Preusmeravanje na google custom search

[ mocnisima @ 03.08.2014. 10:40 ] @

Pogođeni su i firefox i ie.Nakon eksperimentisanja u vmware vidim da sam se zarazio instaliranjem nove verzije IDM sa sumnjivog mesta.
Sve skenirano sa eset, malwarebytes, spybot i kasperski i sve čisto.Negde je nešto upisano u registre i ne uspevam da
nađem.Sa system restore sam vratio sve u normalu i opet sve ponovio i sad sam opet zaražen.Pa pre ponovnog restora čisto me
interesuje gde li je problem.Znači sve radi samo me pretraga preusmeri na google cse koji još traži i javu.

[ kristi1 @ 03.08.2014. 12:16 ] @

Preuzmi na desktop [B]zoek.rar[/B]

zatvori browser i ostale pokrenute programe;
deaktiviraj zaštitni softver ( po potrebi ) ;
dvoklikom pokreni zoek.exe;

U beli okvir prozora iskopiraj sledeci tekst:

Code:

startupall;
filesrcm;
skipfix-iedefaults;
firefoxlook;
chromelook;

Klikni na dugme [B]Run Script[/B] i pricekaj da se skeniranje završi.

Zoek ce na kraju rada otvoriti [B]Notepad[/B] sa izvestajem.

Iskopiraj sadrzaj izvestaja na http://pastebin.com/ klikni [B]Submit[/B] a zatim kopiraj link sa izvestajem ovde na forum.

[ mocnisima @ 03.08.2014. 12:35 ] @

Našao sam šta mi radi.Kad idem direktno na guglovu ip adresu 74.125.230.120 sve mi radi normalno ali kad ukucam google.rs
tad me prusmeri na cse.U podešavanju mreže mi promenio dns sa automatskog na 162.221.181.53.
Zanimljivo.

[ mocnisima @ 03.08.2014. 13:45 ] @

E opet isto, još negde nešto ima.Kad idem na google.rs baci me na 173.194.39.248.
Evo izveštaja zoika

http://pastebin.com/B4kjQ812

[ mocnisima @ 03.08.2014. 13:46 ] @

Ali pazi nešto ovo nema veze sa pretraživačima jer kad ceo firefox profil prebacim na drugi računar sve radi normalno.

[ mocnisima @ 03.08.2014. 15:58 ] @

Odustajem od ovog.Ako neko ima volje da analizira evo fajla

Code:
http://www33.zippyshare.com/v/3420202/file.html

[ kristi1 @ 03.08.2014. 20:35 ] @

Pokreni Zoek sa ovom skriptom

Code:

C:\Windows\update.js;fs
C:\Users\OldmanYo\AppData\Local\recently-used.xbel;fs
emptyalltemp;
autoclean;
emptyclsid;
ipconfig /flushdns >> %temp%\log.txt;b
ipconfig /flushdns;b

[ mocnisima @ 04.08.2014. 06:54 ] @

Urađeno u vmware, ovamo sam odradio system restore.Evo izveštaj
http://pastebin.com/MKx3Y4ue
isto se ponaša

[ mocnisima @ 03.09.2014. 20:20 ] @

Konačno nađoh malo vremena da razrešim ovo.
Evo šta je upisao u registre

Operation Added
Key hkey_users\S-1-5-21-3617808058-2779735769-1853882650-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings
Value name AutoConfigURL
Data http:www.searchly.orgproxy.pac

brisanjem ovog sve se vraća u normalu nije mi samo jasno zašto menja dns.
Ovi .pac fajlovi deluju zanimljivo trebalo bi to malo proučiti.
Čudno mi je da ni jedan av i antimalware program ne registruje ovo kao pretnju.
Eto, naučiš nešto svaki dan, što bi moj deda rekao "kompjutorska nauka nije laka".