istartsuf w przeglądarkach

Winters303 · 30 Sierpnia 2014

Witajcie, w każdej z przeglądarek pokazuje się istartsurf którego w żaden sposób nie mogę usunąć. W załącznikach dodałem potrzebne logi. Przy Gmerze wystąpiły jakieś problem z dostępem do config systemu ale skanowanie skończył.

Extras.Txt

OTL.Txt

jessica · 30 Sierpnia 2014

1. Odinstaluj: Akamai NetSession Interface, BitGuard, Delta toolbar, istartsurf uninstall.

2. Użyj AdwCleaner. Najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.

Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt

3. Otwórz Notatnik i wklej w nim:

Task: {3D75E5A8-9B18-4E0A-876E-F2896478E7F2} - System32\Tasks\Installer_sense => C:\Users\Victoria\AppData\Local\Installer\Installsense_300\delay.exe <==== ATTENTION

Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f

Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

Task: {FDB52F42-C03C-4864-A7BF-938DE72F93CE} - System32\Tasks\Installer_iwebar => C:\Users\Victoria\AppData\Local\Installer\Installiwebar_300\delay.exe <==== ATTENTION

C:\Users\UpdatusUser\Desktop\PDF Blender.lnk

ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081

ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081

ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081

ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081

ShortcutWithArgument: C:\Users\Victoria\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081

ShortcutWithArgument: C:\Users\Victoria\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081

ShortcutWithArgument: C:\Users\Victoria\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081

ShortcutWithArgument: C:\Users\Victoria\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.istartsurf.com/?type=sc&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081

ShortcutWithArgument: C:\Users\Victoria\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081

HKU\S-1-5-21-3094628068-4059591873-1470419566-1002\...\Run: [Akamai NetSession Interface] => C:\Users\Victoria\AppData\Local\Akamai\netsession_win.exe [4489472 2013-06-05] (Akamai Technologies, Inc.)

HKU\S-1-5-21-3094628068-4059591873-1470419566-1002\...\Run: [AdobeBridge] => [X]

HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081&q={searchTerms}

HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081

HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081

HKCU\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = http://www.searchgol.com/?babsrc=HP_ss&mntrId=EC87001E101FDB3B&affID=119357&tt=240913_91215&tsp=5016

HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081&q={searchTerms}

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081&q={searchTerms}

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081

HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081

HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081&q={searchTerms}

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081&q={searchTerms}

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.istartsurf.com/?type=hp&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.istartsurf.com/?type=hp&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081&q={searchTerms}

StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081

SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081&q={searchTerms}

SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081&q={searchTerms}

SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081&q={searchTerms}

SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081&q={searchTerms}

SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081&q={searchTerms}

SearchScopes: HKCU - bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}

SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.doko-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=EC87240A64695898&affID=125839&tsp=5038

SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.istartsurf.com/web/?type=ds&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081&q={searchTerms}

BHO: YTAHelper -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> C:\ProgramData\YTAHelper\YTAHelper64.dll (Goobzo Ltd.)

C:\ProgramData\YTAHelper\YTAHelper64.dll

BHO-x32: YTAHelper -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> No File

Toolbar: HKLM-x32 - No Name - {82E1477C-B154-48D3-9891-33D83C26BCD3} - No File

FF NewTab: hxxp://www.istartsurf.com/newtab/?type=nt&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081

FF DefaultSearchEngine: istartsurf

FF SelectedSearchEngine: istartsurf

FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\searchplugins\istartsurf.xml

FF Extension: Fast Start - C:\Users\Victoria\AppData\Roaming\Mozilla\Firefox\Profiles\d12wegkw.default\Extensions\faststartff@gmail.com

FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Victoria\AppData\Roaming\Mozilla\Firefox\Profiles\d12wegkw.default\extensions\faststartff@gmail.com

FF StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe http://www.istartsurf.com/?type=sc&ts=1409411408&from=smt&uid=ST1000LM024XHN-M101MBB_S2Y4J9ED608081

CHR Plugin: (Adobe Acrobat) - C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Browser\nppdf32.dll No File

CHR Plugin: (Google Update) - C:\Program Files (x86)\Google\Update\1.3.21.153\npGoogleUpdate3.dll No File

CHR Plugin: (WildTangent Games App V2 Presence Detector) - C:\Program Files (x86)\WildTangent Games\App\BrowserIntegration\Registered\0\NP_wtapp.dll No File

CHR Plugin: (McAfee SecurityCenter) - c:\PROGRA~2\mcafee\msc\NPMCSN~1.DLL No File

C:\ProgramData\YTAHelper

C:\Program Files\Common Files\ShopperPro

C:\ProgramData\WindowsMangerProtect

C:\ProgramData\ShopperPro

C:\ProgramData\IePluginServices

C:\WINDOWS\System32\Tasks\Installer_iwebar

C:\WINDOWS\System32\Tasks\Installer_sense

C:\Users\Public\Documents\YTAHelper

C:\Users\Public\Documents\ShopperPro

C:\Users\Public\Documents\GOOBZO

C:\Program Files (x86)\YTAHelper

C:\Program Files (x86)\SupTab

C:\Users\Victoria\AppData\Roaming\istartsurf

C:\WINDOWS\system32\sru

C:\ProgramData\SetStretch.exe

C:\ProgramData\SetStretch.VBS

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log.

