unstopp.me - przekierowanie na niechciane strony - jak usunąć?

[kanold]

Jak usunąć przekierowanie na niechciane strony.

Początkowo nawigacja w IE i Chrome powodowała przekierowanie na strony z reklamami.

Po dwóch dniach NOD32 zadaje się zaczął blokować te przekierowania wyświetlająć

komunikat: Adres został zablokowany: http://unstopp.me/wpad.dat?....... Adres IP: 50.7.181.18

Załączam logi z FRST:

System Win7

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Te objawy powinno produkować szkodliwe proxy (ustawienie AutoConfigURL), z tym że w raportach FRST tego nie widać... Czy na pewno problem nadal występuje? Na razie zadam na wszelki wypadek globalną komendę resetu proxy oraz inne poboczne działania. I stosowałeś wątpliwy skaner SpyHunter, z daleka od niego.

 

1. Odinstaluj niebezpieczną wersję Adobe Reader 6.0 CE oraz przestarzały program Spybot - Search & Destroy. I już nie ponawiaj w przyszłości jego instalacji.

 

2. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj podejrzane rozszerzenie Video AdBlock for Chrome.

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
CHR HKLM\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-3912128315-2759491386-309134943-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [19984 2016-01-26] ()
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
C:\Users\tb\Downloads\SpyHunter-Installer.exe
C:\Windows\system32\drivers\EsgScanner.sys
C:\Windows\system32\drivers\etc\hosts*.backup
RemoveDirectory: C:\AdwCleaner
Hosts:
RemoveProxy:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\tb\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal są problemy.

[kanold]

Wykonałem krok po kroku i objawy ustąpiły - wielkie dzięki.

Dołączam pliki.

 

 

Na czym polega niebezpieczeństwo ze strony AdobeReader6.0CE?

Czy istnieje obecnie jakieś dobre narzędzie potrafiące rozwiązywać podobne problemy automatycznie

(niekoniecznie darmowe)?

Addition.txt

Fixlog.txt

FRST.txt

[picasso]

Wszystko zroione. Kończymy:

 

1. Przez SHIFT+DEL (omija Kosz) skasuj z dysku odpadkowy folder: C:\ProgramData\Spybot - Search & Destroy.

 

2. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK.

 

3. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

 

 

Na czym polega niebezpieczeństwo ze strony AdobeReader6.0CE?

Jest to bardzo stara wersja z niezałatanymi lukami, jedna z dróg infekcji, np. szyfrujących dane (!). W w/w linku jest podane jaka jest najnowsza wersja Adobe Reader.

 

 

Czy istnieje obecnie jakieś dobre narzędzie potrafiące rozwiązywać podobne problemy automatycznie

(niekoniecznie darmowe)?

Najlepszy do czyszczenia adware to AdwCleaner, ale akurat nie wykrywa tej modyfikacji. Jest wiele elementów adware, które są niewykrywalne narzędziami, zapóźnienie w detekcji.