SafeGroup
Proszę o pomoc z dosearches.com/ - Wersja do druku

+- SafeGroup (https://safegroup.pl)
+-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html)
+--- Dział: Pomoc po zainfekowaniu (https://safegroup.pl/forum-5.html)
+--- Wątek: Proszę o pomoc z dosearches.com/ (/thread-7569.html)

Proszę o pomoc z dosearches.com/ - dioniz84 - 11.11.2013

Witam ponownie Smile
Proszę o pomoc w usunięciu malware/spyware czy też innego syfu jaki niestety podłapałem.
Objawy zainfekowania:
Strona startowa chrome jest ustawiona na dosearches.com/ i za chiny nie idzie tego zmienić. Robiłem już to co "pisało w googlach", ale nie pomogło. Ponadto podczas przeglądania netu co raz wyświetla mi się reklama. Taka na całą stronę, tak jakby to była właśnie strona na jaką wszedłem i muszę kliknąć na "skip this add" aby przejść dalej.

Wykonywane działania:
Skanowałem CCleanerem i Malwarebites Anti-Malware. Coś wykryły, ale problem nie ustąpił.

Logi:

[Aby zobaczyć linki, zarejestruj się tutaj]


[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]



Re: Proszę o pomoc z dosearches.com/ - tachion - 11.11.2013

Odinstaluj:
dosearches Browser Protecter

Jak nie pójdzie w trybie normalnym to w awaryjnym

Do notatnika wklej:

Kod:
(Apple Computer, Inc.) C:\Program Files (x86)\Bonjour\mDNSResponder.exe
HKLM-x32\...\Run: [] - [x]
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST3500418AS_9VMEYV47XXXX9VMEYV47&ts=1384034298&type=default&q={searchTerms}
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST3500418AS_9VMEYV47XXXX9VMEYV47&ts=1384034298&type=default&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST3500418AS_9VMEYV47XXXX9VMEYV47&ts=1384034298&type=default&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.dosearches.com/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=hp&from=cor&uid=ST3500418AS_9VMEYV47XXXX9VMEYV47&ts=1384034298
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dosearches.com/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=hp&from=cor&uid=ST3500418AS_9VMEYV47XXXX9VMEYV47&ts=1384034298
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST3500418AS_9VMEYV47XXXX9VMEYV47&ts=1384034298&type=default&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST3500418AS_9VMEYV47XXXX9VMEYV47&ts=1384034298&type=default&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST3500418AS_9VMEYV47XXXX9VMEYV47&ts=1384034298&type=default&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.dosearches.com/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=sc&from=cor&uid=ST3500418AS_9VMEYV47XXXX9VMEYV47&ts=1384034298
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST3500418AS_9VMEYV47XXXX9VMEYV47&ts=1384034298&type=default&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST3500418AS_9VMEYV47XXXX9VMEYV47&ts=1384034298&type=default&q={searchTerms}
SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear
S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [x]
2013-11-09 22:58 - 2013-11-10 13:37 - 00000000 ____D C:\ProgramData\eSafe
2013-10-19 20:28 - 2013-10-19 20:28 - 00000000 ____D C:\Users\Dionizy\AppData\Roaming\Bradsoft.com


Zapisz jako fixlist.txti umieść obok FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport.

W przeglądarce firefox -menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

Skoro masz google chrome 30.0.1599.101 to wejdź w ustawiania > pokaż ustawienia zaawansowane,zjedź na sam dół i kliknij zresetuj ustawiania przeglądarki.

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

kliknij Scani następnie Clean
pokaż raport

Re: Proszę o pomoc z dosearches.com/ - dioniz84 - 11.11.2013

Wykonałem wszystkie kroki. Oto efekt:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]



Re: Proszę o pomoc z dosearches.com/ - tachion - 11.11.2013

Napisz czy problem zniknął,jeśli tak to ściągnij Temp File Cleaner

[Aby zobaczyć linki, zarejestruj się tutaj]


w programie kliknij start

Re: Proszę o pomoc z dosearches.com/ - dioniz84 - 11.11.2013

Dziękuję za pomoc.
Zrobiłem jak powiedziałeś. Na chwilę obecną wydaje się, że jest ok.
Ku przestrodze (bo chyba wiem jak to podłapałem) jak pobieracie programy z obojętnie jakiego serwisu uważajcie na reklamy z wielkimi napisami "Pobierz", "Download" itp. Ja się tym razem musiałem zagapić i zamiast oczekiwanego DeamonToolsa dostałem toto coś.
Jeszcze raz dziękuję za pomoc!

Re: Proszę o pomoc z dosearches.com/ - tachion - 11.11.2013

Wklej na stronę raport z SecurityCheck

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.

Re: Proszę o pomoc z dosearches.com/ - dioniz84 - 12.11.2013

Oh ... so we''r not done yet??
Ok. Logs feom SCh:

[Aby zobaczyć linki, zarejestruj się tutaj]



Re: Proszę o pomoc z dosearches.com/ - tachion - 12.11.2013

Dobra jest ok,to wszystko.

Re: Proszę o pomoc z dosearches.com/ - dioniz84 - 12.11.2013

To jeszcze raz wielkie dzięki. !!