Skocz do zawartości

wirus kemgadeojglibflomicgnfeopkdfflnk, otwieranie się strony qtipr


Rekomendowane odpowiedzi

Witam serdecznie,
Bardzo proszę o pomoc. Mam problem w postaci jakiegoś zdaje się chińskiego wirusa. Podczas uruchamiania Chrome wyświetla się okienko z błędem "kemgadeojglibflomicgnfeopkdfflnk", naciskam ok i wchodzi na stronę qtipr. Czyściłem różnymi programami np. adwcleaner, spyhunter. Myślałem że już się z tym uporałem programem UnHuckMe, ponieważ skasował wirusy jednak w niedługim czasie problem znowu powraca. We właściwościach Chrome, w okienku element docelowy jest zbyt dużo treści, której usunięcie pomaga tylko na chwile. 

Addition.txt

FRST.txt

gmer.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W systemie widoczne infekcje adware, które są odpowiedzialne za występowanie u Ciebie wymienionych problemów przez Ciebie problemów.

 

Do poczytania: KLIK.

 

1. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2476814522-3174037697-3718741042-1001\...\ChromeHTML: ->  
Task: {350C81AC-473A-4F20-A94F-810A13D521D5} - \DriverMaxAgent -> Brak pliku 
Task: {55DAA384-9242-4525-AFFA-3D280B24CAD6} - \klcp_update -> Brak pliku 
Task: {5BFE9C98-A550-45B2-85E1-8A6521A2D96C} - System32\Tasks\{95D58C97-E987-4BA2-B7D1-25C60B3FE458} => pcalua.exe -a C:\Users\karol\AppData\Local\Temp\Temp1_MarvellYukon_Ethernet_V111053_Windows7.zip\MarvellYukon_Ethernet_V111053_Windows7\setup.exe 
WMI_ActiveScriptEventConsumer_ASEC: 
C:\Users\karol\Desktop\programy karola\Настройки PES 2015.lnk
ShortcutWithArgument: C:\Users\karol\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\karol\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
C:\Users\karol\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk
HKU\S-1-5-18\...\Run: [] => [X]
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKU\S-1-5-21-2476814522-3174037697-3718741042-1001\Software\Microsoft\Internet Explorer\Main,Start Page = 
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
SearchScopes: HKU\S-1-5-21-2476814522-3174037697-3718741042-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
U0 Partizan; system32\drivers\Partizan.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
C:\ProgramData\Benchmarking.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smart File Advisor\Smart File Advisor Updater.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smart File Advisor\Startup Application Checker.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games\Grand Theft Auto IV\Grand Theft Auto IV Safe Mode.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games\Grand Theft Auto IV\Grand Theft Auto IV.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games\Grand Theft Auto IV\Revoke License.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lightworks\Uninstall Lightworks.lnk
C:\Users\karol\Documents\ZDJĘCIA\mama, paryż\Nowy folder\DSC00423 (2) — skrót.lnk
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\karol\AppData\Local\Mozilla
C:\Users\karol\AppData\Roaming\Mozilla
C:\Users\karol\AppData\Roaming\Profiles
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt (ustaw koniecznie kodowanie na UTF-8) w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść i zabezpiecz przeglądarkę Google Chrome:

  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
  • Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
  • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
  • Polecam zainstalować bloker reklam o podłożu nieinfekcyjnym, do tego celu przyda Ci się uBlock Origin
3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

 

----

Piszesz, że korzystałeś ze SpyHuntera, a to problem o wątpliwej reputacji. Skromnie sugeruję by unikać.

Odnośnik do komentarza
Niesamowite, problemy zniknęły, wyleczony system! Nie wiem jak to robicie, ale bardzo mi się to podoba.

 

Polecamy się na przyszłość (ale to nie ma być zachęta do beztroskiego korzystania z systemu i internetu :P:thumbsup:

 


 

Jeśli chodzi o cache wtyczek to mój błąd. W wersji 56 zredukowano tą możliwość. 

 

Program AdwCleaner niczego nie wykrywa, raporty wyglądają w porządku, problem ustąpił = będziemy kończyć.

 

Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe)  - KLIK.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...