Problem przy uruchamianiu przeglądarki Chrome - kemgadeojglibflomicgnfeopkdfflnk

[adasni]

Witam. 

Wczoraj przez przypadek ściągnąłem jakieś badziewie, które zainstalowało mi mnóstwo śmieci i otwierało dziwne strony. W większym stopniu udało mi się oczyścić kompa ze wszystkiego za pomocą Anti-Malware i AdwCleaner jednak coś jeszcze zostało, bo przy każdym uruchamianiu Chrome wyskakuje mi błąd:

 

"Nie udało się wczytać rozszerzenia z:

C:\Users\Adam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk.

Brak pliku manifestu lub nie można go odczytać."

 

i próbuje się wczytać strona hxxp://qtipr.com/

 

Po kilku reinstalacjach Chrome i czyszczeniu wszystkiego co z nim było związane + wyczyszczenie IE błąd powraca z wyjątkiem kiedy uruchamiany jest bezpośrednio z pliku exe w folderze instalacji.

 

W załączeniu logi FRST

 

Proszę o pomoc.

Addition.txt

FRST.txt

Shortcut.txt

[Miszel03]

W systemie działa infekcja WMI (to jest odpowiedzialne za problem tytułowy) oraz adware PrinceFountain. Wymagana jest kompleksowa dezynfekcja systemu.

 

Do poczytania: KLIK.

 

1. Przez panel sterowania odinstaluj:

• Przestarzałe i nieskuteczne już programy: Spybot - Search & Destroy.

2. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
Task: {134FEE14-50A9-4A85-8BD5-217BC435227C} - Brak ścieżki do pliku
Task: {6E545154-09B4-4E24-A7F1-9E028554B0AA} - System32\Tasks\{2F056534-01DC-B622-AFCE-5E896979A5CB} => C:\Users\Adam\AppData\Roaming\{2F056~1\PRICEF~1.EXE  
Task: {76F35F4F-F8AD-4B66-900B-7697FDEDB1D6} - \SystemSoundsService -> Brak pliku 
Task: {B739E838-71B3-476D-863A-EF706D0108EB} - System32\Tasks\Gedjoibb => C:\PROGRA~1\JYBKYE~1\Nucos.bat  
WMI_ActiveScriptEventConsumer_ASEC: 
ShortcutWithArgument: C:\Users\Adam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\Adam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Adam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\Adam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\Adam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/
RemoveDirectory: C:\Users\Adam\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk
Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
ShellExecuteHooks: Brak nazwy - {94998030-0D55-11E7-8B10-64006A5CFC23} -  -> Brak pliku
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} =>  -> Brak pliku
ShortcutTarget: mcserver.lnk -> C:\Program Files (x86)\T-Mobile\InternetManager_Z\Bin\mcserver.exe (Brak pliku)
S4 sptd2; System32\Drivers\sptd2.sys [X]
C:\Users\Adam\Documents\Euro Truck Simulator 2\readme.rtf.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp\mcserver.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smart File Advisor\Smart File Advisor Updater.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smart File Advisor\Startup Application Checker.lnk
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść i zabezpiecz przeglądarki.

 

Google Chrome

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
• Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin

Mozilla FireFox

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść historię przeglądania.
• Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin.

4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 

 

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

[adasni]

Wszystkie polecenia wykonałem w podanej kolejności. W załącznikach wszystkie raporty.

Addition.txt

Fixlog.txt

FRST.txt

Shortcut.txt

AdwCleanerC10.txt

AdwCleanerS10.txt

[Miszel03]

Prosiłem tylko o skan, a nie skan i dezynfekcję w programie AdwCleaner. Niech już będzie, ale proszę czytaj uważnie moje polecenia. 

 

1. Skasuj ręcznie: C:\Windows\Tasks\{2F056534-01DC-B622-AFCE-5E896979A5CB}.job.

 

2. Podsumuj obecny stan systemu, napisz czy problem ustąpił.

[adasni]

Problemu już nie ma. Adwcleaner nic już nie znajduje. Chrome odpala się bez problemu.

Plik z folderu Windows\Tasks skasowany.

Bardzo dziękuję za pomoc!

 

Pozdrawiam

Adam

[Miszel03]

W takim razie kończymy.

 

Zastosuj DelFix (usuwanie używanych narzędzi) oraz zaktualizuj ważne programy - KLIK.