Skocz do zawartości

coldsearch.com przekierowuje każde wyszukiwanie


Rekomendowane odpowiedzi

Od dwóch tygodni każda fraza i adres strony, który wpisuje w omniboksie w Chrome zostaje przekierowana przez stronę coldsearch.com.

 

  1. Przejrzałam zainstalowane programy i nie znalazłam niczego niepokojącego.
  2. Reinstalowałam Chrome i to także nie pomogło.
  3. Wykonałam skan Adw Cleanerem i użyłam przycisku napraw oraz oczyściłam CCleanerem - bez rezultatów.
  4. Zrobiłam skan programem STOPzilla, który wykrył Trojana na moim komputerze. Nie była to wersja pełna, więc nic nie zdziałałam.
  5. Z czasem pojawiła się wyszukiwarka Bing, którą próbowałam zmienić z powrotem na Google, ale w ustawieniach Chrome jak gdyby nigdy nic widnieje, że domyślną wyszukiwarką jest Google.
  6. Zdarza się, że po wpisaniu frazy do omniboksa wyskakuje 505 Bad Gateway.
  7. Czasem skopiowana przeze mnie fraza zostają skrócone do jednego wyrazu przy wyszukiwaniu.
  8. Zainstalowałam FRST oraz zrobiłam skany. Przeszukałam dysk za pomocą GMER. Wszystkie pliki są w załącznikach.
  9. Zniknęły wszystkie punkty przywracania systemu, łącznie z tym automatycznie utworzonym.
  10. Posiadam Windows 7 Ultimate 32-Bit
Potrzebuję fixlist aby naprawić ten problem oraz dalszych instrukcji postępowania.

FRST.txt

Addition.txt

Shortcut.txt

GMER.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Od dwóch tygodni każda fraza i adres strony, który wpisuje w omniboksie w Chrome zostaje przekierowana przez stronę coldsearch.com.

Problem w Google Chrome tworzą polityki blokujące jakieś funkcje przeglądarki oraz rozszerzenie Quick Menu kojarzone z przymusowymi instalacjami. Poza tym, widać odpadki innych śmieci adware (usługa "MustangService_2015_10_10" i zadania w Harmonogramie). Wszystko to pokłosie prawdopodobnie "Asystentów pobierania": KLIK.

 

 

Zrobiłam skan programem STOPzilla, który wykrył Trojana na moim komputerze. Nie była to wersja pełna, więc nic nie zdziałałam.

STOPzilla! to wątpliwy skaner, nie instaluj go już więcej.

 

 

Zniknęły wszystkie punkty przywracania systemu, łącznie z tym automatycznie utworzonym.

To akurat nie jest nic zadziwiającego. Magazyn kopii cieniowych ma ograniczone miejsce i system usuwa starsze punkty, by nowe się zmieściły.

 

 

Potrzebuję fixlist aby naprawić ten problem oraz dalszych instrukcji postępowania.

Fixlist to jedynie część procesu rozwiązywania problemów. Akcje do przeprowadzenia:

 

 

1. Odinstaluj: Adobe Flash Player 19 NPAPI (to wersja dla nieistniejącego tu Firefox), Java 8 Update 45 (starsza wersja).

