sebik333 Opublikowano 12 Marca 2017 Zgłoś Udostępnij Opublikowano 12 Marca 2017 Witam,Bardzo proszę o pomoc. Mam problem w postaci jakiegoś zdaje się chińskiego wirusa. Podczas uruchamiania Chrome wyświetla się okienko z błędem "kemgadeojglibflomicgnfeopkdfflnk", naciskam ok i wchodzi na stronę qtipr. Czyściłem programem adwcleaner. Myślałem że już się z tym uporałem programem UnHuckMe, ponieważ skasował wirusy jednak w niedługim czasie problem znowu powraca. We właściwościach Chrome, w okienku element docelowy jest zbyt dużo treści, której usunięcie pomaga tylko na chwile. gmar.txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 12 Marca 2017 Zgłoś Udostępnij Opublikowano 12 Marca 2017 Raporty są co prawda inne, ale skopiowałeś opis problemu z tematu Wirus kemgadeojglibflomicgnfeopkdfflnk, otwieranie się strony qtipr. Sprawdziłem również Wasze numery IP i to nie wygląda na multikonto, ale proszę wykazuj w trakcie pomocy choć trochę inicjatywy ze swojej strony i nie kopiuj odpowiedzi z innych tematów. W systemie widoczna szczątki po adware i infekcja WMI. Do poczytania lektura o bezpieczeństwie pobierania programów: KLIK. 1. Przejdź do folderu C:\Program Files\żěŃą i z jego poziomu spróbuj uruchomić plik deinstalacyjny (nazwa powinna być zbliżona do uninstall.exe). 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-18\...\Run: [] => [X] ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll -> Brak pliku URLSearchHook: [s-1-5-21-856211863-3457804247-3980532556-1001] UWAGA => Brak domyślnego URLSearchHook SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope - brak wartości U0 Partizan; system32\drivers\Partizan.sys [X] 2017-03-11 16:23 - 2017-03-11 16:23 - 0054272 _____ () C:\Users\ŚwiunteG\AppData\Roaming\ApplicationHosting.dat 2017-03-11 16:23 - 2017-03-11 16:23 - 0072787 _____ () C:\Users\ŚwiunteG\AppData\Roaming\DoubleEco.tst 2017-03-11 16:23 - 2017-03-11 16:23 - 0126464 _____ () C:\Users\ŚwiunteG\AppData\Roaming\lobby.dat 2017-03-11 16:24 - 2017-03-11 16:24 - 1891778 _____ () C:\Users\ŚwiunteG\AppData\Roaming\Techflex.tst CustomCLSID: HKU\S-1-5-21-856211863-3457804247-3980532556-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\ŚwiunteG\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku Task: {0A359BBE-A71F-4130-B7CF-9E73B7CD082E} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku Task: {1C605E5C-1F4D-4D59-9587-C280E5EC1A99} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {23D7C00C-FDD0-4204-BE01-EB40A951A284} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {2A370B6D-3D05-4DC4-8390-586B768193A9} - \Optimize Start Menu Cache Files-S-1-5-21-856211863-3457804247-3980532556-500 -> Brak pliku Task: {36AAD459-A5CE-4524-B4EB-E337E6D22983} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {428FA288-2F2B-427E-B521-2DE5DCC263A4} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {48DFA534-8EC1-4748-9EA3-0BE6C08867E7} - \Hewlett-Packard\HP Support Assistant\HP Support Solutions Framework Report -> Brak pliku Task: {4AC130CA-79EF-40F0-B9CD-B175C2ED004D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {53F7A0EB-744C-44E3-AE07-4826EF5F4799} - \ASUS Live Update1 -> Brak pliku Task: {5A3DFFBA-47DF-4E60-9CA7-07F55F3314C6} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {6046FEE9-B722-43C3-9AC8-4D14799D777B} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {6DA30928-130F-473E-8776-AD799C09F6DD} - \ASUS\ASUS Product Register Service -> Brak pliku Task: {7501ADF3-4C81-44CE-8F4A-469909998746} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {7A429671-C979-4213-B5BC-320CE70A928A} - \Optimize Start Menu Cache Files-S-1-5-21-856211863-3457804247-3980532556-1001 -> Brak pliku Task: {9123F01B-4FD6-4CCC-992E-4361DD01FDD4} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {AE15FD33-0EA6-4FCF-803F-B967E5B94461} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {B4CE1D7D-1164-489E-840D-13AC93CA7A88} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> Brak pliku Task: {B88F59C0-13A7-4EA2-94C0-74456A8DD870} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {C6451BCE-5888-4599-BD02-D00044215E29} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {C7C2D822-1317-4DE3-904D-A8528DB1E60C} - \McAfee\McAfee Idle Detection Task -> Brak pliku Task: {E7B214CA-315A-4CBE-907C-874167C6E2C1} - \WPD\SqmUpload_S-1-5-21-856211863-3457804247-3980532556-1001 -> Brak pliku Task: {E7C06BF8-21A2-47F2-9B4D-05AFDF669A4D} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\ŚwiunteG\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\WIUNTE~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\ŚwiunteG\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\WIUNTE~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\WIUNTE~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\WIUNTE~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ C:\Users\WIUNTE~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk C:\Users\ŚwiunteG\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\ŚwiunteG\AppData\Local\Mozilla C:\Users\ŚwiunteG\AppData\Roaming\Mozilla C:\Users\ŚwiunteG\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 4. Zastosuj AdwCleaner najpierw z opcji Skanuj, a następnie z opcji Oczyść. Dostarcz raport z tego działania. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się