honey Opublikowano 14 Września 2017 Zgłoś Udostępnij Opublikowano 14 Września 2017 Witam,Proszę o pomoc,Podczas uruchamiania przeglądarki Chrome wyskakuje komunikat z blędem:"Błąd podczas ładowania rozszerzenia. Nie udało sie wczytac rozszerzenia z:C:\Users\KRZYSZ~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk.Brak pliku manifestu lub nie mozna go odczytac." Skanowałem antywirem, adwcleaner`em i malwarebytes antimalware. Wiele wirusów zniknęło, ale został mi jeszcze jeden, z tym właśnie komunikatem. Pozdrawiam. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 14 Września 2017 Zgłoś Udostępnij Opublikowano 14 Września 2017 Tu jest o wiele więcej infekcji niż raportujesz: malware blokujące wszystkie główne programy antywirusowe w oparciu o certyfikaty, infekcja WMI i inne. Jeśli chodzi o Google Chrome, to być może podejścia z usuwaniem będą dwa, gdyż infekcja WMI odtwarza zainfekowane skróty. Działania do przeprowadzenia: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) WMI_ActiveScriptEventConsumer_ASEC: Task: {34D284C7-9514-4D01-938A-FA19B8196A70} - System32\Tasks\Opera scheduled Autoupdate 1496920503 => C:\Users\krzysztof\AppData\Local\Programs\Opera\launcher.exe Task: {86D4A202-2F78-44F7-96C7-60FB80A72E6F} - System32\Tasks\oSThxc4DEbFg => osthxc4debfg.exe Task: {A5FB8D28-D504-41F0-B324-7EF271DB0D4C} - System32\Tasks\Opera scheduled suite Autoupdate 1496920513 => C:\Users\krzysztof\AppData\Local\Programs\Opera\launcher.exe Task: {A62C542D-9452-4556-B59B-9FB1D95AAC05} - System32\Tasks\Canon iutorub Express => C:\WINDOWS\system32\rundll32.exe "C:\Program Files\Canon iutorub Express\Canon iutorub Express.dll",YKOGxuvomcXD Task: {BCF2A156-DDF4-4D82-AEF9-28211776529B} - \{1727B1E3-0FB9-4E70-85F6-52306BB3A3B4} -> Brak pliku Task: {DF59654F-BB01-4D7F-9B24-2220718ABB88} - System32\Tasks\SpinTires => C:\Users\KRZYSZ~1\AppData\Local\Temp\is-8T1TB.tmp\prsetup.exe Task: {F3D2ECF4-2E1F-47ED-BD70-09AC5F164A9B} - \{0C0E0547-0C7D-7E0D-0A11-0F780B78110F} -> Brak pliku S2 PEFService; "C:\Program Files\Common Files\Intel Security\PEF\CORE\PEFService.exe" [X] S1 wfcre; system32\drivers\wfcre.sys [X] ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku CHR HKLM\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton AntiVirus\Engine\22.10.1.10\Exts\Chrome.crx CHR HKLM-x32\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton AntiVirus\Engine\22.10.1.10\Exts\Chrome.crx SearchScopes: HKU\S-1-5-21-894481356-605578302-1186019840-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = HKU\S-1-5-21-894481356-605578302-1186019840-1002\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files\Canon iutorub Express C:\Program Files (x86)\oSThxc4DEbFg C:\ProgramData\AVAST Software C:\ProgramData\Mozilla C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Productivity and Tools\7-Zip File Manager.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Productivity and Tools\7-Zip Help.lnk C:\Users\krzysztof\AppData\Local\installer.dat C:\Users\krzysztof\AppData\Local\Mozilla C:\Users\krzysztof\AppData\Local\Programs\Opera C:\Users\krzysztof\AppData\Roaming\Mozilla C:\Users\krzysztof\Desktop\gry, piosenki i nagrania\filip\Farming Simulator 15 .lnk C:\Users\krzysztof\Desktop\programy\Cheat Engine.lnk C:\Users\krzysztof\Documents\My Games\FarmingSimulator2015\mods\McAfee Security Scan Plus.lnk C:\WINDOWS\msdownld.tmp Hosts: CMD: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Gdy powyższy skrypt się wykona poprawnie, odinstaluj jeden z programów zabezpieczających, gdyż jest ich za dużo: McAfee LiveSafe lub Norton AntiVirus. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
honey Opublikowano 14 Września 2017 Autor Zgłoś Udostępnij Opublikowano 14 Września 2017 Przy skanowaniu punktów przywracania systemu, pasek w fsrt stoi w miejscu od kilkunastu minut. Czy tak powinno być? Poza tym gdy próbuję odinstlować mcafee, instalator pokazuje informację, że nawigacja do strony web została anulowana. Odnośnik do komentarza
picasso Opublikowano 14 Września 2017 Zgłoś Udostępnij Opublikowano 14 Września 2017 Zabij proces FRST, następnie w powyższym skrypcie wytnij linię CreateRestorePoint: i ponów zadanie. A deinstalacje programów zabezpieczających miały być wykonane dopiero po pomyślnym usuwaniu via FRST, w przeciwnym wypadku malware blokujące w oparciu o certyfikaty może uniemożliwić tę operację. Odnośnik do komentarza
