en slags hijacking - søgemaskine ved ukendt URL

Prøv at se her:

http://www.thewindowsclub.com/remove-searchguide-browser-hijacker

/Anedi

tak Anedi. Jeg har været på den side og fulgt hvert råd.

Som sagt er hjemmeside og søgning fra adressefeltet normalt. Det er "kun" når jeg indtaster en ukendt URL at der sker noget.

Så det må handle om url opslag på en eller anden måde. Derfor tjekkede jeg i DNS cache, men der står intet om level3. Jeg er heller ikke helt sikker på sammenhængen men nu har jeg flush'et DNS cache og det har ikke ændret noget.

Hvad styrer hvad der sker, når man indtaster ukendt URL?

Hent og instalér CCleaner free  https://www.piriform.com/ccleaner
http://www.spywarefri.dk/manualer/manual-for-installation-og-brug-af-ccleaner/
Lad programmet foretage en oprydning...


Hent Malwarebytes Anti-Malware free herfra:
http://downloads.malwarebytes.org/mbam-download.php
For du en error code når du installerer så kig lige på denne tråd:
https://forums.malwarebytes.org/index.php?/topic/149048-internal-error-expression-error-runtime-error-at-79177-external-exeption-e06d763/
Gerne lige lægge loggen ind der kommer når den er færdig

Prøv at hente AdwCleaner her hvis du ikke har kørt den
http://general-changelog-team.fr/fr/downloads/finish/20-outils-de-xplode/2-adwcleaner
Start programmet, og når det er startet trykker du på [Scan]
Pc scannes, og ved endt scanning skal du trykke på [Clean].
Og derefter (automatisk) genstart...
Tilbage fra genstart kommer en log, som du gerne må kopiere herind.
Højreklik på filen - Kør som Administrator.

tak 220661.

Jeg har godtnok kørt lidt forskellige scannere inden jeg postede her og udover min alm beskyttelse, men nu har jeg kørt de tre du konkret har foreslået. Logs er indsat nederst, men ser ret tomme ud, så bortset fra at more sig lidt over oversættelserne (Disabled bliver til handicappede) giver det vist ikke så meget, medmindre du kan se noget jeg ikke kan.

Når man indtaster URL, er det så DNS der tager over osv...altså kan man forestille sig at da problemet kun er der ved ukendt URL, så er det et svar jeg får fra DNS? serveren har lavet søgningen, ikke min PC? Jeg er ud over kanten af det jeg har forstand på her, men jeg tænker lige højt. I så fald må jeg kunne skifte DNS eller?

og de to logs:
# AdwCleaner v6.030 - Logfile created 10/11/2016 at 19:53:06
# Updated on 19/10/2016 by Malwarebytes
# Database : 2016-11-10.1 [Server]
# Operating System : Windows 10 Home  (X64)
# Username : Jørn - ORANGEPC
# Running from : C:\Users\Jørn\Downloads\adwcleaner_6.030 (1).exe
# Mode: Clean
# Support : hxxps://www.malwarebytes.com/support



***** [ Services ] *****



***** [ Folders ] *****



***** [ Files ] *****



***** [ DLL ] *****



***** [ WMI ] *****



***** [ Shortcuts ] *****



***** [ Scheduled Tasks ] *****



***** [ Registry ] *****



***** [ Web browsers ] *****

• [C:\Users\Jørn\AppData\Local\Google\Chrome\User Data\Default\Web data] [Search Provider] Deleted: pdf-xchange-viewer.en.softonic.com

*************************

:: "Tracing" keys deleted
:: Winsock settings cleared

*************************

C:\AdwCleaner\AdwCleaner[C0].txt - [3911 Bytes] - [10/11/2016 10:26:53]
C:\AdwCleaner\AdwCleaner[C2].txt - [1551 Bytes] - [10/11/2016 19:30:06]
C:\AdwCleaner\AdwCleaner[C3].txt - [1041 Bytes] - [10/11/2016 19:53:06]
C:\AdwCleaner\AdwCleaner[S0].txt - [3653 Bytes] - [10/11/2016 10:20:31]
C:\AdwCleaner\AdwCleaner[S1].txt - [1596 Bytes] - [10/11/2016 19:29:50]
C:\AdwCleaner\AdwCleaner[S2].txt - [1520 Bytes] - [10/11/2016 19:51:07]

########## EOF - C:\AdwCleaner\AdwCleaner[C3].txt - [1333 Bytes] ##########

Malwarebytes Anti-Malware
www.malwarebytes.org

Scan Dato: 10-11-2016
Scan Tid: 19:38
Logfil: malwarelog.txt
Administrator: Ja

Version: 2.2.1.1043
Malware Database: v2016.11.10.07
Rootkit Database: v2016.10.31.01
Licens: Retssag
Malware Protection: Aktiveret
Ondsindet Hjemmeside Beskyttelse: Aktiveret
Selvbeskyttelse: Handicappede

OS: Windows 10
CPU: x64
Fil system: NTFS
Bruger: Jørn

Scan Type: Trussel Scanning
Resultater: Fuldført
Objekter Scannet: 384246
Forløbet Tid: 9 min, 6 sek

Hukommelse: Aktiveret
Startop: Aktiveret
Filsystem: Aktiveret
Arkiver: Aktiveret
Rootkits: Handicappede
Heuristics: Aktiveret
PUP: Aktiveret
PUM: Aktiveret

Processer: 0
(Ingen skadelige varer fundet)

Moduler: 0
(Ingen skadelige varer fundet)

Nøgle Register: 0
(Ingen skadelige varer fundet)

Værdi Register: 0
(Ingen skadelige varer fundet)

Data Register: 0
(Ingen skadelige varer fundet)

Mapper: 0
(Ingen skadelige varer fundet)

Filer: 0
(Ingen skadelige varer fundet)

Fysiske sektorer: 0
(Ingen skadelige varer fundet)


(end)

Hmm Plejer du at downloade programmer fra Softonics hjemmeside?
Adv Cleaner har fjernet sådan en søgemaskine side:

    [C:\Users\Jørn\AppData\Local\Google\Chrome\User Data\Default\Web data] [Search Provider] Deleted: pdf-xchange-viewer.en.softonic.com

Intet fra Malwarebytes.

Det er godt se. Jeg hæftede mig blot ved at det er rigtigt at jeg har PDF x-change viewer. Det er ikke anbefalelsesværdigt at hente dem fra softonic, måske har jeg gjort det :-(  Jeg ville dog så formode at jeg havde fået deres toolbar og søgemaskine.

Jeg har lavet lidt research. Bl.a. denne side forklarer noget af det. http://www.dslreports.com/forum/r29394552-What-is-this-LEVEL3-crap
Jeg forstår det som at Det er DNS serveren der returnerer indholdet ved invalid URL. DNS serveren er - så vidt jeg ved - bestemt af min ISP, på deres router.

Så er der et forslag om
I put "0 level3.com" in my host file and the first time It worked but then it somehow got around that!!!!!! (I use 0 because I do not have 127.0.0.1 pointed to localhost in my host file)
Selvom det ikke helt virker, så er ideen om at blackliste level3 jo god nok.
På den anden side hvis jeg ved at indholdet kommer fra DNS serveren og min PC er clean, så kan jeg måske bare leve med det.