FRST kliknij na Napraw. Na zakończenie naprawy FRST poprosi o restart systemu.

 

Robiłeś skanowanie za pomocą adwcleaner adwcleaner?

[Szary Wilk 0]

Mam zainstalowane google chrome, bo na drugiej przeglądarce jaką jest przestarzały internet eksplorer nie działa większość stron, a chciałem jakoś znaleźć pomoc. Pobrałem na telefon plik instalacyjny chrome offline, zrzuciłem plik na komputer i tylko w ten sposób mogłem zainstalować chrome.

 

Znalazłem w tekście któregoś z logów jeszcze dwa pliki z infekcji, którą zaraziłem komputer. Było to Mail.ru które zmieniało domyślną wyszukiwarkę na jakąś rosyjską stronę. Usunąłem ręcznie oba te pliki. W dodatku chrome, które mam teraz zainstalowane miało domyślnie ustawiony język angielski i po rozwinięciu listy opcji przeglądarki pod komendą "zakończ" widnieje teraz dodatkowa komenda "Zarządzane przez Twoją organizację". Myślę, że to pozostałości po tym malware.

 

Przeskanowałem najpierw adwcleaner'em i znalazło kilka zainfekowanych plików. Potem przeskanowałem ponownie programem Malwarebytes 3.5.1.2522 i znalazło ich blisko 500. Wszystkie usunąłem.

 

Czy zanim wykonam naprawę w FRST przy użyciu kodu, który wysłałeś, mam usunąć google chrome, czy nic nie ruszać?

 

Bardzo dziękuję za szybką odpowiedź.

[Gość]

Nie musisz odinstalowywać chroma. Możesz podać log z naprawy w FRST (Fixlog.txt).

Edytowane 10 Czerwca 2019 przez Gość

[Szary Wilk 0]

Wykonałem naprawę z użyciem podanego przez Ciebie kodu. Poniżej załączam fixlog.

 

http://wklejto.pl/747845

[Gość]

Już jest dobrze z chromem po tych czyszczeniach przy użyciu mbam, adwcleaner i FRST?

[Szary Wilk 0]

Zniknęła ta opcja "Zarządzane przez Twoją organizację", bardzo Ci dziękuję Spróbuję teraz odinstalować chrome i zainstalować jeszcze raz z oficjalnej strony, tak żeby przez googleupdate.exe zainstalowała się polska wersja.

 

Już wszystko działa, google normalnie się pobrało i zainstalowało. Bardzo serdecznie dziękuję Ci za pomoc Problem rozwiązany.

[szescdwa 0]

Witam, szanowny kolega toska78, mam podobny problem jak autor tematu i w związku z tym pytanie czy mógłbyś coś poradzić z tym. Próbowałem sam, ale niestety poddaję się.

 

Adwcleaner, MalwareBytes nie widzą żadnych infekcji, ale pozstał problem z przeglądarką.

 

http://www.wklejto.pl/826180

 

http://www.wklejto.pl/826183

 

http://www.wklejto.pl/826185