Problem z programem - ceqeekg

[Wifon17]

Dzien Dobry, 

 

Mam problem z odinstalowaniem google chrome (pod nazwą w komputerze ceqeekg), proszę o pomoc. 

P.S. to jest mój pierwszy post więc proszę o wyrozumiałość

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

To fałszywy klon na silniku Chromium imitujący Google Chrome i mający zintegrowane adware, ustawił się też jako domyślna przeglądarka. Działania do przeprowadzenia:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Task: {10248758-8E6D-4221-BE07-6D292DA0C505} - System32\Tasks\ceQeekgCheckTask => C:\Program Files (x86)\ceQeekg\ceQeekg\bin\ceQeekg_server.exe [2016-04-28] () 
Task: {153023CB-809B-4D9F-9665-3116813544B0} - System32\Tasks\Ariqockatidge Agent => Rundll32.exe "C:\Program Files (x86)\Ariqockatidge\AriqockatidgeAgn.dll",w 
Task: {2CD80B19-1AF0-45D6-97D7-E40D9B73E035} - System32\Tasks\ceQeekgBrowserUpdateUA => C:\Program Files (x86)\ceQeekg\ceQeekg\bin\ceQeekg_server.exe [2016-04-28] () 
Task: {35D7972E-A4F2-4A52-979F-C0122BA5BF51} - System32\Tasks\{9902414B-C298-4DD2-B046-D346A5F789EE} => Chrome.exe hxxp://ui.skype.com/ui/0/7.21.0.100/pl/abandoninstall?source=lightinstaller&page=tsInstall
Task: {7466DE2C-F0A5-4842-AA0E-4799AB58CE91} - System32\Tasks\ceQeekgBrowserUpdateCore => C:\Program Files (x86)\ceQeekg\ceQeekg\bin\ceQeekg_server.exe [2016-04-28] () 
R2 ceQeekg_protect; C:\ProgramData\ceQeekg\protect\protect.exe [303000 2016-04-28] ()
S2 ceQeekg_update; C:\Program Files (x86)\ceQeekg\ceQeekg\bin\ceQeekg_server.exe [472984 2016-04-28] ()
S2 cktSvc; "C:\Program Files (x86)\Uncheckit\cktSvc.exe" {92E162D7-70FD-48F7-A779-91154F8FD518} [X]
S2 clcmanagersrv; "C:\Program Files (x86)\Clcegh\clcmanagersrv.exe" {79740E79-A383-47A7-B513-3DF6563D007F} {A16B1AF7-982D-40C3-B5C1-633E1A6A6678} [X]
S2 McNaiAnn; "C:\Program Files\Common Files\McAfee\platform\McSvcHost\McSvHost.exe" /McCoreSvc [X]
S3 McODS; "C:\Program Files\mcafee\VirusScan\mcods.exe" [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McNaiAnn => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""=""
HKLM-x32\...\Run: [] => [X]
FirewallRules: [{A7491D4C-710E-483C-B658-A36C07FE22EB}] => (Allow) C:\ProgramData\ceQeekg\protect\protect.exe
FirewallRules: [{30DA2E0F-2263-4A8F-8A80-35A2C16A4D92}] => (Allow) C:\Program Files (x86)\ceQeekg\ceQeekg\chrome.exe
FirewallRules: [{D0D6D1F5-536D-4187-A4FC-86B7BF27912A}] => (Allow) C:\Program Files (x86)\ceQeekg\ceQeekg\bin\ceQeekg_server.exe
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Program Files (x86)\Ariqockatidge
C:\Program Files (x86)\ceQeekg
C:\ProgramData\ceQeekg
C:\Users\Szymon\AppData\Roaming\Mozilla
C:\Users\Szymon\Downloads\*-dp*.exe
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Ustaw prawdziwą przeglądarkę Google Chrome jako domyślną w opcjach.

 

3. Zrób nowe logi FRST:

- Tradycyjny log z opcji Skanuj, ponownie z Addition, ale już bez Shortcut.

