Websearch problem.

[Nostradamus]

Witam. w/w dziadostwo rujnuje mój stoicki spokój..

 

 

Addition.txt

FRST.txt

gmer.txt

Shortcut.txt

[Nostradamus]

Przepraszam za krotki post i odpowiedź tuż pod nim. Ale na komputerze nie da się nic robic. Powyższy temat pisałem pół godziny. Co chwilę otwierają się reklamy, lub następuje przekierowanie. Komputer uzytkuja dwaj mlodziency, wielbiciele gier. No i coś mi namieszali. Probowalem różnych programów antimalware itp. Bezskutecznie

[jessica]

1) Otwórz Notatnik i wklej w nim:

 

Task: {72CF59B4-204C-4E64-9C9B-C589A7C89D6F} - System32\Tasks\{95FB4910-EC8D-41D9-8589-C9B7C1FE3FE6} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Stantone\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\Stantone\uninstall.dat" -a uninstallme A6F33AEA-986E-4EAF-A383-E06B9E1D8907 DeviceId=d3940af8-223e-23d3-1ca1-3366e7be2367 BarcodeId=51107003 ChannelId=3 DistributerName=APSFClickMeIn
Task: {8474A3A4-C22B-4EB0-9CCD-59671BD707E6} - System32\Tasks\{D4F892AC-8E2F-4506-B31C-AAFC50BDBBB2} => pcalua.exe -a "C:\Program Files (x86)\EasyHotspot\uninstaller.exe"
Task: {AE3D2728-DA96-45C5-A345-2D88D7E408F3} - System32\Tasks\{8B8129BC-5EB1-498E-A0CA-5E957011B5A8} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Tanzuntax\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\Tanzuntax\uninstall.dat" -a uninstallme 36EA023C-6E74-4EFA-98CB-178B6CF6DFBC DeviceId=d3940af8-223e-23d3-1ca1-3366e7be2367 BarcodeId=50027003 ChannelId=3 DistributerName=APSnapdoAMRev
WMI_ActiveScriptEventConsumer_ASEC: <===== UWAGA
ShortcutWithArgument: C:\Users\nostra\Desktop\chrome.exe — skrót.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\nostra\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\nostra\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\nostra\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\nostra\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\chrome.exe — skrót.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\nostra\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\nostra\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc
RemoveDirectory: C:\ProgramData\awna
RemoveDirectory: C:\Program Files (x86)\Common Files\Tanzuntax
HKLM-x32\...\Run: [AMD AVT] => Cmd.exe /c start "AMD Accelerated Video Transcoding device initialization" /min "C:\Program Files (x86)\AMD AVT\bin\kdbsync.exe" aml
AppInit_DLLs: C:\ProgramData\awna\Daltphase.dll => C:\ProgramData\awna\Daltphase.dll [358912 2016-08-14] ()
AppInit_DLLs-x32: C:\ProgramData\awna\Zumis.dll => C:\ProgramData\awna\Zumis.dll [248320 2016-08-14] ()
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} =>  Brak pliku
HKU\S-1-5-21-612798577-3822474249-2596022128-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PeEjTbzvbcd4dG7c8_TLrE4pGGPZ6zZX1ubp00kLvItypSkFlapFJsGiRVbL7Srp3wyiy20tH62xWtiQP5QwjFg4MdbaqZBUQOpQDE7Sa7upilzd34TADdnq2o8bqt2r_SNRC67dBYe3jPu5eqnAU_3TXNm&q={searchTerms}
HKU\S-1-5-21-612798577-3822474249-2596022128-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PeEjTbzvbcd4dG7c8_TLrE4pGGPZ6zZX1ubp00kLvItypSkFlapFJsGiRVbL7Srp3w-XRXdRryb7Pq5sQl1NwQIXINixeudcBHW3hZCD6Y3z2LXs2khZnV8hnWPXExasA5_RsQakEVIPmo2ODzrKD2qa730
HKU\S-1-5-21-612798577-3822474249-2596022128-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PeEjTbzvbcd4dG7c8_TLrE4pGGPZ6zZX1ubp00kLvItypSkFlapFJsGiRVbL7Srp3wyiy20tH62xWtiQP5QwjFg4MdbaqZBUQOpQDE7Sa7upilzd34TADdnq2o8bqt2r_SNRC67dBYe3jPu5eqnAU_3TXNm&q={searchTerms}
HKU\S-1-5-21-612798577-3822474249-2596022128-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PeEjTbzvbcd4dG7c8_TLrE4pGGPZ6zZX1ubp00kLvItypSkFlapFJsGiRVbL7Srp3wyiy20tH62xWtiQP5QwjFg4MdbaqZBUQOpQDE7Sa7upilzd34TADdnq2o8bqt2r_SNRC67dBYe3jPu5eqnAU_3TXNm&q={searchTerms}
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PeEjTbzvbcd4dG7c8_TLrE4pGGPZ6zZX1ubp00kLvItypSkFlapFJsGiRVbL7Srp3wyiy20tH62xWtiQP5QwjFg4MdbaqZBUQOpQDE7Sa7upilzd34TADdnq2o8bqt2r_SNRC67dBYe3jPu5eqnAU_3TXNm&q={searchTerms}
SearchScopes: HKU\S-1-5-21-612798577-3822474249-2596022128-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PeEjTbzvbcd4dG7c8_TLrE4pGGPZ6zZX1ubp00kLvItypSkFlapFJsGiRVbL7Srp3wyiy20tH62xWtiQP5QwjFg4MdbaqZBUQOpQDE7Sa7upilzd34TADdnq2o8bqt2r_SNRC67dBYe3jPu5eqnAU_3TXNm&q={searchTerms}
SearchScopes: HKU\S-1-5-21-612798577-3822474249-2596022128-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PeEjTbzvbcd4dG7c8_TLrE4pGGPZ6zZX1ubp00kLvItypSkFlapFJsGiRVbL7Srp3wyiy20tH62xWtiQP5QwjFg4MdbaqZBUQOpQDE7Sa7upilzd34TADdnq2o8bqt2r_SNRC67dBYe3jPu5eqnAU_3TXNm&q={searchTerms}
CHR HomePage: rerrerrynoqerspretach -> hxxp://www.wp.pl/
CHR StartupUrls: rerrerrynoqerspretach -> "hxxp://www.google.pl/"
CHR DefaultSearchURL: rerrerrynoqerspretach -> hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PeEjTbzvbcd4dG7c8_TLrE4pGGPZ6zZX1ubp00kLvItypSkFlapFJsGiRVbL7Srp3wynFE0gpbRy0e3E4nFGw_MS7x1N4-DlVuk2MbCLvQLY-tDnHxv1V8AwFL1WyzNfjxKZ-0-Tu8kjnX4fQ-cAU2OcjtE&q={searchTerms}
CHR DefaultSearchKeyword: rerrerrynoqerspretach -> feed.sonic-search.com
CHR DefaultSuggestURL: rerrerrynoqerspretach -> hxxps://search.yahoo.com/sugg/chrome?output=fxjson&appid=crmas&command={searchTerms}
R2 awna; C:\ProgramData\\awna\\awna.exe [392704 2016-08-14] () [brak podpisu cyfrowego]
C:\Windows\SysWOW64\findit.xml
C:\ProgramData\awnas
2016-08-14 19:10 - 2016-08-14 20:11 - 00000000 ____D C:\Users\nostra\AppData\Roaming\Hemkajdoa
2016-08-14 19:10 - 2016-08-14 20:02 - 00000000 ____D C:\Users\nostra\AppData\LocalLow\Company
2016-08-14 19:10 - 2016-08-14 19:10 - 00000000 ____D C:\Users\nostra\AppData\Local\Tempfolder
2016-08-12 09:23 - 2016-08-12 09:23 - 00001527 _____ C:\Users\Gość\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk
2016-08-12 09:23 - 2016-08-12 09:23 - 00001480 _____ C:\Users\Gość\Desktop\UC浏览器.lnk
2016-08-12 09:23 - 2016-08-12 09:23 - 00000000 ____D C:\Users\Gość\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
2016-08-12 09:23 - 2016-08-12 09:23 - 00000000 ____D C:\Users\Gość\AppData\Local\UCBrowser
2016-08-12 09:09 - 2016-08-12 09:09 - 00003114 _____ C:\Windows\System32\Tasks\{D4F892AC-8E2F-4506-B31C-AAFC50BDBBB2}
2016-08-12 09:04 - 2016-08-12 09:04 - 00000000 ____D C:\Users\nostra\AppData\LocalLow\PlayfulCorp
2016-08-12 01:00 - 2016-08-14 20:11 - 00000000 ____D C:\Program Files (x86)\Rafucult
2016-08-12 01:00 - 2016-08-12 01:01 - 00000000 ____D C:\Users\nostra\AppData\Local\bumosyreoqeentdrhge
2016-08-12 00:54 - 2016-08-12 00:52 - 00001006 _____ C:\Windows\system32\Drivers\etc\hp.bak
C:\Users\Gość\Desktop\UC浏览器.lnk
C:\Users\Gość\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk
C:\Users\Gość\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk
 C:\Users\nostra\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\UC浏览器.lnk
ShortcutWithArgument: C:\Users\Gość\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP%
ShortcutWithArgument: C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP%
ShortcutWithArgument: C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP%
ShortcutWithArgument: C:\Users\nostra\Desktop\chrome.exe — skrót.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\nostra\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\nostra\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\nostra\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\nostra\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\chrome.exe — skrót.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --load-extension="C:\Users\nostra\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\nostra\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc
HOSTS:
EmptyTemp:

