Wirus na przeglądarce Chrome

Januszszsz (Januszszsz) 2015-05-31 11:40:25 UTC #1

Ostatnio przy pobieraniu programu, pobrały się z nim jakieś wirusy (stronka jakaś rosyjska). Wirus ten zaatakował mi przeglądarkę Chrome. Od razu komputer przeskanowałem Eset'em antywirusem, Malwarebytes anti-malware, AdwCleaner'em i ComboFix'em. Najlepsze jest to że AdwCleaner znajduje go i usuwa, ale on nadal tam jest jakby nienaruszony. Chodzi mi głównie o to, że nie mogę

zmienić wyszukiwarki, bo pisze że "O tym ustawieniu decyduje administrator". Jak chcę coś wyszukać, to wskakuje link do tej ruskiej strony,a po sekundzie wyświetlają mi się wyniki w Google. Nie wiem czy to jest

coś szpiegującego. I nie mogę także odinstalować Chrome, nie ma go w panelu sterowania, a w folderze nie ma pliku odinstalowującego. Sprawdzałem też na Revo Unistaller i tam też go nie ma.

Resetowałem ustawienia przeglądarki, ale to też nic nie dało.

_Lukasz (_Lukasz_) 2015-05-31 11:46:50 UTC #2

Witam

Januszszsz (Januszszsz) 2015-05-31 12:03:56 UTC #3

Mam tego wirusa od wczoraj, nic się z programów nie instalowało, a w wtyczkach nic nie ma.

_Lukasz (_Lukasz_) 2015-05-31 12:17:38 UTC #4

Z mojej strony pozostaje poszukać informacji na temat strony, która uruchamia ci się na starcie. Nie podawaj linku do strony w poście, ponieważ

jeśli chcesz to podrzuć mi tą stronę w prywatnej wiadomości i spróbuje coś zdziałać.

StG_44 (StG 44) 2015-05-31 14:04:52 UTC #5

III Obowiązkowe raporty

Obowiązkowy jest raport FRST zaprezentowany zgodnie z instrukcją .
Raporty z innych narzędzi prezentujemy tylko na wyraźną prośbę.
Raporty umieszczamy na http://www.wklej.org, a w poście na forum podajemy linka do wklejki.
Nie wolno używać Combofixa , chyba że padnie taka prośba. Poprosić o raport z Combofixa mają prawo tylko użytkownicy: Acorus, Atis oraz Moderatorzy.

http://forum.dobreprogramy.pl/regulamin-dzia%C5%82u-bezpiecze%C5%84stwo-t503173/

Januszszsz (Januszszsz) 2015-06-01 10:32:42 UTC #6

Raporty:

Addition http://wklej.org/id/1726516/

Shortcut http://wklej.org/id/1726517/

Atis (Atis) 2015-06-01 11:30:10 UTC #7

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
GroupPolicy-x32: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-3306454534-1164622189-2373863893-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
DefaultPrefix-x32: => <==== ATTENTION
CHR Extension: (Bookmark Manager) - C:\Users\Janusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\gmlllbghnfkpflemihljekbapjopfjik [2015-05-07]
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
2015-05-30 19:39 - 2015-04-22 03:48 - 00815304 ____ H (Microsoft Corporation) C:\iехplоrе.bаt.exe
2015-05-30 22:25 - 2015-05-30 22:25 - 00000016 _____ () C:\ProgramData\mntemp
2015-05-30 22:15 - 2015-05-30 22:15 - 00029222 _____ () C:\ComboFix.txt
2015-05-30 22:09 - 2011-06-26 08:45 - 00256000 _____ () C:\Windows\PEV.exe
2015-05-30 22:09 - 2010-11-07 19:20 - 00208896 _____ () C:\Windows\MBR.exe
2015-05-30 22:09 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
2015-05-30 22:09 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
2015-05-30 22:09 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
2015-05-30 22:09 - 2000-08-31 02:00 - 00098816 _____ () C:\Windows\sed.exe
2015-05-30 22:09 - 2000-08-31 02:00 - 00080412 _____ () C:\Windows\grep.exe
2015-05-30 22:09 - 2000-08-31 02:00 - 00068096 _____ () C:\Windows\zip.exe
RemoveDirectory: C:\Qoobox
2014-11-24 21:27 - 2014-11-24 21:27 - 0016767 _____ () C:\Users\Janusz\AppData\Roaming\UserTile.png
2014-11-20 23:14 - 2014-11-20 23:14 - 0000003 _____ () C:\Users\Janusz\AppData\Local\updater.log
2014-12-22 16:51 - 2014-12-22 16:51 - 181974983 _____ () C:\Users\Janusz\AppData\Local\ACCCx2_8_1_451.zip.aamdownload
2014-12-22 16:51 - 2014-12-22 16:51 - 0002174 _____ () C:\Users\Janusz\AppData\Local\ACCCx2_8_1_451.zip.aamdownload.aamd
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.

Januszszsz (Januszszsz) 2015-06-01 12:53:37 UTC #8

Atis:

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist: GroupPolicy: Group Policy on Chrome detected <======= ATTENTION GroupPolicy-x32: Group Policy on Chrome detected <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION HKU\S-1-5-21-3306454534-1164622189-2373863893-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DefaultPrefix-x32: => <==== ATTENTION CHR Extension: (Bookmark Manager) - C:\Users\Janusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\gmlllbghnfkpflemihljekbapjopfjik [2015-05-07] S3 catchme; \ ??\C:\ComboFix\catchme.sys [X] 2015-05-30 19:39 - 2015-04-22 03:48 - 00815304 ___H (Microsoft Corporation) C:\iехplоrе.bаt.exe 2015-05-30 22:25 - 2015-05-30 22:25 - 00000016 _____ () C:\ProgramData\mntemp 2015-05-30 22:15 - 2015-05-30 22:15 - 00029222 _____ () C:\ComboFix.txt 2015-05-30 22:09 - 2011-06-26 08:45 - 00256000 _____ () C:\Windows\PEV.exe 2015-05-30 22:09 - 2010-11-07 19:20 - 00208896 _____ () C:\Windows\MBR.exe 2015-05-30 22:09 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe 2015-05-30 22:09 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe 2015-05-30 22:09 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe 2015-05-30 22:09 - 2000-08-31 02:00 - 00098816 _____ () C:\Windows\sed.exe 2015-05-30 22:09 - 2000-08-31 02:00 - 00080412 _____ () C:\Windows\grep.exe 2015-05-30 22:09 - 2000-08-31 02:00 - 00068096 _____ () C:\Windows\zip.exe RemoveDirectory: C:\Qoobox 2014-11-24 21:27 - 2014-11-24 21:27 - 0016767 _____ () C:\Users\Janusz\AppData\Roaming\UserTile.png 2014-11-20 23:14 - 2014-11-20 23:14 - 0000003 _____ () C:\Users\Janusz\AppData\Local\updater.log 2014-12-22 16:51 - 2014-12-22 16:51 - 181974983 _____ () C:\Users\Janusz\AppData\Local\ACCCx28_1_451.zip.aamdownload 2014-12-22 16:51 - 2014-12-22 16:51 - 0002174 ____ () C:\Users\Janusz\AppData\Local\ACCCx28_1_451.zip.aamdownload.aamd EmptyTemp:Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog. Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.