błąd rozszerzenie kemgadeojglibflomicgnfeopkdfflnk, chiński wirus żěŃą

[gosha]

Dzien dobry,
Prosze o pomoc,
Podczas uruchamiania przegladarki Chrome wyskakuje komunikat z bledem:
"Blad podczas ladowania rozszerzenia. Nie udalo sie wczytac rozszerzenia z:
C:\Users\Gosia\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk.
Brak pliku manifestu lub nie mozna go odczytac."

 

Po zatwierdzeniu "ok" przegladarka sie uruchamia.
By pozbyc sie tego, odinstalowalam i zainstalowalam ponownie Chrome, jednak problem nie ustapil.
Po zatwierdzeniu bledu na stronie startowej przegladarki jest h++p://qtipr.com/, w co ja nie ingerowalam. Wczesniej byla inna strona, tez nie bedaca moim dzialaniem. Problem zaczal sie jeszcze duzo wczesniej gdy nieumyslnie zainstalowalam wirus żěŃą lub cos takiego, co instalowalo mi chinskie gry i sama nie wiem co jeszcze. Przeskanowalam nieraz wtedy laptopa i odinstalowalam wszystko- co jak uwazalam- nie bylo mi potrzebne i czego nie znalam i czego data instalacji byla zbiezna z instalacja wirusa. Teraz <niby> nie mam juz tego wirusa, ale przy uruchamianiu przegladarki wyskakuje blad, a i laptop powoli dziala, a nieraz wlaczajac laptopa musze dodatkowo klikac klawisz Esc by go uruchomic.
*przepraszam, za brak polskich znakow, ale moj laptop wariacje rozne robi podczas ich wpisywania.
Z gory dziekuje za pomoc
Pozdrawiam

FRST.txt

Addition.txt

GMER.txt

Shortcut.txt

Edytowane 7 Stycznia 2017 przez Rucek
Brakujący raport dodany. Czyszczę temat.

[Miszel03]

W raportach widoczne adware i własnie ono odpowiada za problemy z przeglądarką Google Chrome. Powiedz mi tylko jeszcze: czy Rosyjskie adresy ustawione na routerze są Twoim celowym ustawieniem?

1. Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
S4 ProntSpooler; C:\Users\Gosia\AppData\Local\Apps\2.0\abril.exe [134656 2016-10-23] () [brak podpisu cyfrowego] R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-29] (Huorong Borui (Beijing) Technology Co., Ltd.) U0 aswVmm; Brak ImagePath
S1 BAPIDRV; system32\DRIVERS\BAPIDRV64.sys [X]
S2 ComputerZLock; \??\C:\Program Files (x86)\LdsLite\ComputerZLock_x64.sys [X]
S1 itdrvr_vt_1_10_0_25; system32\drivers\itdrvr_vt_1_10_0_25.sys [X]
WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Gosia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Gosia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Gosia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Gosia\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Gosia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Gosia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Gosia\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Gosia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 1"
ShortcutWithArgument: C:\Users\Gosia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\user0 - Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData
ShortcutWithArgument: C:\Users\Gosia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\225bb61db2f318c1\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 3"
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Gosia\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Gosia\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
C:\Users\Gosia\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Gosia\AppData\Local\Mozilla
C:\Users\Gosia\AppData\Roaming\Mozilla
C:\Users\Gosia\AppData\Roaming\Profiles
Hosts:
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
 
2. Wyczyść Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.
 
4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

[gosha]

Przy uruchamianiu FRST64.exe wyskoczyl komunikat: "Usluga nie odpowiada na sygnal uruchomienia lub sygnal sterujacy w oczekiwanym czasie."
Czy moge usunac i zainstalowac ponownie FRST64, a nastepnie wykonac polecone wyzej kroki? 

[Zappa]

Czy moge usunac i zainstalowac ponownie FRST64, a nastepnie wykonac polecone wyzej kroki?

 

Możesz. Ale najpierw spróbuj uruchomić FRST w trybie awaryjnym z wierszem polecenia. W konsoli wpisz komendę

 

 D:\Frst64.exe

[gosha]

wykonalam punkt 1 i 2, a w trakcie 3-ciego (niezaleznie czy uruchamiam AdwCleaner z trybu normalnego czy awaryjnego) po kliknieciu przycisku 'skanuj' (do wyboru jest 'skanuj' lub 'raport' - brak 'szukaj') wyskakuje Blad "*sqlite3.dll is corrupted or has been replaced." co przerywa proces i wylacza AdwCleaner.
Zauwazylam natomiast, ze gdy teraz wlaczam Chrome zaden blad sie nie ukazuje, a na stronie tytulowej sa google.pl

[Miszel03]

Na pasku narzędzi wybierz Plik, a z niego pozycję Odinstaluj. Po tym pobierz narzędzie na nowo i wykonaj czynności z pkt. 3 (p.s ma być Skanuj, po prostu odnoszę się do starego nazewnictwa opcji w tym programie). Oczywiście, po tym przechodzisz do następnych punktów. 

