Čudne stvari se dešavaju sa Google Chrome-om i Windows 10?

[Wrong Turn]

Pozzzz,

pre koji dan reših da instaliram ilegalnu fifu 14 sa pajratbeja, kada sam pokrenuo setup avast javi malware.
Pošto sam mislio da je to neki lažnjak, ja isključim avast i instaliram fifu, pre instalacije se javio neki pre setup nekih ludačkih kineskih programa (qqpcmgr, uništio sam ih ovako

i najjače je što ne može da se promeni, disablevan je skroz taj button za menjanje.
Onda sam ja uzeo i kao očistio kolačiće i sav data, ali se oni sa tog chrome-a ne pobrišu. I sad najluđe od svega, uzmem ja i uništim totalno chrome, unpinujem ga sa taskbar-a i frajer se posle 5 minuta sam vrati, i kada se klikne radi otvori onu stranu itd. Sve normalno sem što je početna searchway.

Onda slučajno odem do C/Program Files (x86)/Google/Application/chrome.exe i kada njega otvorim, to je stari chrome sa starim kolačićima, guglom kao homepage-om itd.
Onda ja uzmem i napravim njegov shortcut na desktop, i da ne poverujete čim napravim njegov shortcut i uđem preko desktopa on otvori taj drugi zaraženi chrome.
Ludilooo.

Kada se uništi chrome, uništi se taj sa C/Program Files (x86)/Google, ali ovaj drugi je i dalje negde.
Kada kao uništim chrome u searchu ga nema, u taskbaru ga ima iako ga unpinujem vrati se.
Kada instaliram ponovo chrome, onda imam dva u Searchu + app:

Kaki su to duhovi u lap topu?

- - - - - - - - - -

Inače sam bio izgubio i prava kada su ušli ti kinezi u lap, više nisam bio admin, imao sam read pravo, dok nisam restartovao, posle se samo vratilo u normalu.

 

[Rigel]

Jesi probao da obrišeš cookies sa ccleaner-om? Davno sam sličan problem rešavao, koliko se sećam kada se sve očisti treba da se ode na desni klik pa properties i da se ukloni path ka toj stranici. Jbg, ne mogu tačno da se setim kako je išlo pa da detaljno napišem ali je radilo.

 

[Lollol]

Proveri Properties na Chrome shortcut-u, nekada se te default stranice tu uglave i dzaba brisanje plugiova, resetovanje chrome-a i startne stranice on je tu.
Otvoris properties shortcut-a, nadjes Target polje i gledas da li je neki url dodat posle chrome.exe, ako jeste obrises, sredjeno i radi.

Meni je to na 2 kompa bilo, na W7 i na W10, pa probaj, mozda pomogne.

 

[Wrong Turn]

Proveri Properties na Chrome shortcut-u, nekada se te default stranice tu uglave i dzaba brisanje plugiova, resetovanje chrome-a i startne stranice on je tu.
Otvoris properties shortcut-a, nadjes Target polje i gledas da li je neki url dodat posle chrome.exe, ako jeste obrises, sredjeno i radi.

Meni je to na 2 kompa bilo, na W7 i na W10, pa probaj, mozda pomogne.

Sada je ok i path je:
"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"

mada ne isključujem mogućnost da se sam od sebe path promeni kasnije ili mu nešto bude.

 

[ChristopherWalken]

Potpuno isti problem sam imao pre par godina.To je klasican virus koji se doduse tesko skida.Ja ne znam kako.Isto se meni tako pojavilo samo kada otvorim Chrome stajalo mi je "Bing" ili nesto tako.Slicno Chrome-u ali sa gomilom glupavih taskbara,bez znacajnih ikonica i nekih strelica.Jako iritirajuce.Cak i kada deinstaliras Chrome i onda ga ponovo skines sa neta i instaliras opet se pojavljivao kao taj Bing.Resio sam to tako sto sam odneo laptop u servis gde su ga ocistili od virusa i reinstalirali sistem.Sto i tebi preporucujem.

