Just nu i M3-nätverket
Gå till innehåll

Kapade webläsare (adcash, adexchange osv)


svewik

Rekommendera Poster

Jag försöker hjälpa en kompis med att ta bort program som uppenbarligen har kapat alla installerade webläsare (IE och Crome)

Har sökt på detta forum efter adcash.com och adexcange.com men det verkar vara ny reklampirat.

 

Bifogar loggar FRST och Addition.txt som rekommenderat av Cecilia.

 

När man kör Internet Explorer ser allt ok ut om man har Google som startsida. Väljer man sedan större siter som Aftonbladet, Blocket.se och även eforum.idg så verkar alla länkar på sidan ersättas med länkar till adcash.com, adexchange.com och liknande namn (inte bara dessa). Därefter slussas man vidare till olika kasion eller köpsiter. Dessa sidors länkar ersätts även dom med länkar till ad..nånting.com

 

Jag har kört AdwCleaner som avbryts av felmeddelande. Andra gånger verkar det fungera, men felet återkommer så småningom.

 

Jag vet inte om detta har betydelse, men jag har försökt avinstallera ett program som heter SharkManCoupon, men lyckas inte. (inte heller AdwCleaner lyckades med det trots att programmet listades.)

 

Detta skrivs med min ordinare dator, eftersom min kompis dator inte går att använda.

Förslag?

FRST.txt

Addition.txt

Länk till kommentar
Dela på andra webbplatser

Blev själv kapad avYAC(Yet Another Cleaner! kanske fler. Ja, även Vosteran Search. Revo uninstaller Pro,rådde inte på programmen.Så jag laddade ner SpyHunter,och körde. Resultat 643 hot,vilka programmet redovisade namn på. Jag kunde avaktivera dom i kryssrutan,men dom finns kvar i datorn. Om någon dag får jag hem ett nytt godkänt bankkort,så jag kan köpa SpyHunter,och förpassa hoten, till ett hett ställe.Det finns inga gratisprogram,tror jag,som kan avinstallera skräpet.Och så länge dessa vebbkapare är kvar,så är datorn vinglig.

Länk till kommentar
Dela på andra webbplatser

Isbjörnsson, hjälp går nog att få, och visst finns det program som fungerar, men det behövs också lite manuell handpåläggning.

 

Cecilia som finns här på forumet, är mycket duktig och har stor och lång erfarenhet av att hjälpa till med just dessa problem.

 

Om du vill ha hjälp med dina problem, så börja med att titta i denna tråd och försök följa den så gott det går, gör en ny tråd och bifoga dom loggar som du får fram.

Länk till kommentar
Dela på andra webbplatser

Jag försöker hjälpa en kompis med att ta bort program som uppenbarligen har kapat alla installerade webläsare (IE och Crome)

Har sökt på detta forum efter adcash.com och adexcange.com men det verkar vara ny reklampirat.

 

Bifogar loggar FRST och Addition.txt som rekommenderat av Cecilia.

 

När man kör Internet Explorer ser allt ok ut om man har Google som startsida. Väljer man sedan större siter som Aftonbladet, Blocket.se och även eforum.idg så verkar alla länkar på sidan ersättas med länkar till adcash.com, adexchange.com och liknande namn (inte bara dessa). Därefter slussas man vidare till olika kasion eller köpsiter. Dessa sidors länkar ersätts även dom med länkar till ad..nånting.com

 

Jag har kört AdwCleaner som avbryts av felmeddelande. Andra gånger verkar det fungera, men felet återkommer så småningom.

 

Jag vet inte om detta har betydelse, men jag har försökt avinstallera ett program som heter SharkManCoupon, men lyckas inte. (inte heller AdwCleaner lyckades med det trots att programmet listades.)

 

Detta skrivs med min ordinare dator, eftersom min kompis dator inte går att använda.

Förslag?

Du kan göra en grovrensning med FRST först så kan AdwCleaner förhoppningsvis fungera bättre.

