wirus kemgadeojglibflomicgnfeopkdfflnk, otwieranie się strony qtipr

karolm89 · 24 Lutego 2017

Witam serdecznie,
Bardzo proszę o pomoc. Mam problem w postaci jakiegoś zdaje się chińskiego wirusa. Podczas uruchamiania Chrome wyświetla się okienko z błędem "kemgadeojglibflomicgnfeopkdfflnk", naciskam ok i wchodzi na stronę qtipr. Czyściłem różnymi programami np. adwcleaner, spyhunter. Myślałem że już się z tym uporałem programem UnHuckMe, ponieważ skasował wirusy jednak w niedługim czasie problem znowu powraca. We właściwościach Chrome, w okienku element docelowy jest zbyt dużo treści, której usunięcie pomaga tylko na chwile.

Addition.txt

FRST.txt

gmer.txt

Shortcut.txt

Miszel03 · 25 Lutego 2017

W systemie widoczne infekcje adware, które są odpowiedzialne za występowanie u Ciebie wymienionych problemów przez Ciebie problemów.

Do poczytania: KLIK.

1. Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-2476814522-3174037697-3718741042-1001\...\ChromeHTML: ->  
Task: {350C81AC-473A-4F20-A94F-810A13D521D5} - \DriverMaxAgent -> Brak pliku 
Task: {55DAA384-9242-4525-AFFA-3D280B24CAD6} - \klcp_update -> Brak pliku 
Task: {5BFE9C98-A550-45B2-85E1-8A6521A2D96C} - System32\Tasks\{95D58C97-E987-4BA2-B7D1-25C60B3FE458} => pcalua.exe -a C:\Users\karol\AppData\Local\Temp\Temp1_MarvellYukon_Ethernet_V111053_Windows7.zip\MarvellYukon_Ethernet_V111053_Windows7\setup.exe 
WMI_ActiveScriptEventConsumer_ASEC: 
C:\Users\karol\Desktop\programy karola\Настройки PES 2015.lnk
ShortcutWithArgument: C:\Users\karol\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\karol\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
C:\Users\karol\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk
HKU\S-1-5-18\...\Run: [] => [X]
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKU\S-1-5-21-2476814522-3174037697-3718741042-1001\Software\Microsoft\Internet Explorer\Main,Start Page = 
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
SearchScopes: HKU\S-1-5-21-2476814522-3174037697-3718741042-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
U0 Partizan; system32\drivers\Partizan.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
C:\ProgramData\Benchmarking.exe
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smart File Advisor\Smart File Advisor Updater.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smart File Advisor\Startup Application Checker.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games\Grand Theft Auto IV\Grand Theft Auto IV Safe Mode.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games\Grand Theft Auto IV\Grand Theft Auto IV.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games\Grand Theft Auto IV\Revoke License.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lightworks\Uninstall Lightworks.lnk
C:\Users\karol\Documents\ZDJĘCIA\mama, paryż\Nowy folder\DSC00423 (2) — skrót.lnk
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\karol\AppData\Local\Mozilla
C:\Users\karol\AppData\Roaming\Mozilla
C:\Users\karol\AppData\Roaming\Profiles
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt (ustaw koniecznie kodowanie na UTF-8) w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Wyczyść i zabezpiecz przeglądarkę Google Chrome:

Zresetuj synchronizację (o ile włączona): KLIK.
Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
Polecam zainstalować bloker reklam o podłożu nieinfekcyjnym, do tego celu przyda Ci się uBlock Origin.

3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.

4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

----

Piszesz, że korzystałeś ze SpyHuntera, a to problem o wątpliwej reputacji. Skromnie sugeruję by unikać.

karolm89 · 26 Lutego 2017

Niesamowite, problemy zniknęły, wyleczony system! Nie wiem jak to robicie, ale bardzo mi się to podoba. Nie mogę jedynie zresetować cache wtyczek - nie widzę przycisku 'wyłącz'.