wirus kemgadeojglibflomicgnfeopkdfflnk, otwieranie się strony qtipr

[sebik333]

Witam,
Bardzo proszę o pomoc. Mam problem w postaci jakiegoś zdaje się chińskiego wirusa. Podczas uruchamiania Chrome wyświetla się okienko z błędem "kemgadeojglibflomicgnfeopkdfflnk", naciskam ok i wchodzi na stronę qtipr. Czyściłem programem adwcleaner. Myślałem że już się z tym uporałem programem UnHuckMe, ponieważ skasował wirusy jednak w niedługim czasie problem znowu powraca. We właściwościach Chrome, w okienku element docelowy jest zbyt dużo treści, której usunięcie pomaga tylko na chwile. 

gmar.txt

Addition.txt

FRST.txt

Shortcut.txt

[Miszel03]

Raporty są co prawda inne, ale skopiowałeś opis problemu z tematu Wirus kemgadeojglibflomicgnfeopkdfflnk, otwieranie się strony qtipr. Sprawdziłem również Wasze numery IP i to nie wygląda na multikonto, ale proszę wykazuj w trakcie pomocy choć trochę inicjatywy ze swojej strony i nie kopiuj odpowiedzi z innych tematów.

 

W systemie widoczna szczątki po adware i infekcja WMI. 

 

Do poczytania lektura o bezpieczeństwie pobierania programów: KLIK.

 

1. Przejdź do folderu C:\Program Files\żěŃą i z jego poziomu spróbuj uruchomić plik deinstalacyjny (nazwa powinna być zbliżona do uninstall.exe).

 

2. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-18\...\Run: [] => [X]
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll -> Brak pliku
URLSearchHook: [s-1-5-21-856211863-3457804247-3980532556-1001] UWAGA => Brak domyślnego URLSearchHook
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
U0 Partizan; system32\drivers\Partizan.sys [X]
2017-03-11 16:23 - 2017-03-11 16:23 - 0054272 _____ () C:\Users\ŚwiunteG\AppData\Roaming\ApplicationHosting.dat
2017-03-11 16:23 - 2017-03-11 16:23 - 0072787 _____ () C:\Users\ŚwiunteG\AppData\Roaming\DoubleEco.tst
2017-03-11 16:23 - 2017-03-11 16:23 - 0126464 _____ () C:\Users\ŚwiunteG\AppData\Roaming\lobby.dat
2017-03-11 16:24 - 2017-03-11 16:24 - 1891778 _____ () C:\Users\ŚwiunteG\AppData\Roaming\Techflex.tst
CustomCLSID: HKU\S-1-5-21-856211863-3457804247-3980532556-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\ŚwiunteG\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku
Task: {0A359BBE-A71F-4130-B7CF-9E73B7CD082E} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku 
Task: {1C605E5C-1F4D-4D59-9587-C280E5EC1A99} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku 
Task: {23D7C00C-FDD0-4204-BE01-EB40A951A284} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {2A370B6D-3D05-4DC4-8390-586B768193A9} - \Optimize Start Menu Cache Files-S-1-5-21-856211863-3457804247-3980532556-500 -> Brak pliku 
Task: {36AAD459-A5CE-4524-B4EB-E337E6D22983} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {428FA288-2F2B-427E-B521-2DE5DCC263A4} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {48DFA534-8EC1-4748-9EA3-0BE6C08867E7} - \Hewlett-Packard\HP Support Assistant\HP Support Solutions Framework Report -> Brak pliku 
Task: {4AC130CA-79EF-40F0-B9CD-B175C2ED004D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
Task: {53F7A0EB-744C-44E3-AE07-4826EF5F4799} - \ASUS Live Update1 -> Brak pliku 
Task: {5A3DFFBA-47DF-4E60-9CA7-07F55F3314C6} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku 
Task: {6046FEE9-B722-43C3-9AC8-4D14799D777B} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {6DA30928-130F-473E-8776-AD799C09F6DD} - \ASUS\ASUS Product Register Service -> Brak pliku 
Task: {7501ADF3-4C81-44CE-8F4A-469909998746} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
Task: {7A429671-C979-4213-B5BC-320CE70A928A} - \Optimize Start Menu Cache Files-S-1-5-21-856211863-3457804247-3980532556-1001 -> Brak pliku 
Task: {9123F01B-4FD6-4CCC-992E-4361DD01FDD4} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {AE15FD33-0EA6-4FCF-803F-B967E5B94461} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {B4CE1D7D-1164-489E-840D-13AC93CA7A88} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> Brak pliku 
Task: {B88F59C0-13A7-4EA2-94C0-74456A8DD870} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {C6451BCE-5888-4599-BD02-D00044215E29} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Task: {C7C2D822-1317-4DE3-904D-A8528DB1E60C} - \McAfee\McAfee Idle Detection Task -> Brak pliku 
Task: {E7B214CA-315A-4CBE-907C-874167C6E2C1} - \WPD\SqmUpload_S-1-5-21-856211863-3457804247-3980532556-1001 -> Brak pliku 
Task: {E7C06BF8-21A2-47F2-9B4D-05AFDF669A4D} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku 
WMI_ActiveScriptEventConsumer_ASEC: 
ShortcutWithArgument: C:\Users\ŚwiunteG\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\WIUNTE~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\ŚwiunteG\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\WIUNTE~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\WIUNTE~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\WIUNTE~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
C:\Users\WIUNTE~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk
C:\Users\ŚwiunteG\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\ŚwiunteG\AppData\Local\Mozilla
C:\Users\ŚwiunteG\AppData\Roaming\Mozilla
C:\Users\ŚwiunteG\AppData\Roaming\Profiles
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść i zabezpiecz przeglądarkę Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
• Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin.

4. Zastosuj AdwCleaner najpierw z opcji Skanuj, a następnie z opcji Oczyść. Dostarcz raport z tego działania. 

 

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.