 

1. Starta programmet Anteckningar.

Kopiera alla rader i rutan:

Task: {0296F75A-2076-4CFA-BFCC-6A55D7E67832} - System32\Tasks\Loca\Loca\Loca => C:\Program Files\Loca\bin\LocaProxy.exe [2014-10-20] () <==== ATTENTION
Task: {B4DCA32E-EAFB-4306-90D8-8A5B4ADD4D53} - System32\Tasks\Microsoft\windows\DiskDiagnostic\DiskDiagnostic => C:\Program Files\DiskDiagnostic\DiskDiagnostic.exe [2014-11-12] () <==== ATTENTION
Task: {E43F9BE1-E1A4-4462-9E21-110F7FF02F18} - System32\Tasks\Microsoft\Windows\DiskDiagnostic\Microsoft-Windows-HashDiagnostic => C:\Program Files\hela\hela.exe <==== ATTENTION
Task: {F7EDF939-F366-451D-9EC5-5E88273D5BC6} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe <==== ATTENTION
HKU\S-1-5-21-3730887759-2307560818-1525741085-1000\...\Run: [iLivid] => "C:\Users\Aarre\AppData\Local\iLivid\iLivid.exe" -autorun
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
ProxyEnable: [S-1-5-21-3730887759-2307560818-1525741085-1000] => Internet Explorer proxy is enabled.
ProxyServer: [S-1-5-21-3730887759-2307560818-1525741085-1000] => http=127.0.0.1:8080;https=127.0.0.1:8080
SearchScopes: HKU\.DEFAULT -> DefaultScope {9bb2c1cc-4a7d-4cd5-bce9-0ca5f9ff8391} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {9bb2c1cc-4a7d-4cd5-bce9-0ca5f9ff8391} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {9bb2c1cc-4a7d-4cd5-bce9-0ca5f9ff8391} URL = 
SearchScopes: HKU\S-1-5-21-3730887759-2307560818-1525741085-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = 
R2 MaintainerSvc2.69.9464532; C:\ProgramData\843b4758-3acb-424f-b9d5-728e4257d28c\maintainer.exe [123672 2014-11-18] ()
R2 Security Updates Service; C:\Program Files\Security Updates Service\winupdsvc.exe [861696 2014-09-05] () [File not signed]
Reboot:
och klistra in i Anteckningar. Kontrollera att inga filer har delats upp på två rader.

Spara filen på skrivbordet med namnet fixlist.txt.

 

Starta FRST som finns på skrivbordet.

Klicka på knappen Fix.

Vänta tills programmet är klart.

Om datorn inte startas om automatiskt så gör det själv.

 

Programmet skapar en logg Fixlog.txt på skrivbordet.

Klistra in innehållet i den i ditt svar.

 

2. Om du redan har AdwCleaner ta bort den så att du säkert använder senaste versionen.

Spara AdwCleaner av Xplode på Skrivbordet: https://toolslib.net/downloads/viewdownload/1-adwcleaner/

 

Stäng alla program, inklusive webbläsare.

Dubbelklicka på AdwCleaner för att starta programmet.

 

Klicka på Scan-knappen.

Vänta tills sökningen är klar.

Klicka på Report-knappen.

En rapport kommer upp, kopiera innehållet och klistra in i ditt svar.

Om rapporten inte kommer upp, så finns den även som C:\AdwCleaner[R0].txt

Länk till kommentar
Dela på andra webbplatser

Blev själv kapad avYAC(Yet Another Cleaner! kanske fler. Ja, även Vosteran Search. Revo uninstaller Pro,rådde inte på programmen.Så jag laddade ner SpyHunter,och körde. Resultat 643 hot,vilka programmet redovisade namn på. Jag kunde avaktivera dom i kryssrutan,men dom finns kvar i datorn. Om någon dag får jag hem ett nytt godkänt bankkort,så jag kan köpa SpyHunter,och förpassa hoten, till ett hett ställe.Det finns inga gratisprogram,tror jag,som kan avinstallera skräpet.Och så länge dessa vebbkapare är kvar,så är datorn vinglig.

Kan inte rekommendera dig att köpa SpyHunter, det är inte värt sitt pris för det är inte särskilt bra.

