Witamy na forum PC Format Zapraszamy do REJESTRACJI


Użytkownicy przeglądający ten wątek: 1 gości

Samoistne otwieranie stron w przeglądarce, uruchamianie obcej przeglądarki

#1
Samoistne otwieranie stron w przeglądarce, uruchamianie obcej przeglądarki
Witam
Trafiłem tutaj, ponieważ od kilku dni mam problem z niechcianym oprogramowaniem na swoim komputerze. Powoduje ono otwieranie stron z reklamami i ogłoszeniami. Wcześniej również otwierała się dodatkowa przeglądarka UC (wszystkie napisy w jakimś azjatyckim języku...), którą udało mi się odinstalować, po kilku nieudanych podejściach.
W internecie znalazłem kilka podobnych tematów i korzystając z zawartych tam informacji rozpocząłem nierówną walkę z malware.
Przeskanowałem komputer ADWCleanerem. Próbowałem usunąć to co wykrył w/w program, ale po ponad 3 godzinach mielenia wyłączyłem program, gdyż nie odpowiadał...
Przeskanowałem również komputer FRST.

Oto logi:

http://forum.pcformat.pl/attachment.php?aid=51077

http://forum.pcformat.pl/attachment.php?aid=51078

http://forum.pcformat.pl/attachment.php?aid=51079


Zwracam się z prośbą o pomoc w oczyszczeniu komputera. Wiem, że zawsze mogę pójść w stronę format C, ale chciałbym tego uniknąć.
Pozdrawiam i z góry dziękuję za pomoc.
 System operacyjny: windows_ten Przeglądarka: chrome
#2
RE: Samoistne otwieranie stron w przeglądarce, uruchamianie obcej przeglądarki
Cytat:YTD Video Downloader 5.6 (HKLM-x32\...\{1a413f37-ed88-4fec-9666-5c48dc4b7bb7}) (Version: 5.6 - GreenTree Applications SRL) <==== UWAGA

tego nie daję do usuwania - sam to używam, i uważam, że jego szkodliwość jest znikoma.

1) Otwórz Notatnik i wklej w nim:

