Problem ze stroną startową StartNow

[Asthat]

Witam. Jestem nowy.
       Zainstalowałem paczkę kodeków k-lite i od tego czasu wyświetla się strona startowa StartNow. Odinstalowałem w dodaj/usuń programy ale nadal się pojawia. Nie jestem zbyt ogarnięty w sprawach informatycznych i nie wiem jak sobie z Tym poradzić. Tylko proszę o szczegółowe instrukcje, gdyż jak już pisałem nie jestem zbyt ogarnięty w tych sprawach.
(Widziałem na forum temat z tym samym problemem). Prosze o pomoc
Oto logi ze skanowania OTL :

OTL.Txt

Extras.Txt

[picasso]

Post zbędny usuwam. StartNow to adware, czyli dział infekcji jak najbardziej trafiony. A w raportach są dokładne informacje co zostało przejęte.

 

 

Asthat

 

1. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKCU\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = http://feed.snap.do/?publisher=SnapdoOCYB&dpid=SnapdoOCYB&co=GB&userid=d200bcca-edc8-4c60-aec3-8539f62b337c&searchtype=ds&q={searchTerms}&installDate={installDate}
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://mixidj.delta-search.com/?q={searchTerms}&affID=121136&babsrc=SP_ss&mntrId=703EDCA9710C3CEE
IE - HKCU\..\SearchScopes\{6147DAD0-EE4D-4E19-B05D-25F2C745C716}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2851619&CUI=UN97222411987333073&UM=1
IE - HKCU\..\SearchScopes\{B224AA02-F7C8-3A2B-859F-560B80767E4A}: "URL" = http://kl.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=876&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.5.0&install_country=ES&install_date=20130421&user_guid=D1A63FE0E98B43A487269CF1898E13B7&machine_id=5538ac1ce49befa9923b526b6da6e4c8&browser=IE&os=win&os_version=6.1-x64-SP1&iesrc={referrer:source}
FF - HKLM\Software\MozillaPlugins\@TrendMicro.com/FFExtension: C:\Program Files\Trend Micro\Titanium\UIFramework\Toolbar\firefoxextension\components\npToolbarChrome.dll File not found
FF - HKCU\Software\MozillaPlugins\ubisoft.com/uplaypc: C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll File not found
O4 - HKLM..\Run: [] File not found
O4 - HKLM..\Run: [TaskTray] File not found
O4 - HKCU..\Run: [AdobeBridge] File not found
[2013-04-13 13:25:29 | 000,006,476 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
[2013-04-05 23:51:28 | 000,000,000 | ---D | C] -- C:\Users\USUARIO\AppData\Roaming\OpenCandy
[2013-04-01 19:27:08 | 000,000,000 | ---D | C] -- C:\Users\USUARIO\AppData\Local\CRE
[2013-04-21 18:14:22 | 000,000,000 | ---- | M] () -- C:\end
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Search Bar"=-
"Search Page"=-
"Start Page"="about:blank"
"Start Page Restore"=-
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Search]
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj, zaznacz opcję Pomiń pliki Microsoftu, gdyż tak obszerny log nie jest mi już potrzebny. Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[Asthat]

Zrobiłem wszysto jak było napisne lecz nie na wiele to się zdało.

 W IE wydaje się, że jest wszystko ok.

 Firefox strona startowa Qvo6.com (jak coś pomoże to mogę odinstalować firefox gdyż praktycznie nie używam)

 Chrome moja strona startowa + okno kl.startnow.com

(sorry za język hiszpański w logach, ale mieszkam w Hiszpanii i tu też kupiłem lapka, więc cały system jest po hiszpańsku)

AdwCleanerS1.txt

OTL.Txt.txt

[picasso]

1. Google Chrome. AdwCleaner to jakoby usuwał:

 

-\\ Google Chrome v26.0.1410.64
 

Fichero : C:\Users\USUARIO\AppData\Local\Google\Chrome\User Data\Default\Preferences
 

Supprimida [l.3206] : urls_to_restore_on_startup = [ "hxxp://www.google.pl/ig", "hxxp://kl.startnow.com/?src=startp[...]

 

W raporcie nic już nie widać, ale OTL jest ograniczony i nie skanuje wszystkich preferencji. Podaj mi plik preferencji do wglądu bezpośredniego. Skopiuj na Pulpit ten plik:

 

C:\Users\USUARIO\AppData\Local\Google\Chrome\User Data\Default\Preferences

 

Shostuj gdzieś i podaj link. Plik zanalizuję, poprawię i odeślę do podmiany. I ważne pytanie: czy w Google Chrome masz włączoną synchronizację z serwerem? Jeśli tak, całe czyszczenie będzie nieskuteczne, ustawienia na serwerze będą w kółko infekować lokalne Google Chrome, synchronizacja w takim wypadku musi zostać wyłączona, by wyczyścić "serwer".

 

2. Firefox. Został zresetowany owszem, ale nie do końca, nadal nim siedzi adware uTorrentBar_ES. Skoro Firefox nie używasz, to właściwie nie ma się po co męczyć. Po prostu go odinstaluj, a przy deinstalacji odpowiedz twierdząco na pytanie o usuwanie danych użytkownika. I oczywiście z Pulpitu możesz skasować folder "Datos antiguos de Firefox" utworzony przez reset.

 

 

 

.

[Asthat]

No to tak:
Usunąłem firefoxa, wyłączyłem synchronizację w chrome, wykonałem ponownie czynności czyszczenia (skrypt w OTL i czyszczenie w AdwCleaner, po ponownym uruchomieniu komputera wyskaczył komunikat chrome :Nie można odczytać ustawień.Niektóre funkcje mogą być niedostępny, a zmiany w ustawieniach nie zostaną zapisane. Potwierdziłem)
i wszystko łanie pięknie....do czasu gdy włączyłem z powrotem synchronizację w chrome. Po ponownym uruchomieniu przeglądarki problem powrócił.
Co do pliku ''preferences'' to znalazłem dwa nie wiem czy to te same. Przy pierwszym pisze typ :plik, a przy drugim plik BAD
http://przeklej.net/file_details/86053.html
http://przeklej.net/file_details/86055.html BAD

Na wzelki wypadek wstawiam też log z AdwCleaner po ponownym czyszczeniu i log ze skanu OTL

AdwCleanerS2.txt

OTL.Txt

[picasso]

Usunąłem firefoxa

 

Pozostał po nim katalog C:\Users\USUARIO\AppData\Roaming\mozilla. Przez SHIFT+DEL go skasuj.

 

 

wykonałem ponownie czynności czyszczenia (skrypt w OTL i czyszczenie w AdwCleaner, po ponownym uruchomieniu

 

To był błąd. Ja nie podawałam tych instrukcji do ponownego wdrożenia, przecież to wszystko już nieaktualne. Skrypt OTL jest jednorazowego użytku, nie wykona czegoś co już zrobiono, poza tym nie miał żadnego związku z Google Chrome. Po to prosiłam o plik Preferences Google Chrome, by go zedytować ręcznie, już nie przy udziale AdwCleaner.

 

 

po ponownym uruchomieniu komputera wyskaczył komunikat chrome :Nie można odczytać ustawień.Niektóre funkcje mogą być niedostępny, a zmiany w ustawieniach nie zostaną zapisane. Potwierdziłem

 

Uszkodzony plik Preferences, ów BAD to powinna być wadliwa kopia.

 

 

Co do pliku ''preferences'' to znalazłem dwa nie wiem czy to te same. Przy pierwszym pisze typ :plik, a przy drugim plik BAD.

 

Wszystkie kopie nieprawidłowe, nie wyglądają na właściwe. Przecież ważą zero bajtów. Nie mam tu żadnego pliku Preferences, więc nie mogę zrobić ręcznego czyszczenia.

 

 

wyłączyłem synchronizację w chrome (...) i wszystko łanie pięknie....do czasu gdy włączyłem z powrotem synchronizację w chrome. Po ponownym uruchomieniu przeglądarki problem powrócił.

 

Dopóki z serwera nie zostaną wyczyszczone ustawienia, nie można włączyć synchronizacji, gdyż z serwera będą ładowane zainfekowane preferencje, a usuwanie ręczne lokalnie mija się z celem. Przy wyłączaniu synchronizacji jest napisane:

 

"Zatrzymać synchronizację i wyczyścić zsynchronizowane dane Chrome?

Czy na pewno chcesz zatrzymać synchronizację i wyczyścić wszystkie zsynchronizowane dane Chrome z serwerów Google?

Tego działania nie można cofnąć, a jego wykonywanie może potrwać kilka godzin."

 

Od początku akcje:

 

1. Wyłącz synchronizację Google Chrome z serwerem.

 

2. Użyj AdwCleaner ponownie, powinien wyczyścić Preferences po raz kolejny.

 

3. Nie włączaj synchronizacji z serwerem, bo robota zostanie wyzerowana.

 

 

 

.

[Asthat]

Wyłączyłem synchronizację  (i wyczyściłem) i uruchomiłem czyszczenie AdwCleaner. Oto log po czyszczeniu

AdwCleanerS3.txt

[picasso]

Log taki sam jak poprzednie, czyli usunął to. Tak więc: czy problem  w Google Chrome nadal występuje? Jeśli nie, nie możesz włączyć synchronizacji, dopóki nie będzie pewnym, że brak ustawień na serwerze.

[Asthat]

Problem zniknął jak poprzednio. Ale wcześniej po włączeniu synchronizacji. powrócił.
Jutro włączę synchronizację i napiszę czy problem powrócił

[Asthat]

Synchronizacja włączona. Problem rozwiązany (mam nadzieję). Strona kl.startnow nie pojawia się. Już nic nie instaluję z dobreprogramy.pl. 

Dziękuję bardzo za pomoc

[picasso]

W porządku, możemy więc kończyć:

1. Porządki po narzędziach: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

2. Wyczyść foldery Przywracania systemu: KLIK.

3. Zaktualizuj Adobe Reader oraz Office 2010 (instalacja SP1): KLIK.

 

 

Już nic nie instaluję z dobreprogramy.pl.

 

Tu należy rozróżnić dwie sprawy:

1. Program zasadniczy: Adware wbudowane w program właściwy. Dobreprogramy nie są winne bezpośrednio umieszczeniu tego dziadostwa w pliku zasadniczym, linkują do pliku, który jest zanieczyszczony już. W dzisiejszych czasach należy cholernie uważać na wszelkie instalatory. Świat stanął na głowie, cała masa programów jakoby darmowych (nawet takich, których nie podejrzewałabym o nieczyste zagrania) została "wzbogacona" sponsorami. Pół biedy, gdy w instalatorze jest wybór (można odznaczyć, pod warunkiem, że się nie klika bezmyślnie Next, Next...), ale są i takie paczki, gdzie brak widzialnych znaków co się dzieje i adware jest instalowane po cichu przymusowo.

2. Zachowanie Dobrychprogramów:
- Słaba weryfikacja lub jej całkowity brak: Dopuszczenie do linkowania programu, który ma skazę, czyli albo nie sprawdzili dostatecznie pliku, albo adware wbudowane w instalator wydaje się im bez znaczenia. To nie pierwszy przypadek, gdy linkują program, który ma w instalatorze śmieci, a jest to zbagatelizowane: albo brak notatki w opisie programu i licencja "freeware / bezpłatna", a nie po imieniu "adware", albo napis umniejszający ingerencje ("zawiera komponenty reklamowe, które nie są szkodliwe" lub coś podobnego) i brak konkretów co jest w instalatorze i jak się zachować.
- Dodatkowy aspekt to ich Asystent pobierania, który traktuję jako "adware", a detekcje antywirusów wykrywające Asystenta są wg mnie prawidłowe. W mojej opinii tłumaczenia serwisu to kit zamiast szczerej odpowiedzi o co im naprawdę chodzi: "pomoc w pobieraniu" (nikt mi nie wmówi, że użytkownik nie wie gdzie zapisuje plik, a jeśli nie wie, to i nie wie gdzie zapisał się Asystent!), "ochrona przed podróbką serwisu" (jeśli użytkownik rzeczywiście wchodzi na sfałszowany serwis i nie odróżnia od oryginału, to Asystent w niczym nie pomoże, poza tym aż się prosi o podrobienie Asystenta). Dlaczego adware: plik instalatora programu zasadniczego nie jest pobierany bezpośrednio tylko via system który nazwą symuluje plik (niedoświadczony użytkownik ma błędne przekonanie, że pobiera program zasadniczy), asystent to klasyczne pole manipulacji reklamowej (zaczęło się od reklamy dostawcy sieci, kroczkami kolejnymi pojawił się sponsor AVG Security Toolbar jakoby w szczytnym celu i to tak wmontowany w pytanie-odpowiedź, że narzuca się sugestia, iż jego odznaczenie stopuje instalację), dodatkowe utrudnienie pobierania (powtarzam: plik nie jest pobierany bezpośrednio, są pobierane aż dwa pliki, a Asystent wymaga systemu online) i powiedzmy sobie szczerze to śmiecenie dysku bezużytecznymi wykonywalnymi Asystenta. Nie ma dla mnie znaczenia, że Asystent można wyłączyć w opcjach swojego profilu (opcja niedostępna dla gości) oraz że są też oferowane linki bezpośrednie (no tak, ale pobieranie przez asystenta jest eksponowane, nie bez przyczyny jest odwracana uwaga od linków bezpośrednich, to jest obliczone na określony target użytkowników).

Niezależnie od powyższego rozróżnienia: zawsze podkreślam, że należy pobierać tylko ze stron domowych programów a nie serwisów pośrednich.


.

[Asthat]

Wszystko wyczyszczone i posprzątane. Jeszcze raz bardzo dziękuję za pomoc.