Problem z plikiem "C:\Users\damci\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk"

[esu1994]

Witam. Niedawno zainstalowałem Windows 10, jednak po zainstalowaniu przez moja nieuwagę programu z nieznanego źródła, który prawdopodobnie wgrał mi jakieś śmieci do komputera. Problem polega na tym ze, przed uruchomieniem Google Chrome wyskakuje mi taki błąd "C:\Users\damci\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk". 

 

Starałem się usunąć owe zainfekowanie poprzez polecenie w wierszu takie jak %appdata%, po czy usunąłem wszystko co było możliwe, jednak nie wszystko dało się usunąć ponieważ niektóre aplikacje były uruchomione w tle a nie mogłem ich wyłączyć.

 

Zainstalowałem także program Adwcleaner. Po zeskanowaniu w poszukiwaniu infekcji zrestartowałem komputer i problem nadal się pojawiał;/

 

Przy otwieraniu przeglądarki Chrome pojawia się strona hxxp://qtipr.com/.

 

Poniżej podaje logi:

 

 

Z góry dziękuje za pomoc. 

Pozdrawiam Damian:)

 

 

 

FRST.txt

Shortcut.txt

Addition.txt

GMER.txt

[Miszel03]

Starałem się usunąć owe zainfekowanie poprzez polecenie w wierszu takie jak %appdata%, po czy usunąłem wszystko co było możliwe, jednak nie wszystko dało się usunąć ponieważ niektóre aplikacje były uruchomione w tle a nie mogłem ich wyłączyć.

 

Źle postąpiłeś, usuwanie infekcji adware w taki sposób pozostawi za sobą wiele błędów i szczątek w systemie. 

 

 

Zainstalowałem także program Adwcleaner. Po zeskanowaniu w poszukiwaniu infekcji zrestartowałem komputer i problem nadal się pojawiał;/

 

Dostarcz raport. 

 

---

 

W systemie widoczne infekcje adware, które są winowajcami za występujące u Ciebie problemy. Zarażone skróty (infekcj WMI), plik Hosts, profil w przeglądarce Google Chrome oraz serwery proxy. Myślę, że szybko się z tym uporamy.

 

Do poczytania: KLIK. 

 

1. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
CustomCLSID: HKU\S-1-5-21-3202557039-1415719484-1137328956-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\damci\AppData\Local\Microsoft\OneDrive\17.3.6798.0207\amd64\FileSyncShell64.dll => Brak pli (dane wartości zawierają 2 znaków więcej).
CustomCLSID: HKU\S-1-5-21-3202557039-1415719484-1137328956-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\damci\AppData\Local\Microsoft\OneDrive\17.3.6798.0207\amd64\FileSyncShell64.dll => Brak pli (dane wartości zawierają 2 znaków więcej).
CustomCLSID: HKU\S-1-5-21-3202557039-1415719484-1137328956-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\damci\AppData\Local\Microsoft\OneDrive\17.3.6798.0207\amd64\FileSyncShell64.dll => Brak pli (dane wartości zawierają 2 znaków więcej).
Task: {5BA502E7-EEEE-43EB-99D2-63F2A0D8A59F} - System32\Tasks\Reobock Verfier => C:\Program Files (x86)\Shunosyjibtain\xclerzertain.exe 
C:\Program Files (x86)\Shunosyjibtain
WMI_ActiveScriptEventConsumer_ASEC: 
ShortcutWithArgument: C:\Users\damci\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\damci\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" 
ShortcutWithArgument: C:\Users\damci\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\damci\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" 
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\damci\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" 
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\damci\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" 
RemoveDirectory: C:\Users\damci\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk
HKLM\...\Providers\zd6bm6lx: C:\Program Files (x86)\Reobock Verfier\local64spl.dll [307712 2017-03-22] ()
C:\Program Files (x86)\Reobock Verfier
ShellExecuteHooks: Brak nazwy - {81F2E2D8-0D4C-11E7-95B4-64006A5CFC23} - C:\Users\damci\AppData\Roaming\Coutering\Gronaght.dll -> Brak pliku
GroupPolicyScripts-x32: Ograniczenia 
AutoConfigURL: [s-1-5-21-3202557039-1415719484-1137328956-1001] => hxxp://noblok.org/wpad.dat?8034ef0f75bd8cce94e0664cbddc89d626774097
ManualProxies: 0hxxp://noblok.org/wpad.dat?8034ef0f75bd8cce94e0664cbddc89d626774097
R2 WinSAPSvc; C:\Users\damci\AppData\Roaming\WinSAPSvc\WinSAP.dll [218624 2017-03-23] (Windows) [brak podpisu cyfrowego]
R2 WinSnare; C:\Users\damci\AppData\Roaming\WinSnare\WinSnare.dll [775168 2017-03-23] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] 
S4 ibtsiva; %SystemRoot%\system32\ibtsiva [X]
S2 Kyubey; C:\Users\damci\AppData\Roaming\Kyubey\Kyubey.exe -s [X]
C:\Users\damci\AppData\Roaming\WinSAPSvc
C:\Users\damci\AppData\Roaming\WinSnare
U3 uwndypow; C:\Users\damci\AppData\Local\Temp\uwndypow.sys [56584 2017-03-23] (GMER) [brak podpisu cyfrowego] 
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\damci\AppData\Local\Mozilla
C:\Users\damci\AppData\Roaming\Mozilla
C:\Users\damci\AppData\Roaming\Profiles
RemoveProxy:
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Otwórz przeglądarkę Google Chrome: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > dodaj osobę, zaloguj się na nią, poprzednie okno sesji zamknij > wejdź ponownie w Osoby i skasuj wszystkie poprzednie profile / osoby. 

