Przekierowania chrome oraz COM Surogate


(djshake) #1

Witam, zaobserwowałem znaczne spowolnienie komputera mozliwe, że powodem jest proces COM Surogate który ciągle obciąża procesor. W Chrome pojawiło się rozszerzenie “Clikz” które uruchamia skrypt x2011bcas12.js (Identyfikator: mmemdlochnielijcfpmgiffgkpehgimj) Nie można usunąć tego rozszerzenia, resetowanie chrome nic nie daje. Gdy w opcjach deweloperskich w zakładce “Elements” usunę kod HTML uruchamiający skrypt, wtedy przekierowanie nie pojawia się, ale nadal rozszerzenie jest widoczne. Podczas ponownego logowania znowu jest aktywne. Programy Malwarebytes, ADW , KIS 2016 nic nie pomogły. Rozszerzenie przekierowuje po każdym wyszukiwaniu w google na stronę Yahoo.
Bardzo proszę o pomoc w rozwiązaniu mojego problemu.

FRST
Addition


(Atis) #2

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist:

GroupPolicy: Ograniczenia - Chrome <==== UWAGA
GroupPolicy\User: Ograniczenia <==== UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
CHR HKLM\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
CHR HKLM-x32\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
S1 ekqhmhfm; \??\C:\Windows\system32\drivers\ekqhmhfm.sys [X]
2017-12-16 12:02 - 2017-12-16 13:39 - 000000000 ____D C:\AdwCleaner
2017-12-16 08:30 - 2017-12-16 08:30 - 000000000 ____D C:\Users\Mateusz\AppData\Local\Tempzxpsign61bcc3493df7a6eb
2017-12-15 19:11 - 2017-12-15 19:11 - 000000000 ____D C:\Users\Mateusz\AppData\Local\Tempzxpsigne00613a4fbed622c
2017-12-15 19:11 - 2017-12-15 19:11 - 000000000 ____D C:\Users\Mateusz\AppData\Local\Tempzxpsign347cc0975b55eb32
2017-12-15 19:07 - 2017-12-15 19:07 - 000000000 ____D C:\Users\Mateusz\AppData\Local\Tempzxpsign409c605d2f73df4f
2017-12-15 19:07 - 2017-12-15 19:07 - 000000000 ____D C:\Users\Mateusz\AppData\Local\Tempzxpsign1e7e09aab7b675a5
2017-12-15 15:10 - 2017-12-15 15:10 - 000000000 ____D C:\Users\Mateusz\AppData\LocalLow\Temp
2017-12-15 14:03 - 2017-12-15 14:03 - 000000000 ____D C:\Users\Mateusz\AppData\Local\Tempzxpsign966aa5f634d9dd19
2017-12-15 14:02 - 2017-12-15 14:02 - 000000000 ____D C:\Users\Mateusz\AppData\Local\Tempzxpsigna9e601299665f027
2017-12-15 13:08 - 2017-12-15 13:08 - 000000000 ____D C:\Users\Mateusz\AppData\Local\Tempzxpsigna25e5e8136a123ea
2017-12-15 13:08 - 2017-12-15 13:08 - 000000000 ____D C:\Users\Mateusz\AppData\Local\Tempzxpsign0dc26ab8fb1810e0
2017-12-15 13:06 - 2017-12-15 13:06 - 000000000 ____D C:\Users\Mateusz\AppData\Local\Tempzxpsigndaaee2deaaae592f
2017-12-15 13:02 - 2017-12-15 13:02 - 000000000 ____D C:\Users\Mateusz\AppData\Local\Tempzxpsign75dab81fd4ff1ebe
2017-12-15 12:54 - 2017-12-15 12:54 - 000000000 ____D C:\Users\Mateusz\AppData\Local\Tempzxpsignd0b3cc6b4e9b9b13
2017-12-15 12:45 - 2017-12-15 12:45 - 000000000 ____D C:\Users\Mateusz\AppData\Local\Tempzxpsign83ce1b2e1a829f46
2017-12-15 12:16 - 2017-12-15 12:16 - 000000000 ____D C:\Users\Mateusz\AppData\Local\Tempzxpsign4bc8935b2e282049
2017-12-15 11:55 - 2017-12-15 11:55 - 000000000 ____D C:\Users\Mateusz\AppData\Local\Tempzxpsign4a998ff679b4a380
2017-12-15 11:49 - 2017-12-15 11:49 - 000000000 ____D C:\Users\Mateusz\AppData\Local\Tempzxpsigncf4c64f4957c4175
2017-12-15 11:42 - 2017-12-15 11:42 - 000000000 ____D C:\Users\Mateusz\AppData\Local\Tempzxpsign6ecc7d9bcefadb24
2017-12-15 11:37 - 2017-12-15 11:37 - 000000000 ____D C:\Users\Mateusz\AppData\Local\Tempzxpsign40f505babe0166ed
2017-12-15 11:32 - 2017-12-15 11:32 - 000000000 ____D C:\Users\Mateusz\AppData\Local\Tempzxpsignc9e190d15dc8f3dc
2017-12-15 11:23 - 2017-12-15 11:23 - 000000000 ____D C:\Users\Mateusz\AppData\Local\Tempzxpsign27fea35498e88af3
2017-12-15 11:02 - 2017-12-15 11:02 - 000000000 ____D C:\Users\Mateusz\AppData\Local\Tempzxpsign7b986ea63fa6fc0e
2017-12-15 11:02 - 2017-12-15 11:02 - 000000000 ____D C:\Users\Mateusz\AppData\Local\Tempzxpsign1de2e375370ae538
2017-12-15 10:42 - 2017-12-15 10:42 - 000000000 ____D C:\Users\Mateusz\AppData\Local\Tempzxpsign60a12fcb5ee9624b
2017-12-15 10:31 - 2017-12-15 10:31 - 000000000 ____D C:\Users\Mateusz\AppData\Local\Tempzxpsign3d7ff3f1f89ae75f
2017-12-15 10:29 - 2017-12-15 10:29 - 000000000 ____D C:\Users\Mateusz\AppData\Local\Tempzxpsign00df173e7eb752d6
2017-12-15 10:27 - 2017-12-15 10:27 - 000000000 ____D C:\Users\Mateusz\AppData\Local\Tempzxpsign3efa9be4e92dae7a
Task: {D7CFB033-BC3F-43A3-B5D6-360FB83A2975} - \AutoPico Daily Restart -> Brak pliku <==== UWAGA
Hosts:
EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.


