U mnie komp również został zainfekowany tym samym paskudztwem. Jak dotychczas poczyniłem następujące kroki:
Usunąłem złośliwą wtyczkę
Złośliwy plik wykonawczy extrafind4.exe wylądował w kwarantannie.
usunąłem (mam nadzieję, że wszystkie ^^) podejrzane paskudztwa z rejestru, m.in. w HKEYLOCALMACHINE, HKEYLOCALUSER (odpowiednio w Microsoft -> Windows -> Software -> Current Version, Internet Settings, etc.) oraz usunąłem wszystkie pliki tymczasowe w ustawieniach lokalnych zarówno w folderze Temporary files, jak i TEMP.
Na nowo zmieniłem ustawienia w przeglądarkach, tak że już po ponownym uruchomieniu nie odsyła mnie do niechcianych stron, typu startsear.ch.
Jednak wrodzony sceptycyzm pozwolił mi się upewnić, czy aby na pewno jest wszystko ok.
Przeskanowałem sobie więc swojego złoma OTL-em i jednak natrafiłem np. w IE, że nadal jest w domyślnych adres do startsear.ch. Zatem całkowicie to draństwo nie zostało usunięte.
Problem polega na tym, że na razie nie wykonałem podanego tu skryptu i nie chcę tego na razie robić w sposób bezmyślny, bowiem zapewne mam trochę inne ustawienia w systemie. Przede wszystkim partycję systemową mam na dysku D:, z kolei Mozilla FF jest zainstalowana na dysku E:. Poza tym mam wersję 32 bitowa, nie 64bit. I chciałbym uniknąć problemu, jaki jest opisany tutaj .
Bardzo prosiłbym o pomoc.
P.S. Przepraszam za dodatkową robotę, jaką przysporzyłem moderatorowi. Nie było to celowe.
Browsers Protector z dziką przyjemnością został wyrzucony z systemu. ^
Wykonałem także podany przez Atisa skrypt - wcześniej zacząłem działać nim pojawił się drugi post (jednak widzę, że skrypt zapodany przez Leona jest na pierwszy rzut oka taki sam).
Mógłbym wyciągnąć konkluzję, że na pierwszy rzut oka jest ok, ale że bliżej mi do koloru zielonego, niż do fachowca w tych sprawach to prosiłbym o zerknięcie, czy rzeczywiście jest ok.
Tym bardziej, że extras.txt wyświetliło mi 10 błędów logowania.
Wynik skanu Mailwarebytes-Antimailware wykazał, że przeoczyłem w rejestrze klucze spod znaku PUP, które również powiązane były ze słynną ostatnio “wtyczką” V-Share:
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Dodanie do kwarantanny i usunięcie pliku zakończyły się powodzeniem.
Jak widać, wszystkie trzy klucze zostały usunięte.
Mam nadzieję, że problem został całkowicie rozwiązany? Czy jeszcze coś powinienem zrobić?
P.S. Mój błąd polegał przede wszystkim na tym, że z powodu wczorajszego meczu w LM, mimo, iż mam zaufaną stronę ze streamem do kanałów sportowych, to w pośpiechu (bo mecz już trwał od 5 minut ^) machinalnie wpisałem frazę w google i wszedłem w pierwszy lepszy stream, a potem historia już znana (instalacja V-share i problemy z przeglądarkami). Postaram się już takich błędów unikać na przyszłość.