4. Zrób nowe logi z FRST.

5. Zainstaluj nowszą, bezpieczniejszą wersję Javy 32-bit: KLIK. Być może trzeba też zainstalować nowszą wersję Javy 64 bit

jessi

Winters303 · 30 Sierpnia 2014

Bezpośrednio udało się usunąć tylko Akamai

W załączniku skany.

jessica · 30 Sierpnia 2014

Chyba możemy kończyć:

Otwórz Notatnik i wklej w nim:

S2 SPDRIVER_1.37.0.871; \??\C:\Program Files (x86)\ShopperPro\JSDriver\1.37.0.871\jsdrv.sys [X]

S2 YouTubeAcceleratorService; C:\PROGRA~2\YOUTUB~1\YouTubeAcceleratorService.exe -start -scm [X]

DeleteQuarantine:

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix.

przez SHIFT+DEL usuń pozostały folder C:\FRST

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).

jessi

Winters303 · 31 Sierpnia 2014

Dziękuję bardzo. Dołączam fixlog.

Fixlog.txt

picasso · 1 Września 2014

Winters303

Sprawdź czy system odtworzył omyłkowo usunięty folder Windows 8: C:\WINDOWS\system32\sru. I drobne poprawki:

1. Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

2. Otwórz Notatnik i wklej w nim:

HKU\S-1-5-21-3094628068-4059591873-1470419566-1002\...\Policies\Explorer: []
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\istartsurf uninstall" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Akamai NetSession Interface" /f
CMD: del /q "C:\Users\Victoria\Downloads\VSO Image Resizer 4.0.4.3 Downloader.exe"
CMD: del /q C:\WINDOWS\SysWOW64\sqlite3.dll

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

jessika

Komentarze w spoilerze:

1. Już to mówiłam, ale powtórzę ponownie:

- Nie zadawaj skryptu FRST po AdCleaner, skoro nie wiesz co usunie AdwCleaner, bo bezsensowne skrypty są przetwarzane (podwójne przetwarzanie tych samych obiektów lub przetwarzanie obiektów nieistniejących).

- Został usunięty folder Windows 8: C:\WINDOWS\system32\sru.

2. Dodatkowo, te pliki nie były szkodliwe:

Files to move or delete:
====================

C:\ProgramData\SetStretch.exe

C:\ProgramData\SetStretch.VBS

Występują na komputerach ASUS. Proszę odwołaj się do tutoriala FRST co oznacza listowanie plików w tej sekcji. Można usuwać tylko i wyłącznie pliki szkodliwe, a poprawne albo zostawić gdzie są, albo przenieść w miejsce "odpowiednie".

3. Nie ma sensu przetwarzać takiego skryptu:

Task: {3D75E5A8-9B18-4E0A-876E-F2896478E7F2} - System32\Tasks\Installer_sense => C:\Users\Victoria\AppData\Local\Installer\Installsense_300\delay.exe

Task: {FDB52F42-C03C-4864-A7BF-938DE72F93CE} - System32\Tasks\Installer_iwebar => C:\Users\Victoria\AppData\Local\Installer\Installiwebar_300\delay.exe

C:\WINDOWS\System32\Tasks\Installer_iwebar

C:\WINDOWS\System32\Tasks\Installer_sense

Wystarczy załączyć tylko dwie pierwsze linie. FRST automatycznie usuwa pliki zadania (C:\Windows\System32\Tasks\Zadanie lub C:\Windows\Task\zadanie.job). On nie usuwa tylko plików docelowych zadania, czyli w tym przypadku C:\Users\Victoria\AppData\Local\Installer.

4. Instalacje aktualizacji proszę na szarym końcu.

.

Zaloguj się

istartsuf w przeglądarkach

Rekomendowane odpowiedzi

Winters303

Odnośnik do komentarza

jessica

Odnośnik do komentarza

Winters303

Odnośnik do komentarza

jessica

Odnośnik do komentarza

Winters303

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Zarejestruj nowe konto

Zaloguj się

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność