Komunikat o kemgadeojglibflomicgnfeopkdfflnk przy starcie Chrome.

[flymar]

Witam

Zaczęło się najgorzej, jak mogło. Otworzyłem bardzo niezaufany instalator z azjatyckiego regionu. Mimo odklikania jednoczesnej instalacji różnych helperów zaczął on instalować mnóstwo niechcianych aplikacji. Event Monitory, Anti Malwery i chyba nawet Dropboxa. WinDefender zareagował, ale nie dał rady.

 

Podjęte działania:

* deinstalacja w "Programy i funkcje" wszystkich aplikacji zainstalowanych o tej porze - niektórych kilka razy, bo wracały.

* wyrzucenie z Program Files i Program Files (x86) podejrzanych folderów

* wyrzucenie z Autostartu podejrzanych procesów - CCleanerem

* deaktywacja podejrzanych usług

* Szybki skan Windows Defenderem - znalazł kilka zagrożeń - usunąłem. Pełny może się wykona za dwa dni.

* Skanowanie Malwerbytes - znalazł kilkadziesiąt zagrożeń - usunąłem.

* Przywrócenie domyślnych ustawień Chrome'a - jest kilka podstawowych rozszerzeń, ale nieaktywne.

 

Obecnie do skrótu Chrome'a okresowo podpina się polecenie  

--load-extension="C:\Users\Flymar\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn

(link zmieniony iksami)

 

ale obawiam się, że to może być wierzchołek góry lodowej.

 

Na komputerze jest Win 10 podnoszony z Win 7. Ogólnie trochę śmietnik, bo formata nie robiłem od kilku lat.

 

Szukałem rozwiązań, ale oprócz magicznych programów naprawiających "wszystko" znalazłem tylko Wasz portal i widzę, że u innych użytkowników udało się problem rozwiązać.

 

Bardzo proszę o pomoc.

 

Pozdrawiam,

Mariusz

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

[Miszel03]

Szukałem rozwiązań, ale oprócz magicznych programów naprawiających "wszystko" znalazłem tylko Wasz portal i widzę, że u innych użytkowników udało się problem rozwiązać.

Uważaj na te "magiczne" programy naprawiające wszystko, to najczęściej programu o bardzo wątpliwej reputacji, a nawet fałszywe programy.

 

Zapoznaj się również z lekturą jak uniknąć nieciekawych przygód z adware / PUP - Portale z oprogramowaniem / Instalatory - na co uważać.

 

---

 

W systemie spory bałagan, ale wszystko łatwo da się uporządkować. Jeśli chodzi o problem tytułowy to to co Ty piszesz pokrywa się praktycznie w całości z tym co ja widzę w raportach - więc nie będzie problemów z usunięciem tego.

 

Akcja.

 

1. Włącz przywracanie systemu (aktualnie jest wyłączone).

 

2. Przez panel sterowania odinstaluj:

• My Web Shield

3. Otwórz Notatnik w nim wklej:

 

