Arkadaşlar ben bazen diyelim Google görsellerden bir fotoğraf indirmek istiyorum. Birden donuyor, Chrome yanıt vermiyor, tamamen kapatana kadar kendine gelmiyor, dosya gezgini de aynı şekilde. Bu sırada Norton zararlı bir URL'i engellediğini söylüyor, epicunitscan. Malwarebytes bir şey bulmuyor, adw ise direkt yukarıda yazdığım şeyi buluyor, uzantılarım arasında yok. İnternetten aratınca bunun flash Player uzantısı olduğunu görüyorum. Benzer bir konu başka bir arkadaş tarafından açılmış onun olayı Gmail senkronizasyonunu kapatınca çözülmüş ancak bende öyle bir şey olmadı veya yanlış şekilde yaptım. Kırk yılın başı nihayet bir bilgisayar alabildim haşat olsun istemiyorum.
Epicunitscan (Norton) -PUP. Optional. 22ChromeEXT (Adw)
- Konuyu başlatan zykloncx
- Başlangıç Tarihi
- Mesaj 7
- Görüntüleme 1.046
Adw. logunu burada paylaşın. Chrome güncel mi kontrol edin.
Norton lisanslı değilse kaldırıp Kaspersky IS kurup bir taratın.
www.technopat.net
Bunun da sonucunu paylaşın.
Norton lisanslı değilse kaldırıp Kaspersky IS kurup bir taratın.
Rehber: Farbar Recovery Scan ile Rapor Hazırlama
Konu içinde rapor paylaşacak olan kişi sorununu açıkça belirtmesi gereklidir. Yazılımı bir klasör içine atıp altta verilen şıklar işaretli şekilde Scan yapın. Scan bitince klasör içinde çıkan txt dosyalarını rarlayıp dosya upload servislerinden birine upload edip paylaşın. Kurallara uygun...
Farbar: Logs.rar
Adw:
# -------------------------------
# Malwarebytes AdwCleaner 8.0.4.0
# -------------------------------
# Build: 04-03-2020
# Database: 2020-04-08.2 (Cloud)
# Support: Customer Support & Help Center
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start: 04-10-2020
# Duration: 00:00:00
# OS: Windows 10 Home
# Cleaned: 1
# Failed: 0
***** [ Services ] *****
No malicious services cleaned.
***** [ Folders ] *****
No malicious folders cleaned.
***** [ Files ] *****
No malicious files cleaned.
***** [ DLL ] *****
No malicious DLLs cleaned.
***** [ WMI ] *****
No malicious WMI cleaned.
***** [ Shortcuts ] *****
No malicious shortcuts cleaned.
***** [ Tasks ] *****
No malicious tasks cleaned.
***** [ Registry ] *****
No malicious registry entries cleaned.
***** [ Chromium (and derivatives) ] *****
Deleted fanagokoaogopceablgmpndejhedkjjb
***** [ Chromium URLs ] *****
No malicious Chromium URLs cleaned.
***** [ Firefox (and derivatives) ] *****
No malicious Firefox entries cleaned.
***** [ Firefox URLs ] *****
No malicious Firefox URLs cleaned.
***** [ Hosts File Entries ] *****
No malicious hosts file entries cleaned.
***** [ Preinstalled Software ] *****
No Preinstalled Software cleaned.
*************************
[+] Delete Tracing Keys
[+] Reset Winsock
*************************
AdwCleaner[S00].txt - [1434 octets] - [08/04/2020 14:24:44]
AdwCleaner[C00].txt - [1604 octets] - [08/04/2020 14:27:04]
AdwCleaner[S01].txt - [1556 octets] - [10/04/2020 16:57:07]
AdwCleaner[C01].txt - [1726 octets] - [10/04/2020 17:04:47]
AdwCleaner[S02].txt - [1678 octets] - [10/04/2020 17:32:04]
AdwCleaner[S03].txt - [1739 octets] - [10/04/2020 17:46:39]
AdwCleaner[S04].txt - [1800 octets] - [10/04/2020 18:06:25]
AdwCleaner[S05].txt - [1861 octets] - [10/04/2020 18:33:55]
########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C05].txt ##########
Kaspersky de hala yükleniyor. Onun da sonucunu eklerim.
PS: Bu taramalar senkronizasyon açıkken. Kapalıyken de zaten bulmuştu diye hatırlıyorum.
Merhaba tekrar. Chrome açıkken Kaspersky Total Security ile tarama yaptım ve herhangi bir sorun çıkmadığını söylüyor. Tabi ona göre bir sorun yok, normalde var.
Adw:
# -------------------------------
# Malwarebytes AdwCleaner 8.0.4.0
# -------------------------------
# Build: 04-03-2020
# Database: 2020-04-08.2 (Cloud)
# Support: Customer Support & Help Center
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start: 04-10-2020
# Duration: 00:00:00
# OS: Windows 10 Home
# Cleaned: 1
# Failed: 0
***** [ Services ] *****
No malicious services cleaned.