 

[cvinker]

Ovo se žvaka odkako postoji jbni win....Win sam je najveći virus, uzmite Linux i uživajte,

 

[Lollol]

Ok, path je dobar, nije tu uglavljen. Ne znam sta je onda...obrises chrome, odes u AppData ili AppData Local folder, nadjes i tu Chrome foldere, i obrises ponovo i instaliras opet.
Nemam neki bolji predlog.

Ako imas problema sa "duhovima" i nepoznatim aplikacijama, mislim da ima neki program koji za svaki proces ti pokaze koja ga aplikacija startuje i gde se tacno nalazi.
Znam da mi je neki "kinez" dodao neka sranja na kineskom u Shell, pa sam morao da koristim taj program da nadjem, jer ocigledno dobri stari Task Manager nije mogao da zavrsi posao.
Sad proguglaj, sigurno ces naci nesto, ja se stvarno ne secam imena programa, bilo pre X meseci.

Takodje, Malwarebyes, Spybot i slicni programi, skeniraj, proveri da nije nesto ostalo.

 

[Wrong Turn]

ha evo ga govanjac se vratio, posle nekog vremena nakon što sam poslao šortkat na desktop, chrome je dobio novi path koji je ovaj:

"C:\Program Files (x86)\Guntony\Guntony\chrome.exe"

Guntony what a hell is that?
Saću da ga obrišem.

 

[Wrong Turn]

Idem ove korake https://productforums.google.com/forum/#!topic/chrome/8Oa-HkNQuG8

adw nije ništa našao, kao ni chrome cleaner.
Kasnije sam ručno obrisao ceo guntony direktorijum i pustio anti malware..
Još uvek skenira, već je našao jednog crva PUP.Optional.Elex na C:/Program Files (x86)/Reikuchreawopy/trz7188.tmp.

 

[asketa]

Ok, path je dobar, nije tu uglavljen. Ne znam sta je onda...obrises chrome, odes u AppData ili AppData Local folder, nadjes i tu Chrome foldere, i obrises ponovo i instaliras opet.
Nemam neki bolji predlog.

Ako imas problema sa "duhovima" i nepoznatim aplikacijama, mislim da ima neki program koji za svaki proces ti pokaze koja ga aplikacija startuje i gde se tacno nalazi.
Znam da mi je neki "kinez" dodao neka sranja na kineskom u Shell, pa sam morao da koristim taj program da nadjem, jer ocigledno dobri stari Task Manager nije mogao da zavrsi posao.
Sad proguglaj, sigurno ces naci nesto, ja se stvarno ne secam imena programa, bilo pre X meseci.

Takodje, Malwarebyes, Spybot i slicni programi, skeniraj, proveri da nije nesto ostalo.

Možda je Autoruns?

 

[Wrong Turn]

46 crva nađeno lepteje

Malwarebytes Anti-Malware
www.malwarebytes.org

Scan Date: 5/24/2016
Scan Time: 1:06 PM
Logfile:
Administrator: Yes

Version: 2.2.1.1043
Malware Database: v2016.05.24.03
Rootkit Database: v2016.05.20.01
License: Trial
Malware Protection: Enabled
Malicious Website Protection: Enabled
Self-protection: Disabled

OS: Windows 10
CPU: x64
File System: NTFS
User: HP

Scan Type: Threat Scan
Result: Completed
Objects Scanned: 366980
Time Elapsed: 37 min, 1 sec

Memory: Enabled
Startup: Enabled
Filesystem: Enabled
Archives: Enabled
Rootkits: Disabled
Heuristics: Enabled
PUP: Enabled
PUM: Enabled

Processes: 1
PUP.Optional.Ghokswa.Gen, C:\ProgramData\Guntony\protect\protect.exe, 6224, , [fdb690494c4d999d72fb30a9a65dc739]

Modules: 0
(No malicious items detected)

Registry Keys: 13
PUP.Optional.Ghokswa.Gen, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\Guntony_protect, , [fdb690494c4d999d72fb30a9a65dc739],
PUP.Optional.Ghokswa.Gen, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{083B7B39-C1A3-41F0-B392-32EFBEBB30B1}, , [fcb78e4ba1f887aff7804d8cf60d0ef2],
PUP.Optional.Ghokswa.Gen, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{14FFD870-8BD8-43A4-A5F6-0F867FD4A7C5}, , [7e35a831b7e2ae88324363765ca70ff1],
PUP.Optional.Ghokswa.Gen, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{4B3A5E80-44DF-43F9-B69D-9F61011004D2}, , [07ac05d40198102677fee6f3d42f22de],
PUP.Optional.TweakBit, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{DD1EBF84-0789-4FD9-8A0C-CDC5B07674B5}, , [6f44e3f6debb60d6bbd797471de6837d],
PUP.Optional.Ghokswa.Gen, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\GuntonyBrowserUpdateCore, , [258e469334653df96c0c0ccd49ba30d0],
PUP.Optional.Ghokswa.Gen, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\GuntonyBrowserUpdateUA, , [8c275287643570c682f74f8aeb18e31d],
PUP.Optional.Ghokswa.Gen, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\GuntonyCheckTask, , [9c1732a706939d998ded726763a09967],
PUP.Optional.TweakBit, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\TWEAKBIT\FIXMYPC\Start FixMyPC automatic scanning, , [cbe8b920b5e4de58058e2db1e81bad53],
PUP.Optional.YesSearches, HKLM\SOFTWARE\MOZILLA\FIREFOX\{EB52F1AB-3C2B-424F-9794-833C687025CF}, , [63507b5e732680b6ecec3180ed15e020],
PUP.Optional.TweakBit, HKLM\SOFTWARE\WOW6432NODE\TWEAKBIT\ATPopups, , [1b98f4e5a6f3b87e0219b0fd35cd6d93],
PUP.Optional.TweakBit, HKLM\SOFTWARE\WOW6432NODE\TWEAKBIT\ATUpdaters, , [6c470fca841550e6c42a7525bf44c43c],
PUP.Optional.TweakBit, HKLM\SOFTWARE\WOW6432NODE\TWEAKBIT\Google Analytics Package, , [7d3631a878213bfbc9270298748f738d],

Registry Values: 10
PUP.Optional.Ghokswa.Gen, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{083B7B39-C1A3-41F0-B392-32EFBEBB30B1}|Path, \GuntonyCheckTask, , [fcb78e4ba1f887aff7804d8cf60d0ef2]
PUP.Optional.Ghokswa.Gen, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{14FFD870-8BD8-43A4-A5F6-0F867FD4A7C5}|Path, \GuntonyBrowserUpdateCore, , [7e35a831b7e2ae88324363765ca70ff1]
PUP.Optional.Ghokswa.Gen, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{4B3A5E80-44DF-43F9-B69D-9F61011004D2}|Path, \GuntonyBrowserUpdateUA, , [07ac05d40198102677fee6f3d42f22de]
PUP.Optional.TweakBit, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{DD1EBF84-0789-4FD9-8A0C-CDC5B07674B5}|Path, \TweakBit\FixMyPC\Start FixMyPC automatic scanning, , [6f44e3f6debb60d6bbd797471de6837d]
PUP.Optional.YesSearches, HKLM\SOFTWARE\MOZILLA\FIREFOX\{EB52F1AB-3C2B-424F-9794-833C687025CF}|hp, http://www.yessearches.com/?ts=AHEq...50CF1CBB994B517C4816A&ptid=wak&mode=ffsengext, , [63507b5e732680b6ecec3180ed15e020]
PUP.Optional.YesSearches, HKLM\SOFTWARE\MOZILLA\FIREFOX\{EB52F1AB-3C2B-424F-9794-833C687025CF}|tab, http://www.yessearches.com/?ts=AHEq...50CF1CBB994B517C4816A&ptid=wak&mode=ffsengext, , [654ec811e8b106305880a70a40c2669a]
PUP.Optional.YesSearches, HKLM\SOFTWARE\MOZILLA\FIREFOX\{EB52F1AB-3C2B-424F-9794-833C687025CF}|sp, http://www.yessearches.com/chrome.php?uid=25FB425D27E50CF1CBB994B517C4816A&ptid=wak&q={searchTerms}&ts=AHEqAn4rAXYmBU..&v=20160513&mode=ffsengext, , [ded56970485190a67464ab06c53d857b]
PUP.Optional.YesSearches, HKLM\SOFTWARE\MOZILLA\FIREFOX\{EB52F1AB-3C2B-424F-9794-833C687025CF}|surl, http://www.yessearches.com/chrome.p...qAn4rAXYmBU..&v=20160513&mode=ffexttoolbar&q=, , [fbb800d9b7e26ec8e9ef2988ad553cc4]
PUP.Optional.xRocketToolbar, HKLM\SOFTWARE\WOW6432NODE\MOZILLA\FIREFOX\EXTENSIONS|arthurj8283@gmail.com, C:\Users\HP\AppData\Roaming\Mozilla\Firefox\Profiles\smggnx76.default\extensions\arthurj8283@gmail.com, , [2b88c217b6e3f54131f73b785da54db3]
PUM.Optional.LowRiskFileTypes, HKU\S-1-5-21-2519315359-960235382-301679856-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\POLICIES\ASSOCIATIONS|LowRiskFileTypes, .avi;.bat;.com;.cmd;.exe;.htm;.html;.lnk;.mpg;.mpeg;.mov;.mp3;.msi;.m3u;.rar;.reg;.txt;.vbs;.wav;.zip;, , [872ca6330693b1859ad5d2e526dd9769]

