Chinees popop spel niet te verwijderen

[Sytse1]

Sinds enkele weken heb ik een niet te verwijderen terugkerend spel op mijn laptop.
Ik verwijder het spel gewoon via het config scherm.
Zoek naar mappen waar Chinese tekens voorkomen.
Laat de c schijn cleanen. Register nakijken enz.
Maar als ik mijn laptop opnieuw start verschijnt na enkele minuten bijgesloten bijlage 1 rechts onder in beeld.
Als ik daarop klik wordt op de achtergrond het spel opnieuw gedownload.
Zie hiervoor bijlage 2.
Diverse scans gedaan o.a. voor de roaming games en aangezien ik nooit games speel alles verwijderd, tevergeefs.
Heeft iemand een idee of de oplossing om dit te verwijderen?
Bvd Sytse

[Lange Pier]

Ook via taakbeheer bij het tabblad opstarten gekeken?

En Malwarebytes free en Adwcleaner gedraaid?

[heinflhs]

of Revo uninstaller?

[Alfred 2]

Ik zie Japanners op deze plaatjes. Zijn er bij de instellingen van de browser sites die Meldingen mogen geven? Veel malware download andere malware, reclame en onzin. Wat je zal moeten doen dat is kritisch kijken naar wat er allemaal opstart. Plaatsen waar dit kan zijn; Taakbeheer bij Opstarten, het tabblad Opstarten en Services na de opdracht msconfig bij Uitvoeren (Wintoets+R), bij Programma's en onderdelen natuurlijk, de pictogrammen in het systeemvakje rechts op de Taakbalk en de add-ons van de browser. Daarna moet je een volledig overzicht laten opstellen met Autoruns van Sysinternals en die lijst kritisch doornemen. Zoek onbekende namen met Google in de resultaten van forums. De ingangen met ongeldig certificaat of onbekende herkomst zijn al rood of paars. Nieuwe ingangen sinds de laatste scan zijn groen. Af en toe controleren op groene regels is het veiligst. Het controleren van de lijst zal wat tijd vergen maar helpt om de computer op te schonen en is volgens mij beter dan malware scannen. Succes

[Sytse1]

Bedankt voor het meedenken.
Een aantal voorstellen had ik (tevergeefs) al gedaan.
Maar ik ga verder zoeken met hetgeen word voorgesteld.

[RogerS]

Treed het probleem toevallig pas op nadat je een browser hebt gestart?

[Sytse1]

Het maakt niet uit wat ik wel of niet open heb.
Altijd na een paar minuten nadat ik de laptop opstart popt het op.

[Sytse1]

Met behulp van SysInternel heb ik gevonden en verwijderd:
Flash Helper Service Flash Helper Service: Flash Player更新辅助服务,确保使用最新版的 Flash Player 软件。会向重庆重橙网络科技有限公司发送匿名使用Flash相关数据以帮助改进 Flash Player。 (Verified) 重庆重橙网络科技有限公司 c:\windows\syswow64\macromed\flash\flashhelperservice.exe 23-12-2020 04:22

Wellicht is dit de schuldige.

[krullenbol]

c:\windows\syswow64\macromed\flash\flashhelperservice.exe

Deze laatste is betrouwbaar, of in ieder geval niet behorend bij de Chinese/Japanse app. De map bleek ik ook nog te hebben, al heb ik Flash allang verwijderd.
Triest om te zien hoe ze het enigzins proberen te verbergen door met "flash player"-namen te werken.

[Alfred 2]

Je hebt de vinger er meestal op met AutoRuns. Alleen bij bootsector virussen niet. Hier kan de BIOS vaak tegen beschermen, ik zeg maar.

Dit is de vertaling volgens Google Translate:

Bijgewerkt assisteert en service, inderdaad nieuwste versie van het zachte gebruik Kaishin Shigeshige Qing Heavy Orange Network Technology Co. Ltd. ??? Anoniem Gebruik fase aantal helpt Reassing om Heavy Qing oranje Network Technology Co. Ltd.

[Senso]

Stond die dan onder > Opstarten of Services? Soort?

[Senso]

Bijgewerkt assisteert en service, inderdaad nieuwste versie van het zachte gebruik Kaishin Shigeshige Qing Heavy Orange Network Technology Co. Ltd. ??? Anoniem Gebruik fase aantal helpt Reassing om Heavy Qing oranje Network Technology Co. Ltd.

Ja, dat klopt en is Chinees!

[dorado]

Het lijkt me goed om je systeem na te zien.

Schakel uw antivirussoftware tijdelijk uit en download ZHPDiag naar het bureaublad.

ZHPDiag uitvoeren

• Dubbelklik op zhpdiag3.exe om het programma op te starten.
• Windows 8 en 10 gebruikers dienen de tool als "administrator" uit te voeren door middel van de rechtermuisknop en kiezen voor Als Administrator uitvoeren.
• Klik op "I agree" in het openingsscherm "TERMS OF USE".
• Klik op "Scanner" en wacht geduldig tot de scan gereed is.
• Vervolgens verschinjnt er een tekstbestand met de naam ZHPDiag.txt op je bureaublad, post deze als bijlage in je volgende bericht.
  (Het logbestand kan je ook terugvinden in de map C:\Users\Gebruikersnaam\AppData\Roaming\ZHP.)

[Sytse1]

Dorado, ga ik doen..

Dorado,
Hallo Moderator,
Ik heb het programma gedownload.
Laten scannen.
En er is een gigantisch txt bestand gemaakt.
(Na het verwijderen van de Flashplayer heb ik geen last meer gehad)
Wil je alsnog het txt bestand?

[dorado]

Ja graag!

[Sytse1]

t.a.v. Dorado
Bijgaand het tekstbestand

[dorado]

Download ZHPFix naar het bureaublad.


Antivirussoftware uitschakelen
Schakel je antivirus- en antispywareprogramma's tijdelijk uit, deze kunnen namelijk conflicteren met ZHPDiag.

• Antivirus software uitschakelen
• Antispy & malware software uitschakelen

Kopieer onderstaande code volledig:

Code:

