Błąd Chrome - "brak pliku manifestu lub nie można go odczytać"

[LuoShaNu]

Witam wszystkich,
taka sama sytuacja, jak u magnes07. Za każdym razem gdy uruchamiam Google Chrome wyskakuje identyczny komunikat, próbowałam skanowania, naprawiania i nic ani Bitdefender, ani AdwCleaner, ani CCleaner dosłownie nie chce tego ustrojstwa usunąć/naprawić. Bardzo proszę o pomoc w tej sprawie, z góry na prawdę ślicznie dziękuję.
Pozdrawiam i życzę miłego dnia.

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Problemem są zmodyfikowane skróty przeglądarki, ale jest więcej śladów adware. Działania do przeprowadzenia:

 

1. Deinstalacje:

- Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje i zbędny Akamai: Adobe AIR, Adobe Media Player, Adobe Shockwave Player 12.2, Akamai NetSession Interface, Java 8 Update 73 (64-bit).

- Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń ukryty wpis Metric Collection SDK od niechcianej instalacji Lenovo.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
WMI_ActiveScriptEventConsumer_ASEC: 
ShortcutWithArgument: C:\Users\Maru\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\Maru\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Maru\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\Maru\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\Maru\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Maru\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\Maru\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Maru\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://navsmart.info
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Maru\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Maru\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-2411900937-544243709-2355068264-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-2411900937-544243709-2355068264-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-2411900937-544243709-2355068264-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-2411900937-544243709-2355068264-1001 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL =
SearchScopes: HKU\S-1-5-21-2411900937-544243709-2355068264-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKU\S-1-5-21-2411900937-544243709-2355068264-1001 -> {755DB651-7812-46A9-8984-9F065DD7BC73} URL =
SearchScopes: HKU\S-1-5-21-2411900937-544243709-2355068264-1001 -> {b7fca997-d0fb-4fe0-8afd-255e89cf9671} URL =
HKLM-x32\...\Run: [sunJavaUpdateSched] => "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku
ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku
ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku
ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => Brak pliku
R2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2934048 2015-10-09] (IObit)
R2 PSed; C:\Users\Maru\AppData\Roaming\psvc\psvc.exe [707624 2015-04-10] (Navigation Co., Ltd.)
S3 EagleX64; \??\C:\WINDOWS\system32\drivers\EagleX64.sys [X]
S3 xhunter1; \??\C:\WINDOWS\xhunter1.sys [X]
NETSVCx32: HpSvc -> Brak ścieżki do pliku.
Task: {0D8A891D-890C-4808-84D8-2F436AB14653} - \Microsoft\Windows\Application Experience\AitAgent -> Brak pliku 
Task: {1274336E-AB06-46B6-A48C-0671C5557CC6} - \Microsoft\Windows\TaskScheduler\Maintenance Configurator -> Brak pliku 
Task: {1687544D-7247-4F5A-965A-A6E920E55278} - \Microsoft\Windows\TaskScheduler\Manual Maintenance -> Brak pliku 
Task: {1D3F7D8F-5483-4CAA-83FC-8B6291941D01} - System32\Tasks\UnregisterNonABICompliantCodeRange => Wscript.exe C:\PROGRA~2\q4newsdp\k9x06.js
Task: {365B531C-B2EA-45E6-95B2-E65C8BE70C90} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo)
Task: {40525C58-79C2-47A1-9AA2-F1D7FC4F0691} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> Brak pliku 
Task: {6F02587F-8A2B-4552-97F6-DEEF229E335B} - \Microsoft\Windows\TaskScheduler\Idle Maintenance -> Brak pliku 
Task: {A4D97C3E-9D8A-487B-AE29-94938DAAAEAA} - System32\Tasks\Driver Booster SkipUAC (Maru) => C:\Program Files (x86)\IObit\Driverfile:///C:/Users/Aretuza/AppData/Local/Temp/Addition-57.txt Booster\DriverBooster.exe
Task: {B62C288B-8A6E-45EB-AE7E-1F29023BB208} - System32\Tasks\Bitdefender Update Product Data_A17FD818A96743FAB28AC221BEB4B2C8 => C:\Program Files\Bitdefender\Bitdefender 2015\bdproductdata.exe
Task: {B7992938-01F1-4F40-A0EC-0D23D2F0F152} - \Microsoft\Windows\TaskScheduler\Regular Maintenance -> Brak pliku 
Task: {CFD7C21A-808B-487B-A6EC-8A10E44E8360} - \Microsoft\Windows\SettingSync\BackupTask -> Brak pliku 
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Aeria Ignite" /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v app /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v CLVirtualDrive /f
C:\Program Files\McAfee
C:\Program Files (x86)\IObit
C:\Program Files (x86)\Lenovo
C:\ProgramData\{322E44A7-0E30-4650-A200-645ED942CC5F}.tmp
C:\ProgramData\hash.dat
C:\ProgramData\AVAST Software
C:\ProgramData\avastSWCUTemp
C:\ProgramData\Avg
C:\ProgramData\Avira
C:\ProgramData\cosun
C:\ProgramData\McAfee
C:\ProgramData\ProductData
C:\ProgramData\Thunder Network
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mirillis
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Music, Photos and Videos
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Shadowbound
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师
C:\Users\Maru\AppData\Local\Animiprujersp
C:\Users\Maru\AppData\Local\Cmudomghikother
C:\Users\Maru\AppData\Local\Lenovo
C:\Users\Maru\AppData\Local\Mozilla
C:\Users\Maru\AppData\Local\Tempfolder
C:\Users\Maru\AppData\Local\UCBrowser
C:\Users\Maru\AppData\Roaming\*.*
C:\Users\Maru\AppData\Roaming\Geunfy
C:\Users\Maru\AppData\Roaming\GowvePitpagf
C:\Users\Maru\AppData\Roaming\Mozilla
C:\Users\Maru\AppData\Roaming\OpenFM
C:\Users\Maru\AppData\Roaming\psvc
C:\Users\Maru\AppData\Roaming\Solvusoft
C:\Users\Maru\AppData\Roaming\Microsoft\Done.dat
C:\Users\Maru\AppData\Roaming\Microsoft\interface.dat
C:\Users\Maru\AppData\Roaming\Microsoft\interface2.dat
C:\Users\Maru\AppData\Roaming\Microsoft\jushed.jushed
C:\Users\Maru\AppData\Roaming\Microsoft\patterns.ini
C:\Users\Maru\AppData\Roaming\Microsoft\spoolsfirst
C:\Users\Maru\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk
C:\Users\Maru\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器.lnk
C:\Users\Maru\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器 (2).lnk
C:\Users\Maru\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Tor Browser.lnk
C:\Users\Maru\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
C:\Users\Maru\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk
C:\Users\Maru\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk
C:\Users\Maru\TsGame
C:\Users\Public\Thunder Network
C:\WINDOWS\Joberphlusisp
C:\WINDOWS\system32\roboot64.exe
C:\WINDOWS\System32\Tasks\Lenovo
Hosts:
CMD: netsh advfirewall reset
Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths" /s
Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Print /s
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8

 

Plik fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition ale już bez Shortcut. Dołącz też plik fixlog.txt.

[LuoShaNu]

Zrobione jak powyżej zostało napisane, przy ponownym uruchomieniu się systemu pojawiło się okno podobne do tego z wierszem poleceń niestety nie dostrzegłam tam nic. Widać było tylko zarys że się pojawił nic więcej, oraz mniejsze w lewym górnym rogu, jak dobrze przeczytałam pisało coś o kopii zapasowej. Co najważniejsze przy uruchomieniu Google Chrome'a komunikat, który mi wyskakiwał, nie pojawił się  Dziękuję ślicznie, a teraz logi po:

Fixlog.txt

FRST.txt

Addition.txt

[picasso]

Wszystko zrobione. Lecimy z drobnymi poprawkami:

 

1. Otwórz Notatnik i wklej w nim:

 

Task: {2506DEAF-2763-46BD-A3AB-7C4473BAC4F5} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-07-04] (AVAST Software)
HKU\S-1-5-21-2411900937-544243709-2355068264-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\Maru\AppData\Local\Akamai\netsession_win.exe"
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths
Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions\Paths" /f
C:\Program Files\Common Files\AV\avast! Antivirus
C:\Windows\System32\Tasks\AVAST Software
D:\Program Files\MSUser.Default

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt.

 

2. Uruchom FRST ponownie, w polu Szukaj wklej co poniżej, klik w Szukaj w rejestrze i przedstaw wynikowy SearchReg.txt.

 

MSUser.Default;LuDaShi

[LuoShaNu]

Nie było restartu

Fixlog.txt

SearchReg.txt

[picasso]

Skrypt pomyślnie wykonany. Jeszcze skan rejestru wykrył szczątki infekcji.

 

1. Otwórz Notatnik i wklej w nim:

 

DeleteKey: HKLM\SOFTWARE\Microsoft\Microsoft Antimalware
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\MATS

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

 

2. Wykonaj skan za pomocą Hitman Pro. Jeśli wykryje coś innego niż kopie FRST64.exe (to fałszywy alarm), dostarcz log z wynikami.

[LuoShaNu]

Przez chwilę widniał na liście Chrome Setup, ale trwało skanowanie i zniknęło.

Nie mogę dodać log'a z wynikami ze skanowania HitmanPro, dlatego też prześlę go w notatniku

Fixlog.txt

HitmanPro_20160915_1408.txt

[picasso]

Chrome Setup widoczny - prawdopodobnie odbywała się autoaktualizacja przeglądarki, aczkolwiek w Twoim poprzednim logu już była widoczna jako zainstalowana najnowsza dostępna wersja 53.0.2785.116.

 

Hitman wykrył tylko drobnicę. Pliki z sekcji "Suspicious files" do zignorowania, rekordy "Potential Unwanted Programs" już zostały zanaczone do usunięcia, więc jeszcze Cookies do skasowania.

[LuoShaNu]

Tak, jest najnowsza, bo gdy się za to brałam i próbowałam pozbyć się tego komunikatu z Chroma, po wszystkich przeprowadzonych działaniach odinstalowałam starą i pobrałam nową. Z tego co pamiętam w którymś programie Profile 1 w Chrome był zawirusowany i rozpoczęłam ręczne usuwanie czego wynikiem było stracenie zakładek.

Zastanawia mnie tylko ten LuDaShi,

Za pomoc jestem niezmiernie wdzięczna i dziękuję Ci bardzo

[picasso]

Zastanawia mnie tylko ten LuDaShi

Usuwałam wszystko co było widać od tego adware w raportach, a skan rejestru nie wykrył nic powiązanego. Czy mam rozumieć, że obecnie widzisz gdzieś "LuDaShi"?

[LuoShaNu]

W danym momencie nie. Jeszcze przed znalezieniem się tutaj na forum był folder LuDaShi na dysku C w Plikach programów (x86), gdzie praktycznie wszystko było do usunięcia poza 3 plikami, gdzie system powiadamiał mnie o tym że nie można ich usunąć gdyż są w trakcie działania.

[picasso]

Potwierdź mi jeszcze, że nie widzisz "LuDaShi" w tym miejscu: prawy klik na Pasek zadań Windows > Paski narzędzi. Raczej nie powinno tam tego już być, bo skan rejestru nie zwrócił obecności klasy w rejestrze, która odpowiada za widoczność obiektu w tym menu. I jeśli nie ma już innych widocznych problemów, kończymy:

 

1. Przez SHIFT+DEL (omija Kosz) skasuj z poniższego folderu FRST i jego logi:

 

C:\Users\Maru\Downloads\INSTALKI

 

2. Następnie zastosuj jeszcze DelFix, a po tym wyczyść foldery Przywracania systemu: KLIK.

[LuoShaNu]

Zrobione