Problem przy uruchamianiu przeglądarki Chrome - 'kemgadeojglibflomicgnfeopkdfflnk'

[Rayzer]

Dzień dobry. W dniu dzisiejszym jeden z młodszych użytkowników domowego komputera nieumyślnie ściągnął z obecnie nieznanej mi strony jakieś badziewie, które wywołało w systemie istny armagedon, instalując przeróżne programy, ingerując w rejestr oraz wszystkie przeglądarki internetowe. Większość wirusów udało mi się unieszkodliwić (tak przypuszczam) przy pomocy programu AdwCleaner oraz Malwarebytes. Niestety, ale jakiś gryzoń w dalszym ciągu siedzi w systemie i skanowanie różnymi programami nie przynosi żadnych efektów. Uruchamiając przeglądarkę, wywołuje się następujący komunikat:

Nie udało się wczytać rozszerzenia z: C:\Users\Dom\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk. Brak pliku manifestu lub nie można go odczytać

A w elemencie docelowym we właściwościach widnieje:

"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"  --load-extension="C:\Users\Dom\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" http://www.yeadesktopbr.com/

Prosiłbym o rozwiązanie mojego problemu. Jeśli jest coś niezrozumiałe bądź zapomniałem o jakiejś ważnej rzeczy - przepraszam - napisz o jaką rzecz chodzi, a zaraz dopiszę ją do tematu.

FRST.txt

Addition.txt

Shortcut.txt

[Miszel03]

Raporty już nieaktualne, bo byłem nieobecny przez tydzień. Nadrabiam zaległości. 

 

Proszę o nowy zestaw raportów FRST (użyj najnowszej wersji).

[Rayzer]

Zdaje się, że problem został rozwiązany. Codziennie komputer skanowało kilka programów i kasowały różne zagrożenia. Obecnie nie znajdują żadnego. Przeglądarka uruchamia się prawidłowo, bez żadnego przekierowania oraz dziwnych fraz wpisanych we właściwościach.

 

 

 

 

FRST.txt

Shortcut.txt

Addition.txt

[Miszel03]

Zdaje się, że problem został rozwiązany.

 

No nie do końca. Przeglądarka Mozilla FireFox nadal ma podpięty zarażony skrót, po za tym w Harmonogramie zadań widoczne są elementy adware. Czyszczeniu podlegać będzie również Hosts, ze względu na dziwną zawartość (w spoilerze masz jego wygląd, więc jeśli coś jest Ci znane to proszę poinformuj).

 

 

==================== Hosts - zawartość: ==========================

 

(Użycie dyrektywy Hosts: w fixlist spowoduje reset pliku Hosts.)

 

2017-05-07 13:42 - 2017-07-17 16:58 - 00015896 _____ C:\WINDOWS\system32\Drivers\etc\hosts

 

0.0.0.0 pandoramt2.eu

0.0.0.0 www.pandoramt2.eu

0.0.0.0 pandora-mt2.pl

0.0.0.0 www.pandora-mt2.pl

0.0.0.0 mt2board.com

0.0.0.0 www.mt2board.com

0.0.0.0 ravador.pl

0.0.0.0 www.ravador.pl

0.0.0.0 m2bob.com

0.0.0.0 www.m2bob.com

0.0.0.0 m2bob.net

0.0.0.0 www.m2bob.net

0.0.0.0 tanavis.pl

0.0.0.0 www.tanavis.pl

127.0.0.1 wemsofts.com

127.0.0.1 bongadoom.com

127.0.0.1 wepcmainsystem.com

127.0.0.1 internalcampaigntargets.com

127.0.0.1 bongadoom.com

127.0.0.1 getthefilenow.com

127.0.0.1 bigpicturepop.com

127.0.0.1 wizzcaster.com

127.0.0.1 bestoffersfortoday.com

127.0.0.1 wepcmainsystem.com

127.0.0.1 agent.wizztrakys.com

127.0.0.1 csdimonetize.com

127.0.0.1 dl.azalee.site

127.0.0.1 titiaredh.com

127.0.0.1 wepcdisplaysystem.com

127.0.0.1 wepcanalyticsystem.com

 

Wykryto więcej niż wyliczono: 408 linii.

 

 

Codziennie komputer skanowało kilka programów i kasowały różne zagrożenia.

Czyli pewnie w systemie śmietnik, bo czyszczenie systemu z infekcji adware powinno wyglądać całkiem inaczej, czyli deinstalacje > reset narażonych programów > sprzątanie ewentualnych resztek. Pomimo, że często takie programy są skuteczne to jednak nie przeprowadzają procedury deinstalacji. 

 

Zaczynamy:

 

1. Sugeruję pobrać inny klient torrent (np. qBittorent), gdyż w systemie widać reklamotwórczy uTorrent, ten wg mnie nadaje się do deinstalacji.  

 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
CustomCLSID: HKU\S-1-5-21-3141487286-2629412538-1062352617-1001_Classes\CLSID\{0E270DAA-1BE6-48F2-AC49-A5BB2A426CC8}\InprocServer32 -> %%systemroot%%\system32\shell32.dll => Brak pliku
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ContextMenuHandlers01: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} =>  -> Brak pliku
ContextMenuHandlers06: [WinRAR32] -> {B41DB860-8EE4-11D2-9906-E49FADC173CA} =>  -> Brak pliku
ContextMenuHandlers05: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Brak pliku
Task: {31D64CBF-0944-413D-8685-3AC5DC87E291} - System32\Tasks\SecureBitra => C:\WINDOWS\system32\rundll32.exe "C:\Program Files\SecureBitra\SecureBitra.dll",wsOweCoVC 
C:\Program Files\SecureBitra
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yeadesktopbr.com/
AlternateDataStreams: C:\ProgramData\Temp:1CE11B51 [152]
ShellExecuteHooks: Brak nazwy - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} -  -> Brak pliku
SearchScopes: HKU\S-1-5-21-3141487286-2629412538-1062352617-1001 -> DefaultScope {8000B9FA-381F-432A-89F9-07E013582389} URL = 
SearchScopes: HKU\S-1-5-21-3141487286-2629412538-1062352617-1001 -> {8000B9FA-381F-432A-89F9-07E013582389} URL = 
CHR HKU\S-1-5-21-3141487286-2629412538-1062352617-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [aeppgfljjlhcnnbddcccndljodpdkpdh] - 
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Dom\AppData\Local
CMD: dir /a C:\Users\Dom\AppData\LocalLow
CMD: dir /a C:\Users\Dom\AppData\Roaming
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

3. Uruchom AdwCleaner z opcji Szukaj (nie stosuj Oczyść). Po zakończeniu zadania wydobądź raport znajdujący się w C:\AdwCleaner.

 

4. Zrób nowy zestaw raportów: FRST, Addition oraz Shortcut..

[Rayzer]

Gotowe.

Fixlog.txt

AdwCleanerS6.txt

FRST.txt

Addition.txt

Shortcut.txt