Niechciane strony po wyszukaniu w google

**Posty:** 3 · przez **grippo** 19 Paź 2012, 23:22

Witam,

Wchodzę na google i szukam jakieś frazy np. pogoda. Wyświetlają mi się linki do kilkunastu stron. Biorę jakąkolwiek (bez różnicy którą bo zawsze jest tak samo) i otwieram w nowym oknie lub karcie.

Problem w tym że wtedy zamiast danej strony (o pogodzie jak w przykładzie) otwierają się zupełnie inne. Występuje jakieś przekierowanie. Strony są od typowo reklamowych do xxx.

Mając dzieci nie mogę sobie na to pozwolić. Część tych stron antywirus blokuje jako niebezpieczne ale nie wszystkie.

Proszę o pomoc jak się tego pozbyć. Logi z OTL w załączeniu.

Pozdr,

**Posty:** 205 · przez **defacto19** 20 Paź 2012, 09:44

Uruchom OTL i w sekcji Własne opcje skanowania /Skrypt wklej:

:OTL
IE:64bit: - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = http://search.ask.com/web?q={searchterms}&l=dis&o=HPNTDF
IE:64bit: - HKLM\..\SearchScopes\{b7fca997-d0fb-4fe0-8afd-255e89cf9671}: "URL" = http://search.yahoo.com/search?p={searchTerms}&ei={inputEncoding}&fr=chr-hp-psg&type=HPNTDF
IE:64bit: - HKLM\..\SearchScopes\{D944BB61-2E34-4DBF-A683-47E505C587DC}: "URL" = http://rover.ebay.com/rover/1/711-30572-11896-2/4?mpre=http://shop.ebay.com/?_nkw={searchTerms}
IE - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = http://search.ask.com/web?q={searchterms}&l=dis&o=HPNTDF
IE - HKLM\..\SearchScopes\{b7fca997-d0fb-4fe0-8afd-255e89cf9671}: "URL" = http://search.yahoo.com/search?p={searchTerms}&ei={inputEncoding}&fr=chr-hp-psg&type=HPNTDF
IE - HKLM\..\SearchScopes\{D944BB61-2E34-4DBF-A683-47E505C587DC}: "URL" = http://rover.ebay.com/rover/1/711-30572-11896-2/4?mpre=http://shop.ebay.com/?_nkw={searchTerms}
IE - HKU\S-1-5-21-2086399652-42710704-3469249723-1000\..\SearchScopes\{79577BC9-7E46-4837-B4C2-D6597FCE4A31}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=&apn_dtid=OSJ000&apn_uid=65F7E483-78B6-4017-82AD-0176943A48F9&apn_sauid=E6DE88E3-C129-431F-9785-F8ED8121C16B
FF - prefs.js..browser.search.defaultengine: "Google"
FF - prefs.js..browser.search.defaultenginename: "Google"
FF - prefs.js..browser.search.order.1: "Ask.com"
[2012/09/21 11:59:48 | 000,002,299 | ---- | M] () -- C:\Users\dv7\AppData\Roaming\mozilla\firefox\profiles\gu6apmym.default\searchplugins\askcom.xml
O3 - HKU\S-1-5-21-2086399652-42710704-3469249723-1000\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O4 - HKU\S-1-5-21-2086399652-42710704-3469249723-1000..\Run: [Nwmzo] C:\Users\dv7\AppData\Roaming\KBDCZ1T.dll ()
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O8:64bit: - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200 File not found
O8:64bit: - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\OFFICE11\EXCEL.EXE/3000 File not found

:Files
C:\Users\dv7\AppData\Roaming\KBDCZ1T.dll
C:\WINDOWS\tasks\*.job

:Commands
[emptytemp]

Kliknij wykonaj skrypt. Zatwierdź restart komputera.

Uruchom AdwCleaner z opcji Delete.

Następnie Uruchom OTL ponownie i kliknij Skanuj. Pokaż nowy log z OTL (bez extras) oraz raport z Adwcleaner.

**Posty:** 3 · przez **grippo** 21 Paź 2012, 21:31

Witaj,

Zrobiłem jak powiedziałeś. W załączeniu logi. Na razie nie widzę efektów ale sprawdzę wszystko w najbliższym czasie. Z góry wielkie dzięki!

**Posty:** 205 · przez **defacto19** 22 Paź 2012, 11:02

Uruchom OTL i w sekcji Własne opcje skanowania /Skrypt wklej:

:OTL
MOD - [2012/10/21 21:00:21 | 001,024,024 | ---- | M] () -- C:\Users\dv7\AppData\Local\Temp\_MEI28882\windows._cacheinvalidation.pyd
MOD - [2012/10/21 21:00:21 | 000,792,576 | ---- | M] () -- C:\Users\dv7\AppData\Local\Temp\_MEI28882\wx._gdi_.pyd
MOD - [2012/10/21 21:00:21 | 000,731,136 | ---- | M] () -- C:\Users\dv7\AppData\Local\Temp\_MEI28882\wx._misc_.pyd
MOD - [2012/10/21 21:00:21 | 000,571,392 | ---- | M] () -- C:\Users\dv7\AppData\Local\Temp\_MEI28882\pysqlite2._sqlite.pyd
MOD - [2012/10/21 21:00:21 | 000,354,304 | ---- | M] () -- C:\Users\dv7\AppData\Local\Temp\_MEI28882\pythoncom26.dll
MOD - [2012/10/21 21:00:21 | 000,263,168 | ---- | M] () -- C:\Users\dv7\AppData\Local\Temp\_MEI28882\win32com.shell.shell.pyd
MOD - [2012/10/21 21:00:21 | 000,096,256 | ---- | M] () -- C:\Users\dv7\AppData\Local\Temp\_MEI28882\win32api.pyd
MOD - [2012/10/21 21:00:21 | 000,086,016 | ---- | M] () -- C:\Users\dv7\AppData\Local\Temp\_MEI28882\_elementtree.pyd
MOD - [2012/10/21 21:00:21 | 000,073,728 | ---- | M] () -- C:\Users\dv7\AppData\Local\Temp\_MEI28882\_ctypes.pyd
MOD - [2012/10/21 21:00:21 | 000,070,656 | ---- | M] () -- C:\Users\dv7\AppData\Local\Temp\_MEI28882\wx._html2.pyd
MOD - [2012/10/21 21:00:21 | 000,040,448 | ---- | M] () -- C:\Users\dv7\AppData\Local\Temp\_MEI28882\_socket.pyd
MOD - [2012/10/21 21:00:21 | 000,011,776 | ---- | M] () -- C:\Users\dv7\AppData\Local\Temp\_MEI28882\win32crypt.pyd
MOD - [2012/10/21 21:00:20 | 000,110,592 | ---- | M] () -- C:\Users\dv7\AppData\Local\Temp\_MEI28882\win32security.pyd
MOD - [2012/10/21 21:00:16 | 001,169,408 | ---- | M] () -- C:\Users\dv7\AppData\Local\Temp\_MEI28882\wx._core_.pyd
MOD - [2012/10/21 21:00:16 | 000,807,424 | ---- | M] () -- C:\Users\dv7\AppData\Local\Temp\_MEI28882\wx._windows_.pyd
MOD - [2012/10/21 21:00:16 | 000,645,120 | ---- | M] () -- C:\Users\dv7\AppData\Local\Temp\_MEI28882\_ssl.pyd
MOD - [2012/10/21 21:00:16 | 000,311,808 | ---- | M] () -- C:\Users\dv7\AppData\Local\Temp\_MEI28882\_hashlib.pyd
MOD - [2012/10/21 21:00:16 | 000,121,856 | ---- | M] () -- C:\Users\dv7\AppData\Local\Temp\_MEI28882\wx._wizard.pyd
MOD - [2012/10/21 21:00:16 | 000,111,104 | ---- | M] () -- C:\Users\dv7\AppData\Local\Temp\_MEI28882\win32file.pyd
MOD - [2012/10/21 21:00:16 | 000,110,592 | ---- | M] () -- C:\Users\dv7\AppData\Local\Temp\_MEI28882\pywintypes26.dll
MOD - [2012/10/21 21:00:16 | 000,039,424 | ---- | M] () -- C:\Users\dv7\AppData\Local\Temp\_MEI28882\win32inet.pyd
MOD - [2012/10/21 21:00:16 | 000,036,352 | ---- | M] () -- C:\Users\dv7\AppData\Local\Temp\_MEI28882\win32process.pyd
MOD - [2012/10/21 21:00:16 | 000,022,528 | ---- | M] () -- C:\Users\dv7\AppData\Local\Temp\_MEI28882\win32pdh.pyd
MOD - [2012/10/21 21:00:11 | 001,056,256 | ---- | M] () -- C:\Users\dv7\AppData\Local\Temp\_MEI28882\wx._controls_.pyd
MOD - [2012/10/21 21:00:11 | 000,585,728 | ---- | M] () -- C:\Users\dv7\AppData\Local\Temp\_MEI28882\unicodedata.pyd
MOD - [2012/10/21 21:00:11 | 000,153,088 | ---- | M] () -- C:\Users\dv7\AppData\Local\Temp\_MEI28882\pyexpat.pyd
MOD - [2012/10/21 21:00:11 | 000,017,920 | ---- | M] () -- C:\Users\dv7\AppData\Local\Temp\_MEI28882\win32event.pyd
MOD - [2012/10/21 21:00:11 | 000,011,776 | ---- | M] () -- C:\Users\dv7\AppData\Local\Temp\_MEI28882\select.pyd
MOD - [2012/10/21 20:57:53 | 000,115,137 | ---- | M] () -- C:\Users\dv7\AppData\Local\Temp\fbe2808e-2380-4f14-a1fa-3fa9c3a364e8\CliSecureRT.dll
[2012/01/20 08:51:59 | 000,000,000 | ---D | M] -- C:\Users\dv7\AppData\Roaming\DriverCure
[2012/01/20 08:51:59 | 000,000,000 | ---D | M] -- C:\Users\dv7\AppData\Roaming\SpeedyPC Software

:Commands
[emptytemp]

Kliknij wykonaj skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, i kliknij skanuj.
Przedstaw nowy log OTL.txt oraz raport z usuwania.

Wykonaj Pełne skanowanie za pomocą Malwarebytes-AntiMalware
Podczas instalacji odznacz okres testowy Malwarebytes Anti-Malware PRO. Jeżeli coś zostanie wykryte to kliknij usuń zaznaczone i raport pokaż na forum.