search.conduit.com nie chce się usunąć/ plus inne problemy

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
snoopg

Użytkownik
Posty: 1
Rejestracja: 21 mar 2013, 21:03

search.conduit.com nie chce się usunąć/ plus inne problemy

Post21 mar 2013, 21:23

Witam

Pożyczyłem komputer koledze i mam pewien problem. Wrócił ale mam wrażenie że coś z nim jest nie tak.
Na pierwszy rzut oka nie mogę usunąć tej wyszukiwarki z chroma
Nie jesteś specjalista ale mam wrażenie że wiele tego typu rzeczy zostało mi wgranych. Jest również Grant Admin Full Control i tego też ni mogę usunąć
Mógłby ktoś pomóc ?

OTL

Kod: Zaznacz cały

http://wklej.to/sNrNe


EXTRAS

Kod: Zaznacz cały

http://wklej.to/oBeZN

Awatar użytkownika
kominekl

Ekspert
Posty: 5855
Rejestracja: 27 lis 2011, 14:25
Kontaktowanie:

search.conduit.com nie chce się usunąć/ plus inne problemy

Post22 mar 2013, 19:56

Hosts file not found


Włącz pokazywanie rozszerzeń: w Windows Explorer -> Organizuj -> Opcje folderów i wyszukiwania -> Widok -> odznacz Ukrywaj rozszerzenia znanych typów. Otwórz Notatnik i wklej w nim:

127.0.0.1 localhost
::1 localhost



Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki -> Zapisz pod nazwą hosts bez żadnego rozszerzenia. Plik wstaw do folderu C:\Windows\System32\drivers\etc.

"{6E3610B2-430D-4EB0-81E3-2B57E8B9DE8D}" = Bonjour
"UnityWebPlayer" = Unity Web Player


Odinstaluj.

Logi.


Uruchom OTL -> w oknie Własne opcje skanowania/skrypt wklej:

:OTL

IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = [binary data]
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE:64bit: - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = [binary data]
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKLM\..\SearchScopes,Backup.Old.DefaultScope = {0633EE93-D776-472f-A0FF-E1416B8B2E3A}
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&FORM=IE8SRC
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local
IE - HKU\S-1-5-21-3984044555-793998886-4214814696-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = Dostępne tylko dla zarejestrowanych użytkowników
IE - HKU\S-1-5-21-3984044555-793998886-4214814696-1000\..\URLSearchHook: {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\Windows\SysWOW64\ieframe.dll (Microsoft Corporation)
IE - HKU\S-1-5-21-3984044555-793998886-4214814696-1000\..\SearchScopes,Backup.Old.DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
FF - prefs.js..browser.startup.homepage: "http://www.searchya.com/?s=0&a=foxtab&chnl=ft-100&cd=2XzuyEtN2Y1L1Qzu0FtDyB0B0C0ByD0EtB0F0C0E0CtBtDtBtN0D0Tzu0CtBtBtAtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1396349096"
FF - prefs.js..extensions.enabledAddons: {972ce4c6-7e08-4474-a285-3208198ce6fd}:10.0.2
FF - prefs.js..browser.startup.homepage: "http://www.searchya.com/?s=0&a=foxtab&chnl=ft-100&cd=2XzuyEtN2Y1L1Qzu0FtDyB0B0C0ByD0EtB0F0C0E0CtBtDtBtN0D0Tzu0CtBtBtAtN1L2XzutBtFtCtFtCtFtAtCtB&cr=1396349096"
FF - prefs.js..browser.search.selectedEngine: "Search"
FF - prefs.js..browser.search.defaultenginename: "Search"
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_6_602_171.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@pandonetworks.com/PandoWebPlugin: C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll File not found
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=3: C:\Users\user\AppData\Local\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@tools.google.com/Google Update;version=9: C:\Users\user\AppData\Local\Google\Update\1.3.21.135\npGoogleUpdate3.dll (Google Inc.)
FF - HKCU\Software\MozillaPlugins\@unity3d.com/UnityPlayer,version=1.0: C:\Users\user\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll (Unity Technologies ApS)
[2012-07-02 19:24:00 | 000,000,000 | ---D | M] ("Vid-Saver") -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\2lmnjika.default\extensions\crossriderapp3491@crossrider.com
[2012-03-28 21:01:39 | 000,000,000 | ---D | M] (Babylon Toolbar) -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\2lmnjika.default\extensions\ffxtlbr@babylon.com
[2012-08-11 07:21:11 | 000,000,000 | ---D | M] (searchya.com) -- C:\Users\user\AppData\Roaming\mozilla\Firefox\Profiles\2lmnjika.default\extensions\ffxtlbr@searchya.com
[2012-10-10 15:08:05 | 000,002,472 | ---- | M] () -- C:\Users\user\AppData\Roaming\mozilla\firefox\profiles\2lmnjika.default\searchplugins\browsemngr.xml
[2012-08-11 07:21:10 | 000,000,777 | ---- | M] () -- C:\Users\user\AppData\Roaming\mozilla\firefox\profiles\2lmnjika.default\searchplugins\Search.xml
O4 - HKLM..\Run: [AdobeCS5.5ServiceManager] "C:\Program Files (x86)\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" -launchedbylogin File not found
O4 - HKLM..\Run: [NBKeyScan] "C:\Program Files (x86)\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" File not found
O4 - HKU\S-1-5-21-3984044555-793998886-4214814696-1000..\Run: [AdobeBridge] File not found
O4 - HKU\S-1-5-21-3984044555-793998886-4214814696-1000..\Run: [Google Update] C:\Users\user\AppData\Local\Google\Update\GoogleUpdate.exe (Google Inc.)
O4 - HKU\S-1-5-21-3984044555-793998886-4214814696-1000..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files (x86)\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020 File not found
O4 - HKU\S-1-5-21-3984044555-793998886-4214814696-1003..\Run: [ROC_JAN2013_TB] "C:\Program Files (x86)\AVG Secure Search\ROC_JAN2013_TB.exe" /PROMPT /CMPID=JAN2013_TB File not found
O4 - HKU\S-1-5-19..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-20..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O4 - HKU\S-1-5-21-3984044555-793998886-4214814696-1003..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O8:64bit: - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200 File not found
O8:64bit: - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 File not found
O15 - HKU\S-1-5-21-3984044555-793998886-4214814696-1000\..Trusted Domains: samsungsetup.com ([www] http in Zaufane witryny)
[2013-03-21 19:02:49 | 000,000,000 | ---D | C] -- C:\Users\user\AppData\Local\Conduit
[2013-03-21 19:02:28 | 000,000,000 | ---D | C] -- C:\Users\user\AppData\Local\CRE
[2013-02-28 11:36:31 | 000,000,000 | ---D | C] -- C:\Users\user\AppData\Roaming\PACE Anti-Piracy
[2013-02-28 11:36:31 | 000,000,000 | ---D | C] -- C:\Users\user\AppData\Local\PACE Anti-Piracy
[2013-02-28 11:36:31 | 000,000,000 | ---D | C] -- C:\ProgramData\PACE Anti-Piracy
[2013-02-28 11:36:31 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\PACE Anti-Piracy
@Alternate Data Stream - 1251 bytes -> C:\ProgramData\Microsoft:1hqgWBVV4xdLaI7f4vl
@Alternate Data Stream - 1234 bytes -> C:\Program Files\Common Files\Microsoft Shared:o1XXTLNM2YtLOEQV2fX
@Alternate Data Stream - 1187 bytes -> C:\ProgramData\Microsoft:A1BMHLOZSsSOwaVPUHGIs
@Alternate Data Stream - 1083 bytes -> C:\ProgramData\Microsoft:xLnjsao1c16RtYAKoKt5

:Files
C:\Users\user\AppData\Local\Google\Update
C:\Windows\tasks\*.*
C:\Users\user\AppData\Roaming\Babylon

:Reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]

:Commands
[clearallrestorepoints]
[emptytemp]


Klikasz Wykonaj skrypt. Dajesz log z usuwania. Następnie podaj log z Dostępne tylko dla zarejestrowanych użytkowników (z opcji Delete) + log z TDSSKiller + nowe logi z OTL.
Kiedy komputery staną się twoim jedynym życiem, jedynym totemem odstraszającym klątwę nudy, wtedy prędzej czy później granica między tymi dwoma wymiarami zniknie i postacie z Błękitnej Pustki zaczną pojawiać się w Realu. Czasem są twoimi przyjaciółmi. A czasem nie.



  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Obecnie na forum nie ma żadnego zarejestrowanego użytkownika i 6 gości