Komunikat wraz z infekcją

[ObawiamSie]

Witam,czytałem dziś temat na tym forum o komunikacie,który ukazuje się w prawym dolnym rogu,chodzi o "an attempt to change your search engine was blocked" ,postanowiłem napisać temat również tutaj.

Chciałem obejrzeć sobie mecz,do obejrzenia brakowała mi wtyczka,pobrałem ją i wyskoczył mi komunikat że wykryto wirusa (program Avast).

Nazwa: extrafind4.exe Wirus: NSIS:Ezula-Ba [Adw]

 

Przeskanowałem po tym komputer programem Malwarebytes i wyskoczyły mi trzy zarażone obiekty,a mianowicie:

2x Backdoor.Hupigon oraz Hijack.Startpage

 

Dodam że strona startowa się zmieniła na podejrzaną :http://search.searchcompletion.com/?si=21650&bi=1&custom=830400ce-8405-11e1-b788-0004617e60c3&home=1

 

Tu zamieszczam logi.Teraz staram się nigdzie nie logować ponieważ chcę rozwiązać sprawę tych wirusów.

 

 

PS.rzeczy z moich ostatnich tematów nadrobię oraz dokończę rozpoczęte zadania.

OTL.Txt

Extras.Txt

[Landuss]

1. Przejdź w panel usuwania programów i odinstaluj Browsers Protector

 

2. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej następujący tekst:

 

:OTL
 IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //startsear.ch/?aff=1&cf=830400ce-8405-11e1-b788-0004617e60c3
IE - HKU\S-1-5-21-1390067357-1482476501-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http: //startsear.ch/?aff=1&cf=830400ce-8405-11e1-b788-0004617e60c3
IE - HKU\S-1-5-21-1390067357-1482476501-725345543-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http: //startsear.ch/?aff=1&src=sp&cf=830400ce-8405-11e1-b788-0004617e60c3&q={searchTerms}
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.order.1: "Web Search"
FF - prefs.js..browser.startup.homepage: "http://startsear.ch/?aff=1&cf=830400ce-8405-11e1-b788-0004617e60c3"
FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&src=sp&cf=830400ce-8405-11e1-b788-0004617e60c3&q="
[2012-04-11 20:38:56 | 000,000,792 | ---- | M] () -- C:\Documents and Settings\Warwick\Dane aplikacji\Mozilla\Firefox\Profiles\5xn46dwl.default\searchplugins\startsear.xml
[2012-01-02 11:48:42 | 000,083,456 | ---- | M] (StartSearch ) -- C:\Program Files\mozilla firefox\plugins\npvsharetvplg.dll
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O4 - HKLM..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u File not found
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{88D9B265-C741-4ABE-BCEE-D4A3766E854E}"
[HKEY_USERS\S-1-5-21-1390067357-1482476501-725345543-1003\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{88D9B265-C741-4ABE-BCEE-D4A3766E854E}"
 
:Commands
[emptytemp]

 

Kliknij w Wykonaj skrypt. Zatwierdź restart komputera.

 

3. Następnie uruchamiasz OTL ponownie, tym razem wywołujesz opcję Skanuj. Pokazujesz nowe logi z OTL

[ObawiamSie]

1.Odinstalowałem.

2.Wykonałem

3.Nie wiedziałem czy przy skanowaniu również mam wkleić tamtą komendę w okno skryptu,więc zrobiłem bez komendy i oto wyniki:

OTL.Txt

[Landuss]

Skrypt do OTL się zupełnie nie wykonał. Prosze wyłączyć Avasta i zrobić go jeszcze raz.

[ObawiamSie]

Przepraszam, źle zrozumiałem, teraz wykonałem skrypt bez avasta.

[Landuss]

Nie wiem jak ty to robisz niby "bez Avasta". Pozostaje ci zrobić to z trybu awaryjnego.

[ObawiamSie]

Jak napisałeś,tak zrobiłem

Oto Logi i Raport ze skryptu

skrypt.txt

OTL.Txt

[Landuss]

I tym razem udało się jak powinno. Możesz przejść do czynności końcowych.

 

1. Użyj opcji Sprzątanie z OTL.

 

2. Opróżnij folder przywracania systemu: KLIK

 

3. Zaktualizuj sobie Jave do najnowszej wersji - Java 7 Update 3