Skocz do zawartości

Błąd kemgadeojglibflomicgnfeopkdfflnk oraz qtipr.com


Rekomendowane odpowiedzi

 

Witam,

 

Podczas uruchamiania przegladarki Chrome wyskakuje komunikat z bledem:

"Blad podczas ladowania rozszerzenia. Nie udalo sie wczytac rozszerzenia z:

C:\Users\Tom\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk.

Brak pliku manifestu lub nie mozna go odczytac."

 

Po zatwierdzeniu "ok" przeglądarka sie uruchamia i chociażby nie wiem co zawsze stroną startową jest qtipr.com

Odinstalowałem i zainstalowałem ponownie Chrome, jednak problem się powtarza.

Problem miał początek z oprogramowaniem żenia?? .

 

Z gory dziekuje za pomoc

Pozdrawiam

gmer.txt

FRST.txt

Addition.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

System jest zainfekowany adware atakującym skróty przeglądarek oraz ich profile (to jest przyczyną problemu tytułowego). Od razu przechodzimy do działań. 
 
Do poczytania, na przyszłość: KLIK.  
 
1. Spróbuj odnaleźć i uruchomić plik deinstalacyjny adware w tym katalogu: C:\Program Files\żěŃą (nazwa pliku zbliżona do uninstall.exe).
 
2. Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
Task: {C8E6F3A9-D2E7-4CCC-A6A0-F3D585C4D6AA} - \CreateChoiceProcessTask -> Brak pliku ShortcutWithArgument: C:\Users\Tom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Tom\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Tom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Tom\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Tom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\abcc729f78f1532b\Tomasz - Chrome.lnk -> C:\Program Files (x86)\Moncar\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 3"
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Tom\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Tom\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
C:\Users\Tom\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk
AlternateDataStreams: C:\ProgramData\TEMP:A1EDB939 [114]
HKLM\...\Policies\Explorer: [ForceClassicControlPanel] 1
HKLM\...\Policies\Explorer: [NoRemoteRecursiveEvents] 1
HKU\S-1-5-21-3585312160-345975134-3153727662-1001\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
HKU\S-1-5-21-3585312160-345975134-3153727662-1001\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1
HKU\S-1-5-21-3585312160-345975134-3153727662-1001\...\Policies\Explorer: [NoResolveSearch] 1
HKU\S-1-5-21-3585312160-345975134-3153727662-1001\...\Policies\Explorer: [NoInternetOpenWith] 1
HKU\S-1-5-21-3585312160-345975134-3153727662-1001\...\Policies\Explorer: []
HKLM\...\Providers\14yaqw65: C:\Program Files (x86)\Qerqay Helper\local64spl.dll
ShellExecuteHooks: Brak nazwy - {223483BE-0D52-11E7-961E-64006A5CFC23} - -> Brak pliku
C:\Program Files (x86)\Qerqay Helper
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2017-03-23] ()
C:\Program Files\żěŃą
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia U4 clr_optimization_v2.0.50727_32; Brak ImagePath
U4 clr_optimization_v2.0.50727_64; Brak ImagePath
U4 clr_optimization_v4.0.30319_32; Brak ImagePath
U4 clr_optimization_v4.0.30319_64; Brak ImagePath
U0 msahci; Brak ImagePath
U3 pwdiqpoc; \??\C:\Users\Tom\AppData\Local\Temp\pwdiqpoc.sys [X] EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.


Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Kompleksowo wymień profil w przeglądarce Google Chrome, gdyż obecny jest zarażony. 
 
Otwórz Google Chrome następnie: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > Załóż czysty profil > ponownie wejdź do sekcji Osoby i skasuj wszystkie stare profile.
 
Na nowym profilu polecam zainstalować rozszerzenie uBlock Origin. blokujące reklamy o podłożu nieinfekcyjnym. 
 
3. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox:

  • Odłącz synchronizację (o ile włączona): KLIK.
  • Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
  • Menu Historia > Wyczyść historię przeglądania.
  • Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin.

