Skocz do zawartości

Brak pliku manifestu lub nie można go odczytać


honey

Rekomendowane odpowiedzi

Witam,
Proszę o pomoc,
Podczas uruchamiania przeglądarki Chrome wyskakuje komunikat z blędem:
"Błąd podczas ładowania rozszerzenia. Nie udało sie wczytac rozszerzenia z:
C:\Users\KRZYSZ~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk.
Brak pliku manifestu lub nie mozna go odczytac."

Skanowałem antywirem, adwcleaner`em i malwarebytes antimalware. Wiele wirusów zniknęło, ale został mi jeszcze jeden, z tym właśnie komunikatem.

Pozdrawiam.

Addition.txt

FRST.txt

Shortcut.txt

Odnośnik do odpowiedzi
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Tu jest o wiele więcej infekcji niż raportujesz: malware blokujące wszystkie główne programy antywirusowe w oparciu o certyfikaty, infekcja WMI i inne. Jeśli chodzi o Google Chrome, to być może podejścia z usuwaniem będą dwa, gdyż infekcja WMI odtwarza zainfekowane skróty.

 

Działania do przeprowadzenia:

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
HKLM\ DisallowedCertificates: 03D22C9C66915D58C88912B64C1F984B8344EF09 (Comodo Security Solutions) 
HKLM\ DisallowedCertificates: 0F684EC1163281085C6AF20528878103ACEFCAAB (F-Secure Corporation) 
HKLM\ DisallowedCertificates: 1667908C9E22EFBD0590E088715CC74BE4C60884 (FRISK Software International/F-Prot) 
HKLM\ DisallowedCertificates: 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF (G DATA Software AG) 
HKLM\ DisallowedCertificates: 249BDA38A611CD746A132FA2AF995A2D3C941264 (Malwarebytes Corporation) 
HKLM\ DisallowedCertificates: 331E2046A1CCA7BFEF766724394BE6112B4CA3F7 (Trend Micro) 
HKLM\ DisallowedCertificates: 3850EDD77CC74EC9F4829AE406BBF9C21E0DA87F (Kaspersky Lab) 
HKLM\ DisallowedCertificates: 3D496FA682E65FC122351EC29B55AB94F3BB03FC (AVG Technologies CZ) 
HKLM\ DisallowedCertificates: 4243A03DB4C3C15149CEA8B38EEA1DA4F26BD159 (PC Tools) 
HKLM\ DisallowedCertificates: 42727E052C0C2E1B35AB53E1005FD9EDC9DE8F01 (K7 Computing Pvt Ltd) 
HKLM\ DisallowedCertificates: 4C0AF5719009B7C9D85C5EAEDFA3B7F090FE5FFF (Emsisoft Ltd) 
HKLM\ DisallowedCertificates: 5DD3D41810F28B2A13E9A004E6412061E28FA48D (Emsisoft Ltd) 
HKLM\ DisallowedCertificates: 7457A3793086DBB58B3858D6476889E3311E550E (K7 Computing Pvt Ltd) 
HKLM\ DisallowedCertificates: 76A9295EF4343E12DFC5FE05DC57227C1AB00D29 (BullGuard Ltd) 
HKLM\ DisallowedCertificates: 775B373B33B9D15B58BC02B184704332B97C3CAF (McAfee) 
HKLM\ DisallowedCertificates: 872CD334B7E7B3C3D1C6114CD6B221026D505EAB (Comodo Security Solutions) 
HKLM\ DisallowedCertificates: 982D98951CF3C0CA2A02814D474A976CBFF6BDB1 (Safer Networking Ltd.) 
HKLM\ DisallowedCertificates: 9A08641F7C5F2CCA0888388BE3E5DBDDAAA3B361 (Webroot Inc.) 
HKLM\ DisallowedCertificates: 9C43F665E690AB4D486D4717B456C5554D4BCEB5 (ThreatTrack Security) 
HKLM\ DisallowedCertificates: AB7E760DA2485EA9EF5A6EEE7647748D4BA6B947 (AVG Technologies CZ) 
HKLM\ DisallowedCertificates: AD4C5429E10F4FF6C01840C20ABA344D7401209F (Avast Antivirus/Software) 
HKLM\ DisallowedCertificates: B8EBF0E696AF77F51C96DB4D044586E2F4F8FD84 (Malwarebytes Corporation) 
HKLM\ DisallowedCertificates: D3F78D747E7C5D6D3AE8ABFDDA7522BFB4CBD598 (Kaspersky Lab) 
HKLM\ DisallowedCertificates: DB303C9B61282DE525DC754A535CA2D6A9BD3D87 (ThreatTrack Security) 
HKLM\ DisallowedCertificates: DB77E5CFEC34459146748B667C97B185619251BA (Avast Antivirus/Software) 
HKLM\ DisallowedCertificates: E22240E837B52E691C71DF248F12D27F96441C00 (Total Defense, Inc.) 
HKLM\ DisallowedCertificates: ED841A61C0F76025598421BC1B00E24189E68D54 (Bitdefender SRL) 
HKLM\ DisallowedCertificates: F83099622B4A9F72CB5081F742164AD1B8D048C9 (ESET) 
HKLM\ DisallowedCertificates: FBB42F089AF2D570F2BF6F493D107A3255A9BB1A (Panda Security S.L) 
HKLM\ DisallowedCertificates: FFFA650F2CB2ABC0D80527B524DD3F9FC172C138 (Doctor Web Ltd.) 
WMI_ActiveScriptEventConsumer_ASEC: 
Task: {34D284C7-9514-4D01-938A-FA19B8196A70} - System32\Tasks\Opera scheduled Autoupdate 1496920503 => C:\Users\krzysztof\AppData\Local\Programs\Opera\launcher.exe
Task: {86D4A202-2F78-44F7-96C7-60FB80A72E6F} - System32\Tasks\oSThxc4DEbFg => osthxc4debfg.exe
Task: {A5FB8D28-D504-41F0-B324-7EF271DB0D4C} - System32\Tasks\Opera scheduled suite Autoupdate 1496920513 => C:\Users\krzysztof\AppData\Local\Programs\Opera\launcher.exe
Task: {A62C542D-9452-4556-B59B-9FB1D95AAC05} - System32\Tasks\Canon iutorub Express => C:\WINDOWS\system32\rundll32.exe "C:\Program Files\Canon iutorub Express\Canon iutorub Express.dll",YKOGxuvomcXD 
Task: {BCF2A156-DDF4-4D82-AEF9-28211776529B} - \{1727B1E3-0FB9-4E70-85F6-52306BB3A3B4} -> Brak pliku 
Task: {DF59654F-BB01-4D7F-9B24-2220718ABB88} - System32\Tasks\SpinTires => C:\Users\KRZYSZ~1\AppData\Local\Temp\is-8T1TB.tmp\prsetup.exe 
Task: {F3D2ECF4-2E1F-47ED-BD70-09AC5F164A9B} - \{0C0E0547-0C7D-7E0D-0A11-0F780B78110F} -> Brak pliku 
S2 PEFService; "C:\Program Files\Common Files\Intel Security\PEF\CORE\PEFService.exe" [X]
S1 wfcre; system32\drivers\wfcre.sys [X]
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
CHR HKLM\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton AntiVirus\Engine\22.10.1.10\Exts\Chrome.crx 
CHR HKLM-x32\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton AntiVirus\Engine\22.10.1.10\Exts\Chrome.crx 
SearchScopes: HKU\S-1-5-21-894481356-605578302-1186019840-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
HKU\S-1-5-21-894481356-605578302-1186019840-1002\Software\Microsoft\Internet Explorer\Main,Start Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page =
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Program Files\Canon iutorub Express
C:\Program Files (x86)\oSThxc4DEbFg
C:\ProgramData\AVAST Software
C:\ProgramData\Mozilla
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Productivity and Tools\7-Zip File Manager.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Productivity and Tools\7-Zip Help.lnk
C:\Users\krzysztof\AppData\Local\installer.dat
C:\Users\krzysztof\AppData\Local\Mozilla
C:\Users\krzysztof\AppData\Local\Programs\Opera
C:\Users\krzysztof\AppData\Roaming\Mozilla
C:\Users\krzysztof\Desktop\gry, piosenki i nagrania\filip\Farming Simulator 15 .lnk
C:\Users\krzysztof\Desktop\programy\Cheat Engine.lnk
C:\Users\krzysztof\Documents\My Games\FarmingSimulator2015\mods\McAfee Security Scan Plus.lnk
C:\WINDOWS\msdownld.tmp
Hosts:
CMD: netsh advfirewall reset
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Gdy powyższy skrypt się wykona poprawnie, odinstaluj jeden z programów zabezpieczających, gdyż jest ich za dużo: McAfee LiveSafe lub Norton AntiVirus.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do odpowiedzi