Cytat:Task: {E1236BC9-B8AF-4A58-8339-BD30BA6CC641} - System32\Tasks\Ateredomkefisp Cache => C:\Program Files (x86)\Ateredomkefisp\AteredomkefispCchtask.exe <==== UWAGA
C:\Program Files (x86)\Ateredomkefisp
ShortcutWithArgument: C:\Users\Ark\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> "hxxp://trustedsurf.com/?ssid=1464714048&a=1054904&src=sh&uuid=97e133b2-b842-460c-8256-7974a00f4e78"
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP%
ShortcutWithArgument: C:\Users\Public\Desktop\WarThunder.lnk -> C:\Gry\WarThunder\launcher.exe (Gaijin Entertainment) -> "hxxp://trustedsurf.com/?ssid=1464714048&a=1054904&src=sh&uuid=97e133b2-b842-460c-8256-7974a00f4e78"
AutoConfigURL: [S-1-5-21-907771679-1080660958-2233815805-1002] => hxxp://unstops.biz/wpad.dat?b1d22a25577e737f77761b4326a29fd810830180
ManualProxies: 0hxxp://unstops.biz/wpad.dat?b1d22a25577e737f77761b4326a29fd810830180
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
HKU\S-1-5-21-907771679-1080660958-2233815805-1002\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptDmAAowB_7OeTW4QdJf0uCUw0DPQdssYI0h9rfwHQXPABQy22VxvsGOOW4CqNxEYXWmXpzjXpLPITudIO1CBCR9plnVfKoYaWj5Z4GZq8PFevsqxNLj6pamZ0Oj7wuvoDUW0NNPl03m5t_ykHeZKQ-ktCMx-zWw,,&q={searchTerms}
HKU\S-1-5-21-907771679-1080660958-2233815805-1002\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptDmAAowB_7OeTW4QdJf0uCUw0DPQdssYI0h9rfwHQXPABQy22VxvsGOOW4CqNxEYXWmXpzjXpLPITudIO1CBCR9plnVfKoYaWj5Z4GZq8PFevsqxNLj6pamZ0Oj7wuvoDUW0NNPl03m5t_ykHeZKQ-ktCMx-zWw,,&q={searchTerms}
HKU\S-1-5-21-907771679-1080660958-2233815805-1002\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptDmAAowB_7OeTW4QdJf0uCUw0DPQdssYI0h9rfwHQXPABQy22VxvsGOOW4CqNxEYXWmXpzjXpLPITudIO1CBCR9plnVfKoYaWj5Z4GZq8PFevsqxNLj6pamZ0Oj7wuvoDUW0NNPl03m5t_ykHeZKQ-ktCMx-zWw,,&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptDmAAowB_7OeTW4QdJf0uCUw0DPQdssYI0h9rfwHQXPABQy22VxvsGOOW4CqNxEYXWmXpzjXpLPITudIO1CBCR9plnVfKoYaWj5Z4GZq8PFevsqxNLj6pamZ0Oj7wuvoDUW0NNPl03m5t_ykHeZKQ-ktCMx-zWw,,&q={searchTerms}
SearchScopes: HKU\S-1-5-21-907771679-1080660958-2233815805-1002 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBVRmzv2pJwNObeR_98Utx3C8ptDmAAowB_7OeTW4QdJf0uCUw0DPQdssYI0h9rfwHQXPABQy22VxvsGOOW4CqNxEYXWmXpzjXpLPITudIO1CBCR9plnVfKoYaWj5Z4GZq8PFevsqxNLj6pamZ0Oj7wuvoDUW0NNPl03m5t_ykHeZKQ-ktCMx-zWw,,&q={searchTerms}
CHR HomePage: ChromeDefaultData -> hxxp://d2ucfwpxlh3zh3.cloudfront.net/?ts=AHEqB3QlB3IpAU..&v=20160531&uid=A00C620D68414E7933AB229EEC59033D&ptid=ftp&mode=loadm
CHR StartupUrls: ChromeDefaultData -> "hxxp://d2ucfwpxlh3zh3.cloudfront.net/?ts=AHEqB3QlB3IpAU..&v=20160531&uid=A00C620D68414E7933AB229EEC59033D&ptid=ftp&mode=loadm"
R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [80768 2016-04-25] (Huorong Borui (Beijing) Technology Co., Ltd.)
S3 cpuz138; \??\C:\Users\Ark\AppData\Local\Temp\cpuz138\cpuz138_x64.sys [X]
C:\Users\Ark\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
C:\Windows\System32\DRIVERS\ucguard.sys
2016-05-31 19:02 - 2016-05-31 19:08 - 00000000 ____D C:\ProgramData\Holdtam
2016-05-31 19:02 - 2016-05-31 19:02 - 06859776 _____ C:\Users\Ark\AppData\Roaming\agent.dat
2016-05-31 19:02 - 2016-05-31 19:02 - 02279413 _____ C:\Users\Ark\AppData\Roaming\Geolab.bin
2016-05-31 19:02 - 2016-05-31 19:02 - 01756999 _____ C:\Users\Ark\AppData\Roaming\Matfresh.tst
