piotr0631 Opublikowano 19 Stycznia 2017 Zgłoś Udostępnij Opublikowano 19 Stycznia 2017 Witam,Proszę o pomoc,Podczas uruchamiania przeglądarki Chrome wyskakuje komunikat z blędem:"Błąd podczas ładowania rozszerzenia. Nie udało sie wczytac rozszerzenia z:C:\Users\Piotr\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk.Brak pliku manifestu lub nie mozna go odczytac." Próbowałem czyścicieli, odinstalowywałem i zainstalowałem Chrome i dalej to samo cały czas pojawia się na nowo i nie mogę tego unicestwić. Bardzo proszę o pomoc. FRST.txt Addition.txt Shortcut.txt gmer.txt Odnośnik do komentarza
Miszel03 Opublikowano 20 Stycznia 2017 Zgłoś Udostępnij Opublikowano 20 Stycznia 2017 1. Przez panel sterowania odinstaluj: ByteFence Anti-Malware Cytuję z tematu picasso: ByteFence Antimalware Free - Podejrzany rebrand Reason Core Security, instalowany / przemycany na komputery technikami PUP! Usuwany przez AdwCleaner. Następnie przejdź do wymienionych katalogów: C:\Program Files (x86)\UCBrowser, C:\Program Files (x86)\WinArcher, C:\Program Files (x86)\Gubed, C:\ProgramData\WinSAPSvc i spróbuj z ich poziomu uruchomić plik deinstalacyjny (nazwa zbliżona do uninstall.exe). 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKLM\...\Providers\kkez28a6: C:\Program Files (x86)\Phikaty Nodifier\local64spl.dll [292352 2017-01-16] () C:\Program Files (x86)\Phikaty Nodifier ShellExecuteHooks: No Name - {41B7E29A-DB94-11E6-A96D-64006A5CFC23} - -> No File ShellExecuteHooks: No Name - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} - -> No File ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> No File StartMenuInternet: IEXPLORE.EXE - iexplore.exe R3 iThemes5; C:\Program Files (x86)\Common Files\Services\iThemes.dll [583680 2017-01-19] () [File not signed] R2 Archer; C:\Program Files (x86)\WinArcher\Archer.dll [417280 2017-01-19] () [File not signed] R2 GubedZL; C:\Program Files (x86)\Gubed\GubedZL.dll [124416 2017-01-19] () [File not signed] R2 WinSAPSvc; C:\ProgramData\WinSAPSvc\WinSAP.dll [509440 2017-01-19] () [File not signed] C:\Program Files (x86)\WinArcher C:\Program Files (x86)\Gubed C:\ProgramData\WinSAPSvc U0 aswVmm; no ImagePath S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] U3 kxldapow; \??\C:\Windows\TEMP\kxldapow.sys [X] Task: {9E7F1F9F-F51A-4D10-8D34-559C35B38501} - \WPD\SqmUpload_S-1-5-21-1787938467-411497002-959167669-1001 -> No File Task: {C89EB585-F412-4E54-A7AF-DE78E63D567C} - \Optimize Start Menu Cache Files-S-1-5-21-1787938467-411497002-959167669-1001 -> No File Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe C:\Program Files (x86)\UCBrowser WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Piotr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://fanli90.cn/ ShortcutWithArgument: C:\Users\Piotr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Piotr\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/ ShortcutWithArgument: C:\Users\Piotr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://fanli90.cn/ ShortcutWithArgument: C:\Users\Piotr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Piotr\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/ ShortcutWithArgument: C:\Users\Piotr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://fanli90.cn/ ShortcutWithArgument: C:\Users\Piotr\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9501e18d7c2ab92e\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 2" ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Piotr\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/ ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Piotr\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/ DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Piotr\AppData\Local\Mozilla C:\Users\Piotr\AppData\Roaming\Mozilla C:\Users\Piotr\AppData\Roaming\Profiles C:\Users\Piotr\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Themes /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Sprawdź poniższy plik w usłudze VirusTotal.com i dostarcz link do analizy pliku. C:\Users\Piotr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winsvc.vbs Odnośnik do komentarza
piotr0631 Opublikowano 22 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 22 Stycznia 2017 (edytowane) Dzięki za radyTo tak według poleceń: 1. odinstalowane, w wymienionych katalogach nie było plików do deinstalacji.3 i 4.Dodaje pliki5. Analiza czekam na dalsze polecenia/ wsparcie. EDIT: Aha i wygląda że ten wirus zniknął ale jak przydałoby się coś jeszcze zrobić to czekam na sugestie. Pozdrawiam Addition.txt Fixlog.txt FRST.txt Shortcut.txt AdwCleanerS6.txt Edytowane 22 Stycznia 2017 przez Rucek Łaczę. Odnośnik do komentarza
Miszel03 Opublikowano 22 Stycznia 2017 Zgłoś Udostępnij Opublikowano 22 Stycznia 2017 1. W AdwCleaner usuwasz wszystko oprócz tego: C:\Program Files (x86)\Common Files\SERVICES\ITHEMES.DLL 2. Skasuj ręcznie przez SHIFT + DELETE: C:\Users\Piotr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\winsvc.vbs 3. Całościowo przeskanuj system za pomocą programu Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. Odnośnik do komentarza
piotr0631 Opublikowano 23 Stycznia 2017 Autor Zgłoś Udostępnij Opublikowano 23 Stycznia 2017 Zrobione. Malwarebytes.txt Odnośnik do komentarza
Miszel03 Opublikowano 23 Stycznia 2017 Zgłoś Udostępnij Opublikowano 23 Stycznia 2017 Wszystkie wykrycia Malwarebytes daj do kasacji. Zrób nowy zestaw logów FRST i podsumuj obecny stan systemu. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się