Problem z startsear.ch po zainstalowaniu plugina LiveVDO

[piotrek87]

Wczoraj, po zainstalowaniu plugina LiveVDO, na moim komputerze pojawił się problem ze stroną startową/wyszukiwarką startsear.ch w przeglądarce Chrome i Internet Explorer.

Zaznaczam, że nigdy nie miałem do czynienia z takim problemem i nie znam się na informatyce. Do infekcji doszło z mojej winy, gdy zainstalowałem plugin potrzebny do oglądania relacji tv w internecie.

Chcę to całkowicie usunąć. Wykonałem kilka operacji, ale nie potrafię wykasować z rejestru.

Zanim tu trafiłem, przeczytałem na innych forach różne opinie jak się tego pozbyć.

 

Najpierw usunąłem plugin przez dodaj/usuń programy w panelu sterowania. Zmieniłem też opcje wyszukiwania w Google Chrome i Internet Explorer, usunąłem z listy tę infekującą wyszukiwarkę.

 

Zastosowałem Temp File Cleaner, który usunął pliki tymczasowe.

 

Następnie zalecano skan programem Malwarebytes Anti-Malware. Pobrałem program i zrobiłem szybki skan, który wykrył infekcję w rejestrze (log z szybkiego skanu w załączniku). Usunąłem zainfekowaną informację rejestru. Później zrobiłem pełny skan wszystkich dysków. Skan zakończył się po ponad 5 godzinach i wykazał infekcję w pliku .exe (log pełnego skanu w załączniku). Usunąłem ten plik. Później usunąłem cały program.

 

Trafiłem na to forum i po przeczytaniu wytycznych administratorki Picasso, usunąłem Daemon Tools Lite a później wyeliminowałem sterownik SPTD za pomocą SPTDinst. Nie usunąłem klucza z rejestru.

 

Wykonałem skan w OTL i pełne skanowanie w GMER przy wyłączonym Avast Internet Security.

 

Wklejam log z SecurityCheck:

 

 

Results of screen317's Security Check version 0.99.28

Windows 7 Service Pack 1 x86 (UAC is enabled)

Internet Explorer 9

``````````````````````````````

Antivirus/Firewall Check:

avast! Internet Security

WMI entry may not exist for antivirus; attempting automatic update.

```````````````````````````````

Anti-malware/Other Utilities Check:

Java 6 Update 22

Java 6 Update 29

Java version out of date!

Adobe Flash Player 11.0.1.152

Adobe Reader 9 (Adobe Reader out of date!

````````````````````````````````

Process Check:

objlist.exe by Laurent

AVAST Software Avast AvastSvc.exe

AVAST Software Avast afwServ.exe

AVAST Software Avast AvastUI.exe

``````````End of Log````````````

 

Proszę o dalsze wytyczne, bo w logu z OTL widać frazę: startsearch i jakiś podejrzany plik prefs.js

Z góry dziękuję za odpowiedź

mbam-log-2011-11-27 szybki skan.txt

mbam-log-2011-11-27 pełny skan.txt

gmer full scan.txt

OTL.Txt

Extras.Txt

[picasso]

Proszę o dalsze wytyczne, bo w logu z OTL widać frazę: startsearch i jakiś podejrzany plik prefs.js

 

Prefs.js to jest główny plik konfiguracyjny Firefox, to że jest szkodliwie zmodyfikowany to całkiem inna sprawa. Tego pliku nie należy ruszać w rozumieniu usunięcia, chyba że założeniem jest całkowite wyzerowanie pamięci Firefoxa na temat ustawień użytkownika. Linii jest dużo w logu jakoby powielonych, co sugeruje, że na dysku są wielokrotne profile Firefox.

 

1. Zamknij Firefox, proces nie może być załadowany. W pasku adresów Windows Explorer wklej ścieżkę C:\Users\Aga\AppData\Roaming\Mozilla\Firefox\Profiles i ENTER. Usuń profile nieużywane, o ile takowe są. Dla używanych otwórz do edycji w Notatniku po kolei z każdego profilu plik C:\Users\Aga\AppData\Roaming\Mozilla\Firefox\Profiles\profil\prefs.js. W nim wymaż linie zawierające dokładnie te wartości: browser.startup.homepage + browser.search.defaultengine + browser.search.defaultenginename + browser.search.order.1 + keyword.URL. Zapisz zmiany w plikach.

 

2. Dostarcz log z AD-Remover z opcji Scan.

 

 

 

.

[piotrek87]

Dziękuję za szybką odpowiedź. Nie używam firefoxa. Usunąłem go jakiś czas temu przez dodaj/usuń programy w panelu sterowania. Najwidoczniej ustawienia pozostały a nie są mi potrzebne. Moja siostra, która jest współużytkownikiem komputera również nie korzysta z mozilli.

Czy mam usuwać profil 2qk4a5m2.default - bo jest tylko jeden ze ścieżki: C:\Users\Aga\AppData\Roaming\Mozilla\Firefox\Profiles , na koncie siostry też jeden profil pod tą ścieżką: 1pjlyjku.default, czy też mam usunąć wszystkie katalogi ze ścieżki C:\Users\Aga\AppData\Roaming\Mozilla?

[picasso]

Nie używam firefoxa. Usunąłem go jakiś czas temu przez dodaj/usuń programy w panelu sterowania. Najwidoczniej ustawienia pozostały a nie są mi potrzebne. Moja siostra, która jest współużytkownikiem komputera również nie korzysta z mozilli.\

 

Przy deinstalacji widocznie odpowiedziałeś negatywnie na pytanie o usuwanie ustawień osobistych. A to prosta sprawa! Tu wystarczy usunąć ogólnie resztki Firefox, bez cyzelowania.

 

1. Z dysku przez SHIFT+DEL kasujesz foldery C:\Users\Konto\AppData\Roaming\Mozilla. Następnie Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > skasuj klucze:

 

HKEY_LOCAL_MACHINE\Software\Mozilla

HKEY_LOCAL_MACHINE\Software\MozillaPlugins

HKEY_CURRENT_USER\Software\MozillaPlugins

 

2. Log z AD-Remover nadal aktualny, ale zrób go po uporządkowaniu odpadków Firefox.

 

 

.

[piotrek87]

Skasowałem foldery na dwóch kontach. Usunąłem klucze z rejestru, ale był tam jeszcze HKEY_LOCAL_MACHINE\Software\mozilla.org, którego nie usunąłem. Nie wiem, czy mam go jeszcze usunąć? Dołączam log z AD-Remover'a.

Ad-Report-SCAN2.txt

[picasso]

ale był tam jeszcze HKEY_LOCAL_MACHINE\Software\mozilla.org, którego nie usunąłem. Nie wiem, czy mam go jeszcze usunąć?

 

Usuń. Brałam dane wprost z loga z OTL, dlatego podałam klucze jakie widać. A wg AD-Remover są jeszcze szczątki adware, ten startsear.ch ostał się w SearchScopes Internet Explorer. Poprawka pod tym kątem oraz na inne (nieszkodliwe lecz puste) wpisy widzialne w OTL:

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{B330CD84-5134-4C38-834B-6BA96F6B1EB8}]
[-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{B330CD84-5134-4C38-834B-6BA96F6B1EB8}]
[-HKEY_LOCAL_MACHINE\Software\Trymedia Systems]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyServer"=-
 
:Files
C:\Program Files\Ask.com
C:\ProgramData\Trymedia
 
:OTL
SRV - File not found [On_Demand | Stopped] --  -- (WPFFontCache_v0400)
O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found.
O37 - HKU\S-1-5-21-4049161973-1051933747-2550473202-1001\...exe [@ = exefile] -- Reg Error: Key error. File not found

 

Klik w Wykonaj skrypt.

 

2. Wystarczy, że przedstawisz tylko log z wynikami usuwania OTL. Nowy log nie jest potrzebny.

 

 

 

.

[piotrek87]

Log z wynikiem usuwania:

 

 

========== REGISTRY ==========

Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{B330CD84-5134-4C38-834B-6BA96F6B1EB8}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B330CD84-5134-4C38-834B-6BA96F6B1EB8}\ not found.

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{B330CD84-5134-4C38-834B-6BA96F6B1EB8}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B330CD84-5134-4C38-834B-6BA96F6B1EB8}\ not found.

Registry key HKEY_LOCAL_MACHINE\Software\Trymedia Systems\ deleted successfully.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer deleted successfully.

========== FILES ==========

C:\Program Files\Ask.com folder moved successfully.

C:\ProgramData\Trymedia\licenses folder moved successfully.

C:\ProgramData\Trymedia\data folder moved successfully.

C:\ProgramData\Trymedia folder moved successfully.

========== OTL ==========

Service WPFFontCache_v0400 stopped successfully!

Service WPFFontCache_v0400 deleted successfully!

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D}\ deleted successfully.

Registry key HKEY_USERS\S-1-5-21-4049161973-1051933747-2550473202-1001_Classes\.exe\ deleted successfully.

Registry key HKEY_USERS\S-1-5-21-4049161973-1051933747-2550473202-1001_Classes\exefile\ deleted successfully.

HKEY_LOCAL_MACHINE\Software\Classes\.exe\\|exefile /E : value set successfully!

 

OTL by OldTimer - Version 3.2.31.0 log created on 11282011_115421

[picasso]

Możemy przejść do wykończenia:

 

1. W OTL uruchom Sprzątanie. Odinstaluj AD-Remover.

 

2. Wyczyść foldery Przywracania systemu: INSTRUKCJE.

 

3. Wykonaj aktualizacje oprogramowania. Na liście zainstalowanych widzę:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216022F0}" = Java™ 6 Update 22
"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5
"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.6 - Polish
"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Gadu-Gadu 10" = Gadu-Gadu 10
"Opera 11.50.1074" = Opera 11.50

 

- Szczegóły aktualizacyjne tu: INSTRUKCJE. Tylko zaznaczę, że starszą Javę masz odinstalować, przy fakcie używania IE i Google Chrome Opera może wylecieć, i są tu dwie wtyczki Flash (pod IE oraz Firefox/Opera), zaktualizuj tę dla IE a drugą możesz i tak odinstalować (Google Chrome ma własną).

- Uwaga poboczna: GG10 to stwór w soku reklam i funkcji nieproporcjonalnych do zadania właściwego. Może Cię zainteresują alternatywy opisane w moim artykule: Darmowe komunikatory. Te, które się liczą pod kątem obsługi Gadu: AQQ, Kadu, WTW, Miranda. Pogrubiony = szczególnie polecany.

 

 

 

.

[piotrek87]

Niezmiernie dziękuję za poświęcony mi czas i pomoc. Pozdrawiam.

Piotrek