Chrome i explorer - wyszukiwarki bing, omiga i inne + exploit

Hisiek · 11 Maj 2015 12:40

Hej. Dzisiaj po włączeniu komputera i odpaleniu chrome, a następnie explorera od razu uruchomiło się kilka kart z wyszukiwarkami, m.in. bing, omiga, default search. Nie mogę się tego pozbyć nawet po użyciu CCleaner, pandy, AdwCleaner, Malwarebytes, ani po zmianach ustawień przeglądarek.

Ponadto panda wykryła wirusa W32/Exploit.gen i nie potrafię tego usunąć.

Poniżej wklejam raporty (inny hosting, ponieważ z jakiegoś powodu wklej.org nie chce mnie wpuścić…):

Addition:

http://sendfile.pl/pokaz/347731—rBhp.html

FRST:

http://sendfile.pl/pokaz/347733—fJ2h.html

Shortcut:

http://sendfile.pl/pokaz/347736—EVxI.html

Acorus · 11 Maj 2015 12:53

Otwórz notatnik systemowy i wklej:

Task: {00812830-8003-4810-AA28-A28B639A4714} - System32\Tasks\{0E067D0C-471D-4FFC-A5C4-EBD7BC8C6E81} = pcalua.exe -a "C:\Program Files (x86)\ShopperPro\SPremove.exe" ==== ATTENTION
Task: {1FB7222F-67A9-4446-A101-B6BEF2379C79} - System32\Tasks\{608D3C88-794A-430B-89EE-3D17EC3A0F7A} = pcalua.exe -a "C:\Program Files (x86)\YouTube Accelerator\YTAUninstall.exe"
HKU\S-1-5-21-1806208250-2462320703-3644229852-1000\...\Run: [Akamai NetSession Interface] = C:\Users\Anna\AppData\Local\Akamai\netsession_win.exe [4672920 2014-04-17] (Akamai Technologies, Inc.)
ShellIconOverlayIdentifiers: [00avast] - {472083B0-C522-11CF-8763-00608CC02F24} = No File
ShellIconOverlayIdentifiers: [01MemopalBackedUp] - {8ED3CC2D-6BC2-43AD-8C43-F51FBB413AE6} = No File
ShellIconOverlayIdentifiers: [02MemopalToBackup] - {2CDD871E-60EB-40BD-9721-A1CB57042F75} = No File
ShellIconOverlayIdentifiers: [03MemopalPartiallyBackedUp] - {95DDC869-FC98-4D47-BD34-2EDC9AA09C01} = No File
ShellIconOverlayIdentifiers-x32: [01MemopalBackedUp] - {8ED3CC2D-6BC2-43AD-8C43-F51FBB413AE6} = No File
ShellIconOverlayIdentifiers-x32: [02MemopalToBackup] - {2CDD871E-60EB-40BD-9721-A1CB57042F75} = No File
ShellIconOverlayIdentifiers-x32: [03MemopalPartiallyBackedUp] - {95DDC869-FC98-4D47-BD34-2EDC9AA09C01} = No File
ShellIconOverlayIdentifiers-x32: [04MemopalError] - {B9CA6E12-7975-4997-B5BD-CA12ECE0FEAD} = No File
BootExecute: autocheck autochk * PCloudBroom64.exe \systemroot\system32\BroomData.bitPCloudBroom64.exe \systemroot\system32\BroomData.bitPCloudBroom64.exe \systemroot\system32\BroomData.bitPCloudBroom64.exe \systemroot\system32\BroomData.bitPCloudBroom64.exe \systemroot\system32\BroomData.bitPCloudBroom64.exe \systemroot\system32\BroomData.bitPCloudBroom64.exe \systemroot\system32\BroomData.bitPCloudBroom64.exe \systemroot\system32\BroomData.bitPCloudBroom64.exe \systemroot\system32\BroomData.bitPCloudBroom64.exe \systemroot\system32\BroomData.bit
GroupPolicy: Group Policy on Chrome detected ======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
SearchScopes: HKU\.DEFAULT - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
CHR StartupUrls: Default - "hxxp://search.babylon.com/?affID=110808tt=3412_5babsrc=HP_ssmntrId=a8fd48980000000000000025d3bd9562", "hxxp://google.pl/", "hxxp://pl.msn.com/?pc=UP97ocid=UP97DHP", "hxxp://start.qone8.com/?type=hpts=1395669395from=ilduid=ST500LM012XHN-M500MBB_S2ZYJ9DDC09056", "hxxp://www.default-search.net?sid=476aid=132itype=nver=11471tm=305src=hmp", "hxxp://start.qone8.com/?type=hpts=1398008026from=ilduid=ST500LM012XHN-M500MBB_S2ZYJ9DDC09056", "hxxp://start.qone8.com/?type=hpts=1398170945from=ilduid=ST500LM012XHN-M500MBB_S2ZYJ9DDC09056", "hxxp://start.qone8.com/?type=hpts=1398440657from=ilduid=ST500LM012XHN-M500MBB_S2ZYJ9DDC09056", "hxxp://www.default-search.net?sid=476aid=132itype=aver=12521tm=305src=hmp"
CHR Extension: (Bookmark Manager) - C:\Users\Anna\AppData\Local\Google\Chrome\User Data\Default\Extensions\gmlllbghnfkpflemihljekbapjopfjik [2015-04-17]
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - https://clients2.google.com/service/update2/crx
S3 BRDriver64_1_3_3_E02B25FC; \\C:\ProgramData\BitRaider\support\1.3.3\E02B25FC\BRDriver64.sys [X]
S3 wolfkr; \\C:\AeriaGames\WolfTeam-PL\avital\wolfk64.sys [X]
2015-05-11 13:57 - 2015-05-11 14:09 - 00000000 ____ D () C:\AdwCleaner
2015-04-23 11:14 - 2015-04-23 11:14 - 00000000 __SHD () C:\Users\Anna\AppData\Roaming\wyUpdate AU
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