[gosha]

Punkty zrealizowane

Fixlog.txt

FRST.txt

Addition.txt

Shortcut.txt

AdwCleanerS0.txt

[Miszel03]

OK, ale czekam jeszcze na odpowiedz dot. rosyjskich adresów na routerze.

 

Idziemy dalej:

 

Powtórz operację z AdwCleaner, ale po opcji Skanuj zastosuj opcję Oczyść. 

 

Dostarcz raport z powyższego działania i zrób nowy zestaw logów FRST.

[gosha]

By uruchomic AdwCleaner musialam go ponownie odinstalowac i pobrac, ale w efekcie sie udalo.

AdwCleanerC0.txt

Fixlog.txt

FRST.txt

Addition.txt

Shortcut.txt

[Miszel03]

OK, ale czekam jeszcze na odpowiedz dot. rosyjskich adresów na routerze.

 

[gosha]

Przepraszam najmocniej, przeoczylam to pytanie.
Zadnych rosyjskich adresow nigdy nie ustawialam, nie powinno takich byc.

[Miszel03]

1. Przeprowadź jeszcze raz skanowanie w programie AdwCleaner, ale po nim wybierz opcję Oczyść. Dostarcz raport z tego działania.

 

2. Zaloguj się do routera:

• Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4
• Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK.

Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony:

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Tcpip\..\Interfaces\{A0CDF8C2-1F24-48E7-999B-BE0B389EC666}: [NameServer] 188.120.241.135,8.8.8.8
NETSVCx32: HpSvc -> Brak ścieżki do pliku.
Task: {20B3B3F3-AEF9-4A29-BC0A-6D80579DEE45} - System32\Tasks\Havuphatecercult Verfier => C:\Program Files (x86)\Clutiph\befeck.exe
C:\Program Files (x86)\Clutiph
CMD: ipconfig /flushdns
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

[gosha]

w FRST.exe zauwazylam folder 'Akamai' - czy nie powiinam sie tego pozbyc? 

 

dodatkowo 

- wyslalam sobie na poczte z innego laptopa pare plikow zapakowanych w zip (sprawne wszystkie). pobierajac zip na Tym laptopie, po rozpakowaniu (przez 7-zip) zamiast miec w zawartosci folder "Śródmieście", ma "ĹšrĂłdmieĹ›cie". nie wiem, w ktorym momencie nastepuje ten transformers- czy podczas sciagania pliku, czy rozpakowywania.
*(moze to tez jakas wskazowka co do problemu)

AdwCleanerC0.txt

Fixlog.txt

Addition.txt

Shortcut.txt

FRST.txt

[Miszel03]

Wszystko wygląda już o wiele lepiej. Co do incydentu z pocztą to dobrze, że o tym napisałeś - sprawdzę to. 

 

1. Skasuj: C:\Users\Gosia\AppData\Roaming\KuaiZip

 

2. Przeskanuj całościowo system za pomocą narzędzia Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

[gosha]

czy moge tez usunac z tego folderu (Roaming) procz KuaiZip, tez pare innych? Ludashi, lockhomepage, gplyra, Hemkajdoa. wszystkie te foldery sa z jednej daty 24.10.2016, z chwili gdy zaczal sie problem, a z tego KuaiZip wysypaly sie inne gry/programy co zainfekowaly mi laptopa- to moze wiec te.
i jeszcze 'rx_bykz' i 'Baidu' (ten ostatni Baidu to przegladarka chinska z tego co w necie wyczytalam)

usunac wiec tylko KuaiZip, czy wszystkie, ktore wymienilam?

[Miszel03]

Wszystkie (a to dziwne, bo przecież AdwCleaner je wywalił).

[gosha]

usunelam wymienione wczesniej pliki...
... i przez 'dodaj/usun programy' odinstalowalam 7zip'a (byl on instalowany podczas gdy mialam juz problemy z chinskim zawirusowaniem, wiec moze instalacja jego tez nie byla poprawna)

a oto raport ze skanowania

raport.txt

[Miszel03]

Wszystkie wyniki nadają się do kasacji. Podsumuj obecny stan systemu. 

[gosha]

sporo rzeczy mi to wyczyscilo (w tym moje pliki ...malo istotne)
- teraz przy kliknieciu samego "alt" obraca mi sie obraz - potrafie go ustawic z powrotem, ale nie powinno to tak byc (kiedys podobna sytuacje mialam jak skapnelo mi troszke kawy na klawiature w tym obszarze)
tylko przeskanowalam FRST, mam tez oczyscic?

 

EDIT: napisałam tutaj wczoraj, ze sporo rzeczy mi wyczyscilo- chodzilo mi o to, ze zostal usuniety jakis moj folder z plikami i luzne pliki w folderze "Dokumenty". Dzis (po dobie jak laptop byl wylaczony) po uruchomieniu laptopa, sa one z powrotem. nie wiem dlaczego tak, bo po wczorajszym czyszczeniu przez Malwarebyte laptop byl uruchamiany na nowo.

FRST.txt

Addition.txt

Shortcut.txt

Edytowane 16 Stycznia 2017 przez Rucek
Łączę.

