Wirus otwierający OffersByContext

[Gareth22]

Witam podczas przeglądania stron internetowych włączają mi się reklamy oraz strona offersbycontext. Usuwałem z przeglądarki Toolbar'y. Proszę bardzo o pomoc. Pozdrawiam

OTL.Txt

Extras.Txt

FRST.txt

Addition.txt

Shortcut.txt

[picasso]

Logi z DDS nie są obowiązkowe, usuwam. Brakuje za to GMER. Używałeś też ComboFix, a brak wzmianek o tym. Na dysku jest jego log C:\ComboFix.txt - przedstaw go. Dostarcz również logi z folderu C:\AdwCleaner.

 

 

podczas przeglądania stron internetowych włączają mi się reklamy oraz strona offersbycontext.Usuwałem z przeglądarki Toolbar'y.

Dostarcz zrzut ekranu pokazujący te reklamy. W raportach nic oczywistego związanego z tym. Pomijając stare przekierowania Babylon w Google Chrome, są tu następujące rozszerzenia zamontowane:

 

Chrome:

=======

CHR HomePage: Default -> hxxp://search.babylon.com/?affID=112555&tt=4512_1&babsrc=HP_ss&mntrId=c43edba400000000000070f1a10c42de

CHR StartupUrls: Default -> "hxxp://search.babylon.com/?affID=112555&tt=4512_1&babsrc=HP_ss&mntrId=c43edba400000000000070f1a10c42de"

CHR Extension: (Prezentacje Google) - C:\Users\michal\AppData\Local\Google\Chrome\User Data\Default\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2014-10-05]

CHR Extension: (RapidShare DownloadHelper) - C:\Users\michal\AppData\Local\Google\Chrome\User Data\Default\Extensions\afpbkpjjkfakdcakapanjoeijlphieei [2014-09-06]

CHR Extension: (Dokumenty Google) - C:\Users\michal\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2014-10-05]

CHR Extension: (Dysk Google) - C:\Users\michal\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2014-10-05]

CHR Extension: (YouTube) - C:\Users\michal\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2014-10-05]

CHR Extension: (Tiles) - C:\Users\michal\AppData\Local\Google\Chrome\User Data\Default\Extensions\bpjknlfokkbpdhafbdccnndgchglnfhj [2014-09-06]

CHR Extension: (Szukaj w Google) - C:\Users\michal\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2014-10-05]

CHR Extension: (Arkusze Google) - C:\Users\michal\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2014-10-05]

CHR Extension: (Adblock Super) - C:\Users\michal\AppData\Local\Google\Chrome\User Data\Default\Extensions\knebimhcckndhiglamoabbnifdkijidd [2014-09-06]

CHR Extension: (Real Madrid Theme) - C:\Users\michal\AppData\Local\Google\Chrome\User Data\Default\Extensions\mdaccghdncekgcpeiomoaldbbjhpglia [2014-10-05]

CHR Extension: (Google Wallet) - C:\Users\michal\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2014-09-06]

CHR Extension: (Gmail) - C:\Users\michal\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2014-10-05]

 

Podejrzenia budzi "RapidShare DownloadHelper" - nie ma go w oficjalnym sklepie Google Chrome, a obecnie to jeden z wyznaczników autoryzacji (rozszerzenia spoza sklepu są blokowane). Wstępnie:

 

 

1. Na początek deinstalacje:

 

- Przez Panel sterowania odinstaluj starą wersję Java™ 6 Update 29 oraz nadwyżkę antywirusów - proponuję pozbyć się Microsoft Security Essentials.

- Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis ArcaVir x64 Prerequistes > Dalej.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => No File
ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => No File
ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => No File
ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => No File
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=AV01
HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkID=226786&Mkt=pl-PL&Src=MSE&Tid=00002D7A&OHP=http%3A%2F%2Fdomredi.com%2F1%2F&OSP=http%3A%2F%2Fwww.google.com%2Fsearch%3Fq%3D{searchTerms}%26rls%3Dcom.microsoft%3A{language}%3A{referrer%3Asource%3F}%26ie%3D{inputEncoding}%26oe%3D{outputEncoding}%26sourceid%3Die7%26rlz%3D1I7TSEH_plPL397PL397
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=AV01
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Bar = http://www.msn.com/?pc=AV01
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM - {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = http://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE
SearchScopes: HKLM-x32 - {513350EB-0065-4CAC-A7BA-2B87F87F57AE} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033
SearchScopes: HKLM-x32 - {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01
SearchScopes: HKCU - {11BEB82F-DAE2-40DF-8E4B-8F8825E74D3B} URL = http://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&type=937811&p={searchTerms}
SearchScopes: HKCU - {513350EB-0065-4CAC-A7BA-2B87F87F57AE} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2481033
SearchScopes: HKCU - {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01
SearchScopes: HKCU - {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = http://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE
BHO: TinyBHO Class -> {00e71626-0bef-11dc-8314-0864264c9a64} -> C:\Users\michal\AppData\Roaming\DownloaderGold\ieplug.dll ()
BHO-x32: TinyBHO Class -> {00e71626-0bef-11dc-8314-0800200c9a66} -> C:\Users\michal\AppData\Roaming\DownloaderGold\ieplug.dll ()
BHO-x32: No Name -> {78F3A78C-DFF0-BB26-3802-C5689ACFE07E} -> No File
BHO-x32: BetTerrPriCeCheuc -> {9EC7F5CB-3A98-9475-FC4C-4010C29429CA} -> C:\ProgramData\BetTerrPriCeCheuc\xd.dll No File
Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
Task: {6C5973AD-5634-4571-97D3-3F7A6638AF87} - \InstallerTracingAgent No Task File 
Task: {767DF1A5-2A27-40FD-94DA-C8AFE4FD282C} - System32\Tasks\TuneUpUtilities_Task_BkGndMaintenance => C:\Program Files (x86)\TuneUp Utilities 2010\OneClick.exe
Task: {E3DC0FE0-419F-4C76-8814-99B8D5BAE1F1} - \ALL Update No Task File 
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service"
U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 RSUSBSTOR; System32\Drivers\RtsUStor.sys [X]
S3 RtsUIR; system32\DRIVERS\Rts516xIR.sys [X]
S3 USBCCID; system32\DRIVERS\RtsUCcid.sys [X]
C:\Program Files (x86)\Mozilla Firefox
C:\ProgramData\AVAST Software
C:\ProgramData\TEMP
C:\Users\michal\AppData\Local\Mozilla
C:\Users\michal\AppData\Roaming\DownloaderGold
C:\Users\michal\AppData\Roaming\Mozilla
C:\Users\michal\Downloads\yet_another_cleaner_avae.exe
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{1C52B8B6-FFA2-12F6-0A5A-E8301F96A568}
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{37476589-E48E-439E-A706-56189E2ED4C4}_is1
CMD: for /d %f in (C:\Users\michal\AppData\Local\{*}) do rd /s /q "%f"
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. W Google Chrome:

• Ustawienia > karta Rozszerzenia > odinstaluj podejrzany RapidShare DownloadHelper
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale wszystkie rozszerzenia zostaną wyłączone. Włącz je ponownie.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt i pozostałe wcześniej wspominane. Wypowiedz się czy są jakieś zmiany.

 

 

 

.

[Gareth22]

Oto zrzuty ekranu tych reklam:

 

 

 

1.Wykonałem deinstalacje

2.Wykonałem zadanie

3.Wykonałem zadanie

4.Logi:

 

Fixlog.txt

FRST.txt

 

Dołączam:

 

GMER.txt

ComboFix.txt

AdwCleanerS2.txt

 

Dodam, że problem wystepuje nadal, choć może z mniejszą intensywnością.

[picasso]

Czy na pewno wykonałeś tę akcję, bo nie ma w raporcie FRST śladów potwierdzających (nadal przekierowania Babylon):

 

• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale wszystkie rozszerzenia zostaną wyłączone. Włącz je ponownie.

Podaj mi też zawartość plików preferencji Google Chrome. Otwórz Notatnik i wklej w nim:

 

Folder: C:\Users\michal\AppData\Local\Google\Chrome\User Data\Default\Local Storage
CMD: type "C:\Users\michal\AppData\Local\Google\Chrome\User Data\Default\Preferences"
CMD: type "C:\Users\michal\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences"

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

 

.

[Gareth22]

Tak, wykonałem ten reset w chromie. oto plik o który byłem proszony:

 

Fixlog.txt

 

 

Obecnie cały czas wyskakuje mi takie coś i nie mam możliwości przeglądania stron jak i wyłączenia tego:

 

[picasso]

My tu mamy ten problem z rozszerzeniem-fantomem: KLIK. U Ciebie także jest rozszerzenie o identyfikatorze impaepofmnammebeenafgmllpnjaiime i magicznej ścieżce C:\Program Files\Google\Chrome\Application\Extensions\chrome\app:

 

         },
         "impaepofmnammebeenafgmllpnjaiime": {
            "active_permissions": {
               "api": [ "contextMenus", "cookies", "management", "notifications", "storage", "tabs" ],
               "explicit_host": [ "http://*/*", "https://*/*" ],
               "manifest_permissions": [  ],
               "scriptable_host": [ "http://*/*", "https://*/*" ]
            },
            "commands": {

            },
            "content_settings": [  ],
            "creation_flags": 38,
            "ephemeral_app": false,
            "events": [  ],
            "from_bookmark": false,
            "from_webstore": false,
            "granted_permissions": {
               "api": [ "contextMenus", "cookies", "management", "notifications", "storage", "tabs" ],
               "explicit_host": [ "http://*/*", "https://*/*" ],
               "manifest_permissions": [  ],
               "scriptable_host": [ "http://*/*", "https://*/*" ]
            },
            "incognito_content_settings": [  ],
            "incognito_preferences": {

            },
            "initial_keybindings_set": true,
            "install_time": "13057602783401220",
            "location": 8,
            "newAllowFileAccess": true,
            "path": "C:\\Program Files\\Google\\Chrome\\Application\\Extensions\\chrome\\app",
            "preferences": {

            },
            "regular_only_preferences": {

            },
            "state": 1,
            "was_installed_by_default": false,
            "was_installed_by_oem": false
         },

Zrób mi zrzuty ekranu z tych miejsc:

- Ustawienia > karta Rozszerzenia > włącz Tryb programisty i zrób zrzut ekranu obejmujący wszystkie rozszerzenia.

- Menu z opcjami > Google Chrome - Informacje pokazujące wersję i typ zainstalowanej przeglądarki.

 

Następnie:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
C:\Users\michal\AppData\Local\Google\Chrome\User Data\Default\Preferences
C:\Users\michal\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences
C:\Users\michal\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_impaepofmnammebeenafgmllpnjaiime_0.localstorage
C:\Users\michal\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_noocneohefmdhonidldnlhaainpiomkp_0.localstorage
C:\Users\michal\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_ls.hit.gemius.pl_0.localstorage
C:\Users\michal\AppData\Local\Google\Chrome\User Data\Default\Local Storage\http_ls.hit.gemius.pl_0.localstorage-journal
C:\Users\michal\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_d1qqddufal4d58.cloudfront.net_0.localstorage
C:\Users\michal\AppData\Local\Google\Chrome\User Data\Default\Local Storage\https_d1qqddufal4d58.cloudfront.net_0.localstorage-journal
Folder: C:\Program Files\Google\Chrome\Application
Folder: C:\Windows\system32\GroupPolicy
Folder: C:\Windows\system32\GroupPolicyUsers
Folder: C:\Windows\SysWOW64\GroupPolicy
Folder: C:\Windows\SysWOW64\GroupPolicyUsers
Reg: reg query "HKCU\Software\Microsoft\Internet Explorer\DOMStorage" /s
Reg: reg query "HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage" /s
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Powstanie kolejny fixlog.txt.

 

2. Uruchom Google Chrome, przebuduje preferencje. Podaj czy jest jakaś poprawa. I pokaż plik fixlog.txt.

 

 

.

[Gareth22]

oto screeny:

 

i fixlog:

Fixlog.txt

 

preferencje się zmieniły ale dalej ciągle wyskakuje komunikat:

 

czy się coś poprawiło? nie zauważyłem niestety poprawy.

[picasso]

Problemem jest rozszerzenie ShoppingDealFactory, kompletnie nie wykrywane przez skanery. Ponadto, myślę że jest tu dowód na koncepcję, którą zasugerowałam w ostatnim poście zlinkowanego pokrewnego tematu: masz zainstalowaną niestandardową niestabilną wersję Google Chrome typu dev-m. Moja koncepcja przewiduje, iż adware instaluje po cichu wersję eksperymentalną Chrome, by obejść wszystkie zabezpieczenia blokujące szkodliwe roszerzenia. Będziemy reinstalować Google Chrome na czysto:

 

1. Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.

 

2. Odinstaluj Google Chrome. Przy deinstalacji zatwierdź usuwanie danych użytkownika. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > sprawdź czy na liście widać Google Update Helper > jeśli tak to zaznacz > Dalej.

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
C:\Program Files\Google
C:\Program Files (x86)\Google
C:\Users\michal\AppData\Local\Google
DeleteKey: HKCU\Software\Google
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Powstanie plik fixlog.txt.

 

4. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.

 

5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz fixlog.txt.

 

 

 

.

[Gareth22]

Jeśli nie mam konta w chrome to nie mam włączonej synchronizacji no nie?

[picasso]

Zgadza się, więc możesz przejść do dalszych kroków.

[Gareth22]

Zrobiłem wszystko i wrzucam to o co prosiłeś:

 

FRST.txt

 

Fixlog_12-10-2014_22-47-56.txt

[picasso]

Ad "prosiłeś" = jestem kobietą. Google zostało przeinstalowane, tak więc powiedz mi czy wszystkie problemy ustały.

[Gareth22]

Przepraszam najmocniej jak na razie problemy ustały. Dziękuję bardzo za pomoc.

[Cisowiaka]

HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=AV01

HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://go.microsoft.com/fwlink/?LinkID=226786&Mkt=pl-PL&Src=MSE&Tid=00002D7A&OHP=http%3A%2F%2Fdomredi.com%2F1%2F&OSP=http%3A%2F%2Fwww.google.com%2Fsearch%3Fq%3D{searchTerms}%26rls%3Dcom.microsoft%3A{language}%3A{referrer%3Asource%3F}%26ie%3D{inputEncoding}%26oe%3D{outputEncoding}%26sourceid%3Die7%26rlz%3D1I7TSEH_plPL397PL397

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=AV01

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Bar = http://www.msn.com/?pc=AV01

Sta

 

co w tych wpisach jest nie tak, czym one się wyrózniają że należy usuwać

[picasso]

Gareth22

Finalizujemy sprawy:

1. Usuń używane narzędzia za pomocą DelFix.

2. Wyczyść foldery Przywracania systemu: KLIK.


Cisowiaka

 

W spoilerze objaśnienia, bo to offtopik.

 

 

Wszystko co się pokazuje w FRST na ustawieniu Whitelist nie jest domyślnym ustawieniem systemu, domyślne widać po wyłączeniu Whitelist. W zależności od tego co widzę usuwam niedomyślne nieszkodliwe wpisy, np. by posprzątać preferencje zawalone czymś. A czasem tego nie robię. W tym przypadku mamy replikację tych samych wyszukiwarek, tylko o innym pochodzeniu, co wskazuje identyfikator OEM. Są to wszyszukiwarki Bing dodane przez instalacje antywirusów:

SearchScopes: HKCU - {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = hxxp://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01
SearchScopes: HKCU - {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE

I porównaj z OTL, który ma mniej silne filtrowanie i pokazuje również domyślną wyszukiwarkę preinstalowaną z systemem. Są tu trzy wyszukiwarki Bing, pierwsza pozycja jest defaultem (w FRST widoczna po wyłączeniu Whiltelist):
 
IE - HKCU\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC
IE - HKCU\..\SearchScopes\{632F07F3-19A1-4d16-A23F-E6CE9486BAB5}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01
IE - HKCU\..\SearchScopes\{80c554b9-c7f8-4a21-9471-06d606da78a2}: "URL" = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE
 
Toteż usuwam nadmiar zostawiając tylko Bing domyślny. Dodatkowo, wpisy Avast to odpadki, program został odinstalowany.

 

Zaś wpis "First Home Page" ma szkodliwy odnośnik. I wklej cały ten URL do przeglądarki, a sam zobaczysz co się pokaże.

hxxp://go.microsoft.com/fwlink/?LinkID=226786&Mkt=pl-PL&Src=MSE&Tid=00002D7A&OHP=http%3A%2F%2Fdomredi.com%2F1%2F&OSP=http%3A%2F%2Fwww.google.com%2Fsearch%3Fq%3D%7BsearchTerms%7D%26rls%3Dcom.microsoft%3A%7Blanguage%7D%3A%7Breferrer%3Asource%3F%7D%26ie%3D%7BinputEncoding%7D%26oe%3D%7BoutputEncoding%7D%26sourceid%3Die7%26rlz%3D1I7TSEH_plPL397PL397
 

 

Przy kolejnych pytaniach na temat URL wyglądających na poprawne samodzielnie się zastanów co takiego jest w ciągu URL, bo nie sposób tłumaczyć wszystkiego. Jest tu nieskończona ilość możliwości, a moje decyzje są uzależnione od bardzo wielu czynników (zainstalowane programy, korelacja z innymi ustawieniami, pochodzenie modyfikacji etc.).

 

 

 

.

[Cisowiaka]

Wielkie dzięki