Usunięcie wyszukiwarki startsear.ch po instalacji plugina vShare

[slp]

Witam,

 

Tak jak kilka osób ostatnio w tym dziale zainstalowałem plugin vShare żeby obejrzeć jakąś transmisję internetową.

Po instalacji jako wyszukiwarka w Firefoxie ciągle włącza się startsear.ch, zmiana strony startowej nie pomaga - przy kolejnym uruchomieniu jest to samo.

Na podobnej zasadzie nie mogę na stałe zmienić docelowej lokalizacji pobieranych plików.

 

Zgodnie z regulaminem usunąłem Daemon Tools i sporządziłem logi (w załączeniu)

 

Z góry dzięki za pomoc i zainteresowanie.

OTL.Txt

Extras.Txt

GMER Log.txt

[Landuss]

Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
IE - HKU\S-1-5-21-1085031214-1417001333-839522115-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=283ad996-630a-11e1-badd-001b24f61428"
IE - HKU\S-1-5-21-1085031214-1417001333-839522115-1003\..\SearchScopes\{043C5167-00BB-4324-AF7E-62013FAEDACF}: "URL" = "http://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp
FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1&cf=283ad996-630a-11e1-badd-001b24f61428""
FF - prefs.js..keyword.URL: "http://startsear.ch/?q="
O33 - MountPoints2\{5d89d6c0-ef20-11de-b521-001b24f61428}\Shell\AutoRun\command - "" = x3xh.exe
O33 - MountPoints2\{5d89d6c0-ef20-11de-b521-001b24f61428}\Shell\open\Command - "" = x3xh.exe
[2012-02-29 20:36:55 | 000,075,045 | ---- | M] () -- C:\WINDOWS\System32\16fd232b.exe
 
:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL oraz z AdwCleaner z opcji Search.

[slp]

Ok, wykonałem skrypt i przeskanowałem dysk OTL i AdwCleanerem.

 

W załączeniu przesyłam logi i proszę o dalsze wskazówki:)

OTL.Txt

Extras.Txt

AdwCleanerR1.txt

[Landuss]

Użyj AdwCleaner z opcji Delete oraz skrypt do OTL o takiej treści:

 

:OTL
FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1&cf=283ad996-630a-11e1-badd-001b24f61428"

 

Do wglądu dajesz nowy log z OTL (bez ekstras) oraz z AdwCleaner z opcji Search.

[slp]

Zrobione: DELETE w AdwCleanerze i skrypt w OTL

 

Do wglądu nowe logi

OTL.Txt

AdwCleanerR2.txt

[Landuss]

Nadal ta linia jest widoczna w logach. Przeglądarka ma być zamknieta podczas wykonywania. Jeszcze raz Użyj AdwCleanera z opcji Delete i pokaż log.

[slp]

Pozamykałem wszystko, ale może proces Firefoxa jeszcze był aktywny.

Teraz zrobiłem Delete z AdwCleanera i jest ok. W logu też tej linijki nie ma (w załączeniu).

 

Czy coś jeszcze jest do pousuwania w związku z problemem?

Jeśli nie, to wielkie dzięki za pomoc i poświęcony czas. A temat wtedy do zamknięcia

AdwCleanerR3.txt

[Landuss]

Teraz jest jak należy i zostały tylko czynności finalne.

 

1. Użyj opcji Sprzątanie z OTL oraz opcji Uninstall z AdwCleaner.

 

2. Masz nieaktualny, odcięty od aktualizacji system. Instaluj Service Pack 3 oraz zaktualizuj inne wymienione programy:

 

Windows XP Professional Edition Dodatek Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation

 

Internet Explorer (Version = 6.0.2900.2180)

"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java 6 Update 31

"{AC76BA86-7AD7-1045-7B44-A94000000001}" = Adobe Reader 9.4.6 - Polish

 

Szczegóły aktualizacyjne: KLIK

 

3. Opróżnij folder przywracania systemu: KLIK

 

Temat jako rozwiązany zamykam.