[Miszel03]

Z tymi Twoim danymi to mogło być różnie, wcale nie musiały zostać usunięte, lecz np. ukryte. Powiedz mi czy oprócz problemów o podłożu innym niż infekcyjne (obracanie się ekranu) problemy infekcyjne ustały?  

[gosha]

Na kolejny dzien po czyszczeniu, obracanie sie ekranu tez ustalo. Na chwile obecna nie zauwazam nieprawidlowosci, ktore szlyby tylko z chinskiego zawirusowania. Problem, z ktorym zglosilam sie tutaj na poczatku, zostal wiec usuniety, za co bardzo dziekuje.

Mam natomiast problem z polskimi znakami, a szczegolnie z przyciskiem "alt" (moze tymczasowe obracanie sie ekranu, to jakis uboczny efekt wadliwosci przycisku).
Nie wiem czy powinnam zalozyc nowy watek czy kontynuowac to tutaj...
Problem rozpoczal sie gdy kiedys skapnelo mi troche kawy (bez cukru a z mlekiem) na prawy dolny rog klawiatury (innymi slowy- okolice "alt"). Wtedy trwalo to przez kilkanascie dni, pozniej ustalo i raz na jakis czas wracalo, ale tylko na pare dni. Obecnie jak wrocilo od momentu sciagniecia wirusa tak trwa nadal.

*W dokumentach, wiadomosciach itd.: Przy wpisywaniu kazdej litery polskiego alfabetu (alt+ np. s) wpisuje mi sie "ńś", przy czym nie wazne gdzie mam ustawiony kursor- przeskakuje on zazwyczaj na koniec zdania lub wyrazu i czasami tez wstawia ostatnio wpisywany wyraz. Kazde nacisniecie "alt" daje krotki drazniacy dzwiek, wpisuje "ń" i jednoczasnie przesuwa obraz na ekranie o jakies 2,5 linijki.
Np. mam zdanie "dosc zycia w srodmiesciu", poprawiam i uzyskuje " dosc ńśćzycia ńżw ńśsrodmiesciuńóńś "; kroki mojego postepowania to:
1. dosc --> dość = "dosc ńść" - zaznaczylam sc i chcac poprawic na "ść" kursor nie usunal sc, przeskoczyl na koniec wyrazu, dodal sobie spacje i "ń", a na koncu zadane przeze mnie "ść" i usunal spacje przed kolejnym wyrazem.
2. zycia --> życia = "zycia ńż" - jak wyzej
3. srodmiesciu --> śródmieściu = "ńśsrodmiesciuńóńś" - mieszanaka styli - zaznaczalam pojedyncze litery by je zmienic na polskie; pierwsza wskoczyla z przodu-nie kasujac "s", dwie kolejne z tylu- bez dodania juz spacji, ale przed kazda jest ń. caly obraz na ekranie jednoczesnie systematycznie byl przesuwany w dol
*W przegladarkach: Zazwyczaj podczas wpisywania polskiego znaku wkleja mi sie wyraz jakiego wczesniej gdzies uzywalam/wpisywalam lub ostatnio przegladana strona itp. i zamiast np.: "kieł" mam "kiestronańł", "sł" = "sgmail.comńł".
Prosze o pomoc

[Miszel03]

Np. mam zdanie "dosc zycia w srodmiesciu", poprawiam i uzyskuje " dosc ńśćzycia ńżw ńśsrodmiesciuńóńś "; kroki mojego postepowania to:

1. dosc --> dość = "dosc ńść" - zaznaczylam sc i chcac poprawic na "ść" kursor nie usunal sc, przeskoczyl na koniec wyrazu, dodal sobie spacje i "ń", a na koncu zadane przeze mnie "ść" i usunal spacje przed kolejnym wyrazem.

2. zycia --> życia = "zycia ńż" - jak wyzej

3. srodmiesciu --> śródmieściu = "ńśsrodmiesciuńóńś" - mieszanaka styli - zaznaczalam pojedyncze litery by je zmienic na polskie; pierwsza wskoczyla z przodu-nie kasujac "s", dwie kolejne z tylu- bez dodania juz spacji, ale przed kazda jest ń. caly obraz na ekranie jednoczesnie systematycznie byl przesuwany w dol

*W przegladarkach: Zazwyczaj podczas wpisywania polskiego znaku wkleja mi sie wyraz jakiego wczesniej gdzies uzywalam/wpisywalam lub ostatnio przegladana strona itp. i zamiast np.: "kieł" mam "kiestronańł", "sł" = "sgmail.comńł".

 

To dziwnie wygląda i mam obawy co do tego, że nie wywaliliśmy wszystkiego związanego z chińskimi programami.

 

Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry).

 

KuaiZip;żěŃą

 

W obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum, następnie przeszukasz pliki tak samo, z tym, że wkleisz:

 

KuaiZip*.*;żěŃą*.*

 

i klikniesz w Szukaj Plików (Search Files). J/w dostarczasz raport SearchFiles.

[gosha]

i co dalej?

SearchReg.txt

Search.txt