Wyszukiwarka ask.com oraz dziwna strona startowa

[Nachos]

Witam,

 

potrzebuję pomocy. Od jakiegoś czasu pod przeglądarką Firefox 17.0.1 i chce skorzystać z wyszukiwania wpisując frazę w pasku. Standardowo powinno być google.pl a wyskakują mi wyniki w ask.com (nie ustawiałem nigdy takiej przeglądarki). Teraz na stronę startową mam hxxp://mystart. incredibar. com

Domyślam się, że to jakiś malware. Prosiłbym o fachową pomoc.

 

W załączniku wysyłam logi z OTL.

 

Pozdrawiam

Extras.Txt

OTL.Txt

[picasso]

W systemie jest zainstalowane adware, stąd to wszystko.

 

1. Przez Panel sterowania odinstaluj adware Incredibar Toolbar on IE, IB Updater 2.0.0.557, IB Updater Service.

 

2. Otwórz Google Chrome i w ustawieniach w sekcji "Po uruchomieniu" usuń z listy stron startowych www.v9.com.

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
 
:OTL
IE - HKU\S-1-5-21-806912067-2896302407-410128251-500\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://search.v9.com/web/?q={searchTerms}"
IE - HKU\S-1-5-21-806912067-2896302407-410128251-500\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}"
IE - HKU\S-1-5-21-806912067-2896302407-410128251-500\..\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}: "URL" = "http://mystart.incredibar.com/mb201/?search={searchTerms}&loc=IB_DS&a=6OyXnvdOTs&i=26"
FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.116.0: C:\Program Files (x86)\Battlelog Web Plugins\1.116.0\npesnlaunch.dll File not found
FF - HKLM\Software\MozillaPlugins\@esn/esnlaunch,version=1.122.0: C:\Program Files (x86)\Battlelog Web Plugins\1.122.0\npesnlaunch.dll File not found
64bit-FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\PROGRAM FILES\IB UPDATER\FIREFOX [2012-12-16 17:30:52 | 000,000,000 | ---D | M]
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{336D0C35-8A85-403a-B9D2-65C292C39087}: C:\Program Files\IB Updater\Firefox [2012-12-16 17:30:52 | 000,000,000 | ---D | M]
[2012-12-16 17:31:03 | 000,000,447 | ---- | M] () -- C:\user.js 
@Alternate Data Stream - 983 bytes -> C:\Program Files\Common Files\System:FjoW5xxrRqDzKgLQgpuis
@Alternate Data Stream - 5120 bytes -> C:\ProgramData:gs5sys
@Alternate Data Stream - 1536 bytes -> C:\Users\Public\Documents\desktop.ini:gs5sys
@Alternate Data Stream - 1536 bytes -> C:\Users\Administrator\Documents\desktop.ini:gs5sys
@Alternate Data Stream - 1164 bytes -> C:\Users\Administrator\AppData\Local\Temp:ZyABYcZISFT8xNubV1Ly936v
@Alternate Data Stream - 1082 bytes -> C:\ProgramData\Microsoft:nPoDW5mZukQH8ffF9zwMCRO
@Alternate Data Stream - 1046 bytes -> C:\ProgramData\Microsoft:tfkrUkTmKy6dFVIY91mOF
@Alternate Data Stream - 1040 bytes -> C:\ProgramData\Microsoft:QPRqMSfzEDRPnGDCyYEM1fDPg
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

5. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

6. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[Nachos]

Zrobiłem wszystko z zaleceniami. W załączniku logi z programów OTL oraz AdwCleaner

AdwCleanerS1.txt

OTL.Txt

[picasso]

Tylko jeden log z AdwCleaner potrzebny = ten z usuwania. Drugi z szukania usuwam, bo dane zreplikowane. Wszystko wykonane, tylko małe korekty.

 

1. Poprawki. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extensions]
"{336D0C35-8A85-403a-B9D2-65C292C39087}"=-
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. Porządki po narzędziach: przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. W Dzienniku zdarzeń powtarza się błąd WMI numer 10. Napraw narzędziem Fix-it: KB2545227.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

5. Zaktualizuj Operę, odinstaluj stare Adobe Reader + Java i zastąp najnowszymi: KLIK. Wg raportu obecnie w systemie są wersje:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216030FF}" = Java™ 6 Update 30
"{26A24AE4-039D-4CA4-87B4-2F83217004FF}" = Java™ 7 Update 4
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.1 - Polish
"Opera 12.00.1467" = Opera 12.00

 

 

.