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
S2 MustangService_2015_10_10; C:\ProgramData\TempMoudleSet\MustangSer26.exe [236816 2015-10-09] (MustangService)
S0 is3srv; system32\drivers\is3srv.sys [X]
S0 szkg5; system32\drivers\szkg.sys [X]
S0 szkgfs; system32\drivers\szkgfs.sys [X]
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
CHR HKLM\...\Chrome\Extension: [oggihoncmelambjaefiboekididcaffe] - C:\Users\Lucynka\AppData\Local\Google\Chrome\User Data\Default\Extensions\oggihoncmelambjaefiboekididcaffe.crx [2015-10-29]
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-1756971717-903987818-1331759138-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
SearchScopes: HKLM -> DefaultScope - brak wartości
SearchScopes: HKU\S-1-5-21-1756971717-903987818-1331759138-1000 -> {szukaj.gazeta.pl} URL = hxxp://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms}
Task: {1C3D8A9F-6C3F-4A46-9CAE-40F0CFBED781} - System32\Tasks\EasyProgress => c:\programdata\{844fa4f1-2bb1-d59c-844f-fa4f12bb93c4}\driver 3.exe 
Task: {4E3DE2F3-E71A-495C-B866-C74C6B93A6B9} - System32\Tasks\MagicKeeper => c:\programdata\{8633d1fd-ea70-b2f5-8633-3d1fdea747f7}\5254392802355984628b.exe 
Task: {57309A81-84A7-45B9-BBE2-81D8C5DCEFC2} - System32\Tasks\SizeFixer => c:\programdata\{26c77064-ad4b-edcf-26c7-77064ad4c192}\9168102286225661756b.exe 
Task: {7B57F7DA-0C9A-4646-9E8C-D0C2D059D68A} - System32\Tasks\DataEncrypt => c:\programdata\{b87b28c2-ddab-3b9e-b87b-b28c2ddaa30b}\2887833614186346724b.exe 
Task: C:\Windows\Tasks\DataEncrypt.job => c:\programdata\{b87b28c2-ddab-3b9e-b87b-b28c2ddaa30b}\2887833614186346724b.exe 
Task: C:\Windows\Tasks\EasyProgress.job => c:\programdata\{844fa4f1-2bb1-d59c-844f-fa4f12bb93c4}\driver 3.exe 
Task: C:\Windows\Tasks\MagicKeeper.job => c:\programdata\{8633d1fd-ea70-b2f5-8633-3d1fdea747f7}\5254392802355984628b.exe 
Task: C:\Windows\Tasks\SizeFixer.job => c:\programdata\{26c77064-ad4b-edcf-26c7-77064ad4c192}\9168102286225661756b.exe 
HKU\S-1-5-21-1756971717-903987818-1331759138-1000\Software\Classes\.exe: exefile => 
HKU\S-1-5-21-1756971717-903987818-1331759138-1000\Software\Classes\exefile: 
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
C:\ProgramData\STOPzilla!
C:\ProgramData\TempMoudleSet
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MgameEU
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR
C:\Users\Lucynka\AppData\Local\Microsoft\Windows\GameExplorer\{966E0570-968F-43C2-B2A5-307A6668962E}
C:\Users\Lucynka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MyHeritage.com
C:\Users\Lucynka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Okozo Desktop
C:\Users\Lucynka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR
C:\Windows\system32\Drivers\kgpcpy.cfg
DisableService: Mobile Partner. RunOuc
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. W Google Chrome:

  • Zresetuj synchronizację (o ile włączona): KLIK.
  • Ustawienia > karta Rozszerzenia > upewnij się, że zniknął obiekt Quick Menu.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone, więc ponownie je aktywuj.
4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\Lucynka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy zostały rozwiązane.

Odnośnik do komentarza

Sytuacja wygląda tak:

- Java nie jest obecnie poprawnie zainstalowana (w FRST Addition brak takiej pozycji na liście zainstalowanych), ale w systemie są odpadki wersji Java 31 widoczne na poziomie wtyczek do przeglądarek. Nie dość, że to uszkodzona instalacja, to jeszcze stara wersja, najnowsza to Java 66.

- By poprawnie usunąć te odpadki, trzeba posłużyć się specjalistycznym usuwaczem firmowym, przy czym ten usuwacz sam do swojego działania wymaga Java i nie może być użyty do usunięcia jedynej wersji Java obecnej w systemie (w tym przypadku te szczątki Java 31), musi mieć jakąś inną Java z którą zadziała.

- Dlatego masz zainstalować najnowszą Java 66, po tym uruchomić usuwacz do Java który skorzysta z Java 66, by skasować odpadki Java 31. Mam nadzieję, że ten trik zadziała, w przeciwnym wypadku trzeba będzie ręcznie wywalać Java 31.

Odnośnik do komentarza

1. Zainstalowałam najnowszą Javę po czym na stronie java.com wyświetlił mi się komunikat o Weryfikacji wersji oprogramowania. Czy mogę w związku z tym coś zrobić? Lubię przeglądarkę Chrome i korzystam z niej od wielu lat, więc nie chciałabym się z nią "rozstawać".