***** [ Folders ] *****
No malicious folders cleaned.
***** [ Files ] *****
No malicious files cleaned.
***** [ DLL ] *****
No malicious DLLs cleaned.
***** [ WMI ] *****
No malicious WMI cleaned.
***** [ Shortcuts ] *****
No malicious shortcuts cleaned.
***** [ Tasks ] *****
No malicious tasks cleaned.
***** [ Registry ] *****
No malicious registry entries cleaned.
***** [ Chromium (and derivatives) ] *****
Deleted fanagokoaogopceablgmpndejhedkjjb
***** [ Chromium URLs ] *****
No malicious Chromium URLs cleaned.
***** [ Firefox (and derivatives) ] *****
No malicious Firefox entries cleaned.
***** [ Firefox URLs ] *****
No malicious Firefox URLs cleaned.
***** [ Hosts File Entries ] *****
No malicious hosts file entries cleaned.
***** [ Preinstalled Software ] *****
No Preinstalled Software cleaned.
*************************
[+] Delete Tracing Keys
[+] Reset Winsock
*************************
AdwCleaner[S00].txt - [1434 octets] - [08/04/2020 14:24:44]
AdwCleaner[C00].txt - [1604 octets] - [08/04/2020 14:27:04]
AdwCleaner[S01].txt - [1556 octets] - [10/04/2020 16:57:07]
AdwCleaner[C01].txt - [1726 octets] - [10/04/2020 17:04:47]
AdwCleaner[S02].txt - [1678 octets] - [10/04/2020 17:32:04]
AdwCleaner[S03].txt - [1739 octets] - [10/04/2020 17:46:39]
AdwCleaner[S04].txt - [1800 octets] - [10/04/2020 18:06:25]
AdwCleaner[S05].txt - [1861 octets] - [10/04/2020 18:33:55]
########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C05].txt ##########
Kaspersky de hala yükleniyor. Onun da sonucunu eklerim.
PS: Bu taramalar senkronizasyon açıkken. Kapalıyken de zaten bulmuştu diye hatırlıyorum.
Merhaba tekrar. Chrome açıkken Kaspersky Total Security ile tarama yaptım ve herhangi bir sorun çıkmadığını söylüyor. Tabi ona göre bir sorun yok, normalde var.
Son düzenleme:
Sorun yok diyorsa yoktur zararlı yönünden. Siz önceki dediklerini yapmışsa benzemiyorsunuz MBAM bunları bulur normalde aşağıda yazdıklarımı.
TURKCELL ve Zoom yazılımı var onları kaldırın.
Bunları da kaldırın:
C:\Program Files (x86)\Mozilla Firefox\browser\extensions\mcciwbch@motive.com.xpi
C:\Users\cemka\AppData\Roaming\IDM\idmmzcc5
C:\Program Files (x86)\Internet Download Manager\idmmzcc2.xpi
C:\Program Files\TURKCELL\8.6.0.27-SNAPSHOT\ma\bin\npMotive.dll
C:\Users\cemka\AppData\Roaming\Zoom\bin\npzoomplugin.dll
C:\Users\cemka\AppData\Local\Google\Chrome\User Data\Default\Extensions\cgjnhhjpfcdhbhlcmmjppicjmgfkppok
C:\Users\cemka\AppData\Local\Google\Chrome\User Data\Default\Extensions\chphlpgkkbolifaimnlloiipkdnihall
C:\Users\cemka\AppData\Local\Google\Chrome\User Data\Default\Extensions\ngpampappnmepgilojfohadhhmbhlaek
C:\Program Files (x86)\Internet Download Manager\IDMGCExt.crx
C:\Users\cemka\AppData\Roaming\Opera Software\Opera Stable\Extensions\kajaikkhnmegmfnlifeklklaienhdekb
Bunları da bulup kaldırın klasörü:
kofilaoejfjbjfopdnckahcidedndnln
iikflkcanblccfahdhdonehdalibjnif
fepbnnnkkadjhjahcafoaglimekefifl
C:\Program Files (x86)\TURKCELL\
C:\Program Files\TURKCELL\
C:\Program Files (x86)\Common Files\Motive
C:\Program Files\Common Files\Motive\
F:\autorun.exe bu dosyayı da silin bir bellek ise oyun veya Windows dosyası değilse.
D:\A+ bunu da silin.
iyi akşamlar, yoğunluktan anca gördüm özür dilerim, biraz da bu problemle uğraşıyordum.
Şimdi olanları söyleyeyim ben bir bakıma deney olarak bütün google klasörünü sildim ve bu zararlı da onunla birlikte gitti, adw bir şey bulamadı ancak internete de kesinlikle bağlanmadı. Sonra bana diyor ki işte ara sunucu problemi var işte proxy ayarı varmış hayır canım dedim kapattım onu bu sefer bağlanabildi, sonra o proxyi açtım tekrar taratınca edgede 4 tane zararlı buldu.
