Skocz do zawartości

Wirus kemgadeojglibflomicgnfeopkdfflnk.


Rekomendowane odpowiedzi

Witam,
Proszę o pomoc,
Podczas uruchamiania przeglądarki Chrome wyskakuje komunikat z blędem:
"Błąd podczas ładowania rozszerzenia. Nie udało sie wczytac rozszerzenia z:
C:\Users\Piotr\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk.
Brak pliku manifestu lub nie mozna go odczytac."

 

Próbowałem czyścicieli, odinstalowywałem i zainstalowałem Chrome i dalej to samo cały czas pojawia się na nowo i nie mogę tego unicestwić.

 

Bardzo proszę o pomoc.

FRST.txt

Addition.txt

Shortcut.txt

gmer.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

1. Przez panel sterowania odinstaluj:

  • ByteFence Anti-Malware

 

Cytuję z tematu picasso:

ByteFence Antimalware Free - Podejrzany rebrand Reason Core Security, instalowany / przemycany na komputery technikami PUP! Usuwany przez AdwCleaner.

 

 

Następnie przejdź do wymienionych katalogów: C:\Program Files (x86)\UCBrowserC:\Program Files (x86)\WinArcherC:\Program Files (x86)\GubedC:\ProgramData\WinSAPSvc i spróbuj z ich poziomu uruchomić plik deinstalacyjny (nazwa zbliżona do uninstall.exe).

 

2. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
HKLM\...\Providers\kkez28a6: C:\Program Files (x86)\Phikaty Nodifier\local64spl.dll [292352 2017-01-16] ()
C:\Program Files (x86)\Phikaty Nodifier
ShellExecuteHooks: No Name - {41B7E29A-DB94-11E6-A96D-64006A5CFC23} -  -> No File
ShellExecuteHooks: No Name - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} -  -> No File
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
R3 iThemes5; C:\Program Files (x86)\Common Files\Services\iThemes.dll [583680 2017-01-19] () [File not signed] 
R2 Archer; C:\Program Files (x86)\WinArcher\Archer.dll [417280 2017-01-19] () [File not signed]
R2 GubedZL; C:\Program Files (x86)\Gubed\GubedZL.dll [124416 2017-01-19] () [File not signed]
R2 WinSAPSvc; C:\ProgramData\WinSAPSvc\WinSAP.dll [509440 2017-01-19] () [File not signed]
C:\Program Files (x86)\WinArcher
C:\Program Files (x86)\Gubed
C:\ProgramData\WinSAPSvc
U0 aswVmm; no ImagePath
S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
U3 kxldapow; \??\C:\Windows\TEMP\kxldapow.sys [X]
Task: {9E7F1F9F-F51A-4D10-8D34-559C35B38501} - \WPD\SqmUpload_S-1-5-21-1787938467-411497002-959167669-1001 -> No File 
Task: {C89EB585-F412-4E54-A7AF-DE78E63D567C} - \Optimize Start Menu Cache Files-S-1-5-21-1787938467-411497002-959167669-1001 -> No File 
Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe 
C:\Program Files (x86)\UCBrowser
WMI_ActiveScriptEventConsumer_ASEC: 
ShortcutWithArgument: C:\Users\Piotr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://fanli90.cn/
ShortcutWithArgument: C:\Users\Piotr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\Piotr\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/
ShortcutWithArgument: C:\Users\Piotr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://fanli90.cn/
ShortcutWithArgument: C:\Users\Piotr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\Piotr\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/
ShortcutWithArgument: C:\Users\Piotr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://fanli90.cn/
ShortcutWithArgument: C:\Users\Piotr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9501e18d7c2ab92e\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 2"
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\Piotr\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\Piotr\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Piotr\AppData\Local\Mozilla
C:\Users\Piotr\AppData\Roaming\Mozilla
C:\Users\Piotr\AppData\Roaming\Profiles
C:\Users\Piotr\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk
Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Themes /s
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść Google Chrome:

  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
  • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
4. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum

 

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

 

Sprawdź poniższy plik w usłudze VirusTotal.com i dostarcz link do analizy pliku.

 

C:\Users\Piotr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winsvc.vbs

Odnośnik do komentarza

Dzięki za rady
To tak według poleceń:

 

1. odinstalowane, w wymienionych katalogach nie było plików do deinstalacji.
3 i 4.Dodaje pliki
5. Analiza

 

czekam na dalsze polecenia/ wsparcie.

EDIT: Aha i wygląda że ten wirus zniknął ale jak przydałoby się coś jeszcze zrobić to czekam na sugestie. Pozdrawiam

Addition.txt

Fixlog.txt

FRST.txt

Shortcut.txt

AdwCleanerS6.txt

Edytowane przez Rucek
Łaczę.
Odnośnik do komentarza

1. W AdwCleaner usuwasz wszystko oprócz tego: C:\Program Files (x86)\Common Files\SERVICES\ITHEMES.DLL

 

2. Skasuj ręcznie przez SHIFT + DELETE: C:\Users\Piotr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winsvc.vbs

 

3. Całościowo przeskanuj system za pomocą programu Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...