somas3k Opublikowano 4 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 4 Kwietnia 2017 (edytowane) Witam, mam taki sam problem jak w podanych tematach: https://www.fixitpc.pl/topic/31915-b%C5%82%C4%85d-rozszerzenie-kemgadeojglibflomicgnfeopkdfflnk-chi%C5%84ski-wirus-%C5%BC%C4%9B%C5%84%C4%85/ oraz https://www.fixitpc.pl/topic/31972-wirus-kemgadeojglibflomicgnfeopkdfflnk/ . Logi w załączniku gmer.txt Addition.txt FRST.txt Shortcut.txt Edytowane 4 Kwietnia 2017 przez Rucek Teraz ok. Czekamy na Miszela. Odnośnik do komentarza
Miszel03 Opublikowano 5 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 5 Kwietnia 2017 System jest zainfekowany infekcją WMI atakująca skróty przeglądarek, ponad to widać tutaj adware podmieniające nazwy i certyfikat producenta. Twój opis pokrywa się ze stan systemu. Do poczytania, obowiązkowo: KLIK. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-18\...\Run: [] => [X] ShellExecuteHooks: Brak nazwy - {8F0F267E-12E9-11E7-A647-64006A5CFC23} - C:\Users\nathi\AppData\Roaming\Rekerghareday\Thaferknicik.dll -> Brak pliku C:\Users\nathi\AppData\Roaming\Rekerghareday SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = U3 kfrdipoc; C:\Users\nathi\AppData\Local\Temp\kfrdipoc.sys [56584 2017-04-04] (GMER) [brak podpisu cyfrowego] Task: {EE84446A-DC92-4481-A800-49646812DDD7} - System32\Tasks\Checuphckunution Schedule => C:\Program Files (x86)\Serentarepisp\xckeq.exe C:\Program Files (x86)\Serentarepisp WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\nathi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\nathi\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\nathi\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\nathi\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\nathi\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\nathi\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ C:\Users\nathi\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\nathi\AppData\Local\Mozilla C:\Users\nathi\AppData\Roaming\Mozilla C:\Users\nathi\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze, z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 2. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie inne nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin 3. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
somas3k Opublikowano 6 Kwietnia 2017 Autor Zgłoś Udostępnij Opublikowano 6 Kwietnia 2017 Dalsze logi po wykonaniu ww. czynności. Addition.txt AdwCleanerS2.txt Fixlog.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 7 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 7 Kwietnia 2017 1. Wszystkie zagrożenia wykryte przez AdwCleaner daj do kasacji (używając opcji Oczyść). 2. Podsumuj obecny stan systemu. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się