Strona startowa http://startsear.ch/?aff=1


(Marcinio) #1

Witam serdecznie.

U mnie komp również został zainfekowany tym samym paskudztwem. Jak dotychczas poczyniłem następujące kroki:

  • Usunąłem złośliwą wtyczkę

  • Złośliwy plik wykonawczy extrafind4.exe wylądował w kwarantannie.

  • usunąłem (mam nadzieję, że wszystkie ^^) podejrzane paskudztwa z rejestru, m.in. w HKEYLOCALMACHINE, HKEYLOCALUSER (odpowiednio w Microsoft -> Windows -> Software -> Current Version, Internet Settings, etc.) oraz usunąłem wszystkie pliki tymczasowe w ustawieniach lokalnych zarówno w folderze Temporary files, jak i TEMP.

  • Na nowo zmieniłem ustawienia w przeglądarkach, tak że już po ponownym uruchomieniu nie odsyła mnie do niechcianych stron, typu startsear.ch.

Jednak wrodzony sceptycyzm pozwolił mi się upewnić, czy aby na pewno jest wszystko ok.

Przeskanowałem sobie więc swojego złoma OTL-em i jednak natrafiłem np. w IE, że nadal jest w domyślnych adres do startsear.ch. Zatem całkowicie to draństwo nie zostało usunięte.

Oto logi:

otl.txt -> http://wklej.org/hash/f6e82a96d61/

extras.txt -> http://wklej.org/id/724547/

Problem polega na tym, że na razie nie wykonałem podanego tu skryptu i nie chcę tego na razie robić w sposób bezmyślny, bowiem zapewne mam trochę inne ustawienia w systemie. Przede wszystkim partycję systemową mam na dysku D:, z kolei Mozilla FF jest zainstalowana na dysku E:. Poza tym mam wersję 32 bitowa, nie 64bit. I chciałbym uniknąć problemu, jaki jest opisany tutaj .

Bardzo prosiłbym o pomoc.

P.S. Przepraszam za dodatkową robotę, jaką przysporzyłem moderatorowi. Nie było to celowe. :wink:

Pozdrawiam.


(Atis) #2

W panelu sterowania odinstaluj Browsers Protector

Do okna Własne opcje skanowania / skrypt wklej:

:OTL

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=1&cf=b85de2d0-5e54-11e1-b68b-001b10002aec

IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://startsear.ch/?aff=1&src=sp&cf=b85de2d0-5e54-11e1-b68b-001b10002aec&q={searchTerms}

IE - HKU\S-1-5-21-606747145-861567501-839522115-1004\..\SearchScopes\{1F034186-480D-4A0C-AC35-BF92C2436715}: "URL" = http://websearch.ask.com/redirect?client=ie&tb=STT&o=102866&src=crm&q={searchTerms}&locale=&apn_ptnrs=5N&apn_dtid=YYYYYYYYPL&apn_uid=A3298E43-DFB7-4DE6-BFD1-E6584801DE7E&apn_sauid=D7265CD7-8141-445B-9967-89ECF7030ACA

FF - prefs.js..browser.search.defaultenginename: "Web Search"

FF - prefs.js..browser.search.order.1: "Ask.com"

FF - prefs.js..keyword.URL: "http://startsear.ch/?aff=1&src=sp&cf=b85de2d0-5e54-11e1-b68b-001b10002aec&q="

O3 - HKU\S-1-5-21-606747145-861567501-839522115-1004\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.


:Commands

[emptytemp]

Kliknij Wykonaj skrypt i zatwierdź restart.

Pokaż raport z usuwania i nowy log Skanuj.


(Leon$) #3

odinstaluj

OTL w oknie Custom Scans-Fixes (własne opcje skanowania/skrypt)wklej następujący skrypt:

Kliknij w Run Fix (Wykonaj scrypt). Zatwierdź restart komputera.

Pokaż log z usuwania.

potem nowy log OTL robiony opcją Run Scan (Skanuj)

:slight_smile:


(Marcinio) #4

A więc tak...

  • Browsers Protector z dziką przyjemnością został wyrzucony z systemu. ^

  • Wykonałem także podany przez Atisa skrypt - wcześniej zacząłem działać nim pojawił się drugi post (jednak widzę, że skrypt zapodany przez Leona jest na pierwszy rzut oka taki sam).

Oto wynik wykonania skryptu -> http://wklej.org/id/724618/

  • Restart kompa i ponowny skan OTL-em:

otl.txt -> http://wklej.org/id/724621/

extras.txt -> http://wklej.org/id/724622/

Mógłbym wyciągnąć konkluzję, że na pierwszy rzut oka jest ok, ale że bliżej mi do koloru zielonego, niż do fachowca w tych sprawach :wink: to prosiłbym o zerknięcie, czy rzeczywiście jest ok.

Tym bardziej, że extras.txt wyświetliło mi 10 błędów logowania. :frowning:


(Atis) #5

Wklej i kliknij Wykonaj skrypt:

:OTL

SRV - File not found [Auto | Stopped] -- E:\Program Files\usr/MYSQL/bin/mysqld.exe -- (MySql)

DRV - File not found [Kernel | On_Demand | Stopped] -- E:\Program Files\EVEREST Home Edition\kerneld.wnt -- (EverestDriver)

Później kliknij Sprzątanie.

Wyłącz i ponownie włącz przywracanie systemu:

http://support.microsoft.com/kb/310405/pl

Uruchom SecurityCheck i aktualizuj programy oznaczone jako Out of date

Dysk przeskanuj Malwarebytes-AntiMalware.

Podczas instalacji kliknij Odrzuć żeby zainstalować tylko darmowy skaner.

http://www.dobreprogramy.pl/Malwarebyte ... 13117.html


(Marcinio) #6

Wykonałem powyższe czynności.

Wynik skanu Mailwarebytes-Antimailware wykazał, że przeoczyłem w rejestrze klucze spod znaku PUP, które również powiązane były ze słynną ostatnio "wtyczką" V-Share:

  • HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.

Jak widać, wszystkie trzy klucze zostały usunięte.

Mam nadzieję, że problem został całkowicie rozwiązany? Czy jeszcze coś powinienem zrobić?

P.S. Mój błąd polegał przede wszystkim na tym, że z powodu wczorajszego meczu w LM, mimo, iż mam zaufaną stronę ze streamem do kanałów sportowych, to w pośpiechu (bo mecz już trwał od 5 minut ^) machinalnie wpisałem frazę w google i wszedłem w pierwszy lepszy stream, a potem historia już znana (instalacja V-share i problemy z przeglądarkami). Postaram się już takich błędów unikać na przyszłość. biggrinsg.gif

Oczywiście gorąco dziękuję za udzieloną pomoc. :slight_smile:

Pozdrawiam.