piotrek87 Opublikowano 27 Listopada 2011 Zgłoś Udostępnij Opublikowano 27 Listopada 2011 Wczoraj, po zainstalowaniu plugina LiveVDO, na moim komputerze pojawił się problem ze stroną startową/wyszukiwarką startsear.ch w przeglądarce Chrome i Internet Explorer. Zaznaczam, że nigdy nie miałem do czynienia z takim problemem i nie znam się na informatyce. Do infekcji doszło z mojej winy, gdy zainstalowałem plugin potrzebny do oglądania relacji tv w internecie. Chcę to całkowicie usunąć. Wykonałem kilka operacji, ale nie potrafię wykasować z rejestru. Zanim tu trafiłem, przeczytałem na innych forach różne opinie jak się tego pozbyć. Najpierw usunąłem plugin przez dodaj/usuń programy w panelu sterowania. Zmieniłem też opcje wyszukiwania w Google Chrome i Internet Explorer, usunąłem z listy tę infekującą wyszukiwarkę. Zastosowałem Temp File Cleaner, który usunął pliki tymczasowe. Następnie zalecano skan programem Malwarebytes Anti-Malware. Pobrałem program i zrobiłem szybki skan, który wykrył infekcję w rejestrze (log z szybkiego skanu w załączniku). Usunąłem zainfekowaną informację rejestru. Później zrobiłem pełny skan wszystkich dysków. Skan zakończył się po ponad 5 godzinach i wykazał infekcję w pliku .exe (log pełnego skanu w załączniku). Usunąłem ten plik. Później usunąłem cały program. Trafiłem na to forum i po przeczytaniu wytycznych administratorki Picasso, usunąłem Daemon Tools Lite a później wyeliminowałem sterownik SPTD za pomocą SPTDinst. Nie usunąłem klucza z rejestru. Wykonałem skan w OTL i pełne skanowanie w GMER przy wyłączonym Avast Internet Security. Wklejam log z SecurityCheck: Results of screen317's Security Check version 0.99.28 Windows 7 Service Pack 1 x86 (UAC is enabled) Internet Explorer 9 `````````````````````````````` Antivirus/Firewall Check: avast! Internet Security WMI entry may not exist for antivirus; attempting automatic update. ``````````````````````````````` Anti-malware/Other Utilities Check: Java 6 Update 22 Java 6 Update 29 Java version out of date! Adobe Flash Player 11.0.1.152 Adobe Reader 9 (Adobe Reader out of date! ```````````````````````````````` Process Check: objlist.exe by Laurent AVAST Software Avast AvastSvc.exe AVAST Software Avast afwServ.exe AVAST Software Avast AvastUI.exe ``````````End of Log```````````` Proszę o dalsze wytyczne, bo w logu z OTL widać frazę: startsearch i jakiś podejrzany plik prefs.js Z góry dziękuję za odpowiedź mbam-log-2011-11-27 szybki skan.txtPobieranie informacji ... mbam-log-2011-11-27 pełny skan.txtPobieranie informacji ... gmer full scan.txtPobieranie informacji ... OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 28 Listopada 2011 Zgłoś Udostępnij Opublikowano 28 Listopada 2011 Cytat Proszę o dalsze wytyczne, bo w logu z OTL widać frazę: startsearch i jakiś podejrzany plik prefs.js Prefs.js to jest główny plik konfiguracyjny Firefox, to że jest szkodliwie zmodyfikowany to całkiem inna sprawa. Tego pliku nie należy ruszać w rozumieniu usunięcia, chyba że założeniem jest całkowite wyzerowanie pamięci Firefoxa na temat ustawień użytkownika. Linii jest dużo w logu jakoby powielonych, co sugeruje, że na dysku są wielokrotne profile Firefox. 1. Zamknij Firefox, proces nie może być załadowany. W pasku adresów Windows Explorer wklej ścieżkę C:\Users\Aga\AppData\Roaming\Mozilla\Firefox\Profiles i ENTER. Usuń profile nieużywane, o ile takowe są. Dla używanych otwórz do edycji w Notatniku po kolei z każdego profilu plik C:\Users\Aga\AppData\Roaming\Mozilla\Firefox\Profiles\profil\prefs.js. W nim wymaż linie zawierające dokładnie te wartości: browser.startup.homepage + browser.search.defaultengine + browser.search.defaultenginename + browser.search.order.1 + keyword.URL. Zapisz zmiany w plikach. 2. Dostarcz log z AD-Remover z opcji Scan. . Odnośnik do komentarza
piotrek87 Opublikowano 28 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 28 Listopada 2011 Dziękuję za szybką odpowiedź. Nie używam firefoxa. Usunąłem go jakiś czas temu przez dodaj/usuń programy w panelu sterowania. Najwidoczniej ustawienia pozostały a nie są mi potrzebne. Moja siostra, która jest współużytkownikiem komputera również nie korzysta z mozilli. Czy mam usuwać profil 2qk4a5m2.default - bo jest tylko jeden ze ścieżki: C:\Users\Aga\AppData\Roaming\Mozilla\Firefox\Profiles , na koncie siostry też jeden profil pod tą ścieżką: 1pjlyjku.default, czy też mam usunąć wszystkie katalogi ze ścieżki C:\Users\Aga\AppData\Roaming\Mozilla? Odnośnik do komentarza
picasso Opublikowano 28 Listopada 2011 Zgłoś Udostępnij Opublikowano 28 Listopada 2011 Cytat Nie używam firefoxa. Usunąłem go jakiś czas temu przez dodaj/usuń programy w panelu sterowania. Najwidoczniej ustawienia pozostały a nie są mi potrzebne. Moja siostra, która jest współużytkownikiem komputera również nie korzysta z mozilli.\ Przy deinstalacji widocznie odpowiedziałeś negatywnie na pytanie o usuwanie ustawień osobistych. A to prosta sprawa! Tu wystarczy usunąć ogólnie resztki Firefox, bez cyzelowania. 1. Z dysku przez SHIFT+DEL kasujesz foldery C:\Users\Konto\AppData\Roaming\Mozilla. Następnie Start > w polu szukania wpisz regedit > z prawokliku Uruchom jako Administrator > skasuj klucze: HKEY_LOCAL_MACHINE\Software\Mozilla HKEY_LOCAL_MACHINE\Software\MozillaPlugins HKEY_CURRENT_USER\Software\MozillaPlugins 2. Log z AD-Remover nadal aktualny, ale zrób go po uporządkowaniu odpadków Firefox. . Odnośnik do komentarza
piotrek87 Opublikowano 28 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 28 Listopada 2011 Skasowałem foldery na dwóch kontach. Usunąłem klucze z rejestru, ale był tam jeszcze HKEY_LOCAL_MACHINE\Software\mozilla.org, którego nie usunąłem. Nie wiem, czy mam go jeszcze usunąć? Dołączam log z AD-Remover'a. Ad-Report-SCAN2.txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 28 Listopada 2011 Zgłoś Udostępnij Opublikowano 28 Listopada 2011 Cytat ale był tam jeszcze HKEY_LOCAL_MACHINE\Software\mozilla.org, którego nie usunąłem. Nie wiem, czy mam go jeszcze usunąć? Usuń. Brałam dane wprost z loga z OTL, dlatego podałam klucze jakie widać. A wg AD-Remover są jeszcze szczątki adware, ten startsear.ch ostał się w SearchScopes Internet Explorer. Poprawka pod tym kątem oraz na inne (nieszkodliwe lecz puste) wpisy widzialne w OTL: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{B330CD84-5134-4C38-834B-6BA96F6B1EB8}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{B330CD84-5134-4C38-834B-6BA96F6B1EB8}] [-HKEY_LOCAL_MACHINE\Software\Trymedia Systems] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{D4027C7F-154A-4066-A1AD-4243D8127440}"=- [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings] "ProxyServer"=- :Files C:\Program Files\Ask.com C:\ProgramData\Trymedia :OTL SRV - File not found [On_Demand | Stopped] -- -- (WPFFontCache_v0400) O2 - BHO: (no name) - {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} - No CLSID value found. O37 - HKU\S-1-5-21-4049161973-1051933747-2550473202-1001\...exe [@ = exefile] -- Reg Error: Key error. File not found Klik w Wykonaj skrypt. 2. Wystarczy, że przedstawisz tylko log z wynikami usuwania OTL. Nowy log nie jest potrzebny. . Odnośnik do komentarza
piotrek87 Opublikowano 28 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 28 Listopada 2011 Log z wynikiem usuwania: ========== REGISTRY ========== Registry key HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{B330CD84-5134-4C38-834B-6BA96F6B1EB8}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B330CD84-5134-4C38-834B-6BA96F6B1EB8}\ not found. Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{B330CD84-5134-4C38-834B-6BA96F6B1EB8}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B330CD84-5134-4C38-834B-6BA96F6B1EB8}\ not found. Registry key HKEY_LOCAL_MACHINE\Software\Trymedia Systems\ deleted successfully. Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440} deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}\ not found. Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer deleted successfully. ========== FILES ========== C:\Program Files\Ask.com folder moved successfully. C:\ProgramData\Trymedia\licenses folder moved successfully. C:\ProgramData\Trymedia\data folder moved successfully. C:\ProgramData\Trymedia folder moved successfully. ========== OTL ========== Service WPFFontCache_v0400 stopped successfully! Service WPFFontCache_v0400 deleted successfully! Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D}\ deleted successfully. Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D}\ deleted successfully. Registry key HKEY_USERS\S-1-5-21-4049161973-1051933747-2550473202-1001_Classes\.exe\ deleted successfully. Registry key HKEY_USERS\S-1-5-21-4049161973-1051933747-2550473202-1001_Classes\exefile\ deleted successfully. HKEY_LOCAL_MACHINE\Software\Classes\.exe\\|exefile /E : value set successfully! OTL by OldTimer - Version 3.2.31.0 log created on 11282011_115421 Odnośnik do komentarza
picasso Opublikowano 28 Listopada 2011 Zgłoś Udostępnij Opublikowano 28 Listopada 2011 Możemy przejść do wykończenia: 1. W OTL uruchom Sprzątanie. Odinstaluj AD-Remover. 2. Wyczyść foldery Przywracania systemu: INSTRUKCJE. 3. Wykonaj aktualizacje oprogramowania. Na liście zainstalowanych widzę: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216022F0}" = Java 6 Update 22"{AA59DDE4-B672-4621-A016-4C248204957A}" = Skype™ 5.5"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.6 - Polish"Adobe Flash Player ActiveX" = Adobe Flash Player 10 ActiveX"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin"Adobe Shockwave Player" = Adobe Shockwave Player 11.5"Gadu-Gadu 10" = Gadu-Gadu 10"Opera 11.50.1074" = Opera 11.50 - Szczegóły aktualizacyjne tu: INSTRUKCJE. Tylko zaznaczę, że starszą Javę masz odinstalować, przy fakcie używania IE i Google Chrome Opera może wylecieć, i są tu dwie wtyczki Flash (pod IE oraz Firefox/Opera), zaktualizuj tę dla IE a drugą możesz i tak odinstalować (Google Chrome ma własną). - Uwaga poboczna: GG10 to stwór w soku reklam i funkcji nieproporcjonalnych do zadania właściwego. Może Cię zainteresują alternatywy opisane w moim artykule: Darmowe komunikatory. Te, które się liczą pod kątem obsługi Gadu: AQQ, Kadu, WTW, Miranda. Pogrubiony = szczególnie polecany. . Odnośnik do komentarza
piotrek87 Opublikowano 28 Listopada 2011 Autor Zgłoś Udostępnij Opublikowano 28 Listopada 2011 Niezmiernie dziękuję za poświęcony mi czas i pomoc. Pozdrawiam. Piotrek Odnośnik do komentarza
Rekomendowane odpowiedzi