 

Jag rekommenderar dig att göra som Laso skriver, dvs starta en ny tråd och följa anvisningarna i tråden Till dig med virus eller andra skadliga program i datorn så gott det går, så ska du nog kunna bli av med de skadliga/olämpliga programmen utan att det kostar dig ett öre.

Länk till kommentar
Dela på andra webbplatser

Tack,Det var det jag innerst inne förstod.SpyHunter är inte aktuellt. Jag har under många år försökt gå på djupet,vad gäller datorkunskap.Ju mer jag lär mig, blir förståelsen större för,hur lite jaq kan.Men,det är därför man är här.Skall försöka få grepp om registernycklar,framför allt,rester av avinstallerade program. Sedan skall jag följa upp dom tips jag fått av Er,och verkligen gå in i detaljerna.Det är,tyvärr,lätt att man överlåter jobbet,till ett köpt program.Som ofta fungerar dåligt.

Länk till kommentar
Dela på andra webbplatser

Tack Cecilia. 

Här kommer efterfrågade logga bifogade.

Jag har inte tryckt på Clean-knappen i AdwCleaner eftersom du inte skrev det.

Tittar man på de foldrar som föreslås att ta bort, finns mycket riktigt "Reimage Protector" och "SharkMan Coupon" med.

 

Vad gör jag nu?

Fixlog.txt

AdwCleanerR2.txt

Länk till kommentar
Dela på andra webbplatser

Ingen orsak :)

 

Det är alltid bäst att kolla vad AdwCleaner vill ta bort för ibland falsklarmar den.

 

Den AdwCleaner-rapport du bifogade är skapad den 14 november. Kan du köra om AdwCleaner så att det blir en logg som stämmer med hur det ser ut i datorn nu efter fixen med FRST?

Länk till kommentar
Dela på andra webbplatser

Det var märkligt!

Jag är säker på att jag bifogade senaste loggen. När loggen kom upp sparade jag på sticka för att kunna bifoga med min ordinarie dator.

OK. Jag har kört om scanningen, men den visar fortfarande 14 november. Systemet står på rätt tid.

 

I rapporten:

########## EOF - C:\AdwCleaner\AdwCleaner[R3].txt - [5877 octets] ##########
# AdwCleaner v4.101 - Report created 19/11/2014 at 16:09:05

AdwCleanerR3.txt

Länk till kommentar
Dela på andra webbplatser

1. Den här nya filen heter R3 medan den förra heter R2, men för att vara säker på att inget gammalt ligger kvar:

 

Stäng alla program, inklusive webbläsare.

Dubbelklicka på AdwCleaner för att starta programmet.

Klicka på Uninstall-knappen.

 

Ladda sen ner AdwCleaner på nytt.

 

Stäng alla program, inklusive webbläsare.

Dubbelklicka på AdwCleaner för att starta programmet.

 

Klicka på Scan-knappen.

Vänta tills sökningen är klar.

 

Klicka på Clean-knappen.

Tryck på OK.

Tryck på OK fler gånger om det kommer upp meddelanden.

 

Datorn kommer att startas om (om den inte gör det automatiskt gör det själv).

En rapport kommer upp, kopiera innehållet och klistra in i ditt svar.

Om rapporten inte kommer upp, så finns den även som C:\AdwCleaner[s0].txt

 

 

2. Starta FRST.

Sätt en bock framför Addition.txt.

Låt FRST skanna datorn.

Bifoga de nya FRST.txt och Addition.txt.

 

 

3. Skanna datorn online på http://www.eset.com/onlinescan/ och använd helst Internet Explorer till det.

För att inte skannern ska ta för lång tid på sig stäng av ditt antivirusprogram under tiden.

 

Välj alternativet Enable detection of potentially unwanted applications.

 

Klicka på Advanced Settings.

Ta bort bocken framför Remove found threats.

Bocka för:

Scan Archives

Scan for potentially unsafe applications

Enable Anti-Stealth Technology

 

Klicka på Start

 

När skanningen är klar klicka på List of found threats, följt av Export to a text file. Spara till en fil på skrivbordet, öppna filen, kopiera resultatet och klistra sedan in det i ditt svar.