- W polu Szukaj wklej ceQeekg i klik w Szukaj w rejestrze.

 

Dołącz też plik fixlog.txt.

[Wifon17]

Bardzo dziękuję

 

Nowe logi

Search.txt

Addition.txt

FRST.txt

Fixlog.txt

[picasso]

Wymagane poprawki. Otwórz Notatnik i wklej:

 

Task: {3896B66A-A711-4085-A200-59FB3F6C31FE} - \ceQeekgBrowserUpdateUA -> Brak pliku 
Task: {A819884B-D5E8-4520-A1A9-7D1E027949A8} - \ceQeekgCheckTask -> Brak pliku 
Task: {CA3A2093-76B4-47E5-A630-1C5E9F2B5C65} - \ceQeekgBrowserUpdateCore -> Brak pliku 
FirewallRules: [{E86C65C0-CAC8-4616-9F9E-6B95C26F565A}] => (Allow) C:\Program Files (x86)\ceQeekg\ceQeekg\chrome.exe
FirewallRules: [{200B595F-8DC0-4815-B2CF-A45A3428F116}] => (Allow) C:\Program Files (x86)\ceQeekg\ceQeekg\bin\ceQeekg_server.exe
DeleteKey: HKCU\Software\ceQeekg
DeleteKey: HKCU\Software\Classes\ceQeekgHTM
DeleteKey: HKCU\Software\Classes\.htm
DeleteKey: HKCU\Software\Classes\.html
DeleteKey: HKCU\Software\Classes\.shtml
DeleteKey: HKCU\Software\Classes\.webp
DeleteKey: HKCU\Software\Classes\.xht
DeleteKey: HKCU\Software\Classes\.xhtml
DeleteKey: HKCU\Software\Clients\StartMenuInternet\ceQeekgHTM
DeleteKey: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\7c339b6f_0
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\ApplicationFrame\Positions\ceQeekg
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\UserChoice
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.shtml\UserChoice
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xht\UserChoice
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xhtml\UserChoice
DeleteKey: HKCU\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\ftp\UserChoice
DeleteKey: HKLM\SOFTWARE\WOW6432Node\ceQeekg
Reg: reg delete HKCU\Software\Clients\StartMenuInternet /ve /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v ceQeekgHTM_.htm /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v ceQeekgHTM_.html /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v ceQeekgHTM_.shtml /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v ceQeekgHTM_.xht /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v ceQeekgHTM_.xhtml /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v ceQeekgHTM_ftp /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v ceQeekgHTM_http /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v ceQeekgHTM_https /f
Reg: reg delete HKCU\Software\RegisteredApplications /v ceQeekgHTM /f
Reg: reg delete "HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\Program Files (x86)\ceQeekg\ceQeekg\chrome.exe" /f
DeleteQuarantine:

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

[Wifon17]

Plik wynikowy

Fixlog.txt

[picasso]

Tylko jeden wpis się nie przetworzył. Klawisz z flagą Windows + R > regedit > wejdź do tego klucza:

 

HKEY_CURRENT_USER\Software\Clients\StartMenuInternet

 

Powiedz mi czy jesteś w stanie ręcznie usunąć lub zedytować zlokalizowaną tam wartość domyślną kierującą do tego fałszywego klona.

[Wifon17]

tak jestem w stanie usunąć i zedytować zlokalizowaną wartość domyślną.

[picasso]

Zakładam, że wykonałeś akcję ręcznie. Teraz na wszelki wypadek jeszcze uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

[Wifon17]

Tak, usunąłem. W załączniku LOG

AdwCleanerS2.txt

[picasso]

1. AdwCleaner znalazł drobne odpadki adware. Uruchom go ponownie i po kolei wybierz opcje Skanuj + Usuń. Gdy program ukończy robotę:

 

2. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu folder FRST. Następnie użyj jeszcze DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

3. Do czytania na co uważać, w raporcie AdwCleaner m.in. ślady używania "Asystenta pobierania" dobrychprogramów: KLIK.

 

To wszystko.