nuesearch.com jako domyślna przeglądarka

[pietrucha]

Witam,

Znajoma ma problem z domyślą wyszukiwarką. We wszystkich przeglądarkach została ona zmieniona na nuesearch.com.

 

Logi w załączniku.

 

Dziekuję za pomoc i pozdrawiam,

Konrad.

 

update

widzę, że problem się już pojawiał, może wyedytuje skrypty dostarczone w poprzednim wątku?

gmer_report.txt

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

widzę, że problem się już pojawiał, może wyedytuje skrypty dostarczone w poprzednim wątku?

Instrukcje są dobierane indywidualnie, skrypty są niepowtarzalne i robione tylko i wyłącznie w oparciu o określone logi, nie "przerabia się" cudzych skryptów.

 

 

Działania do przeprowadzenia:

 

1. Deinstalacje:

- Przez Panel sterowania odinstaluj starszą wersję Java 8 Update 60 (64-bit) oraz zbędny downloader produktów Autodesk Akamai NetSession Interface.

- Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń ukryty szczątek od AVG FMW 1.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
R2 avgsvc; C:\Program Files (x86)\AVG\Framework\Common\avgsvca.exe [1046952 2015-11-12] (AVG Technologies CZ, s.r.o.)
R2 WdMan; C:\ProgramData\XwinpX\WFini.exe [541928 2016-08-15] (WFini LIMITED)
R2 winsaber; C:\Program Files (x86)\WinSaber\WinSaber.exe [427256 2016-08-15] ()
S2 Winsere; C:\Program Files (x86)\Winsere\Winsere\Winsere.exe [316984 2016-03-23] ()
Task: {0B2E6EC6-718D-47B6-8947-5DB9221EF925} - System32\Tasks\WinTaske => C:\Program Files (x86)\WinTaske\WinTaske\WinTaske.exe [2016-03-23] () 
Task: {19E9A5F7-5137-4A0D-A70D-E788B0676341} - System32\Tasks\Browser Updater Task(Core) => C:\Program Files (x86)\TXQQBrowser\Update\BD651F1F4029A2F22A40BEE7055BB369\Update\BrowserUpdate.exe [2016-04-25] (Tencent) 
Task: {3352E280-9264-4229-AEC3-E2AE29EDEB63} - System32\Tasks\{EBB87DF7-8C09-4EA5-878C-B76032DE54FC} => pcalua.exe -a C:\Users\admin\AppData\Local\Akamai\uninstall.exe
Task: {CBBF56FA-BA14-4502-A150-C7251E712DC7} - System32\Tasks\{36CA5291-BB5C-43E6-B28E-903372C4C1D1} => pcalua.exe -a "C:\Program Files\AutoCAD 2009\acad.exe" -d "C:\Program Files\AutoCAD 2009\UserDataCache\"
Task: {D8BF545C-249A-40FE-9466-CDBBB59F0220} - System32\Tasks\{1BA3E7C9-8F28-4763-8729-0777AE3D01F2} => pcalua.exe -a E:\Installation\hpdj111series\Core.exe -d E:\Installation\hpdj111series
Task: {D9BCC7B8-B18E-4FE5-A79F-080F5A77011D} - System32\Tasks\ChelfNotify Task => C:\ProgramData\ChelfNotify\BrowserUpdate.exe [2016-06-30] (Tencent)
ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.nuesearch.com/?type=sc&ts=1469185531&z=d3e4d8aee9d024fc9ed7ee3g4zaq9t6geb5w6wcc2g&from=ihpm0722&uid=ADATAXSP550_1F3320111080
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.nuesearch.com/?type=sc&ts=1469185531&z=d3e4d8aee9d024fc9ed7ee3g4zaq9t6geb5w6wcc2g&from=ihpm0722&uid=ADATAXSP550_1F3320111080
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.nuesearch.com/?type=sc&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080
ShortcutWithArgument: C:\Users\Public\Desktop\Avast SafeZone Browser.lnk -> C:\Program Files\AVAST Software\SZBrowser\launcher.exe (Avast Software) -> hxxp://www.nuesearch.com/?type=sc&ts=1469185531&z=d3e4d8aee9d024fc9ed7ee3g4zaq9t6geb5w6wcc2g&from=ihpm0722&uid=ADATAXSP550_1F3320111080
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.nuesearch.com/?type=hp&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.nuesearch.com/?type=hp&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.nuesearch.com/search/?type=ds&ts=1469185531&z=d3e4d8aee9d024fc9ed7ee3g4zaq9t6geb5w6wcc2g&from=ihpm0722&uid=ADATAXSP550_1F3320111080&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.nuesearch.com/search/?type=ds&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.nuesearch.com/?type=hp&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.nuesearch.com/?type=hp&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1469185531&z=d3e4d8aee9d024fc9ed7ee3g4zaq9t6geb5w6wcc2g&from=ihpm0722&uid=ADATAXSP550_1F3320111080&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080&q={searchTerms}
HKU\S-1-5-21-4038774321-322845962-4165907321-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.nuesearch.com/search/?type=ds&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080&q={searchTerms}
HKU\S-1-5-21-4038774321-322845962-4165907321-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.nuesearch.com/?type=hp&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080
HKU\S-1-5-21-4038774321-322845962-4165907321-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.nuesearch.com/?type=hp&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080
HKU\S-1-5-21-4038774321-322845962-4165907321-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080&q={searchTerms}
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1469185531&z=d3e4d8aee9d024fc9ed7ee3g4zaq9t6geb5w6wcc2g&from=ihpm0722&uid=ADATAXSP550_1F3320111080&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1469185531&z=d3e4d8aee9d024fc9ed7ee3g4zaq9t6geb5w6wcc2g&from=ihpm0722&uid=ADATAXSP550_1F3320111080&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080&q={searchTerms}
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4038774321-322845962-4165907321-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080&q={searchTerms}
SearchScopes: HKU\S-1-5-21-4038774321-322845962-4165907321-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.nuesearch.com/?type=sc&ts=1469185531&z=d3e4d8aee9d024fc9ed7ee3g4zaq9t6geb5w6wcc2g&from=ihpm0722&uid=ADATAXSP550_1F3320111080
Edge HomeButtonPage: HKU\S-1-5-21-4038774321-322845962-4165907321-1001 -> hxxp://www.nuesearch.com/?type=hp&ts=1469185531&z=d3e4d8aee9d024fc9ed7ee3g4zaq9t6geb5w6wcc2g&from=ihpm0722&uid=ADATAXSP550_1F3320111080
CHR HomePage: Default -> hxxp://www.nuesearch.com/?type=hp&ts=1469185531&z=d3e4d8aee9d024fc9ed7ee3g4zaq9t6geb5w6wcc2g&from=ihpm0722&uid=ADATAXSP550_1F3320111080
CHR StartupUrls: Default -> "hxxp://www.nuesearch.com/?type=hp&ts=1469185531&z=d3e4d8aee9d024fc9ed7ee3g4zaq9t6geb5w6wcc2g&from=ihpm0722&uid=ADATAXSP550_1F3320111080"
CHR Session Restore: Default -> [funkcja włączona]
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx 
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx 
StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.nuesearch.com/?type=sc&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080
FF HKLM\...\Firefox\Extensions: [pdfsam_enhanced_conv@pdfsam.com] - C:\Program Files\PDFsam Enhanced\resources\pdfsamenhancedfirefoxextension
FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF
StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.nuesearch.com/?type=sc&ts=1471250121&z=e1fb4aeb0cda5c2ed0acbedgczbmfg5oaw2e8gaoew&from=wpm0616&uid=ADATAXSP550_1F3320111080
HKLM-x32\...\Run: [V0770Mon.exe] => C:\WINDOWS\V0770Mon.exe
HKLM-x32\...\Run: [AvgUi] => C:\Program Files (x86)\AVG\Framework\Common\avguix.exe [1136552 2015-11-12] (AVG Technologies CZ, s.r.o.)
C:\Program Files (x86)\AVG
C:\Program Files (x86)\SearchesToYesbnd
C:\Program Files (x86)\TXQQBrowser
C:\Program Files (x86)\WinSaber
C:\Program Files (x86)\Winsere
C:\Program Files (x86)\WinTaske
C:\Program Files (x86)\WinZipper
C:\ProgramData\ChelfNotify
C:\ProgramData\Nero
C:\ProgramData\uckt
C:\ProgramData\Uncheckit
C:\ProgramData\XwinpX
C:\Users\admin\AppData\Local\Unity
C:\Users\admin\AppData\LocalLow\Unity
C:\Users\admin\AppData\Roaming\eCyber
C:\Users\admin\AppData\Roaming\Nero
C:\Users\admin\AppData\Roaming\Uncheckit
C:\Users\admin\AppData\Roaming\WinZiper
C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\qksee.lnk
C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\qksee (2).lnk
C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Foxit Reader 5.0.lnk
C:\WINDOWS\SysWOW64\data.bin
C:\WINDOWS\SysWOW64\EN_*.html
C:\WINDOWS\SysWOW64\pl4.exe
C:\WINDOWS\SysWOW64\_SSpm
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść przeglądarki:

