Komunikat o kemgadeojglibflomicgnfeopkdfflnk przy starcie Chrome

[mersudog]

Witam,

zwracam się do was z prośbą o pomoc ponieważ widziałem że tego typu problemy pojawiały się już u innych użytkowników i udało wam się im pomóc. Szukając spsobu rozwiązania swojego problemu trafiłem właśnie na wasze forum i prawdopodobnie jest to jedyna szansa dla mnie na rozwiązanie mojego problemu więc bardzo proszę was o pomoc.

Problem wygląda następująco:

Jakiś czas temu otworzyłem niezaufany instalator z azjatyckiego regionu, zainstalował on kilka niechcianych aplikacji których nazw już niestety nie pamiętam.  Od tego czasu system znacząco zwolnił, a przeglądarki zawieszają się i działają dużo wolniej niż wcześniej.

W tej chwili do skrótu Chrome'a podpina się polecenie:  --load-extension="C:\Users\Lenovo\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/  

a wcześniej było to hxxp://fanli90.cn

(link zmieniony xx iksami)

Dodam że w przypadku przeglądarki mozilli firefox sprawa wygląda podobnie jak w chromie.

Myślę że to nie jest jedyna szkoda jaką spowodował ten azjatycki wirus.

Na komputerze jest Win 10 Home 64bit  oryginalny, komputer kupiony z systemem. Komputer na klika miesięcy. Nie ukrywam że wolałbym uniknąć formatu systemu.  

W momencie zainfekowania na komputerze miałem darmowy antywirus Avira  jednak on nic nie wykrył.

Później przeskanowałem AVG wykrył jakieś problemy ale chyba nie umiał sobie z nimi poradzić ponieważ problem pozostał bez zmian.

Podjęte działania:
- dezinstalacja w "Aplikacje i funkcje" wszystkich zainstalowanych aplikacji o tej porze
- wyrzucenie z Program Files i Program Files (x86) podejrzanych folderów
- przeskanowanie systemu AdwCleaner znalazł on kilka błędów


Przeglądając sieć znalazłem kilka programów naprawiających które niby naprawiają takie problemy typu spyHunter niestety nie stać mnie na zakup takich programów tym bardziej że nie mam do nich zaufania.
Bardzo proszę o pomoc.
Dodam że żaden ze mnie informatyk i nie jestem biegły w tego typu sprawach więc proszę o wyrozumiałość.
Dołączam wymagane raporty, dodatkowo pozwalam sobie dołączyć raport z AdwCleaner ponieważ widziałem że prosiliście o niego w podobnych sytuacjach, mam nadzieję że nie naruszam tym regulaminu dodawania tematu, jeśli tak to przepraszam.

Pozdrawiam Łukasz

GMER.txt

Addition.txt

FRST.txt

Shortcut.txt

AdwCleanerS3.txt

Edytowane 11 Kwietnia 2017 przez Rucek

[Miszel03]

Na temat SpyHunter poczytaj sobie w spoilerze.

 

Przeglądając sieć znalazłem kilka programów naprawiających które niby naprawiają takie problemy typu spyHunter niestety nie stać mnie na zakup takich programów tym bardziej że nie mam do nich zaufania.

 
SpyHunter to oprogramowanie o bardzo wątpliwej reputacji. Cytuję z tematu picasso:
 

SpyHunter - Skaner wątpliwej reputacji bardzo silnie forsowany w wynikach Google i stosujący techniki manipulacji skłaniające do instalacji. Na Google cała masa wysoko pozycjonowanych opisów "usuwania malware" skonstruowanych w taki sposób, by pobrać SpyHunter jako cudowny darmowy lek na daną infekcję. Po instalacji okazuje się, że jest to program płatny. Niestety SpyHunter raczej nie jest wykrywany i usuwany, gdyż każde takie podejście kończy się sprawą w sądzie - przykład z AdwCleaner.

 

 

---

 
System jest zainfekowany przez infekcje adware oraz PUP (które powodują defekty wypisane przez Ciebie). Ślady pozostawione w systemie (martwe adresy Izraelskie) wskazują* na (w przeszłości) obecną infekcję DNS Unlocker / Trojan.DNS. Myślę, że szybko się z tym uporamy (choć do zwalczenie jest UCBrowser, które może się bronić). 

 

Przeczytaj: KLIK.
 
1. Włącz przywracanie systemu.

2. Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
Task: {99635C4F-3516-4878-BC16-8E106567AFC3} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-03-11] (UC Web Inc.) Task: {AF2A026E-9293-45FC-A9A9-8E51B56CEADB} - System32\Tasks\{7FBF4EFF-853F-366E-CF01-A056035EC122} => Regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\52b53b4\15bbccb8.dll" Task: {DD3F4D4C-3693-41EA-9000-FA7B755CE4CB} - System32\Tasks\{2A435AC5-9DE8-ED6E-4973-5B30EEB69026} => C:\ProgramData\{DEB7C27A-691C-75D1-B290-7BCD06321079}\86B7E5BD-
311C-5216-1DE2-0AF056F5D4E8.exe  
Task: {60DFB6F7-494C-4C95-8AFB-8BCED386D635} - System32\Tasks\Ckerbulemahitain Provider => C:\Program Files (x86)\Lafetqilse\atuhesy.exe 
C:\Program Files (x86)\Lafetqilse
WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Lenovo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\Lenovo\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\Lenovo\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\Lenovo\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://qtipr.com/
AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [25444]
AlternateDataStreams: C:\WINDOWS\system32\drivers:x64 [1498914]
AlternateDataStreams: C:\WINDOWS\system32\drivers:x86 [1223458]
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
HKLM\...\Providers\h49mkssl: C:\Program Files (x86)\Ckerbulemahitain Provider\local64spl.dll
C:\Program Files (x86)\Ckerbulemahitain Provider
ShellExecuteHooks: Brak nazwy - {D1CD7500-DE3D-11E6-8016-64006A5CFC23} - C:\Program Files (x86)\Plerqer\Pafght.dll -> Brak pliku
C:\Program Files (x86)\Plerqer
ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
SearchScopes: HKU\S-1-5-21-2037147976-1584751365-2601269577-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-2037147976-1584751365-2601269577-1003 -> {8C65EB5C-AE03-4984-B8EB-7C9B00C867C3} URL =
R1 ucdrv; C:\WINDOWS\System32\drivers:ucdrv-x64.sys [25444 ] (UC Web Inc.) 2017-04-10 19:14 - 2017-04-10 19:14 - 00014658 _____ C:\Users\Lenovo\Downloads\[Electro-Torrent.pl] SpyHunter 4.21.10.4585 [Ml-Eng] [Cicha instalacja & portable].torrent
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FIFA 15\FIFA 15.lnk 
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FIFA 15\FIFA 15使用者授權協議.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FIFA 15\技術支援.lnk
C:\Users\Public\Desktop\Download Crack Setup.ex...lnk
C:\Users\Public\Desktop\Gadget DT.lnk
Tcpip\Parameters: [NameServer] 82.163.143.176 82.163.142.178
CMD: ipconfig /flushdns
Hosts:
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Wyczyść i (dodatkowo) zabezpiecz przeglądarkę Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystkie inne nieznane i niepotrzebne Ci rozszerzenia
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
• Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin

4. Wyczyść i (dodatkowo) zabezpiecz przeglądarkę Mozilla FireFox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść historię przeglądania.
• Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin.

5. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner.
 
6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut). Dołącz też plik fixlog.txt.

* - sprawdziłem adres IP, z którego się logujesz na forum i bieżące adres DNS w Twoim systemie są polskie, w logu Addition także, - tak na pewno to już martwa infekcja. 

[mersudog]

Zrobione.

 

Na tą chwilę wszytko działa sprawnie. Do przeglądarek nie podpina się już żadne polecenie, działają sprawnie.

 

Bardzo dziękuję za pomoc. 

 

 

Addition.txt

AdwCleanerS3.txt

Fixlog.txt

FRST.txt

Shortcut.txt

[Miszel03]

Wszystko pomyślnie wykonane, moglibyśmy już kończyć, lecz program (tj. mówiłem) UCBrowser zaczyna się bronić i dochodzi do reinstalacji.

 

1. Wejdź do trybu awaryjnego (kliknij klawisz F8 przed startem systemu).  Z tego poziomu systemu masz wykonać poniższe zadania oprócz pkt. 4. 

 

2. Wszystkie zagrożenia wykryte przez AdwCleaner daj do kasacji (używając opcji Oczyść).

 

3. Otwórz Notatnik w nim wklej: 

 

CloseProcesses:
CreateRestorePoint:
R1 ucdrv; C:\WINDOWS\System32\drivers:ucdrv-x64.sys [25444 ] (UC Web Inc.) 
AlternateDataStreams: C:\WINDOWS\system32\drivers:ucdrv-x64.sys [25444]
AlternateDataStreams: C:\WINDOWS\system32\drivers:x64 [1498914]
AlternateDataStreams: C:\WINDOWS\system32\drivers:x86 [1223458]
Task: {A232A8CC-7144-40CD-A7B9-5AEAD06BD34B} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-03-11] (UC Web Inc.) 
RemoveDirectory: C:\Program Files (x86)\UCBrowser
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FIFA 15\FIFA 15使用者授權協議.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FIFA 15\技術支援.lnk
EmptyTemp: 

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut). Dołącz też plik fixlog.txt.