Sonrasında işte bu chromeda deneme yanılma bazı şeyler yaptım, atıyorum işte extensionları kaldırdım yine çıktı, extensions klasörünü sildim yine çıktı, extention state klasörünü silince bir problem olmadı, zararlı yine gitti, ancak bir süre sonra yine taratınca zararlı çıktı ve extension klasörüne baktığım zaman silmeme rağmen tekrar var olduğunu ve şu isimde bir klasörünü yarattığını gördüm: pkedcjkdefgpdelpbcmbmeomcjbeemfm
çıbanın başı bu.
EK: Şimdi biraz bakınca bu uzantının chromeun listelerde görünmeyen kendi uzantısı olan Chrome Media Router'a ait olduğunu gördüm. Buna kendini ekleyerek işler çeviren zararlının adı Razy Trojan. Genelde kriptocuları söğüşlemek üzerine yapılmış. Burada da ilgili reddit linki var, gerçi hala o mu tam emin değilim ama çok bariz:
Turkcellden şüphelenirim gerçekten ama bu olay Turkcellden daha önce oluyordu zoom ise daha bu hafta yükledim ve kullanmaya da mecburum dersler oradan işleniyor. Ben biraz daha karıştırayım ve elbette yazdıklarınızı dikkatli okuyayım, bunları şimdilik bilgi vermek için durum raporu için söylüyorum.
Şimdi olanları söyleyeyim ben bir bakıma deney olarak bütün google klasörünü sildim ve bu zararlı da onunla birlikte gitti, adw bir şey bulamadı ancak internete de kesinlikle bağlanmadı. Sonra bana diyor ki işte ara sunucu problemi var işte proxy ayarı varmış hayır canım dedim kapattım onu bu sefer bağlanabildi, sonra o proxyi açtım tekrar taratınca edgede 4 tane zararlı buldu.
Sonrasında işte bu chromeda deneme yanılma bazı şeyler yaptım, atıyorum işte extensionları kaldırdım yine çıktı, extensions klasörünü sildim yine çıktı, extention state klasörünü silince bir problem olmadı, zararlı yine gitti, ancak bir süre sonra yine taratınca zararlı çıktı ve extension klasörüne baktığım zaman silmeme rağmen tekrar var olduğunu ve şu isimde bir klasörünü yarattığını gördüm: pkedcjkdefgpdelpbcmbmeomcjbeemfm
çıbanın başı bu.
EK: Şimdi biraz bakınca bu uzantının chromeun listelerde görünmeyen kendi uzantısı olan Chrome Media Router'a ait olduğunu gördüm. Buna kendini ekleyerek işler çeviren zararlının adı Razy Trojan. Genelde kriptocuları söğüşlemek üzerine yapılmış. Burada da ilgili reddit linki var, gerçi hala o mu tam emin değilim ama çok bariz:
Turkcellden şüphelenirim gerçekten ama bu olay Turkcellden daha önce oluyordu zoom ise daha bu hafta yükledim ve kullanmaya da mecburum dersler oradan işleniyor. Ben biraz daha karıştırayım ve elbette yazdıklarınızı dikkatli okuyayım, bunları şimdilik bilgi vermek için durum raporu için söylüyorum.
Son düzenleme:
Rapor sonucunda o dosya gözükmüyor öyle bir dosya yok. Rapor öncesi sildiyseniz bilemem. Verdiklerimi sadece yapın Senkronları kapatıp. Dediğim yazılımları da kaldırın lazım olmaması beni ilgilendirmiyor güvenlik için kaldırmanız gerekir.
Murat bey merakımdan soruyorum şimdi birkaç tarama yapınca gözüme gözüme IDM programının kendisinin ve uzantılarının sokulduğunu görüyorum özellikle, dilerseniz son FRST raporunu da yükleyebilirim. Ben IDMyi açıkçası katılımsız halde başka bir yerden almıştım sanırım bu problem yarattı. Dediklerinizi yapıyorum bunu da bilgi olarak paylaşıyorum, bu dediklerimi itiraz olarak değil de güncel rapor olarak düşünün.
IDM de şüpheliler arasında olduğu için zaten yukarıda kaldırılması gerekenler listesine eklemiştim uzantılarını. Ancak önemli olan Türkcell ve Motive olan kısımlar ile tarayıcı için belirttiğim uzantı dosyaları.
İncelemesi çok uzun sürüyor geniş bir inceleme olsun diye ilk olarak onu istedim söyleneni yaptıysanız düzelmesi gerekir. Proxy demişsiniz onu kapatın. Rapor şu anlık gerekli değil tekrar olursa Kaspersky logunu isteyebilirim ilerleyen zamanlarda.