 

Firefox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować.
• Menu Historia > Wyczyść całą historię przeglądania.

Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj sponsorowane rozszerzenie Avast SafePrice.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.

4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt.

[pietrucha]

Cześć,

Ogromne dzięki za pomoc, wygląda na to, że się udało.

 

Pozdrawiam,

Konrad

Addition.txt

Fixlog.txt

FRST.txt

[picasso]

Wszystko wykonane, ale pojawił się nowy aktywny element adware. Poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

(Trend Corp.) C:\Users\admin\AppData\Roaming\setup1\TSvr.exe
R2 IhPul; C:\Users\admin\AppData\Roaming\setup1\TSvr.exe [210128 2016-08-12] (Trend Corp.)
Task: {EBC54C24-E30F-4495-8AB0-E9C96FDFE9C9} - \ChelfNotify Task -> Brak pliku 
HKU\S-1-5-21-4038774321-322845962-4165907321-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\admin\AppData\Local\Akamai\netsession_win.exe"
HKU\S-1-5-21-4038774321-322845962-4165907321-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://search.avast.com/AV772/
SearchScopes: HKLM-x32 -> {8C31F27B-BE8A-4e4b-A478-17760AF1F5D9} URL = hxxps://search.avast.com/AV772/search/web?q={searchTerms}
SearchScopes: HKU\S-1-5-21-4038774321-322845962-4165907321-1001 -> {8C31F27B-BE8A-4e4b-A478-17760AF1F5D9} URL = hxxps://search.avast.com/AV772/search/web?q={searchTerms}
FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF
C:\ProgramData\cwinpc
C:\Users\admin\AppData\Roaming\setup1
C:\WINDOWS\SysWOW64\pl.html
C:\WINDOWS\SysWOW64\pl_146046.html

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

 

2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Edytowane 24 Października 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso