Pretrazivaci otvaraju sami nove tabove sa sumnjivim stranicama.

Pretrazivaci otvaraju sami nove tabove sa sumnjivim stranicama.

Od pre nekoliko dan primetio sam da kad kliknem na neki link na bilo kojoj stanici, otvara se sasvim druga stanica ili cak po dve i u drugom tabu.
Nisam nista instalirao niti skidao, bar koliko ja znam.
Primetio sam slicnu temu, pa sam nasao u proigramima (Discover Treasure ) za koji ne znam kako se nasao tamo. Njega sam deinstaliro ali roblema i dalje ima.

Arrow Korak 1

Otvori Notepad i iskopiraj sljedeći tekst koji se nalazi unutar Kod polja.


GroupPolicyScripts: Restriction <======= ATTENTION
Redirect Cache = hxxp://
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
CHR StartupUrls: Default -> "chrome://newtab/","hxxp://"
Task: {DB20D1A8-6BAE-48CC-9143-FB02D5FB3D50} - System32\Tasks\{7BFC4253-9AA0-4903-A977-DE8EED7DC3F1} => pcalua.exe -a C:\Users\Mile\AppData\Roaming\mystartsearch\UninstallManager.exe -c  -ptid=amt

C:\Program Files\Common Files\4f596ec3-77fb-4fc3-82cb-691c42c71d77


U okviru Notepad-a klikni na File --> Save As
Fajl nazovi Fixlist i sačuvaj na Desktop
Dvoklikom ponovo pokreni FRST.exe
Klikni na Fix i sačekaj dok program ne završi.
Ukoliko program zatraži restart računara, omogući mu da to nesmetano obavi.
Nakon završetka rada, otvoriće se fixlog.txt, sa sadržajem koji treba da kopiraš u temu.
Takođe, na Desktop-u će se nalaziti (fixlog.txt).

Arrow Korak 2

Preuzmi "Xplode"-ov AdwCleaner i sačuvaj ga na Desktop
Dvoklikom pokreni program.
U EULA prozoru klikni na I agree.
U Options isključi Reset Winsock settings ako je uključen.
Klikni na dugme Scan i sačekaj da se završi skeniranje.
Klikni na dugme Cleaning i pričekaj da program završi.
Program će zatvoriti sve aktivne programe i izbaciti prozor sa tim upozorenjem. Klikni OK kao potvrdu.
Na sljedeća dva prozora koja se otvore (Informations i Restart required ) klikni OK

Računar će se restartovati, a potom otvoriti Notepad (C:\Adwcleaner\AdwCleaner[C1].txt) sa izvještajem.
Sačuvaj taj izvještaj na Desktop i okači ga uz poruku koristeći opciju "Prikači fajl"

Fix result of Farbar Recovery Scan Tool (x86) Version:28-12-2015
Ran by Mile (2015-12-28 20:46:16) Run:1
Running from C:\Users\Mile\Desktop\frst
Loaded Profiles: Mile (Available Profiles: Mile)
Boot Mode: Normal


fixlist content:

GroupPolicyScripts: Restriction <======= ATTENTION
Redirect Cache = hxxp://
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
CHR StartupUrls: Default -> "chrome://newtab/","hxxp://"
Task: {DB20D1A8-6BAE-48CC-9143-FB02D5FB3D50} - System32\Tasks\{7BFC4253-9AA0-4903-A977-DE8EED7DC3F1} => pcalua.exe -a C:\Users\Mile\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=amt

C:\Program Files\Common Files\4f596ec3-77fb-4fc3-82cb-691c42c71d77


Error: (0) Failed to create a restore point.
C:\Windows\system32\GroupPolicy\Machine => moved successfully
C:\Windows\system32\GroupPolicy\GPT.ini => moved successfully
Redirect Cache = hxxp:// => Error: No automatic fix found for this entry.
HKU\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value removed successfully.
HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value removed successfully.
HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => value removed successfully.
Chrome StartupUrls => removed successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{DB20D1A8-6BAE-48CC-9143-FB02D5FB3D50}" => key removed successfully.
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DB20D1A8-6BAE-48CC-9143-FB02D5FB3D50}" => key removed successfully.
C:\Windows\System32\Tasks\{7BFC4253-9AA0-4903-A977-DE8EED7DC3F1} => moved successfully
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{7BFC4253-9AA0-4903-A977-DE8EED7DC3F1}" => key removed successfully.
"C:\Users\Mile\AppData\Roaming\mystartsearch" => not found.
C:\ProgramData\4f596ec3-77fb-4fc3-82cb-691c42c71d77 => moved successfully
C:\Program Files\Common Files\4f596ec3-77fb-4fc3-82cb-691c42c71d77 => moved successfully
EmptyTemp: => 394.9 MB temporary data Removed.

The system needed a reboot.

Arrow Korak 1

Spakuj u ZIP, RAR ili 7Z arhive sljedeće foldere:




i pošalji ih preko sljedećeg linka:


Kakvo je sada stanje?

Hvala na pomoci! Izgleda da sada ne otvara bez veze nista.
Poslao sam foldere kako ste naveli ako treba jos nesto samo kazite. Pozdrav!

Trebal obi da obavimo još jednu provjeru reda radi.


Preuzmi Malwarebytes Anti-Rootkit (MBAR) sa sledeceg linka i sacuvaj ga na Desktop.

Dvoklikom pokreni MBAR () na ikonicu programa:
- Klikni OK na sledecem prozoru da bi dozvolio raspakivanje u zaseban mbar folder na desktop-u;
- mbar.exe ce biti startovan. Na nekim sistemima to moze da potraje nekoliko dodatnih sekundi, te pricekati pokretanje.;
- U uvodnom prozoru klikni dugme Next ukoliko si saglasan;

• Na 'Update Database' prozoru klik na dugme Update da bi preuzeo sveze definicije. Kada se ispise poruka 'Success: Database was successfully updated' klik na dugme Next;
• Pod sekcijom 'Scan Targets' proveri da su sve opcije stiklirane, te klikni na dugme Scan;

Obavestenje: sa nekim infekcijama moze se desiti da se prikaze neka od sledecih poruka:
- 'Could not load protection driver' => u tom slucaju klikni OK.
- 'Could not load DDA driver' => klikni Yes na to obavestenje da bi dozvolio ucitavanje nakon restarta. Dozvoli restart i nastavi sa ostatkom instrukcija posle restarta.

>> Ukoliko malware nije detektovan, klik na Exit dugme da zatvoris program. U sledecu poruku postavi mbar-log-year-month-day (sat-minuti-sekundi).txt i system-log.txt izveštaje.

>> Ukoliko su infekcija/e pronadjene, proveriti da li je obelezena opcija 'Create Restore Point' i klikni na dugme Cleanup! da bi uklonili pretnje.
- Procedura uklanjanje malware-a (scheduled) ce biti zakazana po restartu, bice prikazano obavestenje u pop-up prozoru. Klikni dugme Yes i sistem bi trebao da se restartuje i da zavrsi proceduru ciscenja.

Obavestenje! samo ukoliko je RootKit detektovan: - postaraj se da pokrenes fixdamage.exe alat koji se nalazi u mbar folderu, \Plugins\fixdamage.exe:
- Dvoklikom pokreni fixdamage, u crnom prozoru koji se otvori (command prompt) ukucaj Y (Y stoji za Yes) da bi nastavio izvrsenje, pricekati da alat odradi sve popravke ...
- Kada vidis poruku 'press any key to exit' popravka je kompletirana. Pritisnuti bilo koju tipku na tastaturi da bi se prozor zatvorio. Restartovati sistem.

Sledeci izvestaji ce biti formirani u mbar folderu.
1. mbar-log-year-month-day (hour-minute-second).txt
2. system-log.txt

Iskopiraj sadrzaj mbar log-a u poruku a system log okaci uz poruku koristeci opciju Prikači fajl.

Malwarebytes Anti-Rootkit BETA

Database version:
main: v2015.12.29.01
rootkit: v2015.12.26.01

Windows 8 x86 NTFS
Internet Explorer 10.0.9200.17451
Mile :: MILET [administrator]

29.12.2015. 6:45:50
mbar-log-2015-12-29 (06-45-50).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled:
Objects scanned: 317743
Time elapsed: 27 minute(s), 15 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 1
HKU\S-1-5-21-3893990192-3725226574-2333194970-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|AutoConfigUrl (Hijack.AutoConfigURL.ShrtCln) -> Data: -> Delete on reboot. [3c993179f8938fa71d31987b4eb66799]

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

Physical Sectors Detected: 0
(No malicious items detected)


To bi bilo to.

Sledeća procedura će implementirati završno čišćenje.

Arrow Preuzmi "Xplode"-ov DelFix alat i snimi ga na Desktop.
Dvoklikom pokreni alat i štikliraj kućice ispred sledećih opcija;

Remove disinfection tools
Create registry backup
Purge System Restore

Klikni na dugme Run i pričekaj trenutak dok alat ne završi svoj rad.
Od ovog trenutka, svi korišćeni alati u ovoj temi bi trebali biti obrisani.
Alat će takođe formirati izveštaj za tebe. (C:\DelFix.txt)

Alat će snimiti i zdravo stanje registy-ja i napraviti backup koristeci integrisan program "ERUNT" u %windir%\ERUNT\DelFix
Alat briše stare system restore tačke i pravi novu, svežu tačku nakon čišćenja.


Odradjeno sve i sve je OK. Hvala na pomici i veliki pozdrav!