[slp]

Witam ponownie.

Problem wydawało się został rozwiązany, jednak dalej ustawia się ta strona jako startowa i nie można zmienić docelowego adresu ściągania plików (wszystkie zmiany są przywracane po ponownym otworzeniu firefoxa).

 

Wygląda to tak, że po uzyciu opcji "Delete" w AdwCleaner i odpaleniu Firefoxa wszystko wygląda ok, ale wystarczy zamknąć i przy kolejnym otworzeniu problem znów powraca.

 

Po zamknięciu poprzedniego tematu tak jak zalecono zrobiłem aktualizacje i opróżniłem folder przywracania systemu.

 

Załączam nowe logi + dodatkowo log z AdwCleaner. Dodam, że teraz GMER wykrył Rootkita (jak tworzyłem loga przy okazji poprzedniego tematu to nic takiego nie wykrył).

 

Mam nadzieję, że wszystko jasno opisałem i sorry za ponowne zawracanie głowy tym tematem.

OTL.Txt

Extras.Txt

GMER log.txt

AdwCleanerR5.txt

[picasso]

Problem wydawało się został rozwiązany, jednak dalej ustawia się ta strona jako startowa i nie można zmienić docelowego adresu ściągania plików (wszystkie zmiany są przywracane po ponownym otworzeniu firefoxa).

(...)

Wygląda to tak, że po uzyciu opcji "Delete" w AdwCleaner i odpaleniu Firefoxa wszystko wygląda ok, ale wystarczy zamknąć i przy kolejnym otworzeniu problem znów powraca.

 

Być może wina w nie doczyszczonych elementach, które widać tu od początku, tzn. w spisie rozszerzeń Firefox jest podejrzane rozszerzenie "Z":

 

[2012-02-29 20:36:55 | 000,000,000 | ---D | M] (z) -- C:\Program Files\Mozilla Firefox\extensions\{16fa643c-7904-d095-e84f-b137fcd8aa16}

 

... a w starcie jest jakiś dziwny Browsers Protector, który wedle nazwy sugeruje coś takiego jak blokada konfiguracji przeglądarki:

 

O4 - HKLM..\Run: [browsers Protector] C:\Program Files\Browsers Protector\regmon32.exe ()

 

 

 

Dodam, że teraz GMER wykrył Rootkita (jak tworzyłem loga przy okazji poprzedniego tematu to nic takiego nie wykrył).

 

Wątpię, by to był rzeczywisty rootkit. Tu jest obcięta ścieżka, jakiś moduł z C:\Program files ... był załadowany do powłoki explorer.exe:

 

---- Processes - GMER 1.0.15 ----
 
Library         C:\Program (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [708]         0x03F50000

 

Taki odczyt w GMER nie jest jeszcze poświadczeniem czynności rootkit, równie dobrze coś mogło się zawiesić.

 

 

 

---

1. Zamknij Firefox.

 

2. Przejdź do Dodaj / Usuń programy i odinstaluj Browsers Protector.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1&cf=283ad996-630a-11e1-badd-001b24f61428"
[2012-02-29 20:36:55 | 000,000,000 | ---D | M] (z) -- C:\Program Files\Mozilla Firefox\extensions\{16fa643c-7904-d095-e84f-b137fcd8aa16}
 
:Commands
[emptytemp]

 

Klik w Wykonaj skrypt. System zostanie zrestartowany.

 

3. Kilkukrotnie otwórz > zamknij Firefox. Następnie zrób nowy log z OTL z opcji Skanuj (bez Extras).

 

 

 

.

[slp]

Wykonałem skrypt i wszystko wygląda ok. Dołączam jeszcze log z OTL.

 

Jeśli jest ok to opróżnić ponownie folder przywracania systemu?

 

I dzięki wielkie za pomoc:)

OTL.Txt

[picasso]

Jest OK. Powtórz sobie sprzątanie narzędzi i czyszczenie folderów Przywracania systemu.