zylka87 Opublikowano 29 Maja 2013 Zgłoś Udostępnij Opublikowano 29 Maja 2013 Witam. Przytrafił mi się dzisiaj problem, z którym niestety nie mogę sobie poradzić przy pomocy porad pojawiających się w wynikach wyszukiwania, a widziałem, że komuś z tym problem już pomogliście Otóż strona startowa w moich przeglądarkach tj. Chrome i IE została podmieniona na V9 Portal Site. Oczywiście procedura dostępna pod linkiem uninstall w stopce tej strony nie działa, zarówno w Chrome, jak i IE. Dokładny adres, jaki pojawia się w pasku adresu to: IE: hxxp://en.v9.com/?utm_source=b&utm_medium=update&from=update&uid=SAMSUNGXSSDX830XSeries_S0Z3NSAC930057&ts=1369824011 Chrome: hxxp://en.v9.com/?utm_source=b&utm_medium=update&from=update&uid=SAMSUNGXSSDX830XSeries_S0Z3NSAC930057&ts=1369824011 Oczywiście normalnie jest http Nie mam bladego pojęcia, w jaki sposób ten syf dostał się do mojego systemu, używam KIS-a 2013, poza tym nie zdarza mi się instalować żadnych niesprawdzonych programów. Stało się to dzisiaj w pracy, odszedłem od laptopa, a po powrocie, gry uruchomiłem przeglądarkę, strona startowa była już zmieniona. W załączeniu obowiązkowe logi. Pozdrawiam i liczę na Waszą pomoc. Z góry dziękuję. EDIT: Dodam jeszcze, że próbowałem pozbyć się tego dziadostwa przy pomocy AdwCleanera, które to rozwiązanie było jednym z częściej wymienianych, niestety nie pomogło. W załączeniu również logi z dwóch skanowań i użyć tego programu. Extras.Txt gmer.txt OTL.Txt AdwCleanerR1.txt AdwCleanerR2.txt AdwCleanerS1.txt AdwCleanerS2.txt Odnośnik do komentarza
picasso Opublikowano 30 Maja 2013 Zgłoś Udostępnij Opublikowano 30 Maja 2013 W raportach nie widać żadnych wpisów v9. Jeśli przeglądarki nadal się otwierają z v9, to oznacza że prawdopodobnie ich skróty są zmodyfikowane. v9 może zmodyfikować skróty na dwa sposoby: 1. Modyfikacja Elementu docelowego w pliku skrótu. Otwórz programy bezpośrednio (nie przez skróty) i zweryfikuj co widzisz: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe C:\Program Files (x86)\Internet Explorer\iexplore.exe Jeśli tak otworzone programy nie pokażą strony startowej v9, należy usunąć wszystkie skróty przeglądarek (z Pulpitu / Menu start / Paska zadań) i utworzyć nowe czyste. 2. Modyfikacja skrótów przypiętych w Menu Start poprzez rejestr. Pod tym kątem podaj skan dodatkowy. Uruchom SystemLook x64 i do skanu wklej: :reg HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet /s HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Clients\StartMenuInternet /s Klik w Look i przedstaw wynikowy raport. Nie mam bladego pojęcia, w jaki sposób ten syf dostał się do mojego systemu, używam KIS-a 2013, poza tym nie zdarza mi się instalować żadnych niesprawdzonych programów. Stało się to dzisiaj w pracy, odszedłem od laptopa, a po powrocie, gry uruchomiłem przeglądarkę, strona startowa była już zmieniona. To adware sponsorujące instalatory innych prawidłowych programów. W Twoim logu są subtelne ślady, że mogło to być w instalatorze IrfanView: [2013-05-27 17:44:31 | 000,000,000 | ---D | C] -- C:\Users\Mateusz\AppData\Roaming\IrfanView [2013-05-27 17:42:04 | 000,000,000 | ---D | C] -- C:\Users\Mateusz\AppData\Roaming\eDownload Wnioski stąd, że mniej więcej w tym samym przedziale czasowym powstał katalog aplikacji właściwej oraz "eDownload" (AdwCleaner wywalał zresztą pokrewny "eIntaller"), który jest charakterystyczny dla instalacji wiązanych i na forum już widziałam go m.in. przy instalacji WinRAR sponsorowanej jakimiś innymi syfkami. . Odnośnik do komentarza
zylka87 Opublikowano 30 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 30 Maja 2013 Witam. Faktycznie programy z ich lokalizacji docelowych otwierają się normalnie. Utworzyłem nowe skróty na pasku zadań i ekranie startowym. V9 się już nie pojawia. Wykonałem log, o który prosiłaś. Widzę w nim, że jeszcze niektóre wartości zawierają v9. Log w załączniku. To adware sponsorujące instalatory innych prawidłowych programów. W Twoim logu są subtelne ślady, że mogło to być w instalatorze IrfanView: Fakt, pobierałem IrfanView z oficjalnej strony, ale ten v9 uaktywnił się dopiero wczoraj, 2 dni później. Czy jest jakiś sposób na ochronę przed takimi intruzami? Jak widać, KIS, na którego do tej pory nie mogłem narzekać, jakoś przepuścił tego intruza. Dzięki wielkie za pomoc. Fantastyczne forum. SystemLook.txt Odnośnik do komentarza
picasso Opublikowano 30 Maja 2013 Zgłoś Udostępnij Opublikowano 30 Maja 2013 Tak, skróty przypiętych są także zmodyfikowane. Ładuj korektę na to oraz inne drobne poprawki.1. Otwórz Notatnik i wklej w nim:Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\Google Chrome\shell\open\command]@="C:\\Program Files (x86)\\Google\\Chrome\\Application\\chrome.exe"[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command]@="C:\\Program Files\\Internet Explorer\\iexplore.exe"[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Clients\StartMenuInternet\Google Chrome\shell\open\command]@="C:\\Program Files (x86)\\Google\\Chrome\\Application\\chrome.exe"[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command]@="C:\\Program Files\\Internet Explorer\\iexplore.exe"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]""=-[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]""=-[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes][-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes][-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REGKliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.2. Przez SHIFT+DEL dokasuj jeszcze ten folder, o którym mówiłam:C:\Users\Mateusz\AppData\Roaming\eDownload3. Usuń narzędzia: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.4. Wyczyść foldery Przywracania systemu: KLIK.5. Usuń starą Java 7 Update 15 i zastąp najnowszą wersją 32-bit: KLIK. Czy jest jakiś sposób na ochronę przed takimi intruzami? Jak widać, KIS, na którego do tej pory nie mogłem narzekać, jakoś przepuścił tego intruza. v9 jest typem drobnego adware, tenże typ nie musi być adresowany programami w rodzaju KIS. Sponsorowane instalatory nie zawsze będą wykrywane przez aplikacje zorientowane głównie na malware innego kalibru (wirusy / trojany i podobne). Pomijając fakt, że trzeba po prostu uważać przy instalacji obojętnie jakiego programu (teraz to już nic nie jest pewne, instalacjami adware okazują się ostatnio programy, których bym o to nie podejrzewała), tu ewentualnie mógłby pomóc program realizujący funkcję oceny zachowań instalatorów/aplikacji, który przy próbie instalacji sponsora zwróci uwagę, że konsekwencją będą modyfikacje przeglądarek i pozwoli to zatrzymać. Nie pamiętam opcji KIS, jakimi funkcjami dysponuje.. Odnośnik do komentarza
zylka87 Opublikowano 30 Maja 2013 Autor Zgłoś Udostępnij Opublikowano 30 Maja 2013 Powyższe kroki wykonane Jeszcze raz wielkie dzięki @picasso. Jestem pełen podziwu dla Twojego profesjonalizmu i tego forum. Oczywiście strona ląduje w moich ulubionych, a na Twoje konto leci parę złotówek wsparcia Pozdrawiam Odnośnik do komentarza
picasso Opublikowano 30 Maja 2013 Zgłoś Udostępnij Opublikowano 30 Maja 2013 Oczywiście strona ląduje w moich ulubionych, a na Twoje konto leci parę złotówek wsparcia Wielkie dzięki. Temat rozwiązany. Zamykam. . Odnośnik do komentarza
Rekomendowane odpowiedzi