badi1988 Opublikowano 7 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 7 Kwietnia 2017 Witam, Podczas uruchamiania przegladarki Chrome wyskakuje komunikat z bledem: "Blad podczas ladowania rozszerzenia. Nie udalo sie wczytac rozszerzenia z: C:\Users\Tom\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk. Brak pliku manifestu lub nie mozna go odczytac." Po zatwierdzeniu "ok" przeglądarka sie uruchamia i chociażby nie wiem co zawsze stroną startową jest qtipr.com Odinstalowałem i zainstalowałem ponownie Chrome, jednak problem się powtarza. Problem miał początek z oprogramowaniem żenia?? . Z gory dziekuje za pomoc Pozdrawiam gmer.txt FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 8 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 8 Kwietnia 2017 System jest zainfekowany adware atakującym skróty przeglądarek oraz ich profile (to jest przyczyną problemu tytułowego). Od razu przechodzimy do działań. Do poczytania, na przyszłość: KLIK. 1. Spróbuj odnaleźć i uruchomić plik deinstalacyjny adware w tym katalogu: C:\Program Files\żěŃą (nazwa pliku zbliżona do uninstall.exe). 2. Otwórz Notatnik w nim wklej:CloseProcesses:CreateRestorePoint:Task: {C8E6F3A9-D2E7-4CCC-A6A0-F3D585C4D6AA} - \CreateChoiceProcessTask -> Brak pliku ShortcutWithArgument: C:\Users\Tom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Tom\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ShortcutWithArgument: C:\Users\Tom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Tom\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ShortcutWithArgument: C:\Users\Tom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\abcc729f78f1532b\Tomasz - Chrome.lnk -> C:\Program Files (x86)\Moncar\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 3"ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Tom\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Tom\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/C:\Users\Tom\AppData\Local\kemgadeojglibflomicgnfeopkdfflnkAlternateDataStreams: C:\ProgramData\TEMP:A1EDB939 [114]HKLM\...\Policies\Explorer: [ForceClassicControlPanel] 1HKLM\...\Policies\Explorer: [NoRemoteRecursiveEvents] 1HKU\S-1-5-21-3585312160-345975134-3153727662-1001\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1HKU\S-1-5-21-3585312160-345975134-3153727662-1001\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1HKU\S-1-5-21-3585312160-345975134-3153727662-1001\...\Policies\Explorer: [NoResolveSearch] 1HKU\S-1-5-21-3585312160-345975134-3153727662-1001\...\Policies\Explorer: [NoInternetOpenWith] 1HKU\S-1-5-21-3585312160-345975134-3153727662-1001\...\Policies\Explorer: []HKLM\...\Providers\14yaqw65: C:\Program Files (x86)\Qerqay Helper\local64spl.dllShellExecuteHooks: Brak nazwy - {223483BE-0D52-11E7-961E-64006A5CFC23} - -> Brak plikuC:\Program Files (x86)\Qerqay HelperShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2017-03-23] ()C:\Program Files\żěŃąCHR HKLM\SOFTWARE\Policies\Google: Ograniczenia U4 clr_optimization_v2.0.50727_32; Brak ImagePathU4 clr_optimization_v2.0.50727_64; Brak ImagePathU4 clr_optimization_v4.0.30319_32; Brak ImagePathU4 clr_optimization_v4.0.30319_64; Brak ImagePathU0 msahci; Brak ImagePathU3 pwdiqpoc; \??\C:\Users\Tom\AppData\Local\Temp\pwdiqpoc.sys [X] EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Kompleksowo wymień profil w przeglądarce Google Chrome, gdyż obecny jest zarażony. Otwórz Google Chrome następnie: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > Załóż czysty profil > ponownie wejdź do sekcji Osoby i skasuj wszystkie stare profile. Na nowym profilu polecam zainstalować rozszerzenie uBlock Origin. blokujące reklamy o podłożu nieinfekcyjnym. 3. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 4. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
badi1988 Opublikowano 8 Kwietnia 2017 Autor Zgłoś Udostępnij Opublikowano 8 Kwietnia 2017 (edytowane) Ad. 1 Niestety w katalogu nie było żadnego pliku deinstalacyjnego. Reszta wykonana zgodnie z zaleceniem.Przeglądarka uruchamia się poprawnie i strona startowa jest stroną wskazaną przeze mnie. Dziękuje serdecznie za pomoc, czekam na ewentualne dalsze wskazówki. PS. uBlock_Origin jest chyba tylko na firefoxa Raport AdwCleanerS0.txt Addition.txt FRST.txt Shortcut.txt Edytowane 11 Kwietnia 2017 przez Rucek Odnośnik do komentarza
Miszel03 Opublikowano 11 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 11 Kwietnia 2017 A gdzie plik Fixlog? Wszystko pomyślnie wykonane. Wcześniej jednak zapomniałem dokleić instrukcji do kasacji fałszywej przeglądarki (tworzę je osobno), więc wykonaj je teraz. 1. Wszystkie zagrożenia wykryte przez AdwCleaner daj do kasacji (używając opcji Oczyść). Następnie powtórz skan, jeśli coś zostanie wykryte to również skasuj wytypowane wyniki. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1491404369&z=186fe2ae8afeb2f31b70ea7gfz1t9gazee4zbc3q6w&from=che0812&uid=M4-CT128M4SSD2_00000000115003259954 C:\Users\Tom\AppData\Local\Google\Chrome\User Data\ChromeDefaultData KU\S-1-5-21-3585312160-345975134-3153727662-1001\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Moncar\Application\chrome.exe (Google Inc.) RemoveDirectory: C:\Program Files (x86)\Moncar C:\Users\Tom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\abcc729f78f1532b\Tomasz - Chrome.lnk C:\Users\Tom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Ewa - Chrome.lnk C:\Users\Tom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\225bb61db2f318c1\Tomasz - Chrome.lnk FirewallRules: [{4C4FB2F8-393A-4F10-BE3C-BC090EDA8AFA}] => (Allow) C:\Program Files (x86)\Moncar\Application\chrome.exe FirewallRules: [{1B4A268F-23CF-4AB9-910F-059F2AB33131}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{170D7E3D-731D-48ED-918D-F5416C38E394}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). moncar Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
badi1988 Opublikowano 11 Kwietnia 2017 Autor Zgłoś Udostępnij Opublikowano 11 Kwietnia 2017 1. Wykonane 2. Wykonane 3. Wykonane 4. Wykonane Jeszcze raz dziękuje za pomoc, czekam na ewentualne dalsze wskazówki. Fixlog.txt SearchReg.txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 12 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 12 Kwietnia 2017 Końcowe poprawki, skan i będziemy powoli kończyć. P.S: Znikną Ci niektóre skróty od przeglądarek - zrobisz sobie nowe. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Moncar DeleteKey: HKEY_USERS\S-1-5-21-3585312160-345975134-3153727662-1001\Software\Moncar U0 Partizan; system32\drivers\Partizan.sys [X] 2017-04-06 18:05 - 2016-05-23 04:41 - 00055056 _____ (Elex do Brasil Participações Ltda) C:\Windows\system32\Drivers\ISAFEKRNLBOOT.del 2017-04-06 18:05 - 2016-05-19 08:42 - 00052392 _____ (Elex do Brasil Participações Ltda) C:\Windows\system32\Drivers\ISAFENETFILTER.del 2017-03-23 23:14 - 2017-03-23 23:35 - 00000000 ____D C:\Users\Tom\AppData\Roaming\Qevighdrekaght 2017-03-23 23:16 - 2017-04-07 22:54 - 00000000 ____D C:\Users\Tom\AppData\Local\UCBROWSER.del 2017-03-24 19:40 - 2017-04-06 21:17 - 00000000 ____D C:\Program Files\14yaqw65 2017-04-06 18:06 - 2017-04-06 18:06 - 00000000 ____D C:\Users\Tom\AppData\Local\Moncar C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\Tom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\48499db33039e897\Tomasz - Chrome.lnk C:\Users\Tom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Jeśli MBAM coś wykryje to poproszę nowy zestaw raportów FRST. Dostarcz bez względu na wszystko plik Fixlog. Odnośnik do komentarza
badi1988 Opublikowano 13 Kwietnia 2017 Autor Zgłoś Udostępnij Opublikowano 13 Kwietnia 2017 Wykonałem powyższe czynności i Malwerebytes wykazał szereg błędów: 19 zidentyfikowanych zagrożeń - w tym 6 złośliwych oprogramowań, Załączam logi i czekam na ewentualne dalsze instrukcje. Fixlog.txt Shortcut.txt FRST.txt Addition.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się