Proszę o pomoc z dosearches.com/

[dioniz84]

Witam ponownie
Proszę o pomoc w usunięciu malware/spyware czy też innego syfu jaki niestety podłapałem.
Objawy zainfekowania:
Strona startowa chrome jest ustawiona na dosearches.com/ i za chiny nie idzie tego zmienić. Robiłem już to co "pisało w googlach", ale nie pomogło. Ponadto podczas przeglądania netu co raz wyświetla mi się reklama. Taka na całą stronę, tak jakby to była właśnie strona na jaką wszedłem i muszę kliknąć na "skip this add" aby przejść dalej.

Wykonywane działania:
Skanowałem CCleanerem i Malwarebites Anti-Malware. Coś wykryły, ale problem nie ustąpił.

Logi:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Odinstaluj:
dosearches Browser Protecter

Jak nie pójdzie w trybie normalnym to w awaryjnym

Do notatnika wklej:

Kod:

(Apple Computer, Inc.) C:\Program Files (x86)\Bonjour\mDNSResponder.exe
HKLM-x32\...\Run: [] - [x]
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST3500418AS_9VMEYV47XXXX9VMEYV47&ts=1384034298&type=default&q={searchTerms}
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST3500418AS_9VMEYV47XXXX9VMEYV47&ts=1384034298&type=default&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST3500418AS_9VMEYV47XXXX9VMEYV47&ts=1384034298&type=default&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.dosearches.com/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=hp&from=cor&uid=ST3500418AS_9VMEYV47XXXX9VMEYV47&ts=1384034298
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.dosearches.com/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=hp&from=cor&uid=ST3500418AS_9VMEYV47XXXX9VMEYV47&ts=1384034298
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST3500418AS_9VMEYV47XXXX9VMEYV47&ts=1384034298&type=default&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST3500418AS_9VMEYV47XXXX9VMEYV47&ts=1384034298&type=default&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST3500418AS_9VMEYV47XXXX9VMEYV47&ts=1384034298&type=default&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.dosearches.com/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=sc&from=cor&uid=ST3500418AS_9VMEYV47XXXX9VMEYV47&ts=1384034298
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST3500418AS_9VMEYV47XXXX9VMEYV47&ts=1384034298&type=default&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=ST3500418AS_9VMEYV47XXXX9VMEYV47&ts=1384034298&type=default&q={searchTerms}
SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear
S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [x]
2013-11-09 22:58 - 2013-11-10 13:37 - 00000000 ____D C:\ProgramData\eSafe
2013-10-19 20:28 - 2013-10-19 20:28 - 00000000 ____D C:\Users\Dionizy\AppData\Roaming\Bradsoft.com

Zapisz jako fixlist.txti umieść obok FRST
Następnie w programie kliknij Fix ,po wykonaniu pokaż raport.

W przeglądarce firefox -menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł.

Skoro masz google chrome 30.0.1599.101 to wejdź w ustawiania > pokaż ustawienia zaawansowane,zjedź na sam dół i kliknij zresetuj ustawiania przeglądarki.

Ściągnij program

[Aby zobaczyć linki, zarejestruj się tutaj]

kliknij Scani następnie Clean
pokaż raport

[dioniz84]

Wykonałem wszystkie kroki. Oto efekt:

[Aby zobaczyć linki, zarejestruj się tutaj]

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Napisz czy problem zniknął,jeśli tak to ściągnij Temp File Cleaner

[Aby zobaczyć linki, zarejestruj się tutaj]

w programie kliknij start

[dioniz84]

Dziękuję za pomoc.
Zrobiłem jak powiedziałeś. Na chwilę obecną wydaje się, że jest ok.
Ku przestrodze (bo chyba wiem jak to podłapałem) jak pobieracie programy z obojętnie jakiego serwisu uważajcie na reklamy z wielkimi napisami "Pobierz", "Download" itp. Ja się tym razem musiałem zagapić i zamiast oczekiwanego DeamonToolsa dostałem toto coś.
Jeszcze raz dziękuję za pomoc!

[tachion]

Wklej na stronę raport z SecurityCheck

[Aby zobaczyć linki, zarejestruj się tutaj]

Uruchom kliknij w dowolny klawisz,poczekaj aż program zakończy działanie.

[dioniz84]

Oh ... so we''r not done yet??
Ok. Logs feom SCh:

[Aby zobaczyć linki, zarejestruj się tutaj]

[tachion]

Dobra jest ok,to wszystko.

[dioniz84]

To jeszcze raz wielkie dzięki. !!