Google chrome:brak pliku manifestu lub nie można go odczytać (C:Users\AppData\local\kemgadeojglibflomicgnfeopkdfflnk)

[Sowa1992]

Witam

 

mam problem z jakąś złośliwą wyszukiwarką (yeabd66.cc), której nie mogę znaleźć w ustawieniach google, ani na komputerze, wszystkie antywirusy nie znalazły zagrożeń, mimo to, po włączeniu google chrome wyskakuje mi okienko: C:Users\AppData\local\kemgadeojglibflomicgnfeopkdfflnk. brak pliku manifestu lub nie można go odczytać , a po kliknięciu "ok" włącza się właśnie wspomniana wyszukiwarka. Nie mam pojecia co z tym zrobić, prosze o pomoc.

GMER.txt

Addition.txt

FRST.txt

Shortcut.txt

[Miszel03]

W raportach widoczne szkodliwe modyfikacje (zarażone skróty LNK wraz z automatycznym ładowaniem rozszerzenia z prefabrykowanej lokalizacji) wyszukiwarki yeabd66.cc. Oprócz tego w raportach widać szczątki po innych infekcjach adware i programach (głównie po przeglądarce FireFox).

 

Zaczynamy.

 

1. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2816774600-1235983040-3463408076-1000\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
ShellExecuteHooks:  - {3F1B64C0-AA92-11E6-B58E-64006A5CFC23} - C:\Users\Nesste\AppData\Roaming\Elukweceward\Tiwale.dll Brak pliku [ ]
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} =>  Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} =>  Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} =>  Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} =>  Brak pliku
GroupPolicy: Ograniczenia - Chrome 
GroupPolicy\User: Ograniczenia 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-2816774600-1235983040-3463408076-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 

HKU\S-1-5-21-2816774600-1235983040-3463408076-1000\Software\Microsoft\Internet Explorer\Main,Start Page = 
URLSearchHook: HKLM-x32 -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D}
SearchScopes: HKLM -> DefaultScope {FDC320A9-B4B2-491E-B140-815C11613CB6} URL = 
SearchScopes: HKLM -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =

SearchScopes: HKU\S-1-5-21-2816774600-1235983040-3463408076-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-2816774600-1235983040-3463408076-1000 -> {2f23ab71-4ac6-41f2-a955-ea576e553146} URL =
SearchScopes: HKU\S-1-5-21-2816774600-1235983040-3463408076-1000 -> DefaultScope {FDC320A9-B4B2-491E-B140-815C11613CB6} URL = hxxp://search.yahoo.com/search?p={searchTerms}
SearchScopes: HKU\S-1-5-21-2816774600-1235983040-3463408076-1000 -> {FDC320A9-B4B2-491E-B140-815C11613CB6} URL = hxxp://search.yahoo.com/search?p={searchTerms} 
CHR HomePage: Default -> hxxp://www.gazeta.pl/0,0.html?p=154
CHR StartupUrls: Default -> "hxxp://www.gazeta.pl/0,0.html?p=154","hxxp://www.istartsurf.com/?type=hp&ts=1409675265&from=smt&uid=ST1500DM003-9YN16G_W1E2QME9XXXXW1E2QME9"
OPR Extension: (CinPl2.3c) - C:\Users\Nesste\AppData\Roaming\Opera Software\Opera Stable\Extensions\fhnjdejfbngngppihmpgncfnpfdaglhg [2014-09-02]

S2 BstHdUpdaterSvc; C:\Program Files (x86)\BlueStacks\HD-UpdaterService.exe [X]
S2 GmSvc; C:\Program Files (x86)\LDSGameCenter\GmSvc.dll [X]
S2 PlaysService; "C:\Program Files (x86)\Raptr Inc\PlaysTV\plays_service.exe" [X]
S3 ALSysIO; Brak ImagePath
S3 BRDriver64_1_3_3_E02B25FC; Brak ImagePath

S3 EagleX64; Brak ImagePath
S3 gdrv; Brak ImagePath

U0 aswVmm; Brak ImagePath
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 LgBttPort; system32\DRIVERS\lgbtpt64.sys [X]
S3 lgbusenum; system32\DRIVERS\lgbtbs64.sys [X]
S3 LGVMODEM; system32\DRIVERS\lgvmdm64.sys [X]
S3 qcusbnet; system32\DRIVERS\qcusbnet.sys [X]
S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X]

2016-03-19 19:24 - 2016-03-19 19:24 - 6493696 _____ () C:\Users\Nesste\AppData\Roaming\agent.dat
2016-03-19 19:24 - 2016-03-19 19:24 - 0127488 _____ () C:\Users\Nesste\AppData\Roaming\Installer.dat
2016-03-19 19:24 - 2016-03-19 19:24 - 0018432 _____ () C:\Users\Nesste\AppData\Roaming\Main.dat
Task: {0B825389-7CFF-4F71-9C7F-280C123F5173} - \Microsoft\Windows\Media Center\ReindexSearchRoot -> Brak pliku 
Task: {230F544D-4F40-445F-92C8-8357185B6100} - \Microsoft\Windows\Media Center\ActivateWindowsSearch -> Brak pliku 
Task: {346EDB4C-62B6-467D-8CC4-E0217ABB6FA5} - \Microsoft\Windows\Media Center\OCURActivate -> Brak pliku 
Task: {3EB9619C-CF63-4E2A-8CB8-AF7645B418AF} - \Microsoft\Windows\Media Center\SqlLiteRecoveryTask -> Brak pliku 
Task: {3EFDE1F4-CCBA-47E7-BFF8-EBA451BCEC12} - \Microsoft\Windows\Media Center\OCURDiscovery -> Brak pliku 
Task: {4EA494FC-0494-4264-BF5F-565EDB06EE41} - \Microsoft\Windows\Media Center\RegisterSearch -> Brak pliku 
Task: {54D9C6DC-217B-4256-BEE1-FD2E45997CEB} - \Microsoft\Windows\Media Center\ObjectStoreRecoveryTask -> Brak pliku 
Task: {5B931075-BC14-4CC8-B2EA-97F8DE86A0B6} - \Microsoft\Windows\Media Center\PBDADiscovery -> Brak pliku 
Task: {5FEA77D6-5A56-4B51-ADE2-9A6ABFB636B3} - \Microsoft\Windows\Media Center\mcupdate -> Brak pliku 
Task: {69EFC8A3-0623-49FF-88C1-0E3895D29AAB} - \Microsoft\Windows\Media Center\ehDRMInit -> Brak pliku 

Task: {84170554-552F-4E12-B551-9ED3534A9173} - \Microsoft\Windows\Media Center\PBDADiscoveryW2 -> Brak pliku 
Task: {8B957F03-F793-4072-8363-49C441879D3C} - \Microsoft\Windows\Media Center\ConfigureInternetTimeService -> Brak pliku 
Task: {8F72D655-EF0C-489B-8E16-B56AD18A1468} - \Program aktualizacji online firmy Adobe. -> Brak pliku 
Task: {9676E001-2070-4594-9DE5-1984E2DE009B} - \Microsoft\Windows\Media Center\UpdateRecordPath -> Brak pliku 
Task: {97F0BF86-6E68-4073-A797-D0EF9E46BF2E} - \Microsoft\Windows\Media Center\DispatchRecoveryTasks -> Brak pliku 
Task: {9ACCEC29-D06F-45D5-812A-FA0A71876C12} - \Microsoft\Windows\Media Center\PeriodicScanRetry -> Brak pliku 
Task: {A9A65A43-F0E2-4DF3-84D8-F06D572F0A88} - \Microsoft\Windows\Media Center\PvrScheduleTask -> Brak pliku 
Task: {B53BF6A5-62A0-4AFC-A916-C9FFFB75B730} - \Microsoft\Windows\Media Center\InstallPlayReady -> Brak pliku 
Task: {BAE2BA0E-EB2A-48B4-ACFD-EA28EBE03B72} - \Microsoft\Windows\Media Center\PvrRecoveryTask -> Brak pliku 
Task: {DB22B199-18AF-45F3-8EA6-80353684E0E0} - \Microsoft\Windows\Media Center\RecordingRestart -> Brak pliku 
Task: {DCF0D733-C4B2-4827-9B88-1F2F56ABA5FE} - \Microsoft\Windows\Media Center\PBDADiscoveryW1 -> Brak pliku 
Task: {E9C70F03-8906-4C03-8A99-3541FA4EBA8F} - \Microsoft\Windows\Media Center\MediaCenterRecoveryTask -> Brak pliku 

ShortcutWithArgument: C:\Users\Nesste\AppData\Local\Dritopy\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --show-app-list
ShortcutWithArgument: C:\Users\Nesste\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabd66.cc/
ShortcutWithArgument: C:\Users\Nesste\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabd66.cc/
ShortcutWithArgument: C:\Users\Nesste\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\Nesste\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabd66.cc/
ShortcutWithArgument: C:\Users\Nesste\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabd66.cc/
ShortcutWithArgument: C:\Users\Nesste\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\Nesste\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabd66.cc/
ShortcutWithArgument: C:\Users\Nesste\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\7eacadfa43776aec\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData2

C:\Users\Nesste\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk
C:\Users\Nesste\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk

AlternateDataStreams: C:\ProgramData\TEMP:56E2E879 [116]

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Warblade\Warblade User Manual.lnk


C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Infogrames Interactive\Monopoly\Play Monopoly.lnk


C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Infogrames Interactive\Monopoly\Readme.txt.lnk


C:\ProgramData\AVG\AWL2014\StartUp Manager\Wyłącz obiekty dla wszystkich użytkowników\CodecPackUpdateChecker.lnk


C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\AVG PC TuneUp.lnk


C:\Users\Nesste\Start Menu\Programs\SpyHunter\SpyHunter.lnk


C:\Users\Nesste\Start Menu\Programs\SpyHunter\Uninstall.lnk


C:\Users\Nesste\Documents\Euro Truck Simulator 2\readme.rtf.lnk


C:\Users\Nesste\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\Screenshots.lnk


C:\Users\Nesste\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk


C:\Users\Nesste\AppData\Local\Microsoft\Windows\GameExplorer\{355771DE-E430-4500-9542-50CBA99200E5}\PlayTasks\0\Zagraj.lnk

DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\\Nesste\AppData\Local\Mozilla
C:\Users\\Nesste\AppData\Roaming\Mozilla
C:\Users\\Nesste\AppData\Roaming\Profiles
C:\Program Files (x86)\Mozilla Firefox
C:\ProgramData\Mozilla

CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Nesste\AppData\Local
CMD: dir /a C:\Users\Nesste\AppData\LocalLow
CMD: dir /a C:\Users\Nesste\AppData\Roaming













EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy).

 

2. Wyczyść Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 

 

4. Wygeneruj nowe raporty FRST (bez GMER) oraz dostarcz raport wynikowy (Fixlog.txt).

[Sowa1992]

Zrobiłem tak jak mówiłeś. 

Addition.txt

Fixlog.txt

FRST.txt

Shortcut.txt

AdwCleanerS0.txt

[Miszel03]

1. W AdwCleaner powtórz czynność skanowania, ale po niej kliknij w Oczyść. Dostarcz raport z tego działania. 

 

2. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
Task: {0405163B-E7DE-47A8-BAE1-86B2EED7B1FC} - System32\Tasks\d6a959b4fd1aaa581ab458d9d73c08ff => Rundll32.exe "C:\Program Files (x86)\BRS\0oo5rc.dll",e62dc6c6547f46bda862da2d05af6862 
C:\Program Files (x86)\UCBrowser
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy).

 

3. Nie musisz dostarczać raportu wynikowego (Fixlog.txt).

Napisz czy problem ustąpił. 

[Sowa1992]

Problem ustąpił już przy tym pierwszym działaniu, już się działa poprawnie. Dzięki wielkie za pomoc. Już myślałem że tylko format mnie ratuje. Jesteście wielcy

AdwCleanerC0.txt

Fixlog.txt

[Miszel03]

W takim razie kończymy. 

 

Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) - KLIK.

 

Przeczytaj również Portale z oprogramowaniem / Instalatory - na co uważać.

[Sowa1992]

Jeszcze raz wielkie dzięki.

EDIT: To jest skan z delfix.

DelFix.txt

Edytowane 12 Grudnia 2016 przez Rucek

[Miszel03]

OK.