>>Menu Notatnika >> Plik >>
>>Zapisz jako >>
Nazwa pliku: fixlist
Zapisz jako typ: Dokumenty tekstowe
Kodowanie: Unicode
>>Zapisz
Plik umieść w folderze E:\Pobrane
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

 

2) Użyj RepairDNS> https://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/#entry172749

Daj z tego log.

 

3) Zrób nowe logi FRST.

przed skanem zaznacz: Additional.txt Shortcut.txt,

 

jessi

[Nostradamus]

Skany porobione. Ale chyba nie udało się wyczyścić komputera. Reklamy nadal molestują.

 

 

Addition.txt

Fixlog.txt

FRST.txt

Shortcut.txt

RepairDNS.txt

[jessica]

=======[ Verify new Dynamic Link Library (DLL) (32/64Bits) ]

FOUND: C:\Windows\System32\dnsapi.dll [357888]   =>Disinfected

FOUND: C:\Windows\SysWOW64\dnsapi.dll [270336]   =>Hijacker.DNS.Hosts

Jeszcze raz użyj RepairDNS, daj z tego log, a ja w tym czasie przejrzę logi.

 

EDIT:

W logach nie ma niczego podejrzanego.

 

jessi

[Nostradamus]

Podczas próby dodania odpowiedzi wyskakują pop'upy lub przekierowywuje mnie na strony jakichś gier, bukmaherki itp.

np na http://sportsaddict.thewhizproducts.com/?chid=119&oid=668&subid=257256262&pubid=303 

 

Chyba ,że tak musi tu być i to część portalu.

 

Edit. Trochę poklikałem po innych stronach i nic się nie dzieje. Tylko tu

 

 

 

RepairDNS.txt

[Nostradamus]

Cały czas websearch hula. Przy próbie dodania odpowiedzi następuje przekierowanie na dziwne strony np

 

http://sportsaddict.thewhizproducts.com/?chid=119&oid=668&subid=257256262&pubid=303

 

lub jakieś gry 

 

Ps. piąta próba dodania

RepairDNS.txt

[jessica]

FOUND: C:\Windows\System32\dnsapi.dll [357888]   =>Disinfected

FOUND: C:\Windows\SysWOW64\dnsapi.dll [270336]   =>Disinfected

Pliki są już OK.

 

Uruchom FRST.

W polu SEARCH (SZUKAJ) wklej:

 

 

websearch*.*

kliknij na przycisk "Search Files (Szukaj Plików)".

Raport z tego będzie tam, gdzie jest FRST.

 

Uruchom FRST.

W polu SEARCH (SZUKAJ) wklej:

 

websearch

kliknij na przycisk "Search Registry" (Szukaj w Rejestrze).

Raport z tego będzie tam, gdzie jest FRST.

 

jessi

[Nostradamus]

Zdaje się ,że czysto 

Search.txt

SearchReg.txt

[jessica]

Tak, wyszukiwanie nic nie wykryło.

Spróbuj przeinstalować przeglądarkę, na której to występuje.

 

jessi

[Nostradamus]

Dzisiaj pisząc odpowiedź nie było już problemów. Oby nie wróciły. Puki co serdecznie dziękuję za poświęcony czas.

[jessica]

Być może to był efekt zarażenia "dnsapi".

 

Jeśli będzie OK, to będziemy kończyć:

Otwórz Notatnik i wklej w nim:

 

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).
przez SHIFT+DEL usuń pozostały folder C:\FRST.

 

RepairDNS - usuń ręcznie.

 

jessi