Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Virus Redirect - Przekierowywanie wyszukiwarki / otwieranie się kart z reklamami

zezuz 29 Kwi 2017 13:45 669 11
  • #1 29 Kwi 2017 13:45
    zezuz
    Poziom 7  

    Witam!

    Mam problem z wyskakującymi reklamami oraz przekierowaniem wyszukiwarki takiej jak google. Wirus ten zaatakował chyba nie tylko moje WSZYSTKIE przeglądarki ale też komputer. Próbuję już od jakiegoś czasu uporać się z tym wirusem ale bezskutecznie dlatego zwracam się do was o pomoc.

    Krótki opis co jest nie tak:
    Podczas korzystania z przeglądarek wyskakują strony z reklamami, niektóre da się od razu wyłączyć inne nie dają się tak łatwo wyłączyć i każą instalować różne rozszerzenia. Często podczas wyszukiwania czegoś zostaje przekierowany z google na np. Plusnetwork. Wirus ten jest na tyle uciążliwy że jego odnośniki pojawiają się w takich miejscach jak przyciski "zaloguj" czy "play" lub "pause" na youtube.

    Sposoby które już wypróbowałem:

    1. Rozszerzenia:
    Sprawdziłem rozszerzenia w przeglądarce i nie mam żadnych niepokojących (mam tylko podstawowe i to wyłączone)

    2. Ustawienia przeglądarki:
    - To też już próbowałem, ustawiłem stronę startową a mimo tego otwiera mi się inna, ale w ustawieniach nic się nie zmienia.
    - Zaglądałem też w wyszukiwarki i mam ustawioną google.

    3. Zrestartowanie ustawień przeglądarki:
    ? Zrobione i nic to nie daje.

    4. Odinstaluj i zainstaluj przeglądarkę:
    ? Zrobione i też nic to nie daje.

    5. Sprawdź co masz w pliku hosts
    ? Nie było i nie ma tam nic czego tam nie powinno być.

    6. Usuń coś z Regedit:
    - usunąłem jakiś plik z main pod nazwą "start page"

    7. Przeskanuj system:
    - Przeskanowałem system za pomocą:
    - AVG
    - adwcleaner_6.046

    Czy ma ktoś jeszcze jakiś pomysł? Jakieś inne pliki/foldery do sprawdzenia? Czy cokolwiek? Będę wdzięczny. Spróbuję porobić ss'y wszystkiego jak będziecie chcieli.

    0 11
  • Pomocny post
    #4 29 Kwi 2017 16:10
    Kolobos
    Spec od komputerów

    > Dlaczego nie wstawiać spacji przed znakiem zapytania?

    To blad.


    Odinstaluj:
    Adobe Reader 9.1 MUI
    AVG PC TuneUp
    Java(TM) 6 Update 22
    Norton Internet Security

    Zainstaluj najnowsza wersje Adobe Reader oraz jave -> http://ninite.com/java/

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    Task: {0AC28D9D-52D6-4B16-810F-474646CDFC27} - System32\Tasks\{7CA65C08-FE8E-470B-891A-1D5AD07E897B} => pcalua.exe -a C:\Users\zezuz\Desktop\MinecraftZyczu.exe -d C:\Users\zezuz\Desktop
    Task: {200EFE0E-3FA4-4D0E-861A-5E882FB33568} - System32\Tasks\AVGPCTuneUp_Task_BkGndMaintenance => C:\Program Files (x86)\AVG\AVG PC TuneUp\tuscanx.exe [2017-02-21] (AVG Technologies CZ, s.r.o.)
    Task: {24A3C70F-FCA8-4925-8C46-67C51C8CCB3A} - System32\Tasks\{5CBFFDA5-28CF-418F-8360-3E464E1A84DD} => Chrome.exe hxxp://www.skype.com/go/downloading?source=li...aller&ver=4.1.0.179.369&LastError=404
    Task: {7515E1E3-6D93-430F-9E8D-7030701BDA41} - System32\Tasks\{434AEAC2-1C97-4B6D-AD29-0F27933B8675} => Chrome.exe hxxp://ui.skype.com/ui/0/4.1.0.179.369/pl/aba...ded,google-chrome:notoffered;notincluded
    Task: {80AD0325-E8C0-4AAB-BBCB-04149DE4E5E1} - System32\Tasks\Opera scheduled Autoupdate 1493462595 => C:\Users\zezuz\AppData\Local\Programs\Opera\launcher.exe [2017-04-25] (Opera Software)
    Task: {9C36EA36-7650-4619-8AF6-6C0562032AC2} - System32\Tasks\Opera scheduled suite Autoupdate 1493462613 => C:\Users\zezuz\AppData\Local\Programs\Opera\launcher.exe [2017-04-25] (Opera Software)
    Task: {C161A5D2-D8AA-4FEC-9FC0-82AA35CA59AE} - System32\Tasks\{F6CC2940-F9C3-4495-BEF1-91E6574C12A6} => Chrome.exe hxxp://www.skype.com/go/downloading?source=li...aller&ver=4.1.0.179.369&LastError=404
    (Opera Software) C:\Users\zezuz\AppData\Local\Programs\Opera\suite\browser_assistant.exe
    HKU\S-1-5-21-1954132488-1826404039-1331567524-1001\...\Run: [Opera Browser Assistant] => C:\Users\zezuz\AppData\Local\Programs\Opera\suite\browser_assistant.exe [1241688 2017-04-13] (Opera Software)
    HKU\S-1-5-21-1954132488-1826404039-1331567524-1001\...\MountPoints2: {c25c8a82-d422-11e6-b410-806e6f6e6963} - D:\AutoRun.exe --autorun
    HKU\S-1-5-21-1954132488-1826404039-1331567524-1001\...\MountPoints2: {fa6e390f-d725-11e6-8a9b-4487fca58650} - J:\HiSuiteDownLoader.exe




