Jakiś syf w Chrome - getsearch go.mail.ru

[pablo76]

Witam. Mam problem z przeglądarką chrome. Szukając softu do telefonu wlazło mi na kompa jakieś paskudztwo. Objawia się to tym, że ustawiła mi się w chrome wyszukiwarka getsearch cosmosearch.ru, go.mail.ru. Nie mogę jej usunąć ani zmienić na inną, bo pisze, że o tym ustawieniu decyduje administrator. Mam Windowsa 10 i jedno konto administratora. Nie potrafię sobie z tym poradzić. ktoś pomoże?

[cosik_ktosik]

Ja bym na początek użył adwcleanera.

[XMan]

Użyj --> Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Będzie wymagane ponowne uruchomienie komputera...

Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

Wrzuć wymagane obowiązkowe logi:
FRST --> bezpieczenstwo/korzystanie-z-frst-t28530.html

Logi/raporty wklejasz na:
Dostępne tylko dla zarejestrowanych użytkowników
lub Dostępne tylko dla zarejestrowanych użytkowników
a na forum podajesz tylko linki do nich.

[pablo76]

AdwCleaner był użyty już wcześniej 4x, myślałem, że sobie z tym poradzę. Wklejam 4x log z AdwCleaner:

Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

A teraz FRST:
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników
Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

1. Otwórz notatnik i wklej:

CloseProcesses:
Unlock: C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys
S2 tsnethlpx64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\TsNetHlpX64.sys [X]
C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys
CMD: del /q "C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys"
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.duba.com/?un_449343_3345
HKU\S-1-5-21-2469542666-354824394-891811387-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/p/?LinkI ... id=UE01DHP
URLSearchHook: [S-1-5-21-2469542666-354824394-891811387-1000] UWAGA => Brak domyślnego URLSearchHook
URLSearchHook: HKU\S-1-5-21-2469542666-354824394-891811387-1000 - (Brak nazwy) - {0633EE93-D776-472f-A0FF-E1416B8B2E3D} - Brak pliku
SearchScopes: HKU\S-1-5-21-2469542666-354824394-891811387-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
GroupPolicy: Ograniczenia - Chrome <======= UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
HKLM-x32\...\Run: [] => [X]
2016-02-27 08:30 - 2016-02-27 08:30 - 00000000 ____D C:\Users\Pablo\AppData\Roaming\talimama
2016-02-27 08:25 - 2016-02-27 08:25 - 00005120 _____ C:\Users\Pablo\AppData\Roaming\GiftBag.db
Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: {12BA4EA6-A722-4375-A3C3-8D3091D89393} - System32\Tasks\COMODO\COMODO Scan {F140D794-60B6-4F00-9235-D6457AA25B22} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe [2015-08-05] (COMODO)
Task: {2FE85D45-83AF-42C8-A2FD-ECA3BABC69DC} - System32\Tasks\Microsoft\Windows\RemovalTools\MRT_HB => C:\WINDOWS\system32\MRT.exe [2016-02-10] (Microsoft Corporation)
Task: {58047AFC-726D-4D03-ABBA-DEACD449F6B7} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2016-03-03] (Google Inc.)
Task: {6A30BEFC-9DBA-4B94-9DCA-63BA92B3316B} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2016-01-14] (Adobe Systems Incorporated)
Task: {830DB483-31D0-45CB-9308-679132D59839} - System32\Tasks\COMODO\COMODO Signature Update {B9D5C6F9-17D2-4917-8BD0-614BAA1C6A59} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe [2015-08-05] (COMODO)
Task: {88AC363E-C53C-4B4B-8F67-18D3AF716783} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2016-03-03] (Google Inc.)
Task: {99521B73-16E1-499A-B00E-A52E12711F0B} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2016-03-03] (Piriform Ltd)
Task: {B66D6446-6B97-4ED8-B2FB-21521EBD18EF} - System32\Tasks\COMODO\COMODO Update {A6D52E4F-569B-4756-B3D8-DF217313DA85} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe [2015-08-05] (COMODO)
Task: {C50AA037-C5A9-4756-84BD-0CABCEB04773} - System32\Tasks\COMODO\COMODO Autostart {D5EFF3B3-E126-4AF6-BCE9-852A72129E10} => C:\Program Files\COMODO\COMODO Internet Security\cistray.exe [2015-08-05] (COMODO)
Task: {CB12797B-A7B8-46CF-B3C8-39AD0CCA37BB} - System32\Tasks\{EB048BE6-593D-4226-AF04-14BFCDD57C0D} => pcalua.exe -a "C:\Users\Pablo\Desktop\Sterowniki Windows XP_Vista_7_8_10.exe" -d C:\Users\Pablo\Desktop
Task: {CB15CC75-7C2E-4779-B008-19CD5316A5F8} - System32\Tasks\{6F67B66A-E6F8-48DF-B725-B758157B3BD8} => pcalua.exe -a C:\Users\Pablo\Downloads\R244464.exe -d C:\WINDOWS\system32
Task: {DEE33F9D-69F8-4FC0-A779-DD7FBE7B4A8F} - System32\Tasks\{FC64EF61-FD71-4D3F-8D3B-D9596D20124F} => pcalua.exe -a D:\Instalki\Sterowniki\R235168bluetooth.exe -d D:\Instalki\Sterowniki
Task: {FCD48B0D-6E7C-4169-9355-952EE60CDE3B} - System32\Tasks\COMODO\COMODO Cache Builder {0FB77674-7905-4F34-A362-C5A9A26F8CF9} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe [2015-08-05] (COMODO)
Task: {FD011AF3-BF46-4323-A165-8FE0B4728B34} - System32\Tasks\{DCC0B282-5A3C-41AA-B5D0-7AA513F40008} => pcalua.exe -a D:\Instalki\Sterowniki\R244464sensor.exe -d D:\Instalki\Sterowniki
CMD: netsh firewall reset
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.

3. Wykonaj i wklej nowe logi z FRST.

[pablo76]

Raport z FRST
Dostępne tylko dla zarejestrowanych użytkowników

Raport JRT
Dostępne tylko dla zarejestrowanych użytkowników

Udało się. Ustawiona wyszukiwarka Google. A tą rosyjską usunąłem z listy. myślę, że wszystko jest OK. Dzięki wielkie

[djarta]

Wyczyszczone.

1. Wykonaj wszystko z tego tematu: Kroki kończące temat. Raport z wynikami skanowania z MBAM do wglądu.

2. Przeprowadź skanowanie za pomocą Dostępne tylko dla zarejestrowanych użytkowników. Jeśli coś znajdzie, nic nie usuwaj, tylko dostarcz raport z wynikami.

[pablo76]

delfix
Dostępne tylko dla zarejestrowanych użytkowników

malwarebytes
Dostępne tylko dla zarejestrowanych użytkowników

tfc
Dostępne tylko dla zarejestrowanych użytkowników

hitman
Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

Dwa klucze Potential Unwanted Programs w HitmanPro do usunięcia.
Poza tym czysto.

[pablo76]

Od czego były te klucze?

[djarta]

Od ,,śmietka" Baidu.

[pablo76]

ok. wielkie dzięki. temat wyczerpany