Länk till kommentar
Dela på andra webbplatser

FRST-loggarna ser mycket bättre ut nu.

 

1. Töm papperskorgen för det ligger en del olämpliga program där.

 

2.

CHR dev: Chrome dev build detected! <======= ATTENTION

Har du själv valt att inte bara hålla dig till stabila Chrome-versioner?

 

3. Starta Anteckningar.

Kopiera alla rader i rutan:

C:\Users\All Users\843b4758-3acb-424f-b9d5-728e4257d28c
C:\Program Files\Loca
C:\ProgramData\843b4758-3acb-424f-b9d5-728e4257d28c
ProxyEnable: [S-1-5-21-3730887759-2307560818-1525741085-1000] => Internet Explorer proxy is enabled.
ProxyServer: [S-1-5-21-3730887759-2307560818-1525741085-1000] => http=127.0.0.1:8080;https=127.0.0.1:8080
SearchScopes: HKLM -> DefaultScope {9bb2c1cc-4a7d-4cd5-bce9-0ca5f9ff8391} URL = 
SearchScopes: HKU\.DEFAULT -> {9bb2c1cc-4a7d-4cd5-bce9-0ca5f9ff8391} URL = http://wow.utop.it/?q={searchTerms}
SearchScopes: HKU\S-1-5-19 -> {9bb2c1cc-4a7d-4cd5-bce9-0ca5f9ff8391} URL = http://wow.utop.it/?q={searchTerms}
SearchScopes: HKU\S-1-5-20 -> {9bb2c1cc-4a7d-4cd5-bce9-0ca5f9ff8391} URL = http://wow.utop.it/?q={searchTerms}
SearchScopes: HKU\S-1-5-21-3730887759-2307560818-1525741085-1000 -> DefaultScope {9bb2c1cc-4a7d-4cd5-bce9-0ca5f9ff8391} URL = 
FF Plugin: @microsoft.com/GENUINE -> disabled No File
FF Plugin HKU\S-1-5-21-3730887759-2307560818-1525741085-1000: @tools.google.com/Google Update;version=3 -> C:\Users\Aarre\AppData\Local\Google\Update\1.3.25.5\npGoogleUpdate3.dll No File
CHR Extension: (Rotten Tomato) - C:\Users\Aarre\AppData\Local\Google\Chrome\User Data\Default\Extensions\peokdhcembipiholieikfdloegjagplb [2014-11-10]
2014-11-17 10:07 - 2014-11-19 14:55 - 00837543 _____ () C:\ProgramData\yvd_ie_se.exe
2014-11-17 10:07 - 2014-11-19 14:55 - 00761485 _____ () C:\ProgramData\ChromeTabExtension.crx
2014-11-17 10:06 - 2014-11-19 14:55 - 02032503 _____ () C:\ProgramData\yvd_chrome_se.exe
2014-11-17 10:06 - 2014-11-19 14:55 - 01525193 _____ () C:\ProgramData\yvd_firefox_se.exe
2014-11-19 14:55 - 2014-11-19 14:55 - 00000000 ____D () C:\Program Files\wow search
2014-11-12 10:12 - 2014-11-12 10:12 - 00333312 _____ () C:\ProgramData\cryptoDrvUpdate.exe
2014-11-12 10:12 - 2014-11-12 10:12 - 00000000 ____D () C:\Program Files\DiskDiagnostic
2014-11-10 14:41 - 2014-11-10 14:41 - 00000000 ____D () C:\ProgramData\4001812108
2014-11-10 14:36 - 2014-11-19 14:55 - 00000000 ____D () C:\ProgramData\843b4758-3acb-424f-b9d5-728e4257d28c
Task: {8795524C-C8B9-47E8-87A2-1F8E1EB8DCE0} - \Microsoft\windows\DiskDiagnostic\DiskDiagnostic No Task File <==== ATTENTION

File: C:\Windows\system32\ScanResults.xml
File: C:\Windows\system32\ScannerSettings
Folder: C:\Users\Aarre\.android
EmptyTemp:
och klistra in i Anteckningar. Kontrollera att inga filer har delats upp på två rader.

Spara filen på skrivbordet med namnet fixlist.txt.

 

Stäng av alla program.

 

Starta FRST som finns på skrivbordet.

Klicka på knappen Fix.

Vänta tills programmet är klart.

 

Programmet skapar en logg Fixlog.txt på skrivbordet.

Klistra in innehållet i den i ditt svar.

Länk till kommentar
Dela på andra webbplatser

Det verkar ha tagit !!

Länkarna på blocket och aftonbladet fungerar som dom skall.

Åtminstone tills vidare.

 

Datorn tillhör min kompis, och jag vet inte vad han har installerat för version av Chrome.

Du menar att den är instabil? Ska jag ta bort den och installera från google?

 

Fixlog.txt

Länk till kommentar
Dela på andra webbplatser

Utmärkt!

 

1. När det gäller Chrome så betyder det att testversioner avsedda för utvecklare kan bli installerade. Med tanke på omständigheterna föreslår jag att du avinstallerar Chrome, tar bort mappen C:\Users\Aarre\AppData\Local\Google\Chrome för att få bort alla inställningar, startar om datorn och installerar Chrome på nytt.

 

2. Verkar Telia Säker Surf/F-secure fungera?

Jag tycker att man ser ovanligt lite av den i loggen, vilket skulle kunna innebära att den har blivit skadad av något olämpligt program och behöver ominstalleras.

 

3. Lite mer att ta bort:

 

Starta Anteckningar.

Kopiera alla rader i rutan:

Task: {8795524C-C8B9-47E8-87A2-1F8E1EB8DCE0} - \Microsoft\windows\DiskDiagnostic\DiskDiagnostic No Task File <==== ATTENTION
C:\Windows\system32\ScanResults.xml
C:\Windows\system32\ScannerSettings
C:\Users\Aarre\.android
och klistra in i Anteckningar. Kontrollera att inga filer har delats upp på två rader.

Spara filen på skrivbordet med namnet fixlist.txt.

 

Starta FRST som finns på skrivbordet.

Klicka på knappen Fix.

Vänta tills programmet är klart.

 

Programmet skapar en logg Fixlog.txt på skrivbordet.

Klistra in innehållet i den i ditt svar.

Länk till kommentar
Dela på andra webbplatser

Tack igen Cecilia. Din hjälp är ovärderlig, och den gör att mina aktier hos kompisarna i bowlingklubben ständigt stiger !!

Kanske orsaken till att TeliaSäkersurf inte syns så mycket är att den inte är aktiverad med gällande prenumerationsnummer. Aarre har nog förlagt den.

 

Bifogar sista loggen.

 

Tack än en gång!

Fixlog.txt

Länk till kommentar
Dela på andra webbplatser

Bara trevligt att kunna hjälpa till :)

 

Gör något så att Aarre får ett fungerande antivirusprogram.

 

Nu återstår bara några avinstalltioner:

 

1. Stäng alla program, inklusive webbläsare.

Dubbelklicka på AdwCleaner för att starta programmet.

Klicka på Uninstall-knappen.

 

2. Ladda ner avinstallationsprogrammet OTC till Skrivbordet: http://oldtimer.geekstogo.com/OTC.exe

Dubbelklicka på filen för att starta programmet.

Tryck på knappen CleanUp! och FRST kommer att avinstalleras efter en omstart av datorn. Ta bort eventuella loggar.

 

3. Förbättra skyddet i datorn, se mina Råd för en säkrare dator: http://ceciliasec.wordpress.com/rad/

Det är mycket viktigt att hålla alla småprogram i datorn uppdaterade, gamla versioner av t ex Flash, Java och Adobe Reader innehåller kända säkerhetshål, vilka kan användas av en webbsida för att infektera datorn. Jag tycker att Secunias program (länk på min webbsida) är en bra hjälp för att kontrollera hur det står till med säkerhetshål i datorn och ange vad som behöver åtgärdas.

Länk till kommentar
Dela på andra webbplatser

Arkiverat

Det här ämnet är nu arkiverat och är stängt för ytterligare svar.

×
×
  • Skapa nytt...