4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.
 
5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Ad. 1 

Niestety w katalogu nie było żadnego pliku deinstalacyjnego.

 

Reszta wykonana zgodnie z zaleceniem.
Przeglądarka uruchamia się poprawnie i strona startowa jest stroną wskazaną przeze mnie.

 

Dziękuje serdecznie za pomoc, czekam na ewentualne dalsze wskazówki.

 

PS. uBlock_Origin jest chyba tylko na firefoxa ;)

Raport AdwCleanerS0.txt

Addition.txt

FRST.txt

Shortcut.txt

Edytowane przez Rucek
Odnośnik do komentarza

A gdzie plik Fixlog? Wszystko pomyślnie wykonane. Wcześniej jednak zapomniałem dokleić instrukcji do kasacji fałszywej przeglądarki (tworzę je osobno), więc wykonaj je teraz.

 

1. Wszystkie zagrożenia wykryte przez AdwCleaner daj do kasacji (używając opcji Oczyść). Następnie powtórz skan, jeśli coś zostanie wykryte to również skasuj wytypowane wyniki. 

 

2. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1491404369&z=186fe2ae8afeb2f31b70ea7gfz1t9gazee4zbc3q6w&from=che0812&uid=M4-CT128M4SSD2_00000000115003259954
C:\Users\Tom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData
KU\S-1-5-21-3585312160-345975134-3153727662-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Moncar\Application\chrome.exe (Google Inc.) 
RemoveDirectory: C:\Program Files (x86)\Moncar
C:\Users\Tom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\abcc729f78f1532b\Tomasz - Chrome.lnk
C:\Users\Tom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Ewa - Chrome.lnk
C:\Users\Tom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\225bb61db2f318c1\Tomasz - Chrome.lnk
FirewallRules: [{4C4FB2F8-393A-4F10-BE3C-BC090EDA8AFA}] => (Allow) C:\Program Files (x86)\Moncar\Application\chrome.exe
FirewallRules: [{1B4A268F-23CF-4AB9-910F-059F2AB33131}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{170D7E3D-731D-48ED-918D-F5416C38E394}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry).

 

moncar

 

Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 

 

4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do komentarza

Końcowe poprawki, skan i będziemy powoli kończyć. 

 

P.S: Znikną Ci niektóre skróty od przeglądarek - zrobisz sobie nowe. 

 

1. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Moncar
DeleteKey: HKEY_USERS\S-1-5-21-3585312160-345975134-3153727662-1001\Software\Moncar
U0 Partizan; system32\drivers\Partizan.sys [X]
2017-04-06 18:05 - 2016-05-23 04:41 - 00055056 _____ (Elex do Brasil Participações Ltda) C:\Windows\system32\Drivers\ISAFEKRNLBOOT.del
2017-04-06 18:05 - 2016-05-19 08:42 - 00052392 _____ (Elex do Brasil Participações Ltda) C:\Windows\system32\Drivers\ISAFENETFILTER.del
2017-03-23 23:14 - 2017-03-23 23:35 - 00000000 ____D C:\Users\Tom\AppData\Roaming\Qevighdrekaght 2017-03-23 23:16 - 2017-04-07 22:54 - 00000000 ____D C:\Users\Tom\AppData\Local\UCBROWSER.del 2017-03-24 19:40 - 2017-04-06 21:17 - 00000000 ____D C:\Program Files\14yaqw65 2017-04-06 18:06 - 2017-04-06 18:06 - 00000000 ____D C:\Users\Tom\AppData\Local\Moncar C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\Tom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\48499db33039e897\Tomasz - Chrome.lnk C:\Users\Tom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk CMD: netsh advfirewall reset EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.


Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

3. Jeśli MBAM coś wykryje to poproszę nowy zestaw raportów FRST. Dostarcz bez względu na wszystko plik Fixlog. 

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...