Kamil92 Opublikowano 10 Marca 2012 Zgłoś Udostępnij Opublikowano 10 Marca 2012 Witam. Bardzo proszę o pomoc w zdiagnozowaniu i usunięciu wirusa, który prawdapodobnie zainstalował się przy okazji instalacji plug-ina vShare. Blokuje on przeglądarkę Google Chrome i IE8 w taki sposób, że nie mogę przejść do żadnej inne strony. Dodam tylko, że Mozilla Firefox, z której korzystam na codzień działa bez problemu. Z góry dziękuję za poświęcony czas i pomoc. Pozdrawiam Extras.Txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 10 Marca 2012 Zgłoś Udostępnij Opublikowano 10 Marca 2012 Owszem, wyszukiwanie startsear.ch to jest konsekwencja instalacji wtyczek vShare / LiveVDO. Widzę, że już to deinstalowałeś (to nie usuwa wyszukiwarki), choć pluginy vShare nadal są w Google Chrome: ========== Chrome ========== CHR - plugin: vShare.tv plug-in (Enabled) = C:\Documents and Settings\Kamil\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\kpionmjnkbpcdpcflammlgllecmejgjj\1.3_0\chvsharetvplg.dll CHR - plugin: vShare.tv plug-in (Enabled) = C:\Program Files\Mozilla Firefox\plugins\npvsharetvplg.dll Na razie wątek Google Chrome opuszczam. Ale objaśnij to: Blokuje on przeglądarkę Google Chrome i IE8 w taki sposób, że nie mogę przejść do żadnej inne strony. Dodam tylko, że Mozilla Firefox, z której korzystam na codzień działa bez problemu. Co masz na myśli "blokuje"? Wg logów to właśnie Firefox i IE8 mają tę wyszukiwarkę, ale nie Google Chrome. W Google Chrome są tylko wtyczki vShare, nie widać rekonfiguracji dostawcy wyszukiwania. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&src=sp&cf=9ba27c08-0019-11e1-a90a-0016176fe488&q=" [2012-02-09 21:49:05 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\Kamil\Dane aplikacji\Mozilla\Firefox\Profiles\znqhyp0k.default\searchplugins\startsear.xml :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}"=- [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{DB913F3E-666E-42F9-B7E5-C9B67837AD55}" [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{DB913F3E-666E-42F9-B7E5-C9B67837AD55}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] [-HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}] :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. 3. Przedstaw: log z usuwania z punktu 1 + nowy log z OTL z opcji Skanuj (już bez Extras) + log z AdwCleaner z opcji Search. . Odnośnik do komentarza
Kamil92 Opublikowano 10 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 10 Marca 2012 Mówiąc, że blokuje on przeglądarki Chrome i IE chodzi mi o to, że prócz tego, że nie mogę przejść do tej strony "startsear.ch" to dodatkowo do żadnej innej strony, możliwe, że przez tego wirusa zostały pozmieniane ustawienia ww. przeglądarek lub coś innego. Oto logi z usuwania, z OTL i z AdwCleaner skrypt.txt AdwCleanerR1.txt OTL1.txt Odnośnik do komentarza
picasso Opublikowano 10 Marca 2012 Zgłoś Udostępnij Opublikowano 10 Marca 2012 Tak nawiasem mówiąc to zrobiłeś unik i nie przedstawiłeś obowiązkowego raportu z GMER. Mówiąc, że blokuje on przeglądarki Chrome i IE chodzi mi o to, że prócz tego, że nie mogę przejść do tej strony "startsear.ch" to dodatkowo do żadnej innej strony, możliwe, że przez tego wirusa zostały pozmieniane ustawienia ww. przeglądarek lub coś innego. Bez związku. Dla Twojej informacji: startsear.ch to nie jest wirus i nic nie blokuje, jest to tylko uprzykrzenie na poziomie rekonfiguracji systemu stron startowych + wyszukiwania i nic poza tym. W Twoich raportach (aczkolwiek GMER nie sprawdzony) nie ma żadnych innych śladów infekcji. Podstawowy podejrzany dla blokady stron: ESET Smart Security. A na temat czyszczenia konfiguracji przeglądarek: skrypt wykonany, zostały tylko minimalne poprawki. 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Reg [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}] [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}] Klik w Wykonaj skrypt. Po tym zastosuj Sprzątanie. Zaś w AdwCleaner użyj Uninstall. 2. Usuń wtyczki vShare z Google chrome. Do wyboru: albo ręczna edycja pliku Preferences (KLIK), albo wyzerowanie całej konfiguracji Google Chrome do postaci domyślnej poprzez zmianę nazwy katalogu C:\Documents and Settings\Kamil\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default. 3. Wyczyść foldery Przywracania systemu: KLIK. . Odnośnik do komentarza
Kamil92 Opublikowano 10 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 10 Marca 2012 Bardzo dziękuję za udzieloną mi pomoc Problem z nie działającym Google Chrome pochodził od ESET'a, który nie zezwalał na połączenie z internetem, zaś moja pomyłka wynikała z tego że strona "startsear.ch"była ustawiona jako startowa i wydawało mi się, że to ma ze sobą związek. Dziękuję raz jeszcze za pomoc i pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi