Chrome [problem] - o tym ustawieniu decyduje administrator

[Sledzislaw]

Witam

Po raz kolejny, mimo szczególnej ostrożności, wlazło mi do komputera jakieś diabelstwo.
Otóż przy wpisaniu zapytania w pasku adresu w Google Chrome, jestem przekierowany na stronę bing.com, przez coldsearch itd, itp.
Pousuwałem wszystkie inne opcje jakie wyrosły w ustawieniach przeglądarki, skrót do chrome też czysty, ale zostaje mi wyszukiwarka domyślna, (która jeszcze bezczelnie ma nazwę google) która właśnie przekierowuje mnie na bingi i inne śmieci.

System Windows 7/64-bit

Skany OTL:

OTL.txt ----> Dostępne tylko dla zarejestrowanych użytkowników
Extras.txt ----> Dostępne tylko dla zarejestrowanych użytkowników


Logi z FRST:

FRST.txt ------> Dostępne tylko dla zarejestrowanych użytkowników
Addition.txt---> Dostępne tylko dla zarejestrowanych użytkowników
Schortcut.txt-->Dostępne tylko dla zarejestrowanych użytkowników


Liczę, że ktoś ogarnie potwora...

[djarta]

1. Odinstaluj: WinZipper

2. Otwórz notatnik i wklej:

CloseProcesses:
S3 massfilter_lte; \??\C:\Windows\system32\drivers\massfilter_lte.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
S3 zgdcat; system32\DRIVERS\zgdcat.sys [X]
S3 zgdcdiag; system32\DRIVERS\zgdcdiag.sys [X]
S3 zgdcmdm; system32\DRIVERS\zgdcmdm.sys [X]
S3 zgdcnet; system32\DRIVERS\zgdcnet.sys [X]
S3 zgdcnmea; system32\DRIVERS\zgdcnmea.sys [X]
R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [158400 2016-01-08] (TODO: <公司名>)
R2 tmInstall; C:\Program Files\Thrustmaster\FFB Racing wheel\drivers\amd64\tmInstall.EXE [45296 2014-07-22] (Thrustmaster®)
R2 WdMan; C:\ProgramData\cWdMc\WdMan.exe [326656 2016-01-08] (TU-Funs LIMITED) [Brak podpisu cyfrowego]
R2 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [711344 2015-12-09] (Taiwan Shui Mu Chih Ching Technology Limited) <==== UWAGA
C:\Program Files (x86)\WinZipper
C:\ProgramData\cWdMc
C:\Program Files\Thrustmaster
C:\Program Files (x86)\SFK
S3 tmhidusb; C:\Windows\System32\DRIVERS\tmhidusb.sys [166640 2014-07-22] (Thrustmaster)
C:\Windows\System32\DRIVERS\tmhidusb.sys
S2 MustangService_2015_10_10; C:\ProgramData\TempMoudleSet\MustangSer3130.exe [235776 2015-12-15] (MustangService)
C:\ProgramData\TempMoudleSet
R2 IhPul; C:\Users\Justynka\AppData\Roaming\TSv\TSvr.exe [580752 2015-12-08] (tsvr.com)
C:\Users\Justynka\AppData\Roaming\TSv
StartMenuInternet: (HKLM) Opera - C:\Program Files (x86)\Opera\Opera.exe hxxp://www.yoursites123.com/?type=sc&ts ... 0LECAG90AX
CHR HKLM\...\Chrome\Extension: [jdiejbegdjikmehflknhkbieocmnogcf] - C:\Users\Justynka\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdiejbegdjikmehflknhkbieocmnogcf.crx [2015-11-06]
CHR HKLM-x32\...\Chrome\Extension: [jdiejbegdjikmehflknhkbieocmnogcf] - C:\Users\Justynka\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdiejbegdjikmehflknhkbieocmnogcf.crx [2015-11-06]
StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts ... 0LECAG90AX
CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts ... 0LECAG90AX
FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Justynka\AppData\Roaming\Mozilla\Firefox\Profiles\dktww35e.default\extensions\default_newtabff@gmail.com
StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts ... 0LECAG90AX
FF Plugin HKU\S-1-5-21-2008142060-1050888475-498862296-1001: ubisoft.com/uplaypc -> E:\gry\Settlers VII\Data\Base\_Dbg\Bin\Release\orbit\npuplaypc.dll [Brak pliku]
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\coldsearch.xml [2015-12-31]
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\yoursites123.xml [2016-01-08]
FF Extension: Default NewTab - C:\Users\Justynka\AppData\Roaming\Mozilla\Firefox\Profiles\dktww35e.default\extensions\default_newtabff@gmail.com [2016-01-08] [Brak podpisu cyfrowego]
FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\system32\Adobe\Director\np32dsw.dll [Brak pliku]
FF NewTab: hxxp://www.yoursites123.com/newtab/?typ ... 0LECAG90AX
FF Homepage: hxxp://www.piesearch.com/?type=hp&ts=14 ... 1440293dc7
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts ... 0LECAG90AX
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts ... 0LECAG90AX
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts= ... CAG90AX&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts ... 0LECAG90AX
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts ... 0LECAG90AX
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts= ... CAG90AX&q={searchTerms}
HKU\S-1-5-21-2008142060-1050888475-498862296-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://yoursites123.com/web?type=ds&ts= ... CAG90AX&q={searchTerms}
HKU\S-1-5-21-2008142060-1050888475-498862296-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts ... 0LECAG90AX
HKU\S-1-5-21-2008142060-1050888475-498862296-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts ... 0LECAG90AX
HKU\S-1-5-21-2008142060-1050888475-498862296-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://yoursites123.com/web?type=ds&ts= ... CAG90AX&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-2008142060-1050888475-498862296-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
GroupPolicy: Ograniczenia - Chrome <======= UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
2016-01-08 11:50 - 2016-01-09 10:16 - 00000000 ____D C:\Program Files (x86)\SFK
2016-01-08 11:50 - 2016-01-08 11:50 - 00000000 ____D C:\Users\Justynka\AppData\Roaming\TSv
2016-01-08 11:49 - 2016-01-08 11:50 - 00000000 ____D C:\ProgramData\cWdMc
2015-12-31 14:30 - 2015-12-31 14:30 - 00000000 ____D C:\ProgramData\TempMoudleSet
2015-12-24 12:42 - 2016-01-08 09:45 - 00003170 _____ C:\Windows\System32\Tasks\P4GIntlCtrl
2015-12-13 10:10 - 2016-01-08 21:13 - 00000001 _____ C:\Windows\SysWOW64\pl.html
2015-12-11 06:44 - 2015-12-11 06:44 - 00000000 ____D C:\Users\Justynka\AppData\Roaming\eCyber
2015-12-10 07:02 - 2015-12-10 07:02 - 00000000 ____D C:\Users\Public\Documents\crxbro
2015-12-10 07:02 - 2015-12-10 07:02 - 00000000 ____D C:\Users\Justynka\AppData\Local\crxbro
2015-12-10 06:31 - 2015-12-10 06:32 - 00000000 ____D C:\ProgramData\9WdM9
2015-12-10 03:32 - 2015-12-10 06:30 - 00000000 ____D C:\ProgramData\eWdMe
2016-01-09 10:19 - 2013-03-19 19:48 - 00001048 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2016-01-09 10:18 - 2015-11-11 18:56 - 00000000 ____D C:\Program Files (x86)\WinZipper
2016-01-08 18:19 - 2013-03-19 19:48 - 00001044 _____ C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2016-01-08 11:49 - 2015-10-25 09:01 - 00000074 _____ C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\Program Files\mcad14_TBE.dat
C:\ProgramData\hpe118F.dll
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
Task: {1A21072F-1D34-4BEF-859E-8D097F923CD0} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-08-29] (Google Inc.)
Task: {2385A8FE-38AA-4D28-AF38-EEC8E96F0BED} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-08-29] (Google Inc.)
Task: {26C08C45-210E-47A3-AEF1-04C64943ADCE} - System32\Tasks\{10064B47-B047-4213-AE52-C037098C358D} => C:\Program Files (x86)\SuperMemo UX\supermemo.exe [2015-03-24] (SuperMemo World)
Task: {2B713FF3-45AD-4C65-AD2E-900F8666AF48} - System32\Tasks\{CC0D85E9-843F-4598-BC27-DA455ACB4F06} => pcalua.exe -a G:\setup\Setup.exe -d G:\setup
Task: {34DF89FA-325C-4ED6-BD06-EBF09C70D39C} - System32\Tasks\{440F2018-76FB-443F-B820-216BFE5EA6CD} => E:\GRY\Diablo II\1.2\BH.Injector.exe
Task: {51977D93-DF91-4F06-8E4B-9ABD83FD026B} - System32\Tasks\ASUS Live Update => C:\Program Files (x86)\ASUS\ASUS Live Update\ALU.exe
Task: {5A40E926-9E86-4B89-9CFD-B12311724371} - System32\Tasks\Microsoft\Windows\UPnP\UPnPHostConfig => config upnphost start= auto
Task: {6EC428CE-928A-44BC-BCB1-8E3D8745FB8A} - System32\Tasks\{79CE5DD0-1DF0-48E4-BCFF-210CD535DD1E} => pcalua.exe -a C:\Windows\IsUninst.exe -c -f"e:\gry\S IV\Uninst.isu" -c"e:\gry\S IV\BBINST.DLL"
Task: {8762D8D1-6472-40B4-AEBB-BDD283AD4E98} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2012-10-24] (Piriform Ltd)
Task: {885FD5FB-133C-4326-A8DD-00CEBDF2DB33} - System32\Tasks\{ACBFA07B-1C22-4568-B2A8-8A4BBCC0C592} => pcalua.exe -a C:\Windows\IsUn0415.exe -c -f"C:\Program Files (x86)\SuperMemo UX\Courses\Angielski No Problem 1\Uninst.isu"
Task: {9107CE61-F539-41C5-BA63-98253AA99D81} - System32\Tasks\{566A43F3-3AE4-4304-8662-42198C136E0F} => pcalua.exe -a G:\SETUP.EXE -d G:\
Task: {9EC1B71F-9CF4-44D6-B4C1-28457DFA19BA} - System32\Tasks\{8A57DB1F-7C10-4EC0-99D6-6FD9227E2788} => pcalua.exe -a G:\autorun.exe -d G:\
Task: {B5763199-1FB4-4225-8342-D3403E942B33} - System32\Tasks\{1BD6C7BE-F38B-4DDC-9563-A59CC28F6074} => pcalua.exe -a G:\autorun.exe -d G:\
Task: {C26FDBD9-4FBF-410F-848C-4B0ABCBCF1F4} - System32\Tasks\P4GIntlCtrl => C:\Program Files\P4G\IntlCtrl.exe [2009-08-11] (TODO: <Company name>)
Task: {DAF55FA6-FCDD-4F23-8D38-CFB14821A345} - System32\Tasks\{5925FE57-DD71-4440-BA71-131E04013A49} => E:\GRY\Diablo II\1.2\BH.Injector.exe
Task: {DD9F510C-95F4-499A-90C8-BAC5BC372FF4} - System32\Tasks\Microsoft\Windows\SoftwareProtectionPlatform\SvcRestartTask => start sppsvc
Task: {DDD9528C-1FAF-4F7D-9187-AA05990A25CB} - System32\Tasks\ASUS SmartLogon Console Sensor => C:\Program Files (x86)\ASUS\SmartLogon\sensorsrv.exe [2009-05-18] (ASUS)
Task: {E437F573-BB7D-4163-9B19-9480C9E58A1B} - System32\Tasks\{38B0C72A-2E0A-4F53-B759-A2411C2303BB} => pcalua.exe -a G:\autorun.exe -d G:\
Task: {F56D0D8B-8241-48DA-AFCE-B65B72DB3A07} - System32\Tasks\{6107AA18-55D0-4D23-AD8C-0EE7A0F646EE} => Chrome.exe hxxp://ui.skype.com/ui/0/7.3.0.101/pl/g ... Error=1618
Task: {F585CFB1-F872-4F05-BE1D-A7DF5BA8C909} - System32\Tasks\{B5CDCD10-FF99-4AF6-BE3B-02ACA03EABC2} => pcalua.exe -a F:\Autorun.exe -d F:\
Task: {F7A624F8-1318-4271-8B27-24D794F20E43} - System32\Tasks\{79F75117-0002-4B9F-870C-AD7E489E0EC4} => E:\GRY\Diablo II\Diablo II.exe
Task: {FE77916A-33AA-4A2F-9FF7-97D221FDCE9D} - System32\Tasks\ASUS P4G => C:\Program Files\P4G\BatteryLife.exe [2009-09-08] (ATK)
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
ShortcutWithArgument: C:\Users\Justynka\Desktop\IGtrading.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts ... 0LECAG90AX
ShortcutWithArgument: C:\Users\Justynka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts ... 0LECAG90AX
ShortcutWithArgument: C:\Users\Justynka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts ... 0LECAG90AX
ShortcutWithArgument: C:\Users\Justynka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\IGtrading\IGtrading.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts ... 0LECAG90AX
ShortcutWithArgument: C:\Users\Justynka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts ... 0LECAG90AX
ShortcutWithArgument: C:\Users\Justynka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts ... 0LECAG90AX
ShortcutWithArgument: C:\Users\Justynka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\IGtrading.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts ... 0LECAG90AX
ShortcutWithArgument: C:\Users\Justynka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts ... 0LECAG90AX
ShortcutWithArgument: C:\Users\Justynka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts ... 0LECAG90AX
ShortcutWithArgument: C:\Users\Justynka\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts ... 0LECAG90AX
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts ... 0LECAG90AX
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts ... 0LECAG90AX
AlternateDataStreams: C:\Windows:C53CCCC7CD80F8DF
AlternateDataStreams: C:\ProgramData\TEMP:A1EDB939
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

4. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.

5. Wykonaj i wklej nowe logi z FRST.

[Sledzislaw]

No i od razu lepiej...
tutaj wklejka z AdwCleaner:

C1 --->Dostępne tylko dla zarejestrowanych użytkowników
S1 --->Dostępne tylko dla zarejestrowanych użytkowników

JRT:

JRT.txt --->http://wklej.org/id/1900130/


FRST:

FRST.txt -----> Dostępne tylko dla zarejestrowanych użytkowników
Addition.txt--> Dostępne tylko dla zarejestrowanych użytkowników
Shortcut.txt--> Dostępne tylko dla zarejestrowanych użytkowników


Komputer czuje się o niebo lepiej system stoi chyba 5 lat i dalej się trzyma
thx wielkie

[djarta]

1. Wykonaj wszystko z tego tematu: Kroki kończące temat. Raport z wynikami skanowania z MBAM do wglądu.

2. Przeprowadź skanowanie za pomocą Dostępne tylko dla zarejestrowanych użytkowników. Jeśli coś znajdzie, nic nie usuwaj, tylko dostarcz raport z wynikami.