2. Po zainstalowaniu wyświetlił mi się także komunikat Asystent zgodności. Nie wiem co kliknąć, więc nie uruchomiłam jeszcze deinstalatora tak jak pisałaś. Co mam teraz zrobić?

post-16771-0-85360000-1450438080_thumb.gif

post-16771-0-05320000-1450438403_thumb.png

Odnośnik do komentarza

1. Zainstalowałam najnowszą Javę po czym na stronie java.com wyświetlił mi się komunikat o Weryfikacji wersji oprogramowania. Czy mogę w związku z tym coś zrobić? Lubię przeglądarkę Chrome i korzystam z niej od wielu lat, więc nie chciałabym się z nią "rozstawać".

Wszystko się zgadza i tu nie nastąpiły żadne "niepożądane" zmiany, stan był taki od samego początku. W pierwszym poście podany log FRST Addition pokazuje, że miałaś zainstalowane Google Chrome 47.0.2526.73. Google Chrome nie obsługuje wtyczek NPAPI (czyli m.in. Java) już od wersji 42. Aspekt wtyczek rozpisany w przyklejonym temacie: KLIK. Cytując fragment:

 

Architekturę wtyczek możemy podzielić na: ActiveX (Internet Explorer), NPAPI (Firefox i pochodne), PPAPI (Google Chrome, Opera i pochodne). Programy mające oznaczenie "NPAPI" na pomarańczowo nie są w ogóle obsługiwane przez Google Chrome i Microsoft Edge.

 

Firefox: Powoli jest wycofywane wsparcie dla wtyczek NPAPI (m.in. Java i Silverlight), za wyjątkiem Adobe Flash. Brak obsługi w Firefox 32-bit zostanie wdrożony do końca roku 2016. A nowa edycja Firefox 64-bit jest pozbawiona tej obsługi out-of-box.

NPAPI Plugins in Firefox

 

Google Chrome 42 i nowsze: Jedyny obsługiwany typ wtyczek to PPAPI. Wtyczki NPAPI (m.in. Java i Silverlight) nie są już obsługiwane: od wersji 42 są domyślnie blokowane i niewidzialne na liście wtyczek, od wersji 45 kompletny brak obsługi.

Treści wymagające wtyczek nie działają w Chrome

 

Opera 24 i nowsze: Na chwilę obecną są jeszcze obsługiwane dwa typy wtyczek, tzn. PPAPI i NPAPI, ale długofalowa obsługa NPAPI jest pod znakiem zapytania.

 

Microsoft Edge: Przeglądarka ma wbudowany z biegu Adobe Flash. Nie są obsługiwane żadne zewnętrzne wtyczki (m.in. Java i Silverlight).

 

 

Java to tu była aktualizowana pod kątem Internet Explorer, bo to w nim siedziała.

 

 

2. Po zainstalowaniu wyświetlił mi się także komunikat Asystent zgodności. Nie wiem co kliknąć, więc nie uruchomiłam jeszcze deinstalatora tak jak pisałaś. Co mam teraz zrobić?

Klik w "Ten program jest zainstalowany poprawnie". I dostarcz raporty FRST.txt + Addition.txt.

Odnośnik do komentarza

Instalator najnowszej Java wywalił starą i teraz w Internet Explorer jest już najnowsza wersja 66. Wszystko zrobione. Kończymy:

 

1. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK.

 

2. Usuń plik utworzony przez GMER C:\pxddypow.sys oraz samego GMERa z Pobranych. Następnie popraw jeszcze za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Odnośnik do komentarza

Nic się nie stanie, zatwierdź komunikat. To plik wyekstraktowany przez GMER i zbędny już po jego skanie, z Twojego raportu FRST:

 

2015-12-08 15:45 - 2015-12-08 15:45 - 00104960 _____ (GMER) C:\pxddypow.sys

2015-12-08 04:29 - 2015-12-08 04:29 - 00380416 _____ C:\Users\Lucynka\Downloads\xz0ufrpx.exe

2015-12-08 03:14 - 2015-12-18 14:41 - 00000000 ____D C:\FRST

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...