Hisiek · 11 Maj 2015 13:08

Dzięki, jak na razie nic nie wyskoczyło, ale sprawdziłam ponownie zakładkę “zarządzaj wyszukiwarkami” w Chromie i wciąż ten nieszczęsny Bing się tam znajduje, pomimo resetowania i usuwania.

Acorus · 11 Maj 2015 13:22

Bing nie jest szkodliwy.To wyszukiwarka Microsoftu.

Hisiek · 11 Maj 2015 18:27

Ok, w takim razie jeszcze raz dziękuję za pomoc Miłego dnia.

EDIT:

Nie wiem co się dzieje, ale znowu to samo. Jedyne co dzisiaj zrobiłam, to pobrałam z Dobrychprogramów Comodo Internet Security (wszelkie toolbary i dodatki odhaczyłam) w celu przetestowania Wyłączyłam komputer i gdy za kilka godzin wróciłam chrome znowu bombarduje mnie nowymi kartami. Ponownie przesyłam raporty…:

Addition:

http://sendfile.pl/pokaz/348097—JuEL.html

FRST:

http://sendfile.pl/pokaz/348098—FEdc.html

Shortcut:

http://sendfile.pl/pokaz/348099—kvFc.html

Acorus · 12 Maj 2015 09:14

Otwórz notatnik systemowy i wklej:

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
CHR StartupUrls: Default - "hxxp://search.babylon.com/?affID=110808tt=3412_5babsrc=HP_ssmntrId=a8fd48980000000000000025d3bd9562", "hxxp://google.pl/", "hxxp://pl.msn.com/?pc=UP97ocid=UP97DHP", "hxxp://start.qone8.com/?type=hpts=1395669395from=ilduid=ST500LM012XHN-M500MBB_S2ZYJ9DDC09056", "hxxp://www.default-search.net?sid=476aid=132itype=nver=11471tm=305src=hmp", "hxxp://start.qone8.com/?type=hpts=1398008026from=ilduid=ST500LM012XHN-M500MBB_S2ZYJ9DDC09056", "hxxp://start.qone8.com/?type=hpts=1398170945from=ilduid=ST500LM012XHN-M500MBB_S2ZYJ9DDC09056", "hxxp://start.qone8.com/?type=hpts=1398440657from=ilduid=ST500LM012XHN-M500MBB_S2ZYJ9DDC09056", "hxxp://www.default-search.net?sid=476aid=132itype=aver=12521tm=305src=hmp"
CHR Extension: (Bookmark Manager) - C:\Users\Anna\AppData\Local\Google\Chrome\User Data\Default\Extensions\gmlllbghnfkpflemihljekbapjopfjik [2015-05-11]
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - https://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - https://clients2.google.com/service/update2/crx
S3 MBAMSwissArmy; \\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.