 

3. Upewnij się, że AdwCleaner już niczego nie wykrywa. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

[esu1994]

Witam. Dziękuję za szybką odpowiedź, Niestety nie jestem w stanie dostarczyc log'a z adwcleaner poniewaz został on odinstalowany z komputera;/ Po uruchomieniu Chrome błąd już nie wyskakuje:) 

Addition.txt

Fixlog.txt

FRST.txt

Shortcut.txt

[Miszel03]

Rozumiem, że podczas działań z pkt. 3 nic nie zostało wykryte? 

[esu1994]

Rozumiem, że podczas działań z pkt. 3 nic nie zostało wykryte? 

Niestety nie jestem w stanie nic powiedzieć ponieważ odinstalowałem ten program i już nie miałem zamiaru go instalowac, powodował znacznie wolniejszą prace komputera co było uciążliwe w użytkowaniu.

[Miszel03]

To nie jest możliwe, AdwCleaner to lekka instalacja - bez procesu gdy jest włączona. Proszę zainstalować, przeskanować system. Jeśli coś wykryje to dostarcz raport, jeśli nie to możesz go później odinstalować. 

 

Kolejne pytanie: wykonałeś pkt. 2?

 

P.S: Ja Ci nie zlecam jakiś pseudo instrukcje tylko dosyć inwazyjne działania, dzięki którym wyleczymy system. Skoro nie będziesz miał zamiaru wykonywać moich instrukcji w całości to niestety, ale zrezygnuje z prowadzenia tego tematu.

[esu1994]

To nie jest możliwe, AdwCleaner to lekka instalacja - bez procesu gdy jest włączona. Proszę zainstalować, przeskanować system. Jeśli coś wykryje to dostarcz raport, jeśli nie to możesz go później odinstalować. 

 

Kolejne pytanie: wykonałeś pkt. 2?

 

P.S: Ja Ci nie zlecam jakiś pseudo instrukcje tylko dosyć inwazyjne działania, dzięki którym wyleczymy system. Skoro nie będziesz miał zamiaru wykonywać moich instrukcji w całości to niestety, ale zrezygnuje z prowadzenia tego tematu.

 

 

Rozumiem. Dostosuje sie do zlecanych instrukcji, a co do pkt. 2 to, owszem zrobiłem ale w chrome pojawił się problem z dodatkami nie potrafię zainstalować np. ad błocka lub motywu.

 

 

 

AdwCleanerS1.txt

[Miszel03]

Adware usunięte, teraz tylko szczątki dokasuję AdwCleaner. Coś poszło mimo wszystko nie tak z modyfikacją na profilach w przeglądarce i doszło do jakiś uszkodzeń. Wymagana wg mnie kompleksowa reinstalacja. 

 

1. Zagrożenia wykryte przez AdwCleaner daj do kasacji (używając opcji Oczyść).
 
2. Kompleksowo przeinstaluj przeglądarkę Google Chrome:

• Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK.
• Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
• Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.
• Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.

3. Zrób log FRST już bez Addition i Shortcut.

[esu1994]

Adware usunięte, teraz tylko szczątki dokasuję AdwCleaner. Coś poszło mimo wszystko nie tak z modyfikacją na profilach w przeglądarce i doszło do jakiś uszkodzeń. Wymagana wg mnie kompleksowa reinstalacja. 

 

1. Zagrożenia wykryte przez AdwCleaner daj do kasacji (używając opcji Oczyść).

 

2. Kompleksowo przeinstaluj przeglądarkę Google Chrome:

• Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK.
• Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
• Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.
• Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.

3. Zrób log FRST już bez Addition i Shortcut.

Zainstalowałem na nowo Google Chrome, po czy stworzylem nowy profil wylączając przy tym synchronizacje i mogłem zinstalowac owe dotatki:) Oczysciłem AdwCleanerem i niżej wysyłam log z FRST:

FRST.txt