honey Opublikowano 15 Września 2017 Autor Zgłoś Udostępnij Opublikowano 15 Września 2017 Raporty: Fixlog.txt FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 15 Września 2017 Zgłoś Udostępnij Opublikowano 15 Września 2017 Infekcja pomyślnie usunięta. Teraz spróbuj odinstalować jeden z programów zabezpieczających i zaprezentuj nowy skan FRST (bez Shortcut) po tej operacji. Odnośnik do komentarza
honey Opublikowano 17 Września 2017 Autor Zgłoś Udostępnij Opublikowano 17 Września 2017 Miałem problem z deinstalacją mcfee więc usunąłem program ręcznie. FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 17 Września 2017 Zgłoś Udostępnij Opublikowano 17 Września 2017 Ręczne usuwanie programu to zła metoda, skasowanie folderu McAfee nie powoduje w ogóle usunięcia usług i sterowników. W nowym raporcie widać, że McAfee nadal się uruchamia z ogromnej ilości miejsc. Programy antywirusowe są zbyt złożone i wymagana jest o wiele większa ilość kroków ręcznych lub specjalne narzędzie. 1. Przejdź w Tryb awaryjny Windows. Zastosuj McAfee Consumer Product Removal Tool. Mogą pojawić się błędy, do zignorowania. 2. Przejdź w Tryb normalny i zrób nowe raporty FRST z opcji Skanuj. Odnośnik do komentarza
honey Opublikowano 19 Września 2017 Autor Zgłoś Udostępnij Opublikowano 19 Września 2017 Podczas deinstalacji wyskakuje błąd Error obtaining full permissions for cleanup Odnośnik do komentarza
picasso Opublikowano 19 Września 2017 Zgłoś Udostępnij Opublikowano 19 Września 2017 Jak mówiłam, mogą się pojawić błędy z poziomu awaryjnego. O ile dobrze pamiętam, to conajmniej sterowniki powinny zostać zneutralizowane (tryb awaryjny konieczny). Na wszelki wypadek zastosuj narzędzie ponownie, ale z poziomu trybu normalnego. Odnośnik do komentarza
honey Opublikowano 19 Września 2017 Autor Zgłoś Udostępnij Opublikowano 19 Września 2017 Odinstalowałem w trybie normalnym. FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 19 Września 2017 Zgłoś Udostępnij Opublikowano 19 Września 2017 Usuwacz firmowy częsciowo poradził sobie, ale nadal dużo elementów McAfee. Poprawki: 1. Do deinstalacji także Malwarebytes Anti-Malware wersja 2.2.0.1024. Nie dość że to stara linia 2.x (najnowszy MBAM to 3.x i zupełnie inny program), to jeszcze scrackowana. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Filter: application/x-mfe-ipt - {3EF5086B-5478-4598-A054-786C45D75692} - Brak pliku S3 ClientAnalyticsService; "C:\Program Files\Common Files\McAfee\ClientAnalytics\Legacy\McClientAnalytics.exe" [X] S3 McAWFwk; c:\PROGRA~1\COMMON~1\mcafee\actwiz\mcawfwk.exe [X] S2 mcbootdelaystartsvc; "C:\Program Files\Common Files\mcafee\platform\McSvcHost\McSvHost.exe" /McCoreSvc [X] S2 mccspsvc; "C:\Program Files\Common Files\McAfee\CSP\2.3.322.0\\McCSPServiceHost.exe" [X] S2 mfemms; "C:\Program Files\Common Files\McAfee\SystemCore\\mfemms.exe" [X] S2 ModuleCoreService; "C:\Program Files\Common Files\McAfee\ModuleCore\ModuleCoreService.exe" [X] S2 PEFService; "C:\Program Files\Common Files\Intel Security\PEF\CORE\PEFService.exe" [X] S3 mfeaack; C:\WINDOWS\System32\drivers\mfeaack.sys [487184 2017-04-03] (McAfee, Inc.) S3 mfeplk; C:\WINDOWS\System32\drivers\mfeplk.sys [110248 2017-04-03] (McAfee, Inc.) Task: {5BC761C2-A68D-4C48-8888-9B695BCE4092} - System32\Tasks\McAfee\McAfee Idle Detection Task Task: {8657B6AF-3453-42AF-AA36-CC8F86E39829} - System32\Tasks\McAfeeLogon => C:\PROGRA~1\COMMON~1\McAfee\Platform\McUICnt.exe Task: {F726263E-A11C-4EA2-8C25-192AE31604A2} - System32\Tasks\McAfee\McAfee Auto Maintenance Task Agent DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\McAfee HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ModuleCoreService => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcapexe => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeaack => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeaack.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeavfk => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeavfk.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfemms => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeplk => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeplk.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ModuleCoreService => ""="Service" C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee C:\Windows\System32\drivers\mfeaack.sys C:\Windows\System32\drivers\mfeplk.sys C:\Windows\System32\Tasks\McAfee Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
honey Opublikowano 20 Września 2017 Autor Zgłoś Udostępnij Opublikowano 20 Września 2017 Logi w załączniku Fixlog.txt FRST.txt Addition.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się