    IFEO: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
    IFEO\bejeweled2-wt.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
    IFEO\blasterball3-wt.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
    IFEO\bobthebuilder zoo-wt.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
    IFEO\buildalot2-wt.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
    IFEO\ci3-wt.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
    IFEO\escaperosecliffisland-wt.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
    IFEO\excel.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
    IFEO\faerie solitaire oberon-wt.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
    IFEO\fate-wt.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
    IFEO\golf-wt.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
    IFEO\hamachi-2-ui.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
    IFEO\insaniquarium-wt.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
    IFEO\jewelquest-wt.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
    IFEO\jqsolitaire3-wt.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
    IFEO\mahjong_artifacts-wt.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
    IFEO\msoxmled.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
    IFEO\mstore.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
    IFEO\offdiag.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
    IFEO\ois.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
    IFEO\onenote.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
    IFEO\penguins-wt.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
    IFEO\polar-wt.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
    IFEO\polarpool-wt.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
    IFEO\powerpnt.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
    IFEO\pptview.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
    IFEO\provider.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
    IFEO\sidebar.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
    IFEO\skype.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
    IFEO\virtual families-wt.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
    IFEO\virtualvillagers-wt.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
    IFEO\winword.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
    IFEO\yahtzee-wt.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
    IFEO\zuma-wt.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe"
    ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
    AutoConfigURL: [S-1-5-21-1954132488-1826404039-1331567524-1001] => hxxp://noblok.biz/wpad.dat?4204b13bf8cf488d295604f51093ff9a27386329
    ManualProxies: 0hxxp://noblok.biz/wpad.dat?4204b13bf8cf488d295604f51093ff9a27386329
    RemoveProxy:
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://homepage.emachines.com/rdr.aspx?b=ACEW...415&m=et1850&r=17360117t016pe445v165r4622s641
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://homepage.emachines.com/rdr.aspx?b=ACEW...415&m=et1850&r=17360117t016pe445v165r4622s641
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://homepage.emachines.com/rdr.aspx?b=ACEW...415&m=et1850&r=17360117t016pe445v165r4622s641
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://homepage.emachines.com/rdr.aspx?b=ACEW...415&m=et1850&r=17360117t016pe445v165r4622s641
    HKU\S-1-5-21-1954132488-1826404039-1331567524-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://homepage.emachines.com/rdr.aspx?b=ACEW...415&m=et1850&r=17360117t016pe445v165r4622s641
    SearchScopes: HKLM-x32 -> DefaultScope {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = hxxp://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACEW
    SearchScopes: HKLM-x32 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = hxxp://www.google.com/search?sourceid=ie7&q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&rlz=1I7ACEW
    SearchScopes: HKU\S-1-5-21-1954132488-1826404039-1331567524-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
    FF HKLM-x32\...\Firefox\Extensions: [{BBDA0591-3099-440a-AA10-41764D9DB4DB}] - C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.1.0.19\IPSFFPlgn => nie znaleziono
    FF HKLM-x32\...\Firefox\Extensions: [{4C0766D3-67A7-45a3-85A2-752F77312F32}] - C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.1.0.19\coFFPlgn => nie znaleziono
    R2 SSSvc; C:\Program Files (x86)\ScreenShot\SSSvc.exe [139712 2017-04-24] (Filseclab Corporation Limited)
    U0 aswVmm; Brak ImagePath
    S3 NAVEX15; \??\C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.1.0.19\Definitions\VirusDefs\20100208.002\EX64.SYS [X]
    2017-04-29 12:43 - 2017-04-29 12:43 - 00004288 _____ C:\Windows\System32\Tasks\Opera scheduled suite Autoupdate 1493462613
    2017-04-29 12:43 - 2017-04-29 12:43 - 00004112 _____ C:\Windows\System32\Tasks\Opera scheduled Autoupdate 1493462595
    2017-04-29 12:41 - 2017-04-29 12:41 - 00001868 _____ C:\ProgramData\Microsoft\Windows\Start Menu\ScreenShot.lnk
    2017-04-29 12:41 - 2017-04-29 12:41 - 00000000 ____D C:\Users\zezuz\AppData\Roaming\ScreenShot
    2017-04-29 12:41 - 2017-04-29 12:41 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ScreenShot
    2017-04-29 12:41 - 2017-04-29 12:41 - 00000000 ____D C:\Program Files (x86)\ScreenShot
    2017-04-29 12:39 - 2017-04-29 12:39 - 03458968 _____ ( ) C:\Users\zezuz\Desktop\notepad.exe
    2017-04-23 10:21 - 2017-04-23 10:21 - 01979944 _____ (WiperSoft) C:\Users\zezuz\Desktop\WiperSoft-installer.exe
    2017-04-23 10:05 - 2017-04-28 19:23 - 00000000 ____D C:\AdwCleaner
    2017-04-21 16:57 - 2017-04-21 16:57 - 01269688 _____ (Ferodudo ) C:\Users\zezuz\Downloads\DesignPro-11693-AsystentPobierania.exe
    2017-04-10 19:28 - 2017-04-10 19:29 - 03311808 _____ (AVG Technologies CZ, s.r.o.) C:\Users\zezuz\Downloads\AVG_PCTuneUp_879.exe
    EmptyTemp:

