Złośliwy wirus na chrome

**Posty:** 3 · przez **rebi690** 13 Gru 2017, 04:37

Nie będę lał wody. Ściągnąłem przez przypadek jakiś syf, przeczepił się do przeglądarki i nie chce zniknąć z kompa po wielu próbach.
Otwierają się dziwne strony, nowa karta w przeglądarce jest po angielsku i nie da się zmienić jej motywu. Wolny czas wyszukiwania zagadnień z paska.

Z góry dziękuję za pomoc.

**Posty:** 4765 · przez **ordynat** 13 Gru 2017, 07:23

1) Spróbuj odinstalować ten program:

yessearches - Uninstall (HKLM-x32\...\{FF08B1A0-3ADC-4EAD-A7F8-DDF1F4559EC1}) (Version: - ) <==== UWAGA

2)

CHR DefaultProfile: ChromeDefaultData

Uruchom Google Chrome
> Naciśnij klawisze: lewy Alt+F i kliknij przycisk Ustawienia >
> Sekcja: OSOBY
>zaznacz (wybierz): user0
kliknij znaczek X znajdujący się po prawej stronie.

3) Otwórz Notatnik i wklej w nim:

Task: {0A6EFF7E-ACF5-46A1-89D8-758FD97F1D6E} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA
Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe <==== UWAGA
RemoveDirectory: C:\Program Files (x86)\UCBrowser
CHR DefaultProfile: ChromeDefaultData
CHR HomePage: ChromeDefaultData -> hxxp://search.babylon.com/?AF=109130&babsrc=HP_ss&mntrId=541ddc18000000000000002522c0b7cf
CHR StartupUrls: ChromeDefaultData -> "hxxp://google.pl/","hxxp://d391tbweljugwk.cloudfront.net/?ts=AHEqB3MtAXEkA0..&v=20160530&uid=297AC5599911AB9BD5998DCE95890B52&ptid=wak&mode=loadm","search.mpc.am"
CHR Profile: C:\Users\JakubR\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-12-13] <==== UWAGA
CHR Extension: (Prezentacje) - C:\Users\JakubR\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2017-10-13]
CHR Extension: (Przelewy24) - C:\Users\JakubR\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\aiicmmpkicnndkhlnnloilpgncbpkbjj [2017-10-11]
CHR Extension: (Dokumenty) - C:\Users\JakubR\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\aohghmighlieiainnegkcijnfilokake [2017-10-13]
CHR Extension: (Dysk Google) - C:\Users\JakubR\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\apdfllckaahabafndbhieahigkjlhalf [2016-04-06]
CHR Extension: (YouTube) - C:\Users\JakubR\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2016-04-06]
CHR Extension: (Adblock dla serwisu Youtube™) - C:\Users\JakubR\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\cmedhionkhpnakcndndgjdbohmhepckk [2017-06-15]
CHR Extension: (Search by Image (by Google)) - C:\Users\JakubR\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\dajedkncpodkggklbegccjpmnglmnflm [2016-10-20]
CHR Extension: (Avast SafePrice) - C:\Users\JakubR\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\eofcbnmajmjmplflapaojjnihcjkigck [2017-12-07]
CHR Extension: (Arkusze) - C:\Users\JakubR\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2017-10-13]
CHR Extension: (Dokumenty Google offline) - C:\Users\JakubR\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-04-06]
CHR Extension: (Click&Clean) - C:\Users\JakubR\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\ghgabhipcejejjmhhchfonmamedcbeod [2017-12-13]
CHR Extension: (Unlimited Free VPN - Hola) - C:\Users\JakubR\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\gkojfkhlekighikafcpjkiklfbnlmeio [2017-11-27]
CHR Extension: (Space) - C:\Users\JakubR\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\hifhddjdplehpbndiikdofeaopbimfmi [2017-12-13]
CHR Extension: (Auto HD For YouTube™) - C:\Users\JakubR\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\koiaokdomkpjdgniimnkhgbilbjgpeak [2016-05-26]
CHR Extension: (Płatności w sklepie Chrome Web Store) - C:\Users\JakubR\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2017-08-22]
CHR Extension: (Adblock Pro) - C:\Users\JakubR\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\ocifcklkibdehekfnmflempfgjhbedch [2017-11-10]
CHR Extension: (Gmail) - C:\Users\JakubR\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2016-04-06]
CHR Extension: (Wykop CanComment) - C:\Users\JakubR\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\pkadcgbgmgnhmfnaafdaomokpmjlfbhg [2017-06-08]
CHR Extension: (Chrome Media Router) - C:\Users\JakubR\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2017-12-09]
S2 CegitdzegeMppSrv; "C:\Program Files (x86)\Cegitdzege\CegitdzegeMppSrv.exe32" {79740E79-A383-47A7-B513-3DF6563D007F} {8C4CE252-7DB2-4F8E-8E76-BAD0E5826A83} [X]
S4 Tijqelo; "C:\Users\JakubR\AppData\Roaming\YjakboErat\Fadsee.exe" -cms [X]
RemoveDirectory: C:\Program Files (x86)\Cegitdzege
RemoveDirectory: C:\Users\JakubR\AppData\Roaming\YjakboErat
RemoveDirectory: C:\ProgramData\boost_interprocess
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
HKU\S-1-5-21-2953419786-1906724528-1355314545-1000\...\Run: [ASRockXTU] => [X]
HKU\S-1-5-21-2953419786-1906724528-1355314545-1000\...\Run: [zASRockInstantBoot] => [X]
GroupPolicy: Ograniczenia - Chrome <==== UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
SearchScopes: HKU\S-1-5-21-2953419786-1906724528-1355314545-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=ASRK
Toolbar: HKU\S-1-5-21-2953419786-1906724528-1355314545-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku
FF NewTab: Mozilla\Firefox\Profiles\m3eaqpcw.default -> about:newtab
S3 dpclat_driver; \??\C:\Windows\system32\drivers\dpclat_driver.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
S3 xhunter1; \??\C:\Windows\xhunter1.sys [X]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sid Meiers Civilization VI.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Encyklopedia.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Deinstalacja programu World of Tanks.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Aktualizacje.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Warcraft\World of Warcraft.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks\Instrukcja.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Star Citizen Launcher\Star Citizen Launcher.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Overwatch\Overwatch.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mr DJ\Crusader Kings II\Crusader Kings II.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mr DJ\Crusader Kings II\Uninstall.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hearts of Iron IV\Hearts of Iron IV.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hearts of Iron IV\Uninstall Hearts of Iron IV.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Grinding Gear Games\Path of Exile.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AMD Problem Report Wizard\Run AMD Problem Report Wizard.lnk
C:\Users\JakubR\Desktop\Bot.exe.lnk
C:\Users\JakubR\Desktop\System\DAEMON Tools Lite.lnk
C:\Users\JakubR\Desktop\System\DAEMON Tools Pro.lnk
C:\Users\JakubR\Desktop\System\Uaktywnij SmartView.lnk
C:\Users\JakubR\Desktop\Pliki\Portfele\MultiBit 0.5.16.lnk
C:\Users\JakubR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wargaming.net\Total War Arena EU\Total War Arena EU.lnk
C:\Users\JakubR\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wargaming.net\Total War Arena EU\Uninstall Total War Arena.lnk
C:\Users\JakubR\AppData\Roaming\Microsoft\Office\Niedawny\Dokument.rtf.LNK
C:\Users\JakubR\AppData\Roaming\Microsoft\Office\Niedawny\informacja dla maturzystów 2017 (1).doc.LNK
C:\Users\JakubR\AppData\Roaming\Microsoft\Office\Niedawny\informacja dla maturzystów 2017.doc.LNK
C:\Users\JakubR\AppData\Roaming\Microsoft\Office\Niedawny\Nowy dokument sformatowany.rtf.LNK
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść na pulpicie.
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

4) Zrób nowe logi FRST - już bez Shortcut.
.

**Posty:** 3 · przez **rebi690** 13 Gru 2017, 13:31

Hej, jeszcze raz dzięki wielkie za pomoc. Po fixie chrome zdaje się już działać poprawnie. Nie jestem jednak w stanie żadnym sposobem usunąć yessearches, gdyż wyskakuje takie okienko:

Oto logi, o które prosiłeś

**Posty:** 4765 · przez **ordynat** 13 Gru 2017, 16:05

Nie jestem jednak w stanie żadnym sposobem usunąć yessearches

Masz Adw-Cleaner, więc go użyj:
najpierw kliknij na SKANUJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk OCZYŚĆ (CLEANING), to kliknij na niego.
Pokaż raport z niego "C".

CHR Profile: C:\Users\JakubR\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-12-13] <==== UWAGA

Ten szkodliwy profil dalej jest, więc przeinstaluj Chrome.

Uruchom FRST.
W polu SEARCH (SZUKAJ) wklej:

plewught; plwcloud;

kliknij na przycisk "Search Registry" (Szukaj w Rejestrze).
Raport z tego będzie tam, gdzie jest FRST.

Zrób nowe logi FRST - bez Shortcut.
.

**Posty:** 3 · przez **rebi690** 13 Gru 2017, 18:09

Próbowałem już używać Adw Cleanera, ale nic z tego - plik dalej istnieje.
Chrome przeinstalowałem tak, jak prosiłeś.

Załączam raporty

**Posty:** 4765 · przez **ordynat** 13 Gru 2017, 20:45

Wyszukiwanie w Rejestrze nic nie znalazło, więc problem z rzekomym brakiem modułu "plwcloud.dll" wcale nie istnieje.

Otwórz Notatnik i wklej w nim:

DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{FF08B1A0-3ADC-4EAD-A7F8-DDF1F4559EC1}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{FF08B1A0-3ADC-4EAD-A7F8-DDF1F4559EC1}
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
SearchScopes: HKU\S-1-5-21-2953419786-1906724528-1355314545-1000 -> {B33BEC3F-8649-4213-BE2A-F9F4816FAEC2} URL = hxxp://www.google.com/custom?client=pub-3794288947762788&forid=1&channel=5480255188&ie=UTF-8&oe=UTF-8&safe=active&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1&hl=pl&q={searchTerms}
CHR DefaultProfile: ChromeDefaultData
CHR HomePage: ChromeDefaultData -> hxxp://search.babylon.com/?AF=109130&babsrc=HP_ss&mntrId=541ddc18000000000000002522c0b7cf
CHR StartupUrls: ChromeDefaultData -> "hxxp://google.pl/","hxxp://d391tbweljugwk.cloudfront.net/?ts=AHEqB3MtAXEkA0..&v=20160530&uid=297AC5599911AB9BD5998DCE95890B52&ptid=wak&mode=loadm","search.mpc.am"
CHR Profile: C:\Users\JakubR\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-12-13] <==== UWAGA
CHR Extension: (Prezentacje) - C:\Users\JakubR\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2017-12-13]
CHR Extension: (Przelewy24) - C:\Users\JakubR\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\aiicmmpkicnndkhlnnloilpgncbpkbjj [2017-12-13]
CHR Extension: (Dokumenty) - C:\Users\JakubR\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\aohghmighlieiainnegkcijnfilokake [2017-12-13]
CHR Extension: (Dysk Google) - C:\Users\JakubR\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\apdfllckaahabafndbhieahigkjlhalf [2017-12-13]
CHR Extension: (YouTube) - C:\Users\JakubR\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2017-12-13]
CHR Extension: (Chrome Cleaner Pro) - C:\Users\JakubR\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\ccjleegmemocfpghkhpjmiccjcacackp [2017-12-13]
CHR Extension: (Adblock dla serwisu Youtube™) - C:\Users\JakubR\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\cmedhionkhpnakcndndgjdbohmhepckk [2017-12-13]
CHR Extension: (Search by Image (by Google)) - C:\Users\JakubR\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\dajedkncpodkggklbegccjpmnglmnflm [2017-12-13]
CHR Extension: (Dark Theme v3) - C:\Users\JakubR\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\djlgdeklopcjagknhlchbdjekgpgenad [2017-12-13]
CHR Extension: (Avast SafePrice) - C:\Users\JakubR\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\eofcbnmajmjmplflapaojjnihcjkigck [2017-12-13]
CHR Extension: (Arkusze) - C:\Users\JakubR\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2017-12-13]
CHR Extension: (Dokumenty Google offline) - C:\Users\JakubR\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2017-12-13]
CHR Extension: (Unlimited Free VPN - Hola) - C:\Users\JakubR\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\gkojfkhlekighikafcpjkiklfbnlmeio [2017-12-13]
CHR Extension: (Avast Online Security) - C:\Users\JakubR\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\gomekmidlodglbbmalcneegieacbdmki [2017-12-13]
CHR Extension: (Auto HD For YouTube™) - C:\Users\JakubR\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\koiaokdomkpjdgniimnkhgbilbjgpeak [2017-12-13]
CHR Extension: (Płatności w sklepie Chrome Web Store) - C:\Users\JakubR\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2017-12-13]
CHR Extension: (Adblock Pro) - C:\Users\JakubR\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\ocifcklkibdehekfnmflempfgjhbedch [2017-12-13]
CHR Extension: (Gmail) - C:\Users\JakubR\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2017-12-13]
CHR Extension: (Wykop CanComment) - C:\Users\JakubR\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\pkadcgbgmgnhmfnaafdaomokpmjlfbhg [2017-12-13]
CHR Extension: (Chrome Media Router) - C:\Users\JakubR\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2017-12-13]
CHR Extension: (Chrome Cleaner Pro) - C:\Users\JakubR\AppData\Local\Google\Chrome\User Data\Default\Extensions\ccjleegmemocfpghkhpjmiccjcacackp [2017-12-13]
CHR HKLM-x32\...\Chrome\Extension: [ccjleegmemocfpghkhpjmiccjcacackp] - hxxps://clients2.google.com/service/update2/crx
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść na pulpicie
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

CHR Profile: C:\Users\JakubR\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2017-12-13] <==== UWAGA

Nie wiem, co jest przyczyną, że u Ciebie (i tylko u Ciebie!) nie da się usunąć tego profilu.
Odinstaluj Chrome, i nigdy więcej go nie instaluj, skoro od razu zawsze jest zarażony.
.