2016-05-31 19:02 - 2016-05-31 19:02 - 00126464 _____ C:\Users\Ark\AppData\Roaming\noah.dat
2016-05-31 19:02 - 2016-05-31 19:02 - 00067776 _____ C:\Users\Ark\AppData\Roaming\Config.xml
2016-05-31 19:02 - 2016-05-31 19:02 - 00018432 _____ C:\Users\Ark\AppData\Roaming\Main.dat
2016-05-31 19:02 - 2016-05-31 19:02 - 00000000 ____D C:\Users\Ark\AppData\Roaming\Mozilla
2016-05-31 19:02 - 2016-05-31 19:02 - 00000000 ____D C:\ProgramData\Holdtams
2016-05-31 19:01 - 2016-05-31 19:02 - 00005568 _____ C:\Users\Ark\AppData\Roaming\md.xml
2016-05-31 19:01 - 2016-05-31 19:01 - 00782848 _____ C:\Users\Ark\AppData\Roaming\TreeFan.exe
2016-05-31 19:01 - 2016-05-31 19:01 - 00782848 _____ C:\Users\Ark\AppData\Roaming\Matfresh.exe
2016-05-31 19:01 - 2016-05-31 19:01 - 00128512 _____ C:\Users\Ark\AppData\Roaming\Installer.dat
2016-05-31 19:01 - 2016-05-31 19:01 - 00126464 _____ C:\Users\Ark\AppData\Roaming\lobby.dat
2016-05-31 19:01 - 2016-05-31 19:01 - 00072820 _____ C:\Users\Ark\AppData\Roaming\TreeFan.tst
2016-05-31 19:01 - 2016-05-31 19:01 - 00054272 _____ C:\Users\Ark\AppData\Roaming\ApplicationHosting.dat
2016-05-31 19:01 - 2016-05-31 19:01 - 00018432 _____ C:\Users\Ark\AppData\Roaming\InstallationConfiguration.xml
2016-05-31 19:01 - 2016-05-31 19:01 - 00000000 ____D C:\ProgramData\CloudPrinter
C:\Device
C:\Users\Ark\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108
C:\Users\Ark\AppData\Local\csdi_monetize_120160530
C:\Users\Ark\daemonprocess.txt
DeleteKey: HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\EVENTLOG\APPLICATION\Application Hosting
DeleteKey: HKLM\SOFTWARE\Classes\UCHTML
DeleteKey: HKLM\SOFTWARE\Classes\UCHTML.AssocFile.CRX
DeleteKey: HKLM\SOFTWARE\Classes\UCHTML.AssocFile.HTM
DeleteKey: HKLM\SOFTWARE\Classes\UCHTML.AssocFile.HTML
DeleteKey: HKLM\SOFTWARE\Classes\UCHTML.AssocFile.MHT
DeleteKey: HKLM\SOFTWARE\Classes\UCHTML.AssocFile.SHTM
DeleteKey: HKLM\SOFTWARE\Classes\UCHTML.AssocFile.SHTML
DeleteKey: HKLM\SOFTWARE\Classes\UCHTML.AssocFile.WEBP
DeleteKey: HKLM\SOFTWARE\Classes\UCHTML.AssocFile.XHT
DeleteKey: HKLM\SOFTWARE\Classes\UCHTML.AssocFile.XHTML
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\MICROSOFT\OTUT
DeleteKey: HKCU\Software\MICROSOFT\IDSC
DeleteKey: HKCU\Software\csastats
DeleteKey: HKCU\Software\UCBrowser
DeleteKey: HKCU\Software\UCBrowserPID
DeleteKey: HKLM\SOFTWARE\{E6276374-DE18-4AA5-A365-9016A2F98A2D}
DeleteKey: HKLM\SOFTWARE\UCBrowser
DeleteKey: HKLM\SOFTWARE\UCBrowserPID
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{1a413f37-ed88-4fec-9666-5c48dc4b7bb7}
DeleteKey: HKU\S-1-5-21-907771679-1080660958-2233815805-1002\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKU\S-1-5-21-907771679-1080660958-2233815805-1002\Software\MICROSOFT\OTUT
DeleteKey: HKU\S-1-5-21-907771679-1080660958-2233815805-1002\Software\MICROSOFT\IDSC
DeleteKey: HKU\S-1-5-21-907771679-1080660958-2233815805-1002\Software\csastats
DeleteKey: HKU\S-1-5-21-907771679-1080660958-2233815805-1002\Software\UCBrowser
DeleteKey: HKU\S-1-5-21-907771679-1080660958-2233815805-1002\Software\UCBrowserPID
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\Application Hosting
DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\EventLog\Application\ProntSpooler
EmptyTemp:
>>Menu Notatnika >> Plik >>

>>Zapisz jako >>
Nazwa pliku: fixlist
Zapisz jako typ: Dokumenty tekstowe
Kodowanie: UTF -8
>>Zapisz
Plik umieść w folderze D:\Instalki\System
Uruchom FRST i kliknij przycisk Fix (NAPRAW).

2) Zrób nowe logi FRST.
przed skanem zaznacz: Additional.txt Shortcut.txt,

3) Zrób nowy log z Adw-Cleaner.
.
 System operacyjny: windows_seven Przeglądarka: seamonkey
#3
RE: Samoistne otwieranie stron w przeglądarce, uruchamianie obcej przeglądarki
Cytat:2) Zrób nowe logi FRST.
przed skanem zaznacz: Additional.txt Shortcut.txt,

3) Zrób nowy log z Adw-Cleaner.


.txt   Addition.txt (Rozmiar: 103,15 KB / Pobrań: 39)

.txt   AdwCleaner[S4].txt (Rozmiar: 2,41 KB / Pobrań: 21)

.txt   FRST.txt (Rozmiar: 57,81 KB / Pobrań: 31)

.txt   Shortcut.txt (Rozmiar: 44,86 KB / Pobrań: 36)

Wygląda na to, że uwolniłeś mnie od Rozpacz , ale oceń to jeszcze po logach. Z góry bardzo dziękuję, bo zaoszczędziłeś mi sporo czasu, którego musiałbym poświęcić na ponowną instalację po formacie.
Dziękuję  Piwo
 System operacyjny: windows_ten Przeglądarka: chrome
#4
RE: Samoistne otwieranie stron w przeglądarce, uruchamianie obcej przeglądarki
Otwórz Notatnik i wklej w nim:

Cytat:C:\ProgramData\Logic Handler
CMD: fltmc instances
DeleteKey: HKLM\SOFTWARE\Microsoft\MediaPlayer\ShimInclusionList\UCBrowser.exe
DeleteKey: HKLM\SOFTWARE\{E6276374-DE18-4AA5-A365-9016A2F98A2D}
DeleteKey: HKLM\SOFTWARE\UCBrowser
DeleteKey: HKLM\SOFTWARE\UCBrowserPID
DeleteKey: HKLM\SOFTWARE\Microsoft\{94ebd7b5-82ae-449t-b679-3d04078ed154}
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).
Powstanie plik fixlog.txt.
Daj ten log.

Zrób nowy log Adw-Cleaner.
.
 System operacyjny: windows_seven Przeglądarka: seamonkey
#5
RE: Samoistne otwieranie stron w przeglądarce, uruchamianie obcej przeglądarki

.txt   Fixlog.txt (Rozmiar: 4,34 KB / Pobrań: 23)


.txt   AdwCleaner[S5].txt (Rozmiar: 2,35 KB / Pobrań: 109)

Tak to aktualnie wygląda. ADWCleanera użyłem tylko do skanowania. Nie uruchamiałem oczyszczania.
 System operacyjny: windows_ten Przeglądarka: chrome
#6
RE: Samoistne otwieranie stron w przeglądarce, uruchamianie obcej przeglądarki
1) Do Notatnika wklej:

Kod:
Windows Registry Editor Version 5.00

[HKEY_Curent_User\Environment]
"SNF"=-

[HKEY_Curent_User\Environment]
"SNP"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\RegisteredApplications]
"UCBrowser"=-
Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >> plik uruchom (dwuklik i OK). 

2) Otwórz Notatnik i wklej w nim:

Cytat:DeleteKey: HKLM\SOFTWARE\Microsoft\MediaPlayer\ShimInclusionList\UCBrowser.exe
DeleteKey: HKLM\SOFTWARE\UCBrowser
DeleteKey: HKLM\SOFTWARE\UCBrowserPID
DeleteKey: HKLM\SOFTWARE\{E6276374-DE18-4AA5-A365-9016A2F98A2D}
EmptyTemp:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix (NAPRAW).
Powstanie plik fixlog.txt.
Daj ten log.

3) Uruchom FRST.

W polu SEARCH (SZUKAJ) wklej:
Cytat:UCBrowser; SNF; SNP;
kliknij na przycisk "Search Registry" (Szukaj w Rejestrze).
Raport z tego będzie tam, gdzie jest FRST.
.
 System operacyjny: windows_seven Przeglądarka: seamonkey
#7
RE: Samoistne otwieranie stron w przeglądarce, uruchamianie obcej przeglądarki
Wyniki kolejnych działań:

.txt   Fixlog.txt (Rozmiar: 974 bajtów / Pobrań: 22)

.txt   Search.txt (Rozmiar: 1,17 KB / Pobrań: 18)
 System operacyjny: windows_ten Przeglądarka: chrome
#8
RE: Samoistne otwieranie stron w przeglądarce, uruchamianie obcej przeglądarki
Do Notatnika wklej:

Kod:
Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Active Setup\Installed Components\{65122CB0-EA0F-47DF-A953-017170ED12F9}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\UCBrowser]

[-HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\UCBrowserPID]

[-HKEY_USERS\S-1-5-21-907771679-1080660958-2233815805-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\UCBrowser.exe]
Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >> plik uruchom (dwuklik i OK).

Potem kończymy:
Otwórz Notatnik i wklej w nim:

Cytat:DeleteQuarantine:
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix (NAPRAW).
przez SHIFT+DEL usuń pozostały folder C:\FRST.

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).

Po najbliższym starcie komputera ręcznie usuniesz plik "Fix.Reg"
.
 System operacyjny: windows_seven Przeglądarka: seamonkey
#9
RE: Samoistne otwieranie stron w przeglądarce, uruchamianie obcej przeglądarki
Wszystko wykonane.
Plik fix.reg usunięty ręcznie.
Czy powinienem jeszcze jakoś przeskanować komputer, czy już wybiłeś mi wszystkie robaki?
 System operacyjny: windows_ten Przeglądarka: chrome
#10
RE: Samoistne otwieranie stron w przeglądarce, uruchamianie obcej przeglądarki
Powinno już być OK.
.
 System operacyjny: windows_seven Przeglądarka: seamonkey
Programy: Polecane / Nowe / Inne




Podobne wątki (Samoistne otwieranie stron w przeglądarce, uruchamianie obcej przeglądarki)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  samoczynne otwieranie się stron baro990 6 4351 14.04.2019, 11:38
Ostatni post: baro990
  Samoistne włączanie się wiersza poleceń po starcie systemu dipladoks.org shivy 1 3837 12.04.2019, 20:08
Ostatni post: morderca
  Samoistne otwieranie niechcianych stron Google Chrome Cloud 6 4110 03.04.2019, 13:47
Ostatni post: Cloud

Skocz do:


Wybrane wątki (Samoistne otwieranie stron w przeglądarce, uruchamianie obcej przeglądarki)
Wątek: Autor Odpowiedzi: Wyświetleń: Ostatni post
  WIrus, blokujący antywirusy Slaox 1 4976 24.05.2018 08:23
Ostatni post: morderca
  "svchost próbuje połączyć się z internetem" - Comodo Mojmor23 11 10760 20.05.2018 21:32
Ostatni post: Illidan
  Co poradzić na ataki DDoS ? Alpha_Centauri 0 4936 16.05.2018 23:18
Ostatni post: Alpha_Centauri
  Długie otwieranie się przeglądarki i sytemu ricardo59 8 5355 12.05.2018 17:56
Ostatni post: ricardo59
  Win32:Malware-gen vader00x 1 5355 08.05.2018 18:44
Ostatni post: morderca
  Czy ten antywirus mi zadziała,jaki antywirus jest dobry - wątek główny II pepe0619 111 149760 06.05.2018 21:35
Ostatni post: Illidan
  Niepotrzebne strony z firefox greg8403 1 5169 02.05.2018 17:50
Ostatni post: morderca
Sad Rosyjski wirus-Pomocy! Dodo9801 6 5439 30.04.2018 15:33
Ostatni post: Dodo9801
Ściana Kopalnia z svchost w tle Matieo96 3 6377 26.04.2018 01:49
Ostatni post: Illidan
  TeamViewer nie uruchamia się. ~Anonim 2 2310 26.04.2018 01:46
Ostatni post: Illidan
  zły obraz Win 7 orzel132 9 5980 24.04.2018 01:24
Ostatni post: Illidan
  Cloudflare "One more step" lotand 18 12097 19.04.2018 19:45
Ostatni post: AgentS
  SYSTEM_SERVICE_EXCEPTION cyberbrain666666 2 5739 02.04.2018 03:28
Ostatni post: Illidan
  Komputer wolniej chodzi,explorer.exe ma duży zasób procesu tayeenek 1 5155 29.03.2018 16:07
Ostatni post: Illidan
  hijack.host elwis_95 2 5538 26.03.2018 19:16
Ostatni post: ~Anonim