Skocz do zawartości
WAŻNE - Użytkownicy uprawnieni do pomocy
WAŻNE - Zakładanie tematu: obowiązkowe logi
Nadchodzące zmiany w logowaniu

Podmieniona strona startowa, silnik wyszukiwarki i ciągle krzyczący antywirus po uruchomieniu aktywatora office 2013

goddy

Przez goddy
w Dział pomocy doraźnej

Rekomendowane odpowiedzi

goddy

goddy

Opublikowano
Opublikowano

Witajcie,

 

Całkiem niedawno na moim komputerze został uruchomiony pseudo aktywator do pakietu office ściągnięty ze strony hxxp://kmspico10.com/.

Żeby tego było mało, antywirus był wyłączony w tym czasie.

Jak nietrudno się domyślić, spowodowało to spore zamieszanie w systemie.

Obserwowane skutki:

  • Strona startowa podmieniona na hxxp://www.istartsurf.com/
  • Podmieniona silnik wyszukiwarki zarówno w Chrome, jak i Firefox (podejrzewam,  że też w IE) na hxxp://search.webssearches.com/.
  • Przy włączonej przeglądarce antywirus ciągle krzyczy. Widać, że coś się dzieje w tle.

 

Mój system to Windows 7 SP1 x64

 

Będę bardzo wdzięczny za rzucenie okiem na moje logi.

 

Addition.txt

FRST.txt

GMER.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
jessica

jessica

Opublikowano
Opublikowano

1) Użyj >Adw-cleaner
najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt

 

2) Otwórz Notatnik i wklej w nim:

 

CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1438025515&z=edfa5004c1046cfbbd8e761gcz5cab6efoewdzaqem&from=obw&uid=ADATAXSP920SS_14140C1147390C114739&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1438025515&z=edfa5004c1046cfbbd8e761gcz5cab6efoewdzaqem&from=obw&uid=ADATAXSP920SS_14140C1147390C114739&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1438025515&z=edfa5004c1046cfbbd8e761gcz5cab6efoewdzaqem&from=obw&uid=ADATAXSP920SS_14140C1147390C114739&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1438025515&z=edfa5004c1046cfbbd8e761gcz5cab6efoewdzaqem&from=obw&uid=ADATAXSP920SS_14140C1147390C114739&q={searchTerms}
SearchScopes: HKU\S-1-5-21-948294637-126623534-2788625075-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=obw&utm_campaign=install_ie&utm_content=ds&from=obw&uid=ADATAXSP920SS_14140C1147390C114739&ts=1438025561&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-948294637-126623534-2788625075-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=obw&utm_campaign=install_ie&utm_content=ds&from=obw&uid=ADATAXSP920SS_14140C1147390C114739&ts=1438025561&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-948294637-126623534-2788625075-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=obw&utm_campaign=install_ie&utm_content=ds&from=obw&uid=ADATAXSP920SS_14140C1147390C114739&ts=1438025561&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-948294637-126623534-2788625075-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=obw&utm_campaign=install_ie&utm_content=ds&from=obw&uid=ADATAXSP920SS_14140C1147390C114739&ts=1438025561&type=default&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1438025515&z=edfa5004c1046cfbbd8e761gcz5cab6efoewdzaqem&from=obw&uid=ADATAXSP920SS_14140C1147390C114739
FF NewTab: hxxp://www.istartsurf.com/newtab/?type=nt&ts=1438025515&z=edfa5004c1046cfbbd8e761gcz5cab6efoewdzaqem&from=obw&uid=ADATAXSP920SS_14140C1147390C114739
FF SearchPlugin: C:\Users\Piotr\AppData\Roaming\Mozilla\Firefox\Profiles\ifukcu1k.default\searchplugins\istartsurf.xml [2015-07-27]
FF Extension: deskCut - C:\Users\Piotr\AppData\Roaming\Mozilla\Firefox\Profiles\ifukcu1k.default\Extensions\deskCutv2@gmail.com [2015-07-27]
FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Piotr\AppData\Roaming\Mozilla\Firefox\Profiles\ifukcu1k.default\extensions\deskCutv2@gmail.com
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
2015-07-27 21:34 - 2015-07-27 21:34 - 00000000 ____D C:\ProgramData\8982373780703246254
2015-07-27 21:34 - 2015-07-27 21:34 - 00000000 ____D C:\Program Files (x86)\RSS Subscription Extension by
2015-07-27 21:34 - 2015-07-27 21:34 - 00000000 ____D C:\Program Files (x86)\CutThePrice
2015-07-27 21:34 - 2015-07-27 21:34 - 00000000 ____D C:\Program Files (x86)\CuatThePruice
2015-07-27 21:34 - 2015-07-27 21:34 - 00000000 ____D C:\Program Files (x86)\bestadblocker
2015-07-27 21:33 - 2015-07-28 22:19 - 00000000 ____D C:\ProgramData\ahphcahnkamaapjichgaamkckohjfcac
2015-07-27 21:32 - 2015-07-29 20:07 - 00000000 ____D C:\Users\Piotr\AppData\Roaming\istartsurf
2015-07-27 21:32 - 2015-07-28 22:25 - 00000000 ____D C:\ProgramData\{22f70bc9-6994-e68d-22f7-70bc96992f25}
2015-07-27 21:32 - 2015-07-27 21:43 - 00000000 ____D C:\ProgramData\tWinManProt
2015-07-27 21:32 - 2015-07-27 21:43 - 00000000 ____D C:\Program Files (x86)\MiuiTab
2015-07-27 21:32 - 2015-07-27 21:36 - 00000000 ____D C:\Users\Piotr\AppData\Local\ospd_us_013010043
2015-07-27 21:32 - 2015-07-27 21:32 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ONESOFTPERDAY
2015-07-27 21:32 - 2015-07-27 21:32 - 00000000 ____D C:\ProgramData\IHProtectUpDate
2015-07-27 21:32 - 2015-07-27 21:32 - 00000000 ____D C:\Program Files (x86)\ospd_us_013010043
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.

 

3)

 

CHR dev: Chrome dev build detected! <======= ATTENTION

Odinstaluj tę dziurawą wersję Google Chrome.
Zainstaluj stąd > http://www.google.com/chrome/

 

4) Zrób nowe logi FRST

 

5)Napisz,. czy zmieniło to sytuację?

 

jessi

Odnośnik do komentarza
jessica

jessica

Opublikowano
Opublikowano

Otwórz Notatnik i wklej w nim:

 

C:\Windows\Minidump\*.dmp
FF Extension: No Name - C:\Users\Piotr\AppData\Roaming\Mozilla\Firefox\Profiles\ifukcu1k.default\extensions\deskCutv2@gmail.com [not found]
C:\ProgramData\boost_interprocess
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.

 

Potem kończymy:

Otwórz Notatnik i wklej w nim:

 

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix.
przez SHIFT+DEL usuń pozostały folder C:\FRST.

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).

 

jessi

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
Tematy

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...