marbach Opublikowano 10 Listopada 2015 Zgłoś Udostępnij Opublikowano 10 Listopada 2015 Witam Ostatnio automatycznie ustawia się strona: hxxp://www.istartsurf.com Wcześniej pokazywały się jeszcze inne strony, ale po zeskanowaniu Malware zostały usunięte. Pomimo zmiany w ustawieniach Firefox dalej problem powraca. Komputer do użytku domowego ja go rzadko używam. Proszę o sprawdzenie logów i pomoc Addition_10-11-2015_16-58-49.txt FRST_10-11-2015_16-58-49.txt Shortcut.txt Gmer.txt Odnośnik do komentarza
picasso Opublikowano 10 Listopada 2015 Zgłoś Udostępnij Opublikowano 10 Listopada 2015 Nazwy logów FRST wskazują, że je wyciągnąłeś z folderu C:\FRST\Logs. To jest archiwum logów. Bieżące powstają zawsze tam skąd uruchomiono FRST, czyli w tym przypadku C:\Users\dom\Downloads. Raport mówi, że infekcję nabyłeś z portalu dobreprogramy.pl podczas pobierania "Media Player Classic", uruchamiając świński "Asystent pobierania" tego portalu. Więcej na ten temat: KLIK. Widać nadal niepożądane instalacje w systemie (m.in. Lenovo REACHit), zainfekowany Firefox oraz zmodyfikowane skróty LNK przeglądarek (mają dopisaną stonę istartsurf). Akcje do przeprowadzenia: 1. Deinstalacje: - Przez Panel sterowania odinstaluj REACHit. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście ukryty Metric Collection SDK > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdsManPro; C:\ProgramData\aWMiniProa\WMiniPro.exe [301704 2015-11-09] (DTools LIMITED) ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1447103206&z=b26153ea73a040a16a9a720gaz3z7m3gfe2oetde1c&from=cor&uid=ST1000DM003-1ER162_W4Y2QD7JXXXXW4Y2QD7J ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.istartsurf.com/?type=sc&ts=1447103206&z=b26153ea73a040a16a9a720gaz3z7m3gfe2oetde1c&from=cor&uid=ST1000DM003-1ER162_W4Y2QD7JXXXXW4Y2QD7J ShortcutWithArgument: C:\Users\dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1447103206&z=b26153ea73a040a16a9a720gaz3z7m3gfe2oetde1c&from=cor&uid=ST1000DM003-1ER162_W4Y2QD7JXXXXW4Y2QD7J ShortcutWithArgument: C:\Users\dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.istartsurf.com/?type=sc&ts=1447103206&z=b26153ea73a040a16a9a720gaz3z7m3gfe2oetde1c&from=cor&uid=ST1000DM003-1ER162_W4Y2QD7JXXXXW4Y2QD7J ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1447103206&z=b26153ea73a040a16a9a720gaz3z7m3gfe2oetde1c&from=cor&uid=ST1000DM003-1ER162_W4Y2QD7JXXXXW4Y2QD7J ShortcutWithArgument: C:\Users\Public\Desktop\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.istartsurf.com/?type=sc&ts=1447103206&z=b26153ea73a040a16a9a720gaz3z7m3gfe2oetde1c&from=cor&uid=ST1000DM003-1ER162_W4Y2QD7JXXXXW4Y2QD7J StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1447103206&z=b26153ea73a040a16a9a720gaz3z7m3gfe2oetde1c&from=cor&uid=ST1000DM003-1ER162_W4Y2QD7JXXXXW4Y2QD7J StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.istartsurf.com/?type=sc&ts=1447103206&z=b26153ea73a040a16a9a720gaz3z7m3gfe2oetde1c&from=cor&uid=ST1000DM003-1ER162_W4Y2QD7JXXXXW4Y2QD7J FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\dom\AppData\Roaming\Mozilla\Firefox\Profiles\7ron4s7c.default\extensions\defsearchp@gmail.com FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\dom\AppData\Roaming\Mozilla\Firefox\Profiles\7ron4s7c.default\extensions\deskCutv2@gmail.com HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-842412909-2400916400-2872321181-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\istartsurf uninstall DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\sweet-page uninstall C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\aWMiniProa C:\Users\dom\AppData\Roaming\istartsurf C:\Users\dom\Downloads\*-dp*.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. Dołącz też plik fixlog.txt. Odnośnik do komentarza
marbach Opublikowano 10 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 10 Listopada 2015 Witam Dziękuję za pomoc. Nowe logi: Addition.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 10 Listopada 2015 Zgłoś Udostępnij Opublikowano 10 Listopada 2015 Operacje przeprowadzone pomyślnie. Poprawki: 1. Otwórz Notatnik i wklej w nim: Task: {0979839E-0076-40D6-B579-5CEAE38D8604} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo C:\Program Files (x86)\Lenovo C:\Users\dom\REACHit C:\Users\dom\AppData\Local\Lenovo C:\Windows\System32\Tasks\Lenovo Reg: reg query HKLM\SOFTWARE\Clients\StartMenuInternet Reg: reg add HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command /ve /t REG_SZ /d "\"C:\Program Files (x86)\Opera\Launcher.exe"" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Odnośnik do komentarza
marbach Opublikowano 10 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 10 Listopada 2015 Zrobione AdwCleanerS1.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 10 Listopada 2015 Zgłoś Udostępnij Opublikowano 10 Listopada 2015 Końcowe poprawki. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\distromatic DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\istartsurf.com DeleteKey: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\sweet-page.com DeleteKey: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\v9.com DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\(HKLM) OperaStable DeleteKey: HKLM\SOFTWARE\Wow6432Node\istartsurfSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp DeleteKey: HKLM\SOFTWARE\Wow6432Node\WdsManPro DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Users\dom\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\dom\Downloads\9uo0ls8e.exe CMD: del /q C:\Users\dom\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
marbach Opublikowano 11 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 11 Listopada 2015 Witam Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 11 Listopada 2015 Zgłoś Udostępnij Opublikowano 11 Listopada 2015 Fix pomyślnie wykonany. Kończymy: 1. Zastosuj DelFix, a następnie wyczyść foldery Przywracania systemu: KLIK. 2. Cały system do aktualizacji, brak SP1 + IE11 + reszty łat: Platform: Windows 7 Ultimate (X64) Język: Polski (Polska) Internet Explorer Wersja 8 (Domyślna przeglądarka: Opera) Odnośnik do komentarza
marbach Opublikowano 12 Listopada 2015 Autor Zgłoś Udostępnij Opublikowano 12 Listopada 2015 Witam Wszystko wykonane. Dziękuję za pomoc Odnośnik do komentarza
Rekomendowane odpowiedzi