Chińskie wyszukiwarki w przeglądarkach, niechciane

[jarecek8091]

Witam,

od jakiegoś czasu zmagam się z problemem niechcianych wyszukiwarek ustawiających się jako strony startowe. W załączniu, przesyłam logi z GMERa i FRST. Proszę o sprawdzenie z góry dziękując. 

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Posługujesz się starą zdezelowaną Operą 12.17 z krytycznymi lukami. Najnowsza wersja tej linii (która i tak jest już stara i pewne strony mogą źle w niej chodzić) to 12.18. FRST nie skanuje tej staroci, więc konfiguracja całościowa tej przeglądarki nie jest znana, poza tym co FRST uwzględnia przypadkowo przez zbieżność z nową serią Opera, tzn. skróty. Tak więc jest tu tylko wiadome, że na pewno ta przeglądarka ma zmodyfikowane przez adware skróty uruchomienia.

 

 

Działania do przeprowadzenia:

 

1. Przez Dodaj/Usuń programy odinstaluj stare wersje (zagrożenie infekcjami szyfrującymi dane): Adobe Flash Player 11 ActiveX, Adobe Flash Player 12 Plugin, Adobe Reader 7.0.9 - Polish, DivX Setup, Java 7 Update 65. Operę na razie pomijam, ale musisz to potem też nadrobić.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://startsear.ch/?aff=2&cf=916a55ee-7af8-11e1-b5f4-000874fe4cf4
HKU\S-1-5-21-602162358-926492609-725345543-500\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://startsear.ch/?aff=2&cf=916a55ee-7af8-11e1-b5f4-000874fe4cf4
HKU\S-1-5-21-602162358-926492609-725345543-500\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
SearchScopes: HKLM -> DefaultScope {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7
SearchScopes: HKLM -> {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7
SearchScopes: HKU\S-1-5-21-602162358-926492609-725345543-500 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://startsear.ch/?aff=2&src=sp&cf=916a55ee-7af8-11e1-b5f4-000874fe4cf4&q={searchTerms}
SearchScopes: HKU\S-1-5-21-602162358-926492609-725345543-500 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://startsear.ch/?aff=2&src=sp&cf=916a55ee-7af8-11e1-b5f4-000874fe4cf4&q={searchTerms}
SearchScopes: HKU\S-1-5-21-602162358-926492609-725345543-500 -> {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7
Toolbar: HKU\S-1-5-21-602162358-926492609-725345543-500 -> Brak nazwy - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - Brak pliku
Toolbar: HKU\S-1-5-21-602162358-926492609-725345543-500 -> Brak nazwy - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - Brak pliku
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.so-v.com/?type=ll&uid=cb1e87d4-b784-44a1-abed-ff1d5cf9b88f
ShortcutWithArgument: C:\Documents and Settings\Administrator\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Opera.lnk -> C:\Program Files\Opera\opera.exe (Opera Software) -> hxxp://www.so-v.com/?type=ll&uid=cb1e87d4-b784-44a1-abed-ff1d5cf9b88f
ShortcutWithArgument: C:\Documents and Settings\All Users\Menu Start\Programy\Opera.lnk -> C:\Program Files\Opera\opera.exe (Opera Software) -> hxxp://www.so-v.com/?type=ll&uid=cb1e87d4-b784-44a1-abed-ff1d5cf9b88f
ShortcutWithArgument: C:\Documents and Settings\All Users\Pulpit\Opera.lnk -> C:\Program Files\Opera\opera.exe (Opera Software) -> hxxp://www.so-v.com/?type=ll&uid=cb1e87d4-b784-44a1-abed-ff1d5cf9b88f
HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k
HKU\S-1-5-21-602162358-926492609-725345543-500\...\Policies\Explorer: [NoSaveSettings] 0
Task: C:\WINDOWS\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\WINDOWS\TEMP\{6A0507BA-1B7E-4F5A-8FEF-5FAB859448D1}.exe 
MSCONFIG\startupfolder: C:^Documents and Settings^Administrator^Menu Start^Programy^Autostart^RazossUpdater.lnk => C:\WINDOWS\pss\RazossUpdater.lnkStartup
MSCONFIG\startupreg: C: =>
MSCONFIG\startupreg: DivXUpdate => "C:\Program Files\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW
MSCONFIG\startupreg: rzclenrygzbukfd => C:\Documents and Settings\All Users\Dane aplikacji\rzclenry.exe
MSCONFIG\startupreg: vProt => "C:\Program Files\AVG Secure Search\vprot.exe"
MSCONFIG\startupreg: WinampAgent => "C:\Program Files\Winamp\winampa.exe"
DeleteKey: HKCU\Software\Google
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Opera.exe
DeleteKey: HKLM\SOFTWARE\Google
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\mozilla.org
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
Reg: reg add "HKLM\SOFTWARE\Clients\StartMenuInternet\Opera\shell\open\command" /ve /t REG_SZ /d "\"C:\Program Files\Opera\Opera.exe"" /f
C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla
C:\Documents and Settings\Administrator\Menu Start\Programy\Moja Firma 2013 (Ad-Al) - program
C:\Documents and Settings\Administrator\Pulpit\MOJA FIRMA archiwum\Ad-Al 2012.lnk
C:\Documents and Settings\Administrator\Pulpit\MOJA FIRMA archiwum\Ad-Al 2013.lnk
C:\Documents and Settings\Administrator\Pulpit\MOJA FIRMA archiwum\MF 2008.lnk
C:\Documents and Settings\Administrator\Pulpit\MOJA FIRMA archiwum\MF 2009.lnk
C:\Documents and Settings\Administrator\Pulpit\Programy\Foxit Reader.lnk
C:\Documents and Settings\All Users\Dane aplikacji\teskbfxlyldumyg
C:\Documents and Settings\All Users\Menu Start\Programy\Moja Firma 2009
C:\Documents and Settings\All Users\Menu Start\Programy\Moja Firma 2010
C:\Documents and Settings\All Users\Menu Start\Programy\Moja Firma 2011 (Ad-Al) - program
C:\Documents and Settings\All Users\Menu Start\Programy\Moja Firma 2011 (Ad-Al) - stanowisko robocze
C:\Documents and Settings\All Users\Menu Start\Programy\Mozilla Thunderbird
C:\Program Files\Mozilla Firefox
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Jako że nie ma w raporcie konfiguracji tej przeglądarki, należy z poziomu opcji ręcznie wyczyścić sesję przywracania, cache i historię oraz ewentualnie inne zmodyfikowane ustawienia.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.

Edytowane 24 Października 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso