kemgadeojglibflomicgnfeopkdfflnk przy starcie przeglądarki Chrome

Slawny · 19 Kwietnia 2017

Witam,

zwracam się do Państwa z prośbą o pomoc. Widziałem, że pomagacie już z tym problemem, jednak podchodzicie do tego bardzo indywidualnie więc założyłem ten post.

Otóż:
Jakiś czas temu pobrałem z internetu plik z torrentów. Przez moją bezmyślność, zacząłem klikać wszystko dalej dalej, aż w końcu zorientowałem się, że nie instaluje mi się żądany plik, tylko co innego. Anulowałem instalację, lecz niektóre rzeczy już mi się zainstalowały. Od tamtego czasu przeglądarka chodzi o wiele wolniej, również system nie działa tak przedtem.

Element docelowy przeglądarki chrome to: "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --load-extension="C:\Users\SAWNY~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/

Zwykła reinstalacja nie pomogła, czyszczenie przeglądarki również.
Przeczytałem na różnych forach, że wystarczy usunąć tę końcówkę i będzie spokój, jednak gdy usunę i uruchomię przeglądarkę ponownie to problem wraca.
Próbowałem radzić sobie wieloma programami, jeśli jakiś był darmowy to próbowałem nim sobie pomóc. Avast zeskanował ale najwidoczniej nie mógł sobie z nimi poradzić.
Miałem również na komputerze zainstalowany program KUAI, lecz się go pozbyłem i problem pozostał tylko z przeglądarką.
Mój system operacyjny to Windows 7, 64 bitowy.

Podjęte działania:
-W "programy i funkcje" nie ma nic podejrzanego co by wzbudzało mój niepokój, wszystko zostało usunięte.

-Przeskanowałem AdwCleaner którego polecacie i którego raport załączę poniżej.

Mam nadzieje, że problem opisałem dosyć dokładnie, jeśli będziecie mieli jakieś pytania to spróbuje na nie odpowiedzieć. Dodam, że nie jestem niestety informatykiem i nie znam się na jej nomenklaturze, dlatego uprzejmie proszę abyście pisali w zrozumiałym dla mnie języku. Oraz mam nadzieje, że nie naruszyłem regulaminu.

Z poważaniem
Marcin

Miszel03 · 20 Kwietnia 2017

Brakuje trzeciego obowiązkowego raportu Shortcut genrowanego przez FRST - dołącz go.

Wyjaśnij pochodzenie pliku Fixlist.

Slawny · 20 Kwietnia 2017

Plik o który prosiłeś dołączam w załączniku, a co do pliku Fixlist to w jednym z wątków polecacie żeby wkleić odpowiedni tekst i nazwać go Fixlist, na początku tak zrobiłem, ale późnej przeczytałem, że jest on dla każdego osobny. Nie wrzucałem go nigdzie, po prostu stworzyłem taki plik.

Shortcut.txt

Edytowane 20 Kwietnia 2017 przez Miszel03
Odpowiem jutro. //Miszel03

Miszel03 · 21 Kwietnia 2017

W systemie widać adware, które masowo podmieniło wyszukiwarki w przeglądarkach, do tego widać infekcji WMI integrującą w skróty. Twój opis pokrywa się z sytuacją, która ja widzę w systemie.

Do poczytania: KLIK.

1. Przez panel sterowania odinstaluj:

Adware / PUP: Online Special Application.

2. Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
ShellExecuteHooks: Brak nazwy - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} - C:\ProgramData\igfxDH.dll -> Brak pliku
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793&q={searchTerms}
HKU\S-1-5-21-2928031591-3755042668-476525210-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793&q={searchTerms}
HKU\S-1-5-21-2928031591-3755042668-476525210-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793
HKU\S-1-5-21-2928031591-3755042668-476525210-1001\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/pl-pl/?ocid=iehp
HKU\S-1-5-21-2928031591-3755042668-476525210-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793
HKU\S-1-5-21-2928031591-3755042668-476525210-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793&q={searchTerms}
HKU\S-1-5-21-2928031591-3755042668-476525210-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYu7AylGRx230evXqe-RyAwF_kPZKwEXN9fTzUSlVGaTaWCoCYd0Pybhz0KeX7gDkv6-frGp38HMMGrpS7em1VouLnp4nKOfMTmsSN2LFrsc9Y4lu2dDbsJbvF4pvo2xUkZZ3CR_5h1NEQ-0mICnQBOLzhwVw,,
HKU\S-1-5-21-2928031591-3755042668-476525210-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYu7AylGRx230evXqe-RyAwF_kPZKwEXN9fTzUSlVGaTaWCoCYd0Pybhz0KeX7gDkv2txfhHl14xn80Rfm5mX0F4_HCTTpKydPB4jxA5kdPPBZfu4Un-Ss_rssgJZJ49rvAmrvlnDy_xnSyEEBXY4YeCxTYWQ,,&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2928031591-3755042668-476525210-1003 -> DefaultScope {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYu7AylGRx230evXqe-RyAwF_kPZKwEXN9fTzUSlVGaTaWCoCYd0Pybhz0KeX7gDkv2txfhHl14xn80Rfm5mX0F4_HCTTpKydPB4jxA5kdPPBZfu4Un-Ss_rssgJZJ49rvAmrvlnDy_xnSyEEBXY4YeCxTYWQ,,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2928031591-3755042668-476525210-1003 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYu7AylGRx230evXqe-RyAwF_kPZKwEXN9fTzUSlVGaTaWCoCYd0Pybhz0KeX7gDkv2txfhHl14xn80Rfm5mX0F4_HCTTpKydPB4jxA5kdPPBZfu4Un-Ss_rssgJZJ49rvAmrvlnDy_xnSyEEBXY4YeCxTYWQ,,&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.ourluckysites.com/?type=sc&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793
StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.ourluckysites.com/?type=sc&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793
S3 aswHdsKe; \??\C:\Windows\system32\drivers\aswHdsKe.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Sławny\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Sławny\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Sławny\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793
ShortcutWithArgument: C:\Users\Sławny\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\SAWNY~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Sławny\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Sławny\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\SAWNY~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Sławny\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\SAWNY~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
FirewallRules: [{579ACB29-0326-42FE-A2C8-F4B80AEA545E}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Users\Sławny\Desktop\Wszystko\Driver Easy.lnk
C:\Users\Sławny\Desktop\Wszystko\Mozilla Firefox.lnk
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Sławny\AppData\Local\Mozilla
C:\Users\Sławny\AppData\Roaming\Mozilla
C:\Users\Sławny\AppData\Roaming\Profiles
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Wyczyść i zabezpiecz przeglądarkę Google Chrome:

Zresetuj synchronizację (o ile włączona): KLIK.
Ustawienia > karta Rozszerzenia > odinstaluj wszystkie inne nieznane i niepotrzebne Ci rozszerzenia
Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin

4. Powtórz skan AdwCleaner do uzyskania wyniku zero infekcji. Znalezione zagrożenia od razu kasuj (używając opcji Oczyść). Dostarcz raport.

5. Zrób nowy zestaw raportów FRST i GMER. Dołącz też plik Fixlog.

Slawny · 22 Kwietnia 2017

Sprawa się nieco skomplikowała. Pojawił się mały problem z naprawą przez program FRST.
Zrobiłem tak jak kazałeś zaczynając od punktu 1. Tyle że ja nie miałem Online Special Application, takiego programu. Za to usunąłem inny, który wydawał mi się podejrzany. (Nazwy nie pamiętam)
Co do punktu 2. to zrobiłem dokładnie tak jak mi napisałeś, tyle że FRST naprawiał baaardzo długo. Zostawiłem go na noc (od 24 do około 8 rano), nie wiem czy wszystkim tak długo naprawiało. Co do pliku fixlog.txt, to taki posiadam i załączę go poniżej. Pomimo tego, że ten program nie uruchomił mi ponownie kompa.
Punkt 3 i 4 zrobiłem, przy czym raport z punktu 4 załączę również niżej.
Punktu 5 nie robiłem.

Jakieś pomysły co robić dalej? Czy niestety tylko format wchodzi w grę w takim stopniu?

Fixlog.txt

AdwCleanerC2.txt

Miszel03 · 22 Kwietnia 2017

Tyle że ja nie miałem

Online Special Application, takiego programu. Za to usunąłem inny, który wydawał mi się podejrzany. (Nazwy nie pamiętam).

Masz tylko, że ja nie ściągnąłem z niego atrybuty ukrywającego. Przepraszam za błąd, jak dostarczysz raporty to przejdziemy dalej.

Co do pliku Fixlog to część się wykonała, a część nie i szczerze mówiąc nie wiem co było przyczyną potknięcia się FRST. Widać również, że AdwClener znalazł jeszcze dodatkowe śmiecie.

Zrób nowy zestaw raportów FRST, bo nie wiem na czym aktualnie stoimy.

Slawny · 22 Kwietnia 2017

AdwCleaner za każdym razem znajduje coś nowego. Za pierwszym uruchomieniem Chrome, przeglądarka działa bez problemu. Ale za drugim razem już wyskakuje błąd. Raporty w załączniku

Addition.txt

FRST.txt

Shortcut.txt

Zaloguj się

kemgadeojglibflomicgnfeopkdfflnk przy starcie przeglądarki Chrome

Rekomendowane odpowiedzi

Slawny

Odnośnik do komentarza

Miszel03

Odnośnik do komentarza

Slawny

Odnośnik do komentarza

Miszel03

Odnośnik do komentarza

Slawny

Odnośnik do komentarza

Miszel03

Odnośnik do komentarza

Slawny

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Zarejestruj nowe konto

Zaloguj się

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność