Firefox samoczynnie włącza search.bearshare.com

[tslyszewski]

witam, jestem początkujący w sprawie usuwania złośliwego oprogramowania. nigdy nie stosowałem nic poza antywirusem avast. ostatnio po zainstalowaniu bearshare w oknie przeglądarki pojawia się strona startowa http://search.bearshare.com/. odinstalowałem już bearshare. usunąłem także rozszerzenie beartolbar i nic nie pomogło. antywirus nic nie wykrył. mój system to Windows 7 32 bitowy. proszę o pomoc

OTL.Txt

Extras.Txt

[Landuss]

Wykonaj i wklej raporty z narzędzia OTL. Wtedy będziemy widzieć zapisy po BearShare i je skorygujemy.

[tslyszewski]

własnie to zrobilem. przepraszam ze tak pozno ale nie znam sie na tym wogole

[Landuss]

1. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:Files
C:\Users\Tomek\AppData\Local\Temp*.html
 
:OTL
FF - prefs.js..browser.search.defaultenginename: "Web Search..."
FF - prefs.js..browser.search.defaultthis.engineName: "Free Lunch Design Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT1708250&SearchSource=3&q={searchTerms}"
FF - prefs.js..browser.startup.homepage: "http://search.bearshare.com/"
FF - prefs.js..extensions.enabledItems: vshare@toolbar:1.0.0
FF - prefs.js..keyword.URL: "http://search.bearshare.com/web?src=ffb&systemid=2&q="
[2011-06-20 14:43:35 | 000,000,000 | ---D | M] (MediaBar) -- C:\Users\Tomek\AppData\Roaming\mozilla\Firefox\Profiles\g60n7o2h.default\extensions\{c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c}
[2011-06-21 13:02:07 | 000,000,000 | ---D | M] ("DAEMON Tools Toolbar") -- C:\Users\Tomek\AppData\Roaming\mozilla\Firefox\Profiles\g60n7o2h.default\extensions\DTToolbar@toolbarnet.com
[2010-12-13 21:36:10 | 000,000,000 | ---D | M] (vShare) -- C:\Users\Tomek\AppData\Roaming\mozilla\Firefox\Profiles\g60n7o2h.default\extensions\vshare@toolbar
[2010-09-14 14:48:25 | 000,002,506 | ---- | M] () -- C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\g60n7o2h.default\searchplugins\BearShareWebSearch.xml
[2010-08-18 17:14:48 | 000,000,937 | ---- | M] () -- C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\g60n7o2h.default\searchplugins\conduit.xml
[2011-02-12 15:02:25 | 000,002,059 | ---- | M] () -- C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\g60n7o2h.default\searchplugins\daemon-search.xml
[2010-12-13 21:36:28 | 000,001,583 | ---- | M] () -- C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\g60n7o2h.default\searchplugins\web-search.xml
[2010-09-14 14:48:25 | 000,002,506 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\BearShareWebSearch.xml
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O4 - HKCU..\Run: [eMuleAutoStart]  File not found
O4 - HKCU..\Run: [fsm]  File not found
 
:Commands
[emptyflash]
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

2. Odinstaluj zbędne paski sponsoringowe - DAEMON Tools Toolbar / Winamp Toolbar, odpadek po BearShare - MediaBar oraz zbędną wtyczkę vShare Plugin która jest klasyfikowana jako obiekt niepożądany.

 

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL.

 

 

[tslyszewski]

załączam loga który powstał po naprawie. niestety nie udało się usunąć. ciągle otwiera okno bearshare.

OTL.Txt

[Landuss]

Nadal nie odinstalowałeś pozycji, o których mówiłem więc zrób to bo w logu dalej stoją. Powtórz skrypt o takiej zawartosci:

 

:OTL
FF - prefs.js..browser.startup.homepage: "http://search.bearshare.com/"

 

Nowy log do oceny.

[tslyszewski]

wykonałem ostatni skrypt. nigdzie nie mogę znaleźć tych plików do odinstalowania. przeglądałem folder ale jest pusty. oto nowy log.

OTL.Txt

[picasso]

nigdzie nie mogę znaleźć tych plików do odinstalowania. przeglądałem folder ale jest pusty

 

Jakich plików? Ty masz wejść do apletu deinstalacji (Panel sterowania > Odinstaluj program) i odinstalować wszystkie wymienione wcześniej aplikacje plus pominięte przez Landussa adware AutocompletePro. Wpisy w pierwszym OTL Extras są na liście zainstalowanych (czyli powinno to być widoczne w aplecie deinstalacji):

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"AutocompletePro3_is1" = AutocompletePro
"DAEMON Tools Toolbar" = DAEMON Tools Toolbar
"BearShare 2 MediaBar" = MediaBar
"vShare" = vShare Plugin
"Winamp Toolbar" = Winamp Toolbar

 

Nic tu nie wygląda na wykonane, w aktualnym raporcie to nie powinno być widoczne po deinstalacji:

 

IE - HKLM\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.)
IE - HKCU\..\URLSearchHook: {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.)
O2 - BHO: (vShare Plugin) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll ()
O2 - BHO: (AC-Pro) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Program Files\AutocompletePro\AutocompletePro.dll (SimplyGen)
O2 - BHO: (Winamp Toolbar Loader) - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.)
O2 - BHO: (UrlHelper Class) - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - C:\Program Files\BearShare Applications\MediaBar\Datamngr\IEBHO.dll (MusicLab, LLC)
O2 - BHO: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\Program Files\BearShare Applications\MediaBar\ToolBar\bsdtxmltbpi.dll ()
O3 - HKLM\..\Toolbar: (vShare Plugin) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll ()
O3 - HKLM\..\Toolbar: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
O3 - HKLM\..\Toolbar: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} - C:\Program Files\BearShare Applications\MediaBar\ToolBar\bsdtxmltbpi.dll ()
O3 - HKLM\..\Toolbar: (Winamp Toolbar) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.)
O3 - HKCU\..\Toolbar\WebBrowser: (vShare Plugin) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - C:\Program Files\vShare\vshare_toolbar.dll ()
O3 - HKCU\..\Toolbar\WebBrowser: (DAEMON Tools Toolbar) - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll ()
O3 - HKCU\..\Toolbar\WebBrowser: (Winamp Toolbar) - {EBF2BA02-9094-4C5A-858B-BB198F3D8DE2} - C:\Program Files\Winamp Toolbar\winamptb.dll (AOL LLC.)
O4 - HKLM..\Run: [DATAMNGR] C:\Program Files\BearShare Applications\MediaBar\Datamngr\datamngrUI.exe (MusicLab, LLC)
O18 - Protocol\Handler\vsharechrome {3F3A4B8A-86FC-43A4-BB00-6D7EBE9D4484} - C:\Program Files\vShare\vshare_toolbar.dll ()
O20 - AppInit_DLLs: (C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\datamngr.dll) - C:\Program Files\BearShare Applications\MediaBar\Datamngr\datamngr.dll (MusicLab, LLC)
O20 - AppInit_DLLs: (C:\PROGRA~1\BEARSH~1\MediaBar\Datamngr\IEBHO.dll) - C:\Program Files\BearShare Applications\MediaBar\Datamngr\IEBHO.dll (MusicLab, LLC)

 

Ponadto: dopóki siedzi zainstalowany MediaBar (od Bearshare), ustawienia stron będą resetowane na search.bearshare.com i rekonfigurowanie tego w kółko jest bezcelowe.

 

Proszę wykonaj deinstalacje zgodnie z zaleceniami, a następnie pokaż nowe logi z OTL.

 

 

 

 

.

[tslyszewski]

sorry, już znalazłem i myślę że wszystko odinstalowałem załączam nowe logi. Jeszcze raz przepraszam bo wiem jak ciężko współpracować z takimi ciemniakami

Już chyba wszystko wyłączyłem. bearshare się nie włączył wiec wszystko wygląda że jest ok. załączam loga aby potwierdzić. Dzięki za pomoc.

OTL.Txt

Edytowane 24 Czerwca 2011 przez picasso
Posty połączone. //picasso

[picasso]

Bearshare jest jeszcze w Firefox w keyword.URL:

 

FF - prefs.js..keyword.URL: "http://search.bearshare.com/web?src=ffb&systemid=2&q="

Ponadto, po deinstalacjach zostały śmieci.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..keyword.URL: "http://search.bearshare.com/web?src=ffb&systemid=2&q="
[2010-08-28 14:27:55 | 000,000,000 | ---D | M] (MakeItLive) -- C:\Users\Tomek\AppData\Roaming\mozilla\Firefox\Profiles\g60n7o2h.default\extensions\mil@toolbar
O2 - BHO: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} -  File not found
O3 - HKLM\..\Toolbar: (MediaBar) - {c2d64ff7-0ab8-4263-89c9-ea3b0f8f050c} -  File not found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {043C5167-00BB-4324-AF7E-62013FAEDACF} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found.
O37 - HKCU\...com [@ = comfile] -- Reg Error: Key error. File not found
O37 - HKCU\...exe [@ = exefile] -- Reg Error: Key error. File not found
[2011-06-20 14:43:16 | 000,000,000 | ---D | C] -- C:\Users\Tomek\Documents\BearShare
[2011-06-20 14:43:16 | 000,000,000 | ---D | C] -- C:\Users\Tomek\AppData\Local\BearShare
[2011-06-20 14:42:13 | 000,000,000 | ---D | C] -- C:\Program Files\BearShare Applications
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
 
:Commands
[emptyflash]
[emptytemp]

Klik w Wykonaj skrypt. Po restarcie systemu otworzy się log z wynikami usuwania.

 

2. Przedstaw tylko log z usuwania OTL (nie z opcji Skanuj) - jeśli log się sam nie otworzy, szukaj go w katalogu C:\_OTL. Dorzuć za to log trybu skanowania z AD-Remover.

 

 

 

.

[tslyszewski]

nie mogę wysłać tego loga bo nie mam uprawnień.

[picasso]

nie mogę wysłać tego loga bo nie mam uprawnień.

 

W Załącznikach można tylko wstawiać rozszerzenie *.TXT a nie *.LOG. Zmienisz nazwę pliku, to się wstawi. Poza tym, wcale nie musisz używać Załączników, gdyż ten log z OTL jest krótki. Przeklej ten log OTL wprost do posta. Raport z AD-Remover jako Załącznik.

[tslyszewski]

zalaczam log po czyszczeniu i adremove

log.txt

Ad-Report-SCAN1.txt

[picasso]

Ostatni skrypt do OTL o następującej zawartości:

 

:Reg
[-HKEY_CURRENT_USER\Software\AutocompletePro]
[-HKEY_CURRENT_USER\Software\AutocompleteProBHO]
[-HKEY_CURRENT_USER\Software\Conduit]
[-HKEY_CURRENT_USER\Software\DataMngr]
[-HKEY_CURRENT_USER\Software\PopCap]
[-HKEY_CURRENT_USER\Software\Zugo]
[-HKEY_CURRENT_USER\Software\AppDataLow\Software\Conduit]
[-HKEY_LOCAL_MACHINE\Software\Conduit]
[-HKEY_LOCAL_MACHINE\Software\FunWebProducts]
[-HKEY_LOCAL_MACHINE\Software\Trymedia Systems]
[-HKEY_LOCAL_MACHINE\Software\Classes\Interface\{DB885111-F39F-4D88-9EE5-C88460B6DF7B}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}]
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\9b11299f-6bde-479e-a535-1254bdf5b5b8]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\ddb27aef-2d42-405c-a3f3-f061ce7586df]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}]
 
:Files
C:\Program Files\FunWebProducts
C:\ProgramData\Trymedia

Pokaż wynikowy log z usuwania. Tyle już wystarczy przed podaniem końcowych instrukcji porządkowych.

 

 

.

[tslyszewski]

oto wynikowy log z usuwania

log 1.txt

[picasso]

OK. Finiszujemy:

 

1. W OTL uruchom Sprzątanie, co usunie kwarantannę narzędzia oraz OTL. Funkcja wymaga restartu.

 

2. Odinstaluj AD-Remover, jeśli nie zniknie folder C:\Program Files\Ad-Remover, dokasuj ręcznie.

 

3. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

4. Do aktualizacji:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java™ 6 Update 24
"{AC76BA86-7AD7-1033-7B44-AA0000000001}" = Adobe Reader X (10.0.1)
"7-Zip" = 7-Zip 4.65
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 10 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"ffdshow_is1" = ffdshow v1.1.3402 [2010-05-04]
"Gadu-Gadu 10" = Gadu-Gadu 10
"KLiteCodecPack_is1" = K-Lite Codec Pack 6.2.0 (Basic)

- Obowiązkowe aktualizacje Java i wszystkich produktów Adobe: INSTRUKCJE. Przy okazji zaktualizuj 7-zip, kodeki.

- Proponuję również zamianę ciężkiego GG10 programem alternatywnym. W temacie Darmowe komunikatory poczytaj opisy AQQ, Kadu, WTW i Miranda. Osobiście polecam WTW.

 

 

.

[tslyszewski]

Dzieki bardzo za pomoc. Wszystko zrobię wedle zaleceń. Dodam że większość czasu na kompie spędza moja córka i to jest problem. Ale wszystko dla dzieci. Jeszcze raz dziękuję