Start::
CreateRestorePoint
O38 - TASK: {D65E6DD6-C7DD-4D5B-B70B-3C257A5C2516} [64Bits][\FlashHelper TaskMachineCore] - (.重庆重橙网络科技有限公司 - Flash Helper Service.) -- C:\Windows\SysWOW64\Macromed\Flash\FlashHelperService.exe  [3538800]
C:\WINDOWS\System32\Tasks\FlashHelper TaskMachineCore - (.重庆重橙网络科技有限公司.) --
C:\Windows\SysWOW64\Macromed\Flash\FlashHelperService.exe
G2 - GCE: Preference [Sytse][User Data\Default\Extensions] [ogihbjnikncdlelafgpobpimcjmbdfmk]
G2 - GCE: Preference [Sytse][User Data\Default\Sync Extension Settings] [ogihbjnikncdlelafgpobpimcjmbdfmk]
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder]:BznMMQqmAG.url
O42 - Logiciel: Adobe Flash Player 33 PPAPI - (.Adobe.) [HKLM][64Bits] -- Adobe Flash Player PPAPI  =>.Adobe Inc.®
O42 - Logiciel: KMSpico - (..) [HKLM][64Bits] -- {8B29D47F-92E2-4C20-9EE0-F710991F5D7C}_is1 [Unsigned]  =>HackTool.KMSpico
HKCU\SOFTWARE\AdobeFlash
O43 - CFD: 03/11/2020 - [] D -- C:\Program Files\KMSpico [Unsigned]  =>HackTool.KMSpico
O43 - CFD: 14/11/2020 - [0] D -- C:\Program Files\Kms_vl_all  =>HackTool.KMSpico
O43 - CFD: 07/01/2021 - [] D -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico  =>HackTool.KMSpico
O43 - CFD: 25/06/2019 - [] D -- C:\ProgramData\Adobe Flash Player  =>Riskware.FlashPlayer
O43 - CFD: 14/11/2020 - [] D -- C:\ProgramData\KMS_VL_ALL-32-beta  =>HackTool.KMSpico
O43 - CFD: 26/02/2020 - [] D -- C:\Program Files (x86)\Common Files\KMSpico  =>HackTool.KMSpico
O43 - CFD: 22/03/2020 - [0] D -- C:\Users\31657\AppData\Roaming\{950EB46C-6AC7-4ACC-AB36-9A6A77C08B6A}
O43 - CFD: 08/12/2020 - [] D -- C:\Users\31657\AppData\LocalLow\AdobeFlash
O108 - CMH1: WinRAR32 [64Bits] - {B41DB860-8EE4-11D2-9906-E49FADC173CA} . (.Orphan.) [Unsigned]
O108 - CMH6: WinRAR32 [64Bits] - {B41DB860-8EE4-11D2-9906-E49FADC173CA} . (.Orphan.) [Unsigned]
O87 - FAEL: "{DDD52F1D-2C26-4895-8688-A70A17060FC7}" [In-None-P17-TRUE] .(...) -- C:\Program Files\CCleaner\CCleaner64.exe [Unsigned] (.not file.)  =>.SUP.Orphan
O87 - FAEL: "{A86F29CA-2687-496D-BBAF-EA3877950CB6}" [Out-None-P17-TRUE] .(...) -- C:\Program Files\CCleaner\CCleaner64.exe [Unsigned] (.not file.)  =>.SUP.Orphan
HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{8B29D47F-92E2-4C20-9EE0-F710991F5D7C}_is1  =>HackTool.KMSpico
C:\Program Files\KMSpico  =>HackTool.KMSpico
C:\Program Files\Kms_vl_all  =>HackTool.KMSpico
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico  =>HackTool.KMSpico
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\QuickTime  =>Riskware.QuickTime
C:\ProgramData\Adobe Flash Player  =>Riskware.FlashPlayer
C:\ProgramData\KMS_VL_ALL-32-beta  =>HackTool.KMSpico
C:\Program Files (x86)\Common Files\KMSpico  =>HackTool.KMSpico
HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers\WinRAR32  =>.SUP.Orphan
HKLM\Software\Classes\CLSID\{B41DB860-8EE4-11D2-9906-E49FADC173CA}  =>.SUP.Orphan
HKLM\Software\Classes\lnkfile\shellex\ContextMenuHandlers\WinRAR32  =>.SUP.Orphan
HKLM\Software\Classes\Folder\ShellEx\ContextMenuHandlers\WinRAR32  =>.SUP.Orphan
C:\WINDOWS\Installer\19db3.msp  =>.SUP.Obsolete.Adobe
C:\Users\31657\AppData\Local\Google\Chrome\User Data\Default\File System\000  =>.SUP.Temporary.Chrome
C:\Users\31657\AppData\Local\Google\Chrome\User Data\Default\File System\001  =>.SUP.Temporary.Chrome
C:\Users\31657\AppData\Local\Google\Chrome\User Data\Default\File System\002  =>.SUP.Temporary.Chrome
C:\Users\31657\AppData\Local\Google\Chrome\User Data\Default\File System\003  =>.SUP.Temporary.Chrome
C:\Users\31657\AppData\Local\Google\Chrome\User Data\Default\File System\004  =>.SUP.Temporary.Chrome
C:\Users\31657\AppData\Local\Google\Chrome\User Data\Default\File System\005  =>.SUP.Temporary.Chrome
[HKU\S-1-5-21-1094498001-609716494-228896458-1001\Software\Google\Chrome\PreferenceMACs\Default\extensions.settings]:pelmeidfhdlhlbjimpabfcbnnojbboma  =>PUP.Optional.QuickStart
ShortcutFix
EmptyTracing
EmptyTemp
EmptyFlash
EmptyPrefetch
ProxyFix
EmptyCLSID
End::

ZHPFix uitvoeren
Wanneer je problemen ondervindt bij het uitvoeren van dit programma of bepaalde foutmeldingen te zien krijgt laat dit dan even weten in je bericht.
Rechtsklik op ZHPFix2.exe en klik op "Als Administrator uitvoeren"..
Het volgende venster verschijnt"

1. Klik rechts op de 2e knop vanaf boven "plakken een Script" (zie 1 in de screenshot hierboven).
2. Klik nu linksboven op de knop "Start script" (zie 2).
3. Wacht nu geduldig tot de groene voortgangsbalk vol is (zie 3) en de tekst "Einde van de bewerking" in het balkje eronder verschijnt (zie 4).

ZHPFix logbestand plaatsen.

• Voeg het logbestand "%APPDATA%\ZHP\ZHPFix.txt " als bijlage toe aan het volgende bericht.