Zabij proces FRST, następnie w powyższym skrypcie wytnij linię CreateRestorePoint: i ponów zadanie. A deinstalacje programów zabezpieczających miały być wykonane dopiero po pomyślnym usuwaniu via FRST, w przeciwnym wypadku malware blokujące w oparciu o certyfikaty może uniemożliwić tę operację.

Odnośnik do odpowiedzi

Ręczne usuwanie programu to zła metoda, skasowanie folderu McAfee nie powoduje w ogóle usunięcia usług i sterowników. W nowym raporcie widać, że McAfee nadal się uruchamia z ogromnej ilości miejsc. Programy antywirusowe są zbyt złożone i wymagana jest o wiele większa ilość kroków ręcznych lub specjalne narzędzie.

 

1. Przejdź w Tryb awaryjny Windows. Zastosuj McAfee Consumer Product Removal Tool. Mogą pojawić się błędy, do zignorowania.

 

2. Przejdź w Tryb normalny i zrób nowe raporty FRST z opcji Skanuj.

Odnośnik do odpowiedzi

Usuwacz firmowy częsciowo poradził sobie, ale nadal dużo elementów McAfee. Poprawki:

 

1. Do deinstalacji także Malwarebytes Anti-Malware wersja 2.2.0.1024. Nie dość że to stara linia 2.x (najnowszy MBAM to 3.x i zupełnie inny program), to jeszcze scrackowana.

 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
Filter: application/x-mfe-ipt - {3EF5086B-5478-4598-A054-786C45D75692} - Brak pliku
S3 ClientAnalyticsService; "C:\Program Files\Common Files\McAfee\ClientAnalytics\Legacy\McClientAnalytics.exe" [X]
S3 McAWFwk; c:\PROGRA~1\COMMON~1\mcafee\actwiz\mcawfwk.exe [X]
S2 mcbootdelaystartsvc; "C:\Program Files\Common Files\mcafee\platform\McSvcHost\McSvHost.exe" /McCoreSvc [X]
S2 mccspsvc; "C:\Program Files\Common Files\McAfee\CSP\2.3.322.0\\McCSPServiceHost.exe" [X]
S2 mfemms; "C:\Program Files\Common Files\McAfee\SystemCore\\mfemms.exe" [X]
S2 ModuleCoreService; "C:\Program Files\Common Files\McAfee\ModuleCore\ModuleCoreService.exe" [X]
S2 PEFService; "C:\Program Files\Common Files\Intel Security\PEF\CORE\PEFService.exe" [X]
S3 mfeaack; C:\WINDOWS\System32\drivers\mfeaack.sys [487184 2017-04-03] (McAfee, Inc.)
S3 mfeplk; C:\WINDOWS\System32\drivers\mfeplk.sys [110248 2017-04-03] (McAfee, Inc.)
Task: {5BC761C2-A68D-4C48-8888-9B695BCE4092} - System32\Tasks\McAfee\McAfee Idle Detection Task
Task: {8657B6AF-3453-42AF-AA36-CC8F86E39829} - System32\Tasks\McAfeeLogon => C:\PROGRA~1\COMMON~1\McAfee\Platform\McUICnt.exe
Task: {F726263E-A11C-4EA2-8C25-192AE31604A2} - System32\Tasks\McAfee\McAfee Auto Maintenance Task Agent
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\McAfee
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ModuleCoreService => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcapexe => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeaack => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeaack.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeavfk => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeavfk.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfemms => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeplk => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfeplk.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ModuleCoreService => ""="Service"
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee
C:\Windows\System32\drivers\mfeaack.sys
C:\Windows\System32\drivers\mfeplk.sys
C:\Windows\System32\Tasks\McAfee
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Odnośnik do odpowiedzi

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...