    W FRST wybierz Napraw.

    Po wykonaniu sprawdz czy problem nadal wystepuje.

    0
  • #5 29 Kwi 2017 17:48
    zezuz
    Poziom 7  

    Faktycznie to jest błąd nawet nie wiedziałem, ale teraz wiem że mam jakieś zwichnięcie psychiki jak to mówią psychologowie niemieccy:
    "Stosowanie odstępu przed znakiem zapytania świadczy o głębokich kompleksach z dzieciństwa, niepewności co do swojego działania i niespełnionym pragnieniu akceptacji.".
    Teraz będę wiedzieć DZIĘKI wielkie.

    Odinstaluj:
    Odinstalowałem już wszystko (wiele mi zostało po formacie np. Norton/Adobe)

    Utwórz plik Fixlist.txt i w FRST wybierz Napraw: Zrobione
    •I jeśli można spytać. Co takiego zrobiłeś w tym pliku? Czy mam sam do tego dojść?

    Na efekt poczekam tak z 2-3 dni i dam znać czy wszystko jest ok.


    Jeszcze mam pytanie nie związane z tematem. Czy lepiej mieć włączone windows update czy nie?

    0
  • #6 29 Kwi 2017 17:59
    Kolobos
    Spec od komputerów

    > Co takiego zrobiłeś w tym pliku?

    Podany skrypt usunie widoczne wpisy i pliki lub przywroci je do domyslnych ustawien.

    > Czy lepiej mieć włączone windows update czy nie?

    Jezeli masz juz zainstalowane wszystkie aktualizacje to mozesz wylaczyc.

    0
  • #7 29 Kwi 2017 21:02
    zezuz
    Poziom 7  

    A jeżeli ten program FRST naprawia mi już ponad 3 godz. to normalne?
    Czy może zrestartować komputer?
    Nie widać żadnego postępu nie ma żadnych błędów niby się nie zawiesił.
    Nie wiem co jest ale stworzył jakiś plik Fixlog.txt ale sam mówi "Naprawa w toku, proszę czekaj..."

    0
  • #8 29 Kwi 2017 21:06
    Kolobos
    Spec od komputerów

    Nie, zawiesil sie. Zakoncz i sprobuj jeszcze raz, w razie dalszych problemow sprawdz w trybie awaryjnym.

    0
  • #9 30 Kwi 2017 09:45
    zezuz
    Poziom 7  

    Spróbowałem jeszcze raz i jeszcze raz i nic, nawet pobrałem wersję 32 ale u mnie to nie przejdzie :(, ale warto było spróbować. W trybie awaryjnym z obsługą sieci jest to samo.

    0
  • Pomocny post
    #10 30 Kwi 2017 09:53
    Kolobos
    Spec od komputerów

    To wykonuj po kawalku az ustalisz na czym dokladnie sie zawiesza, podziel sobie skrypt na pol, pozniej znowu na pol to co zostanie itd.

    0
  • #11 30 Kwi 2017 10:43
    zezuz
    Poziom 7  

    Musiałem usunąć 2 linijki wierszu z FF:

    FF HKLM-x32\...\Firefox\Extensions: [{BBDA0591-3099-440a-AA10-41764D9DB4DB}] - C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.1.0.19\IPSFFPlgn => nie znaleziono
    FF HKLM-x32\...\Firefox\Extensions: [{4C0766D3-67A7-45a3-85A2-752F77312F32}] - C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.1.0.19\coFFPlgn => nie znaleziono

    Program miał jeszcze problem z usunięciem folderu profile z Mozilli więc zrobiłem to ręcznie i uruchomiłem go ręcznie i chyba się wszystko zrobiło.

    Załączam plik Fixlog.txt jeżeli jest potrzebny.

    P.S. Jak na razie wszystko działa ok, ale dam znać za jakieś 2 dni i sprawdzę też resztę przeglądarek.

    Oraz wielkie DZIĘKUJĘ !!!

    0
  • #12 01 Maj 2017 14:12
    zezuz
    Poziom 7  

    Problem się już nie pojawia czyli Wirus został pokonany :D . Dzięki wielkie za pomoc.

    0