CloseProcesses:
CreateRestorePoint:
Task: {2082DEC8-B85C-47D2-BE40-FC0D32CBD49A} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {23E1684E-22F5-4D27-A00A-28FE9E0BB857} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {49B263C3-9405-44CE-AA40-E743411A34C8} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\System32\browserchoice.exe
Task: {687ED4DC-4301-4FB7-93D9-C2452CC3E77F} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> Brak pliku 
Task: {6A7CFCED-FEC5-4EEF-A3B0-33E736587630} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {6F9EE597-D177-4659-85A5-57E7D9110E14} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {80599B41-A09E-4E6B-8EB0-FEF0EFD9BA55} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {84743446-09C5-4A12-8AEA-FAF7476585BA} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
Task: {B7181595-D120-4C4D-A856-3F001000DA47} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku 
Task: {CB3D8087-7D43-4C63-91C9-BBE32CC05EC4} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
Task: {CF23F961-33AB-43FB-9C41-F34C63574E42} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Task: {DA2BB657-E7F1-4692-AE1F-993D2C3B554F} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku 
Task: {DB46AF3B-CD20-4CE1-B420-50D283D1D72F} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku 
Task: {E5497EEF-5859-4C2A-BC2F-CD0F6E8778C6} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {F326D667-20DB-499D-9B1C-015764E9FD98} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
WMI_ActiveScriptEventConsumer_ASEC: 
ShortcutWithArgument: C:\Users\Flymar\Desktop\chrome.exe — skrót.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\Flymar\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/
ShortcutWithArgument: C:\Users\Flymar\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\Flymar\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\Flymar\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://fanli90.cn/
C:\Users\Flymar\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk
AlternateDataStreams: C:\ProgramData\TEMP:966F7784 [2400]
Winlogon\Notify\WB: D:\PROGRA~3\Stardock\OBJECT~1\WINDOW~1\fast64.dll [X]
HKLM\...\Policies\Explorer: [ForceActiveDesktopOn] 0
HKLM\...\Policies\Explorer: [NoActiveDesktop] 1
HKLM\...\Policies\Explorer: [NoActiveDesktopChanges] 1
HKLM\...\Policies\Explorer: [NoRecentDocsHistory] 0
HKU\S-1-5-21-548108095-2263111280-3268851415-1000\...\Policies\Explorer: [NoDriveTypeAutoRun] 145
SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} -  Brak pliku
SSODL-x32: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} -  Brak pliku
ShellExecuteHooks: Brak nazwy - {62B8A4F4-DE3C-11E6-A1B0-64006A5CFC23} - C:\Users\Flymar\AppData\Roaming\Dulary\Gheperent.dll -> Brak pliku
ShellIconOverlayIdentifiers: ["DropboxExt1"] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} =>  -> Brak pliku
ShellIconOverlayIdentifiers: ["DropboxExt2"] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} =>  -> Brak pliku
ShellIconOverlayIdentifiers: ["DropboxExt3"] -> {FB314EDD-A251-47B7-93E1-CDD82E34AF8B} =>  -> Brak pliku
ShellIconOverlayIdentifiers: ["DropboxExt4"] -> {FB314EDE-A251-47B7-93E1-CDD82E34AF8B} =>  -> Brak pliku
ShellIconOverlayIdentifiers: ["DropboxExt5"] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} =>  -> Brak pliku
ShellIconOverlayIdentifiers: ["DropboxExt6"] -> {FB314EDF-A251-47B7-93E1-CDD82E34AF8B} =>  -> Brak pliku
ShellIconOverlayIdentifiers: ["DropboxExt7"] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} =>  -> Brak pliku
ShellIconOverlayIdentifiers: ["DropboxExt8"] -> {FB314EE0-A251-47B7-93E1-CDD82E34AF8B} =>  -> Brak pliku
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = 
HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Local Page = %11%\blank.htm
HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Local Page = %11%\blank.htm
StartMenuInternet: Google Chrome - "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"
U3 idsvc; Brak ImagePath
2017-01-23 23:41 - 2017-01-23 23:41 - 0140288 _____ () C:\Users\Flymar\AppData\Roaming\Installer.dat
C:\ProgramData\hash.dat
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Flymar\AppData\Local\Mozilla
C:\Users\Flymar\AppData\Roaming\Mozilla
C:\Users\Flymar\AppData\Roaming\Profile
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Wyczyść przeglądarkę Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

5. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum

 

6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

[flymar]

Dziękuję za szybką odpowiedź,

 

Wszystko zrobione.

AdwCleaner znalazł 45 zagrożeń. Na razie nic nie usuwałem.

Addition.txt

AdwCleanerS0.txt

Fixlog.txt

FRST.txt

Shortcut.txt

[Miszel03]

Wszystkie wykryte zagrożenia przez AdwCleaner daj do kasacji (używając opcji Oczyść). Podsumuj obecny stan systemu.

[flymar]

Zrobione.

Kolejny przebieg nie wykazał nic. System ma się chyba nieźle. Już wczoraj zniknął i nie wrócił objaw z tytułu wątku.

Nie widzę jakichś szczególnych spowolnień, może nawet Flashowe rzeczy działają nieco szybciej, choć to może efekt placebo:)

 

Bardzo dziękuję za błyskawiczną pomoc. Chylę czoła przed wiedzą i życzę, aby wszystkie interwencje kończyły się sukcesem.

[Miszel03]

Kończymy.

Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) oraz zaktualizuj ważne programy (zauważyłem nieaktualny/e program/y) - KLIK / KLIK.