(djshake) #3

Fixlog
FRST

Niestety rozszerzenie nadal jest w chrome, a komp się dziwnie zachowuje.


(Atis) #4

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist:

CloseProcesses:
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\mmemdlochnielijcfpmgiffgkpehgimj
CHR HKLM\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
CHR HKLM-x32\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
C:\Users\Mateusz\AppData\Local\Tempzxpsign73d6a5889eec9813
C:\Users\Mateusz\AppData\Local\Tempzxpsign340b4db4527574ab
DeleteKey: HKLM\SOFTWARE\Policies\Google
Hosts:
EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.


(djshake) #5

Fixlog
FRST


(Atis) #6

Uruchom RstHosts i kliknij Restaurer (Restore)
Skasuj folder C:\FRST
Czyszczenie folderów Przywracania systemu


(djshake) #7

Chrome wydaje się być czysty, nie ma śladu po wtyczce.
Dziwi mnie tylko fakt mały zawieszek- pojawia się klepsydra, gdy nie ma żadnego obciążenia.
Częściej widać to podczas pracy na wymagającym programie u mnie akurat Adobe Premiere.
Czy jeszcze mogę czymś przeskanować system, lub jakiego dodatkowego programu używać do tego typu zabezpieczeń (posiadam KIS)?

Serdecznie dziękuję za pomoc, jestem głęboki podziwu pana wiedzy i doświadczenia.
Pozdrawiam
Mateusz


(djshake) #8

Witam ponownie, problem z rozszerzeniem w przeglądarce powrócił :frowning:
Podaję logi:

FRST
Addition

Będę wdzięczny za pomoc.


(Atis) #9

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist:

CloseProcesses:
HKU\S-1-5-21-1467428879-1834650505-841028744-1001\...\Run: [AdobeBridge] => [X]
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
CHR Extension: (Clikz) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\mmemdlochnielijcfpmgiffgkpehgimj [2017-12-19] [UpdateUrl: hxxp://kuikdelivery.com/update.xml] <==== UWAGA
C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\mmemdlochnielijcfpmgiffgkpehgimj 
CHR HKLM\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
CHR HKLM-x32\...\Chrome\Extension: [lpeeaghdjmhlakojjcgfdhgcejdaefmi] - hxxps://chrome.google.com/webstore/detail/lpeeaghdjmhlakojjcgfdhgcejdaefmi
ProhowGold2017-12-19 13:19 - 2017-12-19 13:19 - 000000000 ____D C:\Users\Mateusz\Downloads\FRST-OlderVersion
2017-12-19 10:20 - 2017-12-19 10:20 - 000000000 ____D C:\Users\Mateusz\AppData\Local\Tempzxpsigndf3f657cbbf30875
2017-12-19 08:16 - 2017-12-19 08:16 - 000000000 ____D C:\Users\Mateusz\AppData\Local\Tempzxpsign24bc7103a5011773
2017-12-18 17:04 - 2017-12-18 17:04 - 000000000 ____D C:\Users\Mateusz\AppData\Local\Tempzxpsignfe6c66cf6d663461
2017-12-18 10:24 - 2017-12-18 10:24 - 000000000 ____D C:\Users\Mateusz\AppData\Local\Tempzxpsign3d6a0d2341282eb5
2017-12-18 10:20 - 2017-12-18 10:20 - 000000000 ____D C:\Users\Mateusz\AppData\Local\Tempzxpsign30c1c5ea6c2f58a0
2017-12-18 08:00 - 2017-12-18 08:00 - 000000000 ____D C:\Users\Mateusz\AppData\Local\Tempzxpsign13d1568694c32e42
2017-12-18 07:59 - 2017-12-18 07:59 - 000000000 ____D C:\Users\Mateusz\AppData\Local\Tempzxpsigndb9d0793ded86296
2017-12-16 22:49 - 2017-12-16 22:49 - 000000600 _____ C:\Users\Mateusz\AppData\Roaming\winscp.rnd
2017-12-16 15:50 - 2017-12-16 15:50 - 000000000 ____D C:\Users\Mateusz\AppData\Local\Tempzxpsign4e5293e4bf15e36c
2017-12-16 15:49 - 2017-12-16 15:49 - 000000000 ____D C:\Users\Mateusz\AppData\Local\Tempzxpsign48796300d6de58ab
2017-12-16 14:47 - 2017-12-16 14:47 - 000000000 ____D C:\Users\Mateusz\AppData\Local\Tempzxpsignbca13b98bc88a67e
2017-12-16 14:45 - 2017-12-16 14:45 - 000000000 ____D C:\Users\Mateusz\AppData\Local\Tempzxpsignb59378fbfe12be07
2017-12-16 11:42 - 2017-12-16 11:42 - 000000000 ____D C:\Users\Mateusz\AppData\Local\Tempzxpsignbff05cbffc13463c
2017-12-16 11:42 - 2017-12-16 11:42 - 000000000 ____D C:\Users\Mateusz\AppData\Local\Tempzxpsign044b4f067e12682b
Task: {D7CFB033-BC3F-43A3-B5D6-360FB83A2975} - \AutoPico Daily Restart -> Brak pliku <==== UWAGA
DeleteKey: HKLM\SOFTWARE\Policies\Google
DeleteQuarantine:
EmptyTemp:

Uruchom FRST i kliknij Napraw (Fix). Później skasuj folder C:\FRST

  1. Resetowanie synchronizacji Chrome
  2. Przywracanie ustawień domyślnych Chrome
  3. Zainstaluj uBlock: Firefox - Chrome - Opera

(djshake) #10

Dziękuję raz jeszcze, wszystko wykonałem :slight_smile:


(djshake) #11

Problem powrócił po raz trzeci ;/

FRST
Addition


(Atis) #12

Może zastanów się w jaki sposób infekujesz system?

AdwCleaner > Narzędzia > Opcje > zaznacz: Polityka Chrome > OK
Kliknij Skanuj (Scan) i później Oczyść (Clean).
Później usuń szkodliwe rozszerzenie lub przywróć domyślne ustawienia Chrome.


(djshake) #13

AdwCleaner nic nie znalazł, rozszerzenia nie udało się normalnie usunąć ani też poprzez reset chrome.
Ponowne zastosowanie ostatniego “fixlist” znowu przyniosło skutek. Tym razem wyłączyłem synchronizację w Chrome. Nie mam pojęcia w jaki sposób infekuje system. Komputer służy mi tylko do pracy. Wtyczka pojawia się samoczynnie po kilku dniach.

Szukając w Google można znajduję takie zalecenia odnośnie tej wtyczki:
http://www.computips.org/remove-clikz/

“Open %WINDIR%\System32\GroupPolicy folder (just copy that path and paste into the address bar of Windows Explorer; otherwise you will have to show hidden items to find this folder). Delete the contents of the folder.
Next open %WINDIR%\System32\GroupPolicyUsers and delete the contents.
Restart the computer.”

Może, że ta wtyczka siedzi już na serwerze chrome i podczas synchronizacji pobiera się automatycznie. Dziwne jest, że nie dzieje się to automatycznie podczas logowania się do Chrome, wtedy gdy instalują się wszystkie wtyczki przypisane do mojego konta.


(Atis) #14

AdwCleaner usunie blokadę jeśli skonfigurujesz tak jak napisałem.
Nie napisałem, że ma coś znaleźć. Miałeś zaznaczyć Polityka Chrome i kliknąć Oczyść.

Nie linkuj stron, które zostały stworzone tylko w jednym celu, żeby reklamować syfiasty SpyHunter .


(djshake) #15

Problem znowu powrócił kilka razy (do tej pory naprawiałem za pomocą ostatniego “fixlist”)
Jestem bezradny w walce z tym problemem. Robiłem wszystko dokładnie tak jak tutaj kazano.

Aktualne logi:
FRST
Addition