Misza Opublikowano 28 Lipca 2018 Zgłoś Udostępnij Opublikowano 28 Lipca 2018 Witam, od jakiegoś czasu na mojej przeglądarce (Opera), a także na pozostałych (Chrome, Edge, Explorer) z wyjątkiem Firefoxa pojawia się automatyczne przekierowanie z wyszukiwania w google na cse.google.com. Dołączam odpowiedniego screena. Skanowałem komputer AdwCleanerem, CCleanerem, MalwareBytes oraz innymi programami, ale nie pomogło. Z ciekawostek dodam fakt, że podczas uruchomienia VPN w operze problem zostaje naprawiony. --- Dodam jeszcze, że przy użyciu np tego znaku ' wyszukiwanie nie działa, nic się nie dzieje i przekierowanie nie następuje. Problemu nie ma też, jeśli po uruchomieniu ponownie komputera przeglądarka włączy się automatycznie (poprzednia sesja). FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
Misza Opublikowano 30 Lipca 2018 Autor Zgłoś Udostępnij Opublikowano 30 Lipca 2018 Odświeżam temat, przy okazji wrzucam nowe raporty. Problem dalej nierozwiązany. FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
jessica Opublikowano 30 Lipca 2018 Zgłoś Udostępnij Opublikowano 30 Lipca 2018 Odświeżam temat, przy okazji wrzucam nowe raporty. Problem dalej nierozwiązany. Odświezanie nic nie przyspieszy, bo Moderator szuka przyczyny: Zgłosił się kolejny użytkownik - Custom Search Engine Google. Jestem w trakcie analizy jego raportów, muszę dodatkowo wykonać tzw. analizę porównawczą i znaleźć punkt wspólny, by móc ustalić przyczynę. EDIT: https://www.google.pl/ czy na tej stronie też jest przekierowanie? Nawiasem mówiąc: "cse" to legalna usługa Google. Korzystają z niej właściciele niektórych stron internetowych, którzy chcą, by wyszukiwanie przez użytkowników na tych konkretnych stronach było przekierowywane na "cse". jessi Odnośnik do komentarza
Misza Opublikowano 31 Lipca 2018 Autor Zgłoś Udostępnij Opublikowano 31 Lipca 2018 Nie ma przekierowania. Odnośnik do komentarza
jessica Opublikowano 31 Lipca 2018 Zgłoś Udostępnij Opublikowano 31 Lipca 2018 Czyli to jest wina stron, z których próbujesz korzystać z Google. Twój komputer nie ma z tym nic wspólnego. jessi Odnośnik do komentarza
Misza Opublikowano 31 Lipca 2018 Autor Zgłoś Udostępnij Opublikowano 31 Lipca 2018 Nie rozumiem. Czyli to nie jest wirus? Nie da się z tego zrezygnować i wrócić do normalnej postaci wyszukiwarki? Odnośnik do komentarza
jessica Opublikowano 31 Lipca 2018 Zgłoś Udostępnij Opublikowano 31 Lipca 2018 Nie rozumiem. Czyli to nie jest wirus? Nie da się z tego zrezygnować i wrócić do normalnej postaci wyszukiwarki? Wg mnie, i mojej wiedzy o tej usłudze Google - to nie jest żaden "wirus". Nie da się z tego zrezygnować i wrócić do normalnej postaci wyszukiwarki? Jeśli to jest naprawdę ta usługa Google, to Użytkownik nie ma żadnej możliwości zrezygnowania, może to uczynić wyłącznie własciciel strony. Podaj mi link strony, z której korzystałeś z wyszukiwarki Google - zobaczę, czy u mnie też przekieruje. jessi Odnośnik do komentarza
Misza Opublikowano 31 Lipca 2018 Autor Zgłoś Udostępnij Opublikowano 31 Lipca 2018 Nie korzystałem z żadnej wbudowanej wyszukiwarki Google na jakiejkolwiek stronie (podejrzewam, że taka jest idea Custom Search Engine). Wszystko wyszukuję z poziomu pasku adresu. Odnośnik do komentarza
jessica Opublikowano 31 Lipca 2018 Zgłoś Udostępnij Opublikowano 31 Lipca 2018 Aha, czyli jednak jest jakaś inna przyczyna. W takim razie trzeba czekać, co Moderator wymyśli. jessi Odnośnik do komentarza
picasso Opublikowano 31 Lipca 2018 Zgłoś Udostępnij Opublikowano 31 Lipca 2018 Opis wskazuje, że jest ustawione jakieś ogólne "proxy" sieciowe, tylko w raportach nic nie widać. Tak jak podałam w innym temacie, spróbuj zresetować niektóre ustawienia sieciowe. Dodatkowo dołączę usuwanie szczątków po odinstalowanych programach.1 Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:CloseProcesses:CreateRestorePoint:RemoveProxy:StartBatch:ipconfig /flushdnsnetsh advfirewall resetnetsh int ipv4 reset allnetsh int ipv6 reset allnetsh int httpstunnel reset allnetsh int portproxy reset allnetsh int tcp reset allnetsh winsock resetEndBatch:SearchScopes: HKU\S-1-5-21-4104627804-584984733-3715976581-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =BootExecute: autocheck autochk * sdnclean64.exeMSCONFIG\Services: clsid10474 => 2HKLM\...\StartupApproved\StartupFolder: => "ResumeInstall.exe"HKLM\...\StartupApproved\Run: => "ShadowPlay"HKLM\...\StartupApproved\Run: => "Launch LCore"HKU\S-1-5-21-4104627804-584984733-3715976581-1001\...\StartupApproved\Run: => "AceStream"HKU\S-1-5-21-4104627804-584984733-3715976581-1001\...\StartupApproved\Run: => "Discord"HKU\S-1-5-21-4104627804-584984733-3715976581-1001\...\StartupApproved\Run: => "uTorrent"DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-NetworkingR1 ZAM_Guard; C:\WINDOWS\System32\drivers\zamguard64.sys [203680 2018-04-18] (Zemana Ltd.)U1 avgbdisk; Brak ImagePathS1 ZAM; \??\C:\WINDOWS\System32\drivers\zam64.sys [X]C:\Program Files\BitdefenderC:\Program Files\Bitdefender AgentC:\Program Files\Common Files\AVGC:\Program Files\Common Files\BitdefenderC:\Program Files (x86)\AviraC:\Program Files (x86)\GoogleC:\Program Files (x86)\Spybot - Search & Destroy 2C:\Program Files (x86)\Zemana AntiMalwareC:\ProgramData\AVGC:\ProgramData\AviraC:\ProgramData\HitmanProC:\ProgramData\Spybot - Search & DestroyC:\ProgramData\Microsoft\Windows\Start Menu\Programs\AdobeC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Application Manager.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Premiere Pro CC 2015.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Моzillа Firеfох.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Рrzеglądаrkа Ореrа.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tokyo Dawn Labs\TDR Nova\User manual.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Native Instruments\Service Center\Native Instruments Homepage.lnkC:\ProgramData\Microsoft\Windows\Start Menu\Programs\Native Instruments\Massive\Native Instruments Homepage.lnkC:\Users\Maciek\AppData\Local\AvgC:\Users\Maciek\AppData\Local\GoogleC:\Users\Maciek\AppData\LocalLow\uTorrentC:\Users\Maciek\AppData\Roaming\AVAST SoftwareC:\Users\Maciek\AppData\Roaming\QuickScanC:\Users\Maciek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Моzillа Firеfох.lnkC:\Users\Maciek\Desktop\Avira PC Cleaner.lnkC:\Users\Maciek\Desktop\Remove Avira PC Cleaner.lnkC:\Users\Maciek\Desktop\Pulpit V3\XMind 8 Update 5.lnkC:\Users\Maciek\Desktop\Pulpit V3\pulpit\Acrobat Reader DC.lnkC:\Users\Maciek\Desktop\Pulpit V3\pulpit\Adobe Application Manager.lnkC:\Users\Maciek\Desktop\Pulpit V3\pulpit\Моzillа Firеfох.lnkC:\Users\Maciek\Desktop\Pulpit V3\pulpit\pulpit v2\Ace Player.lnkC:\Users\Maciek\Desktop\Pulpit V3\pulpit\pulpit v2\Ace Stream Media Center.lnkC:\Users\Maciek\Desktop\Pulpit V3\pulpit\pulpit v2\LibreOffice 5.3.lnkC:\Users\Maciek\Desktop\Pulpit V3\pulpit\pulpit v2\Origin.lnkC:\Users\Maciek\Desktop\Pulpit V3\pulpit\pulpit v2\pulpit\Cheat Engine.lnkC:\Users\Maciek\Desktop\Pulpit V3\pulpit\pulpit v2\pulpit\DSJ4.lnkC:\Users\Maciek\Desktop\Pulpit V3\pulpit\pulpit v2\pulpit\Euro Truck Simulator 2(x32).lnkC:\Users\Maciek\Desktop\Pulpit V3\pulpit\pulpit v2\pulpit\Euro Truck Simulator 2(x64).lnkC:\Users\Maciek\Desktop\Pulpit V3\pulpit\pulpit v2\pulpit\NBA 2K17.lnkC:\Users\Maciek\Desktop\Pulpit V3\pulpit\pulpit v2\pulpit\SWIMBI.lnkC:\Users\Maciek\Desktop\Pulpit V3\pulpit\pulpit v2\pulpit\Uplay.lnkC:\Users\Maciek\Desktop\Pulpit V3\pulpit\pulpit v2\pulpit\µTorrent.lnkC:\Users\Maciek\Downloads\Box Mockup - by Christian\SUPPORT ME.lnkC:\Users\Maciek\Documents\Euro Truck Simulator 2\readme.rtf.lnkC:\Users\defaultuser0\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnkC:\WINDOWS\system32\drivers\bdelam.sysC:\WINDOWS\system32\drivers\zamguard64.sysC:\WINDOWS\system32\Drivers\etc\hosts.20180729-223118.backupC:\WINDOWS\ZAM_Guard.krnl.traceC:\WINDOWS\ZAM.krnl.tracePowershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy wystąpiły jakieś zmiany w przeglądarkach. Odnośnik do komentarza
Misza Opublikowano 31 Lipca 2018 Autor Zgłoś Udostępnij Opublikowano 31 Lipca 2018 Brak zmian. Dalej tak jak było, tylko usunęło mi Firefoxa, a raczej nie mam do niego dostępu, choć widnieje w panelu sterowania jako zainstalowany program. EDIT: Co rozumiesz pod pojęciem zmian ustawień sieciowych? Na drugim komputerze podłączonym do tego samego routera nie ma tego problemu. Fixlog.txt FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 31 Lipca 2018 Zgłoś Udostępnij Opublikowano 31 Lipca 2018 Dalej tak jak było, tylko usunęło mi Firefoxa. Firefox nie został usunięty, tylko jego skróty zawierające ukrytą Cyrylicę (odpadek po jakiejś infekcji). Wystarczy, że skrót do Firefox stworzysz ręcznie. Skoro brak zmian, sprawdź czy problem występuje na innym urządzeniu w Twojej sieci (jakiś inny komputer/laptop), o ile to możliwe. - Jeśli tak, to oznacza infekcję sieci / routera. - Jeśli nie: nagraj log z Process Monitor co się dzieje podczas używania przeglądarki Firefox. Uruchom program, następnie otwórz Firefox i doprowadź do efektu pokazania się tych wyników wyszukiwania. Zakończ nagrywanie w Process Monitor klikając w ikonę lupki na pasku narzędzi (ma się przekreślić). Zapisz log w formacie *.PML. Log spakuj do ZIP i shostuj gdzieś podając link. Materiały będą spore i nie mogę obiecać szybkiej analizy. Odnośnik do komentarza
Misza Opublikowano 31 Lipca 2018 Autor Zgłoś Udostępnij Opublikowano 31 Lipca 2018 Nie ma problemu na innym komputerze, ani laptopie. Mam nagrać log z używania przeglądarki Firefox? Wyraźnie napisałem, że problem nie występuje na tej przeglądarce (patrz pierwszy post), więc nie mam jak doprowadzić do pokazania się tych wyników wyszukiwania. Odnośnik do komentarza
picasso Opublikowano 31 Lipca 2018 Zgłoś Udostępnij Opublikowano 31 Lipca 2018 Przepraszam, wpisałam Firefox na zasadzie reakcji Pawłowa. Chodzi mi oczywiście o dowolną przeglądarkę która pokazuje ten defekt. Odnośnik do komentarza
picasso Opublikowano 1 Sierpnia 2018 Zgłoś Udostępnij Opublikowano 1 Sierpnia 2018 U Ciebie do wykonania podobny skrypt FRST jak w drugim temacie: CloseProcesses: CreateRestorePoint: R1 ntknsv; C:\WINDOWS\System32\drivers\ntknsv.sys [126880 2018-04-11] () C:\WINDOWS\System32\drivers\ntknsv.sys Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
ibiza Opublikowano 2 Sierpnia 2018 Zgłoś Udostępnij Opublikowano 2 Sierpnia 2018 Cześć, ja miałam do dzisiaj identyczny problem, po długich poszukiwaniach pomocy na zagranicznych forach już prawie odpuściłam, ale pomocny okazał się wpis o programie kaspersky virus removal tool. Wiem, że to nie jest wytłumaczenia skąd ten wirus się bierze, ale dopiero wyżej wspomniany program go usunął. Wcześniej próbowałam wszystkich rekomendowanych programów i solucji odnośnie tego problemu, ale nic nie pomagało. Spróbuj, może akurat Odnośnik do komentarza
Miszel03 Opublikowano 2 Sierpnia 2018 Zgłoś Udostępnij Opublikowano 2 Sierpnia 2018 Ibiza, sterownik malware został już odnaleziony (picasso zadała go do usunięcia w swoim poście). To on jest przyczyną tego przekierunkowania. Odnośnik do komentarza
Misza Opublikowano 4 Sierpnia 2018 Autor Zgłoś Udostępnij Opublikowano 4 Sierpnia 2018 Witam po przerwie, Dzisiaj miałem nagrywać tym ProcessMonitorem, a tu się okazuje, że MalwareBytes coś znalazło i usunąłem. Przekierowania nie ma. To samo co napisała picasso. Dziękuje za pomoc i chęci! Odnośnik do komentarza
Miszel03 Opublikowano 4 Sierpnia 2018 Zgłoś Udostępnij Opublikowano 4 Sierpnia 2018 Cieszę się, że problem rozwiązany. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. W razie pytań pozostaje do dyspozycji. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się