Wirus kemgadeojglibflomicgnfeopkdfflnk.

[piotr0631]

Witam,
Proszę o pomoc,
Podczas uruchamiania przeglądarki Chrome wyskakuje komunikat z blędem:
"Błąd podczas ładowania rozszerzenia. Nie udało sie wczytac rozszerzenia z:
C:\Users\Piotr\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk.
Brak pliku manifestu lub nie mozna go odczytac."

 

Próbowałem czyścicieli, odinstalowywałem i zainstalowałem Chrome i dalej to samo cały czas pojawia się na nowo i nie mogę tego unicestwić.

 

Bardzo proszę o pomoc.

FRST.txt

Addition.txt

Shortcut.txt

gmer.txt

[Miszel03]

1. Przez panel sterowania odinstaluj:

• ByteFence Anti-Malware

 

Cytuję z tematu picasso:

ByteFence Antimalware Free - Podejrzany rebrand Reason Core Security, instalowany / przemycany na komputery technikami PUP! Usuwany przez AdwCleaner.

 

 

Następnie przejdź do wymienionych katalogów: C:\Program Files (x86)\UCBrowser, C:\Program Files (x86)\WinArcher, C:\Program Files (x86)\Gubed, C:\ProgramData\WinSAPSvc i spróbuj z ich poziomu uruchomić plik deinstalacyjny (nazwa zbliżona do uninstall.exe).

 

2. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
HKLM\...\Providers\kkez28a6: C:\Program Files (x86)\Phikaty Nodifier\local64spl.dll [292352 2017-01-16] ()
C:\Program Files (x86)\Phikaty Nodifier
ShellExecuteHooks: No Name - {41B7E29A-DB94-11E6-A96D-64006A5CFC23} -  -> No File
ShellExecuteHooks: No Name - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} -  -> No File
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
R3 iThemes5; C:\Program Files (x86)\Common Files\Services\iThemes.dll [583680 2017-01-19] () [File not signed] 
R2 Archer; C:\Program Files (x86)\WinArcher\Archer.dll [417280 2017-01-19] () [File not signed]
R2 GubedZL; C:\Program Files (x86)\Gubed\GubedZL.dll [124416 2017-01-19] () [File not signed]
R2 WinSAPSvc; C:\ProgramData\WinSAPSvc\WinSAP.dll [509440 2017-01-19] () [File not signed]
C:\Program Files (x86)\WinArcher
C:\Program Files (x86)\Gubed
C:\ProgramData\WinSAPSvc
U0 aswVmm; no ImagePath
S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
U3 kxldapow; \??\C:\Windows\TEMP\kxldapow.sys [X]
Task: {9E7F1F9F-F51A-4D10-8D34-559C35B38501} - \WPD\SqmUpload_S-1-5-21-1787938467-411497002-959167669-1001 -> No File 
Task: {C89EB585-F412-4E54-A7AF-DE78E63D567C} - \Optimize Start Menu Cache Files-S-1-5-21-1787938467-411497002-959167669-1001 -> No File 
Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe 
C:\Program Files (x86)\UCBrowser
WMI_ActiveScriptEventConsumer_ASEC: 
ShortcutWithArgument: C:\Users\Piotr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://fanli90.cn/
ShortcutWithArgument: C:\Users\Piotr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\Piotr\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/
ShortcutWithArgument: C:\Users\Piotr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://fanli90.cn/
ShortcutWithArgument: C:\Users\Piotr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\Piotr\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/
ShortcutWithArgument: C:\Users\Piotr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://fanli90.cn/
ShortcutWithArgument: C:\Users\Piotr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9501e18d7c2ab92e\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 2"
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\Piotr\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\Piotr\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Piotr\AppData\Local\Mozilla
C:\Users\Piotr\AppData\Roaming\Mozilla
C:\Users\Piotr\AppData\Roaming\Profiles
C:\Users\Piotr\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk
Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Themes /s
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

4. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum

 

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

 

Sprawdź poniższy plik w usłudze VirusTotal.com i dostarcz link do analizy pliku.

 

C:\Users\Piotr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winsvc.vbs

[piotr0631]

Dzięki za rady
To tak według poleceń:

 

1. odinstalowane, w wymienionych katalogach nie było plików do deinstalacji.
3 i 4.Dodaje pliki
5. Analiza

 

czekam na dalsze polecenia/ wsparcie.

EDIT: Aha i wygląda że ten wirus zniknął ale jak przydałoby się coś jeszcze zrobić to czekam na sugestie. Pozdrawiam

Addition.txt

Fixlog.txt

FRST.txt

Shortcut.txt

AdwCleanerS6.txt

Edytowane 22 Stycznia 2017 przez Rucek
Łaczę.

[Miszel03]

1. W AdwCleaner usuwasz wszystko oprócz tego: C:\Program Files (x86)\Common Files\SERVICES\ITHEMES.DLL

 

2. Skasuj ręcznie przez SHIFT + DELETE: C:\Users\Piotr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winsvc.vbs

 

3. Całościowo przeskanuj system za pomocą programu Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

[piotr0631]

Zrobione.

Malwarebytes.txt

[Miszel03]

Wszystkie wykrycia Malwarebytes daj do kasacji. Zrób nowy zestaw logów FRST i podsumuj obecny stan systemu.