Problem Chrome kemgadeojglibflomicgnfeopkdfflnk

[chris096]

Witam
podczas otwierania Chrome wyskakuje takie cudo

 

Następnie otwiera się strona o adresie www.yeadesktop.com
Znalazłem kilka tematów z podobnym problemem i w każdym udało się pozbyć tego wynalazku. Liczę że i tym razem będzie podobnie

 

Pozdrawiam.

[Miszel03]

W systemie grasuje infekcja WMI, która pociągnęła za sobą zarażone skróty przeglądarek. Ponad to jest infekcja adware podmieniająca publishera. To wszystko zebrane razem daje taki efekt jak Ty sam opisałeś. 
 
Proszę przeczytać na przyszłość - jak się przed tym ustrzec: KLIK. 
 
1. Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
CustomCLSID: HKU\S-1-5-21-2124943525-1062159958-843887205-1000_Classes\CLSID\{820D63D5-8CFF-46DE-86AF-4997DEDD6DB5}\localserver32 -> "C:\Windows\system32\igfxEM.exe" => Brak pliku
Task: {CFEDB4F2-8AA9-4B67-9B09-78F53526F255} - \Dulitain -> Brak pliku Task: {B1095981-32F5-4C81-AB5D-9C7BC0372BE8} - System32\Tasks\Phunaklqule Community => C:\Program Files (x86)\Stujutaingilely\lufuward.exe 
C:\Program Files (x86)\Stujutaingilely
WMI_ActiveScriptEventConsumer_ASEC: HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\Run: [WindowsDefender] => -
HKU\S-1-5-21-2124943525-1062159958-843887205-1000\...\Run: [Windows Defender] => -
HKLM\...\Providers\xdvzibsb: C:\Program Files (x86)\Phunaklqule Community\local64spl.dll
C:\Program Files (x86)\Phunaklqule Community
ShellExecuteHooks: Brak nazwy - {779FAE58-2BC0-11E7-AFE7-64006A5CFC23} - C:\Users\Krzysiek\AppData\Roaming\Chudaph\Drejacultchaph.dll -> Brak pliku
GroupPolicy: Ograniczenia S3 dbx; system32\DRIVERS\dbx.sys [X]
S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World Racing\World Racing Multiplayer.lnk
C:\Users\Krzysiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\MyDefragGUI.lnk
C:\Users\Krzysiek\AppData\Local\Microsoft\Windows\GameExplorer\{4355A7D1-BFE6-40B9-9A91-C264090C0E16}\PlayTasks\0\Zagraj.lnk
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Krzysiek\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktop.com/
ShortcutWithArgument: C:\Users\Krzysiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Krzysiek\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktop.com/
ShortcutWithArgument: C:\Users\Krzysiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Krzysiek\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://www.yeadesktop.com/
RemoveDirectory: C:\Users\Krzysiek\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Krzysiek\AppData\Local\Mozilla
C:\Users\Krzysiek\AppData\Roaming\Mozilla
C:\Users\Krzysiek\AppData\Roaming\Profiles
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
 
2. Wyczyść i zabezpiecz przeglądarkę Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystkie inne nieznane i niepotrzebne Ci rozszerzenia
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
• Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin.

3. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner.
 
4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

[chris096]

Witam

dziękuje za odpowiedź. Wykonałem podane przez Pana kroki. Wygląda na to że komunikat już nie występuje przy otwieraniu przeglądarki co bardzo mnie cieszy . Przesyłam ponownie logi i raport o który Pan prosił.

Pozdrawiam

[Miszel03]

Wszystko pomyślnie wykonane. AdwCleaner już nic nie znalazł, a mi udało się posprzątać system za pierwszym podejściem.

 

Skoro problem wystąpił to uznaję, że możemy kończyć. 

 

Zastouj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne oraz Windows.

[chris096]

Dziękuję Panu za fachowe podejście i pomoc w rozwiązaniu problemu. Naturalnie w zamian wspomogę forum

[Miszel03]

Naturalnie w zamian wspomogę forum 

 

W imieniu całego zespołu Fixitpc.pl dziękuję za pomoc w utrzymaniu serwisu!