vanoltom Opublikowano 13 Marca 2012 Zgłoś Udostępnij Opublikowano 13 Marca 2012 Witam. Mam problem z przeglądarką firefox. Po zainstalowaniu plugina do oglądania transmisji on line zainstalował mi sie także malware działa tak, że po wpisaniu słowa kluczowego i próbie wyszukania przekierowuje mnie na stronę startsear .Bardzo proszę o pomoc w usunięciu tego wirusa. Poniżej przedstawiam logi Extras: http://wklej.to/yAIoY OTL: http://wklej.to/sLxOX pozdrawiam Odnośnik do komentarza
picasso Opublikowano 14 Marca 2012 Zgłoś Udostępnij Opublikowano 14 Marca 2012 Używałeś tu jakiś skrypt do OTL. Jeżeli brałeś z innego tematu, to błąd. Skrypty są unikatowe, robione na podstawie raportów z określonego systemu, nie pasują do innych systemów. Prócz tytułowej wyszukiwarki (to nie jest wirus tylko adware), są tu jeszcze odpadki po Conduit Engine / uTorrent Toolbar w Firefox oraz preinstalowany "Partner Google" (KLIK). 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = "http://startsear.ch/?aff=1&cf=c52e78cc-6c60-11e1-b994-60d819e9a747" IE - HKLM\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=c52e78cc-6c60-11e1-b994-60d819e9a747&q={searchTerms}" IE - HKU\S-1-5-21-725929270-207744834-3035510801-1001\..\SearchScopes\{67A2568C-7A0A-4EED-AECC-B5405DE63B64}: "URL" = "http://startsear.ch/?aff=1&src=sp&cf=c52e78cc-6c60-11e1-b994-60d819e9a747&q={searchTerms}" FF - prefs.js..browser.search.defaultengine: "Web Search" FF - prefs.js..browser.search.defaultenginename: "Web Search" FF - prefs.js..browser.search.order.1: "Web Search" FF - prefs.js..browser.search.selectedEngine: "Web Search" FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.2.5.2 FF - prefs.js..extensions.enabledItems: {bf7380fa-e3b4-4db2-af3e-9d8783a45bfc}:3.2.5.2 [2012-03-08 12:28:02 | 000,000,000 | ---D | M] (uTorrentBar Community Toolbar) -- C:\Users\Tomek\AppData\Roaming\mozilla\Firefox\Profiles\z4jt5ecl.default\extensions\{bf7380fa-e3b4-4db2-af3e-9d8783a45bfc} [2012-02-15 14:40:30 | 000,000,000 | ---D | M] (Conduit Engine) -- C:\Users\Tomek\AppData\Roaming\mozilla\Firefox\Profiles\z4jt5ecl.default\extensions\engine@conduit.com [2012-03-12 17:31:34 | 000,000,792 | ---- | M] () -- C:\Users\Tomek\AppData\Roaming\Mozilla\Firefox\Profiles\z4jt5ecl.default\searchplugins\startsear.xml [2012-02-16 17:15:37 | 000,000,000 | -HSD | C] -- C:\windows\SysNative\%APPDATA% [2012-02-15 22:44:31 | 000,000,000 | -HSD | C] -- C:\windows\SysWow64\%APPDATA% SRV - [2011-10-29 10:11:22 | 000,332,272 | ---- | M] (Google Inc.) [On_Demand | Stopped] -- C:\ProgramData\Partner\Partner.exe -- (Partner Service) O2:64bit: - BHO: (Partner BHO Class) - {83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} - C:\ProgramData\Partner\Partner64.dll (Google Inc.) O2 - BHO: (Partner BHO Class) - {83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} - C:\ProgramData\Partner\Partner.dll (Google Inc.) :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Start Page"="about:blank" :Commands [emptytemp] Klik w Wykonaj skrypt. System zostanie zrestartowany i otrzymasz log z wynikami usuwania. 2. Odinstaluj Spybot Search & Destroy. Program przestarzały i słabo dostosowany do systemu 64-bit. Na dodatek wykonał niepożądaną modyfikację pliku HOSTS, zresetuj plik do postaci domyślnej za pomocą automatycznego narzędzia Fix-it z artykułu: KB972034. 3. Wygeneruj nowe logi: log z OTL z opcji Skanuj (już bez Extras) oraz log z AdwCleaner z opcji Search. . Odnośnik do komentarza
