Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

- Przekierowania z wyszukiwarki na search.so-v.com oraz wyskakujące okna

marys32 19 Sty 2017 21:25 426 6
  • #1 19 Sty 2017 21:25
    marys32
    Poziom 4  

    Witam.
    Mam już dłuższy czas z laptopem dziewczyny. Mianowicie nie mogę pozbyć się wyszukiwarki search.so-v.com oraz nagminnie wyskakujących okien... Myślę że może będzie w stanie mi ktoś pomóc :) Przeskanowałem komputer AdwCleanerem, podaję również logi z FRST. Jeżeli ktoś miałby chwile się temu przyjrzeć byłbym bardzo wdzięczny, chętnie odpowiem na pytania :)
    Pozdrawiam

    0 6
  • Pomocny post
    #2 19 Sty 2017 21:44
    krzychupar
    Poziom 40  

    Odinstaluj:
    hohosearch - Uninstall (HKLM-x32\...\{F4AF3DC4-9D74-460A-8585-8733D7DC1B27}) (Version: - ) <==== UWAGA
    SpyHunter 4 (HKLM-x32\...\SpyHunter) (Version: 4.22.8.4668 - Enigma Software Group, LLC)

    Otwórz notatnik i wklej:
    Task: {621F87B3-1E82-4DC3-BB92-EF42174FF02A} - System32\Tasks\{46AA788C-B2BC-431B-BF8C-AB1354FFAFE4} => pcalua.exe -a E:\start.exe -d E:\
    HKU\S-1-5-21-570064117-2269286361-2569857863-1002\...\MountPoints2: {34a62efe-8490-11e5-bec7-342387ee56ee} - "F:\AutoRun.exe"
    HKU\S-1-5-21-570064117-2269286361-2569857863-1002\...\MountPoints2: {5c7a164a-14e3-11e5-beae-342387ee56ee} - "C:\WINDOWS\system32\RunDLL32.EXE" Shell32.DLL,ShellExec_RunDLL F:\setup.exe
    HKU\S-1-5-21-570064117-2269286361-2569857863-1002\...\MountPoints2: {5f27d649-07c4-11e5-beac-342387ee56ee} - "C:\WINDOWS\system32\RunDLL32.EXE" Shell32.DLL,ShellExec_RunDLL F:\Common_Handset_USB_Driver.exe
    HKU\S-1-5-21-570064117-2269286361-2569857863-1002\...\MountPoints2: {bf40260d-44e1-11e4-be92-342387ee56ee} - "F:\Startme.exe"
    HKU\S-1-5-21-570064117-2269286361-2569857863-1002\...\MountPoints2: {edefe66a-3d51-11e6-bef2-342387ee56ee} - "F:\autorun.exe"
    HKU\S-1-5-21-570064117-2269286361-2569857863-1002\...\MountPoints2: {edefe6a2-3d51-11e6-bef2-342387ee56ee} - "F:\autorun.exe"
    HKU\S-1-5-21-570064117-2269286361-2569857863-1002\...\MountPoints2: {edefe6b5-3d51-11e6-bef2-342387ee56ee} - "F:\autorun.exe"
    HKU\S-1-5-21-570064117-2269286361-2569857863-1002\...\MountPoints2: {edefe6c0-3d51-11e6-bef2-342387ee56ee} - "F:\autorun.exe"
    BootExecute: autocheck autochk * sh4native Sh4Removal
    GroupPolicy: Ograniczenia - Chrome <======= UWAGA
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page =
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
    HKU\S-1-5-21-570064117-2269286361-2569857863-1002\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    URLSearchHook: [S-1-5-21-570064117-2269286361-2569857863-1001] UWAGA => Brak domyślnego URLSearchHook
    SearchScopes: HKLM -> DefaultScope - brak wartości
    SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
    SearchScopes: HKU\S-1-5-21-570064117-2269286361-2569857863-1002 -> DefaultScope {113F1B2D-E5A8-4847-A24D-56E077E7CC5A} URL =
    SearchScopes: HKU\S-1-5-21-570064117-2269286361-2569857863-1002 -> {113F1B2D-E5A8-4847-A24D-56E077E7CC5A} URL =
    CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx <nie znaleziono>
    CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx <nie znaleziono>
    S4 GDFwSvc; "C:\Program Files (x86)\G Data\InternetSecurity\Firewall\GDFwSvcx64.exe" [X]
    S3 GDPkIcpt; \??\C:\WINDOWS\system32\drivers\PktIcpt.sys [X]
    2017-01-19 21:13 - 2016-09-04 19:51 - 00000000 ____D C:\AdwCleaner
    2016-02-28 14:51 - 2016-02-28 14:51 - 8003072 _____ () C:\Users\xxx\AppData\Roaming\agent.dat
    2016-02-28 14:51 - 2016-02-28 14:51 - 1895346 _____ () C:\Users\xxx\AppData\Roaming\Bluefax.tst
    2016-02-28 14:51 - 2016-02-28 14:51 - 0064752 _____ () C:\Users\xxx\AppData\Roaming\Config.xml
    2016-02-28 14:51 - 2016-02-28 14:51 - 0011424 _____ () C:\Users\xxx\AppData\Roaming\InstallationConfiguration.xml
    2016-02-28 14:51 - 2016-02-28 14:51 - 0127488 _____ () C:\Users\xxx\AppData\Roaming\Installer.dat
    2016-02-28 14:51 - 2016-02-28 14:51 - 0018432 _____ () C:\Users\xxx\AppData\Roaming\Main.dat
    2016-02-28 14:51 - 2016-02-28 14:51 - 0005568 _____ () C:\Users\xxx\AppData\Roaming\md.xml
    2016-02-28 14:51 - 2016-02-28 14:51 - 0126464 _____ () C:\Users\xxx\AppData\Roaming\noah.dat
    2015-10-12 23:18 - 2016-05-12 20:14 - 0003584 _____ () C:\Users\xxx\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
    2015-08-29 20:24 - 2015-08-29 20:24 - 0000000 _____ () C:\Users\xxx\AppData\Local\{BC779A88-D150-48CE-9E91-3E0804AC8403}
    2014-07-09 13:20 - 2014-07-09 13:20 - 0000057 _____ () C:\ProgramData\Ament.ini
    2014-01-03 13:30 - 2014-01-03 13:30 - 0000000 ____H () C:\ProgramData\DP45977C.lfl
    2016-09-05 17:32 - 2016-09-05 17:32 - 0000483 _____ () C:\ProgramData\Windows8_OS (C) — skrót.lnk
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze gdzie znajduje się FRST.exe
    Uruchom FRST i kliknij w Fix/Napraw

    0
  • Pomocny post
    #3 19 Sty 2017 21:55
    Kolobos
    Spec od komputerów

    Po wykonaniu zamiesc nowe logi z FRST, ze skanowania.

    0
  • #4 26 Sty 2017 20:09
    marys32
    Poziom 4  

    Witam ponownie i dziękuję za odpowiedź, niestety pojawił się mały problem.

    Spyhunter udało się TYLKO usunąć z listy gdyż program "dodaj lub usuń programy" uważa że go już nie było.
    hohosearch wyświetla monit:
    "Wystąpił problem podczas uruchamiania pliku C:\Program Files (x86\Atatuch\atatuchmanager.dll
    Nie można odnaleźć określonego modułu."

    Poza tym fixlist poszedł bez problemu, dodaję logi po ponownym skanowaniu.

    Wyszukiwarka działa już jak trzeba, zmniejszyła się też ilość wywalających się reklam jednak problem nie został w pełni rozwiązany :/

    Pozdrawiam.

    0
  • Pomocny post
    #5 26 Sty 2017 20:15
    Kolobos
    Spec od komputerów

    Uzyj AdwCleaner, opcja Scan i Clean/Szukaj i Usun: http://www.bleepingcomputer.com/download/adwcleaner/

    Nowy Fixlist.txt dla FRST:
    ShortcutWithArgument: C:\Users\xxx\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData
    HKU\S-1-5-21-570064117-2269286361-2569857863-1002\...\MountPoints2: {99746dff-12a1-11e6-bedf-342387ee56ee} - "H:\SETUP.EXE"
    AutoConfigURL: [S-1-5-21-570064117-2269286361-2569857863-1002] => hxxp://un-stop.info/wpad.dat?68dd37b2e0104288fdd3e641d451215e11471194
    ManualProxies: 0hxxp://un-stop.info/wpad.dat?68dd37b2e0104288fdd3e641d451215e11471194
    RemoveProxy:
    URLSearchHook: [S-1-5-21-570064117-2269286361-2569857863-1001] UWAGA => Brak domyślnego URLSearchHook
    2017-01-26 19:47 - 2017-01-26 19:47 - 00000000 ____D C:\Users\xxx\Downloads\FRST-OlderVersion


    Zrob pelny skan przy pomocy Mbam i usun to co wykryje:
    http://www.bleepingcomputer.com/download/malwarebytes-anti-malware/

    Usun katalog C:\FRST po wykonaniu.

    0
  • #6 29 Sty 2017 18:18
    marys32
    Poziom 4  

    Już wszystko jest prawie cacy, czasami coś potrafi wywalić i dziewczyna niestety narzeka... Mbam coś tam znalazł ale raczej nie było tego dużo, czasami potrafi zablokować jakąś stronę które właśnie nadal wyrzuca.
    Jakby ktoś miał jeszcze jakiś pomysł to wrzucam logi

    0
  • #7 29 Sty 2017 18:24
    Kolobos
    Spec od komputerów

    > czasami coś potrafi wywalić

    Co to znaczy? Reklamy na stronach to normalna rzecz, nie ma to zwiazku z infekcja.

    > Mbam coś tam znalazł ale raczej nie było tego dużo, czasami potrafi zablokować jakąś stronę które właśnie nadal wyrzuca.

    To chyba dobrze?

    Widze, ze uzywasz Chrome, w takim razie zainstaluj: https://chrome.google.com/webstore/detail/ubl...origin/cjpalhdlnbpafiamejdnhcphjbkeiagm?hl=pl

    0