Registry Data: 0
(No malicious items detected)

Folders: 2
PUP.Optional.Ghokswa.Gen, C:\ProgramData\Guntony\protect, , [fdb690494c4d999d72fb30a9a65dc739],
PUP.Optional.Ghokswa.Gen, C:\ProgramData\Guntony, , [fdb690494c4d999d72fb30a9a65dc739],

Files: 20
PUP.Optional.Elex, C:\Program Files (x86)\Reikuchreawopy\trz7188.tmp, , [e2d106d39bfe1323b391f7c79f62659b],
Trojan.Dropper.IR, C:\Users\HP\AppData\Local\Temp\frag.exe, , [e7cc6277d5c4c96d9c4d6760867b758b],
PUP.Optional.TweakBit, C:\Users\HP\AppData\Local\Temp\pc-cleaner-setup.exe, , [e0d32baed0c90b2b33e55f0a867ef709],
Trojan.Dropper.IR, C:\Users\HP\AppData\Local\Temp\_ir_sf_temp_1\after.exe, , [12a1a2372c6d49ed9e72e2e6af52e61a],
PUP.Optional.Ghokswa.Gen, C:\ProgramData\Guntony\protect\protect.exe, , [fdb690494c4d999d72fb30a9a65dc739],
PUP.Optional.Ghokswa.Gen, C:\Windows\System32\Tasks\GuntonyBrowserUpdateCore, , [f3c0c2173861979f1857499040c3649c],
PUP.Optional.Ghokswa.Gen, C:\Windows\System32\Tasks\GuntonyBrowserUpdateUA, , [6b48c811edac082e690712c74db64cb4],
PUP.Optional.Ghokswa.Gen, C:\Windows\System32\Tasks\GuntonyCheckTask, , [43701dbc46534bebadc49841d1329b65],
PUP.Optional.Ghokswa.Gen, C:\Windows\Tasks\GuntonyBrowserUpdateCore.job, , [7c37617899004aecb3bfd900986b05fb],
PUP.Optional.Ghokswa.Gen, C:\Windows\Tasks\GuntonyBrowserUpdateUA.job, , [ddd64198afea1f17fd76c019709339c7],
PUP.Optional.Ghokswa.Gen, C:\Windows\Tasks\GuntonyCheckTask.job, , [981bd6039ffa5dd9264e36a313f08d73],
PUP.Optional.GsearchFinder, C:\Users\HP\AppData\Roaming\Profiles\yzzfdyu4.default\extensions\@E9438230-A7DF-4D1F-8F2D-CA1D0F0F7924.xpi, , [9d16a237336648eef23ca03ffb08768a],
PUP.Optional.Amonetize, C:\Users\HP\AppData\Local\Temp\amipixel.cfg, , [595a756429702610c6743e353acafa06],
PUP.Optional.YesSearches, C:\Users\HP\AppData\Roaming\Profiles\yzzfdyu4.default\prefs.js, Good: (), Bad: (user_pref("browser.newtab.url", "http://www.yessearches.com/?ts=AHEqAn4rAXYmBU..&v=20160513&uid=25FB425D27E50CF1CBB994B517C4816A&ptid=wak&mode=loadm"), ,[5b58b1284158e3534e04452fe51fc53b]
PUP.Optional.YesSearches, C:\Users\HP\AppData\Roaming\Profiles\yzzfdyu4.default\prefs.js, Good: (), Bad: (erification", 1459858112);
user_pref("browser.bookmarks.restore_default_bookmarks", false);
user_pref("browser.cache.disk.capacity", 358400);
user_pref("browser), ,[b0034594940545f1fa58591b3fc5956b]
PUP.Optional.YesSearches, C:\Users\HP\AppData\Roaming\Profiles\yzzfdyu4.default\prefs.js, Good: (), Bad: (le while the application is running,
* the changes will be overwritten when the application exits.
*
* To make a manual change to preferences, you can visit the URL about:config
*/

u), ,[d5de08d12475171f51016f05f113c23e]
PUP.Optional.YesSearches, C:\Users\HP\AppData\Roaming\Profiles\yzzfdyu4.default\prefs.js, Good: (), Bad: (ake a manual change to preferences, you can visit the URL about:config
*/

user_pref("accessibility.typeaheadfind", true);
user_pref("app.update.auto", false);
user_pref("app.update.enable), ,[753e9c3d207992a457fbe78d54b016ea]
PUP.Optional.YesSearches, C:\Users\HP\AppData\Roaming\Profiles\yzzfdyu4.default\prefs.js, Good: (), Bad: (f("app.update.lastUpdateTime.addon-background-update-timer", 1459857872);
user_pref("app.update.lastUpdateTime.background-update-timer", 1459857631);
user_), ,[b5fe15c49cfd5cda8bc71a5a709426da]
PUP.Optional.YesSearches, C:\Users\HP\AppData\Roaming\Profiles\yi6l10jf.default\searchplugins\y4bh1vc8.xml, , [a90afcdde7b248ee2be9650f17edd52b],
PUP.Optional.YesSearches, C:\Users\HP\AppData\Roaming\Profiles\yzzfdyu4.default\searchplugins\y4bh1vc8.xml, , [71428b4ec3d6b48255bf75ffc63ed62a],

Physical Sectors: 0
(No malicious items detected)


(end)

 

[Rigel]

Izgleda da imaš virus koji ti dovlači sve ostale iznova

 

[Wrong Turn]

Sada je ok Chrome i nakon restarta, Guntony je ubijen, ali se ne bih kladio da je sve ovde čisto.

Da li je mogao da raširi moje šifre putem mreže?
Dosta je nezgodan virus, u pitanju ih je više virusa/crva/trojanaca. Skinuo mi je bio i prava, imao sam samo read jedno vreme.

 

[Rigel]

Sada je ok Chrome i nakon restarta, Guntony je ubijen, ali se ne bih kladio da je sve ovde čisto.

Da li je mogao da raširi moje šifre putem mreže?
Dosta je nezgodan virus, u pitanju ih je više virusa/crva/trojanaca. Skinuo mi je bio i prava, imao sam samo read jedno vreme.

Moguće je ali ne mora da znači da se to i desilo. Ja bih svakako menjao. Kada sam počeo da koristim net stavljao sam sistem jednom do dva puta nedeljno dok se nisam naučio pameti. Sada koristim NOD, Superantispyware (preporučio bih ti da sa tim uradiš kompletan scan) i dodatke za firofox koji blokiraju rizične stranice, adblockplus za sve nove i nepouznate sajtove i WOT (web of trust). Ta dva dodatka ima i Chrome.

Pazim šta skidam i to samo od proverenih uploadera. TPB je postao jako rizičan, tu se više ne zna ko je ko i šta radi. Uglavnom se oslanjam na privatne trekere.