vanoltom Opublikowano 14 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 14 Marca 2012 skrypt wykonany OTL: http://wklej.to/uNpmY AdwCleaner: http://wklej.to/6WWUs no i jak widać przeszło mi na chrome :/ ale zmieniłem w opcjach chrome wyszukiwanie na google i jest już ok Spybot Search & Destroy odinstalowany plik HOSTS zresetowany przy pomocy Fix-it wygląda na to że problem zniknął dziękuję za pomoc Odnośnik do komentarza
picasso Opublikowano 15 Marca 2012 Zgłoś Udostępnij Opublikowano 15 Marca 2012 Czy to na pewno jest log z OTL po zresetowaniu pliku HOSTS? OTL pokazuje nadal konsekwencje akcji Spybot, ponad 15 tysięcy rekordów w pliku: O1 HOSTS File: ([2012-02-15 17:02:59 | 000,441,346 | ---- | M]) - C:\Windows\SysNative\drivers\etc\hostsO1 - Hosts: 127.0.0.1 www.007guard.comO1 - Hosts: 127.0.0.1 007guard.comO1 - Hosts: 127.0.0.1 008i.comO1 - Hosts: 127.0.0.1 www.008k.comO1 - Hosts: 127.0.0.1 008k.comO1 - Hosts: 127.0.0.1 www.00hq.comO1 - Hosts: 127.0.0.1 00hq.comO1 - Hosts: 127.0.0.1 010402.comO1 - Hosts: 127.0.0.1 www.032439.comO1 - Hosts: 127.0.0.1 032439.comO1 - Hosts: 127.0.0.1 www.0scan.comO1 - Hosts: 127.0.0.1 0scan.comO1 - Hosts: 127.0.0.1 www.1000gratisproben.comO1 - Hosts: 127.0.0.1 1000gratisproben.comO1 - Hosts: 127.0.0.1 1001namen.comO1 - Hosts: 127.0.0.1 www.1001namen.comO1 - Hosts: 127.0.0.1 100888290cs.comO1 - Hosts: 127.0.0.1 www.100888290cs.comO1 - Hosts: 127.0.0.1 www.100sexlinks.comO1 - Hosts: 127.0.0.1 100sexlinks.comO1 - Hosts: 127.0.0.1 www.10sek.comO1 - Hosts: 127.0.0.1 10sek.comO1 - Hosts: 127.0.0.1 www.1-2005-search.comO1 - Hosts: 127.0.0.1 1-2005-search.comO1 - Hosts: 127.0.0.1 www.123fporn.infoO1 - Hosts: 15167 more lines... Co do reszty: 1. Dokasuj ręcznie foldery po Spybocie: [2012-02-15 16:31:23 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy[2012-02-15 16:31:23 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Spybot - Search & Destroy 2. AdwCleaner widzi jeszcze śmieci po sponsorach. Spożyj w nim opcję Delete. Gdy ukończy = Uninstall. 3. W OTL uruchom Sprzątanie, które samoskasuje z dysku OTL wraz z jego kwarantanną. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Zaktualizuj sobie produkty Mozilla, są już nowsze wersje. . Odnośnik do komentarza
vanoltom Opublikowano 15 Marca 2012 Autor Zgłoś Udostępnij Opublikowano 15 Marca 2012 punkty 1-5 wykonane poza tym C:\ProgramData\Spybot - Search & Destroy nie widze tego u siebie dziękuję za pomoc Odnośnik do komentarza
picasso Opublikowano 15 Marca 2012 Zgłoś Udostępnij Opublikowano 15 Marca 2012 (edytowane) Nie odpowiedziałeś na pytanie związane z plikiem HOSTS. C:\ProgramData\Spybot - Search & Destroy nie widze tego u siebie Folder ProgramData jest ukryty. Upewnij się, że masz włączone wszystkie opcje w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok (zaznaczone Pokaż ukryte pliki i foldery + odznaczone Ukryj chronione pliki systemu operacyjnego). . Edytowane 17 Kwietnia 2012 przez picasso 17.04.2012 - Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso Odnośnik do komentarza
Rekomendowane odpowiedzi