coldsearch.com przekierowuje każde wyszukiwanie

[InsideLucy]

Od dwóch tygodni każda fraza i adres strony, który wpisuje w omniboksie w Chrome zostaje przekierowana przez stronę coldsearch.com.

 

1. Przejrzałam zainstalowane programy i nie znalazłam niczego niepokojącego.
   
2. Reinstalowałam Chrome i to także nie pomogło.
   
3. Wykonałam skan Adw Cleanerem i użyłam przycisku napraw oraz oczyściłam CCleanerem - bez rezultatów.
   
4. Zrobiłam skan programem STOPzilla, który wykrył Trojana na moim komputerze. Nie była to wersja pełna, więc nic nie zdziałałam.
   
5. Z czasem pojawiła się wyszukiwarka Bing, którą próbowałam zmienić z powrotem na Google, ale w ustawieniach Chrome jak gdyby nigdy nic widnieje, że domyślną wyszukiwarką jest Google.
   
6. Zdarza się, że po wpisaniu frazy do omniboksa wyskakuje 505 Bad Gateway.
   
7. Czasem skopiowana przeze mnie fraza zostają skrócone do jednego wyrazu przy wyszukiwaniu.
   
8. Zainstalowałam FRST oraz zrobiłam skany. Przeszukałam dysk za pomocą GMER. Wszystkie pliki są w załącznikach.
   
9. Zniknęły wszystkie punkty przywracania systemu, łącznie z tym automatycznie utworzonym.
   
10. Posiadam Windows 7 Ultimate 32-Bit
    

Potrzebuję fixlist aby naprawić ten problem oraz dalszych instrukcji postępowania.

FRST.txt

Addition.txt

Shortcut.txt

GMER.txt

[picasso]

Od dwóch tygodni każda fraza i adres strony, który wpisuje w omniboksie w Chrome zostaje przekierowana przez stronę coldsearch.com.

Problem w Google Chrome tworzą polityki blokujące jakieś funkcje przeglądarki oraz rozszerzenie Quick Menu kojarzone z przymusowymi instalacjami. Poza tym, widać odpadki innych śmieci adware (usługa "MustangService_2015_10_10" i zadania w Harmonogramie). Wszystko to pokłosie prawdopodobnie "Asystentów pobierania": KLIK.

 

 

Zrobiłam skan programem STOPzilla, który wykrył Trojana na moim komputerze. Nie była to wersja pełna, więc nic nie zdziałałam.

STOPzilla! to wątpliwy skaner, nie instaluj go już więcej.

 

 

Zniknęły wszystkie punkty przywracania systemu, łącznie z tym automatycznie utworzonym.

To akurat nie jest nic zadziwiającego. Magazyn kopii cieniowych ma ograniczone miejsce i system usuwa starsze punkty, by nowe się zmieściły.

 

 

Potrzebuję fixlist aby naprawić ten problem oraz dalszych instrukcji postępowania.

Fixlist to jedynie część procesu rozwiązywania problemów. Akcje do przeprowadzenia:

 

 

1. Odinstaluj: Adobe Flash Player 19 NPAPI (to wersja dla nieistniejącego tu Firefox), Java 8 Update 45 (starsza wersja).

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
S2 MustangService_2015_10_10; C:\ProgramData\TempMoudleSet\MustangSer26.exe [236816 2015-10-09] (MustangService)
S0 is3srv; system32\drivers\is3srv.sys [X]
S0 szkg5; system32\drivers\szkg.sys [X]
S0 szkgfs; system32\drivers\szkgfs.sys [X]
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
CHR HKLM\...\Chrome\Extension: [oggihoncmelambjaefiboekididcaffe] - C:\Users\Lucynka\AppData\Local\Google\Chrome\User Data\Default\Extensions\oggihoncmelambjaefiboekididcaffe.crx [2015-10-29]
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-1756971717-903987818-1331759138-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
SearchScopes: HKLM -> DefaultScope - brak wartości
SearchScopes: HKU\S-1-5-21-1756971717-903987818-1331759138-1000 -> {szukaj.gazeta.pl} URL = hxxp://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms}
Task: {1C3D8A9F-6C3F-4A46-9CAE-40F0CFBED781} - System32\Tasks\EasyProgress => c:\programdata\{844fa4f1-2bb1-d59c-844f-fa4f12bb93c4}\driver 3.exe 
Task: {4E3DE2F3-E71A-495C-B866-C74C6B93A6B9} - System32\Tasks\MagicKeeper => c:\programdata\{8633d1fd-ea70-b2f5-8633-3d1fdea747f7}\5254392802355984628b.exe 
Task: {57309A81-84A7-45B9-BBE2-81D8C5DCEFC2} - System32\Tasks\SizeFixer => c:\programdata\{26c77064-ad4b-edcf-26c7-77064ad4c192}\9168102286225661756b.exe 
Task: {7B57F7DA-0C9A-4646-9E8C-D0C2D059D68A} - System32\Tasks\DataEncrypt => c:\programdata\{b87b28c2-ddab-3b9e-b87b-b28c2ddaa30b}\2887833614186346724b.exe 
Task: C:\Windows\Tasks\DataEncrypt.job => c:\programdata\{b87b28c2-ddab-3b9e-b87b-b28c2ddaa30b}\2887833614186346724b.exe 
Task: C:\Windows\Tasks\EasyProgress.job => c:\programdata\{844fa4f1-2bb1-d59c-844f-fa4f12bb93c4}\driver 3.exe 
Task: C:\Windows\Tasks\MagicKeeper.job => c:\programdata\{8633d1fd-ea70-b2f5-8633-3d1fdea747f7}\5254392802355984628b.exe 
Task: C:\Windows\Tasks\SizeFixer.job => c:\programdata\{26c77064-ad4b-edcf-26c7-77064ad4c192}\9168102286225661756b.exe 
HKU\S-1-5-21-1756971717-903987818-1331759138-1000\Software\Classes\.exe: exefile => 
HKU\S-1-5-21-1756971717-903987818-1331759138-1000\Software\Classes\exefile: 
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
C:\ProgramData\STOPzilla!
C:\ProgramData\TempMoudleSet
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MgameEU
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR
C:\Users\Lucynka\AppData\Local\Microsoft\Windows\GameExplorer\{966E0570-968F-43C2-B2A5-307A6668962E}
C:\Users\Lucynka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MyHeritage.com
C:\Users\Lucynka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Okozo Desktop
C:\Users\Lucynka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR
C:\Windows\system32\Drivers\kgpcpy.cfg
DisableService: Mobile Partner. RunOuc
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. W Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > upewnij się, że zniknął obiekt Quick Menu.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone, więc ponownie je aktywuj.

4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\Lucynka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy zostały rozwiązane.

[InsideLucy]

Wykonałam wszystkie polecenia. Problem z coldsearch.com zniknął. Wszystko wygląda w porządku. Niestety przypadkiem usunęłam plik fixlog.txt   toteż nie mogłam go załączyć. Dołączam pliki FRST oraz Addition.

 

Dziękuję bardzo serdecznie za tak szybką i efektywną pomoc. 

FRST.txt

Addition.txt

[picasso]

Kopia pliku fixlog.txt jest w folderze C:\FRST\Logs. Dostarcz plik.

[InsideLucy]

Myślałam, że usunęłam. Jak teraz sprawa wygląda?

Fixlog_08-12-2015_23-14-38.txt

[picasso]

Wszystko zrobione. Aczkolwiek jest jedna rozbieżność. Podałam by odinstalować starszą Java i rzeczywiście wpis już zniknął z listy odinstalowanych, ale nie zniknęły komponenty Java: nadal widać wpisy w rejestrze oraz aktywny proces aktualizatora Java. Pytaniem jest więc czy w międzyczasie nie doinstalowała się nowsza Java?

[InsideLucy]

W zainstalowanych programach nic nowego nie znalazłam natomiast sprawdziłam obecną wersję Javy jest to JavaTM Standard Edition Version 8 Update 31. Także tak to wygląda.

[picasso]

Przeprowadź następującą operację:

 

1. Zainstaluj najnowszą Java, link w przyklejonym: KLIK. Następnie uruchom specjalny deinstalator Java: KLIK. On powinien usunąć odpadki starej wersji z pominięciem najnowszej.

 

2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut.

[InsideLucy]

Jakoś nie mogę sobie z tym poradzić. Dlaczego najpierw muszę zainstalować Javę (która jest zainstalowana) , a potem ją usunąć? Nie rozumiem. 

[picasso]

Sytuacja wygląda tak:

- Java nie jest obecnie poprawnie zainstalowana (w FRST Addition brak takiej pozycji na liście zainstalowanych), ale w systemie są odpadki wersji Java 31 widoczne na poziomie wtyczek do przeglądarek. Nie dość, że to uszkodzona instalacja, to jeszcze stara wersja, najnowsza to Java 66.

- By poprawnie usunąć te odpadki, trzeba posłużyć się specjalistycznym usuwaczem firmowym, przy czym ten usuwacz sam do swojego działania wymaga Java i nie może być użyty do usunięcia jedynej wersji Java obecnej w systemie (w tym przypadku te szczątki Java 31), musi mieć jakąś inną Java z którą zadziała.

- Dlatego masz zainstalować najnowszą Java 66, po tym uruchomić usuwacz do Java który skorzysta z Java 66, by skasować odpadki Java 31. Mam nadzieję, że ten trik zadziała, w przeciwnym wypadku trzeba będzie ręcznie wywalać Java 31.

[InsideLucy]

Po pobraniu pojawia się komunikat, zrzut znajduję się w załączniku. Co teraz?

[picasso]

Sprecyzuj po pobraniu którego z pliku, instalatora Java czy deinstalatora Java? A komunikat wygląda na związany z JavaScript a nie Java. I jeśli cokolwiek było wykonywane, to poproszę o nowy log FRST z opcji Skanuj (Scan), włącznie z pliiem Addition.

[InsideLucy]

Przy instalatorze nowej Javy. Niestety plik FRST mogę dodać dopiero za parę dni. W tej chwili nie mogę. Mam nadzieję, że temat nie zostanie przez to zamknięty.

[picasso]

Nie, temat oczywiście nie zostanie zamknięty. Jeśli chodzi o ten komunikat, to po prostu kliknij na nim "Tak" i doprowadź do zainstalowania Java (niezależnie od potencjalnych błędów po prostu postaraj się ukończyć ten proces). Po tym zastosuj podawany wcześniej usuwacz. A nowe logi wykażą czy były jakieś zmiany.

[InsideLucy]

1. Zainstalowałam najnowszą Javę po czym na stronie java.com wyświetlił mi się komunikat o Weryfikacji wersji oprogramowania. Czy mogę w związku z tym coś zrobić? Lubię przeglądarkę Chrome i korzystam z niej od wielu lat, więc nie chciałabym się z nią "rozstawać".

2. Po zainstalowaniu wyświetlił mi się także komunikat Asystent zgodności. Nie wiem co kliknąć, więc nie uruchomiłam jeszcze deinstalatora tak jak pisałaś. Co mam teraz zrobić?

[picasso]

1. Zainstalowałam najnowszą Javę po czym na stronie java.com wyświetlił mi się komunikat o Weryfikacji wersji oprogramowania. Czy mogę w związku z tym coś zrobić? Lubię przeglądarkę Chrome i korzystam z niej od wielu lat, więc nie chciałabym się z nią "rozstawać".

Wszystko się zgadza i tu nie nastąpiły żadne "niepożądane" zmiany, stan był taki od samego początku. W pierwszym poście podany log FRST Addition pokazuje, że miałaś zainstalowane Google Chrome 47.0.2526.73. Google Chrome nie obsługuje wtyczek NPAPI (czyli m.in. Java) już od wersji 42. Aspekt wtyczek rozpisany w przyklejonym temacie: KLIK. Cytując fragment:

 

Architekturę wtyczek możemy podzielić na: ActiveX (Internet Explorer), NPAPI (Firefox i pochodne), PPAPI (Google Chrome, Opera i pochodne). Programy mające oznaczenie "NPAPI" na pomarańczowo nie są w ogóle obsługiwane przez Google Chrome i Microsoft Edge.

 

Firefox: Powoli jest wycofywane wsparcie dla wtyczek NPAPI (m.in. Java i Silverlight), za wyjątkiem Adobe Flash. Brak obsługi w Firefox 32-bit zostanie wdrożony do końca roku 2016. A nowa edycja Firefox 64-bit jest pozbawiona tej obsługi out-of-box.

NPAPI Plugins in Firefox

 

Google Chrome 42 i nowsze: Jedyny obsługiwany typ wtyczek to PPAPI. Wtyczki NPAPI (m.in. Java i Silverlight) nie są już obsługiwane: od wersji 42 są domyślnie blokowane i niewidzialne na liście wtyczek, od wersji 45 kompletny brak obsługi.

Treści wymagające wtyczek nie działają w Chrome

 

Opera 24 i nowsze: Na chwilę obecną są jeszcze obsługiwane dwa typy wtyczek, tzn. PPAPI i NPAPI, ale długofalowa obsługa NPAPI jest pod znakiem zapytania.

 

Microsoft Edge: Przeglądarka ma wbudowany z biegu Adobe Flash. Nie są obsługiwane żadne zewnętrzne wtyczki (m.in. Java i Silverlight).

 

 

Java to tu była aktualizowana pod kątem Internet Explorer, bo to w nim siedziała.

 

 

2. Po zainstalowaniu wyświetlił mi się także komunikat Asystent zgodności. Nie wiem co kliknąć, więc nie uruchomiłam jeszcze deinstalatora tak jak pisałaś. Co mam teraz zrobić?

Klik w "Ten program jest zainstalowany poprawnie". I dostarcz raporty FRST.txt + Addition.txt.

[InsideLucy]

Po kliknięciu w drugi podany przez Ciebie link z informacją o deinstalatorze Java kliknęłam w Java Uninstall tool po czym pojawił się komunikat odnośnie Google Chrome i NPAPI. Czy mam przez to rozumieć, że cały proces deinstalacji powinnam przeprowadzić w Internet Explorer?

[picasso]

Tak. Widzę, że coś zmienili, gdyż poprzednio ta strona deinstalatora nie reagowała na typ przeglądarki i mogłam ją otworzyć w Firefox bez żadnego komunikatu, pomimo że w ogóle nie mam zainstalowanej Javy.

[InsideLucy]

Uruchomiłam ten deinstalator i pojawiła się informacja, że nie znaleziono żadnej nieaktualnej wersji oprogramowania Java. Dostarczam raporty FRST i Addition.

Addition.txt

FRST.txt

[picasso]

Instalator najnowszej Java wywalił starą i teraz w Internet Explorer jest już najnowsza wersja 66. Wszystko zrobione. Kończymy:

 

1. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK.

 

2. Usuń plik utworzony przez GMER C:\pxddypow.sys oraz samego GMERa z Pobranych. Następnie popraw jeszcze za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

[InsideLucy]

Zastosowałam narzędzie Fix-it natomiast z plikiem C:\pxddypow.sys mam problem ponieważ wyświetla mi się informacja, że jest to plik systemowy. Na pewno nic się nie stanie jeśli go usunę?

 

[picasso]

Nic się nie stanie, zatwierdź komunikat. To plik wyekstraktowany przez GMER i zbędny już po jego skanie, z Twojego raportu FRST:

 

2015-12-08 15:45 - 2015-12-08 15:45 - 00104960 _____ (GMER) C:\pxddypow.sys

2015-12-08 04:29 - 2015-12-08 04:29 - 00380416 _____ C:\Users\Lucynka\Downloads\xz0ufrpx.exe

2015-12-08 03:14 - 2015-12-18 14:41 - 00000000 ____D C:\FRST

[InsideLucy]

Wykonałam podane kroki i dostarczam log DelFix.

DelFix.txt

[picasso]

DelFix wykonał zadanie. Skasuj z dysku plik C:\delfix.txt.

 

To tyle.

[InsideLucy]

Zatem serdecznie dziękuję i pozdrawiam.