Wirus Istartsurf


(PrzemczaN) #1

Witam,

 

Chciałem sobie ostatnio ściągnąć najnowszego odina (do samsunga) i jakoś w tle zainstalowało mi się takie cholerstwo jak istartsurf. Niby jakaś wyszukiwarka, ale wiadomo, pełno jest takich syfów. Próbowałem to usunąć tam gdzie miałem jakiś pomysł. Potem skorzystałem z tej strony: http://www.mamkomputer.info/jak-usunac-istartsurf-com-z-komputera/%C2'\> Zrobiłem wszystkie kroki oprócz ostatniego czyli resetu przeglądarki. Dlatego że mam pełno ustawień, zakładek i takich rzeczy i tu moje pytanie czy dałoby się to jakoś wywalić bez konieczności tego reseta?


(Spandau) #2

Niezbędne raporty FRST wykonane agodnie z instrukcją http://forum.dobreprogramy.pl/farbar-recovery-scan-tool-raport-obowi%C4%85zkowy-t478727/


(PrzemczaN) #3

FRST: http://www.wklej.org/id/1684859/


(Atis) #4

Pobierz i uruchom AdwCleaner Kliknij Scan i później Cleaning.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
HKLM-x32\...\RunOnce: [Update] => C:\Users\PrzemczaN\AppData\Roaming\VOPackage\VOPackage.exe /runonce
HKU\S-1-5-21-2217063651-4040103803-998868478-1000\...\RunOnce: [FlashPlayerUpdate] => C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_16_0_0_305_Plugin.exe -update plugin
Startup: C:\Users\PrzemczaN\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\hqghumeaylnlf.lnk
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1428595117&from=obw&uid=HitachiXHTS542525K9SA00_080627BB6F00WDEHJ32FX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1428595117&from=obw&uid=HitachiXHTS542525K9SA00_080627BB6F00WDEHJ32FX&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1428595117&from=obw&uid=HitachiXHTS542525K9SA00_080627BB6F00WDEHJ32FX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1428595117&from=obw&uid=HitachiXHTS542525K9SA00_080627BB6F00WDEHJ32FX&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2217063651-4040103803-998868478-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=obw&utm_campaign=install_ie&utm_content=ds&from=obw&uid=HitachiXHTS542525K9SA00_080627BB6F00WDEHJ32FX&ts=1428595178&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2217063651-4040103803-998868478-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=obw&utm_campaign=install_ie&utm_content=ds&from=obw&uid=HitachiXHTS542525K9SA00_080627BB6F00WDEHJ32FX&ts=1428595178&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2217063651-4040103803-998868478-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=obw&utm_campaign=install_ie&utm_content=ds&from=obw&uid=HitachiXHTS542525K9SA00_080627BB6F00WDEHJ32FX&ts=1428595178&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2217063651-4040103803-998868478-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=obw&utm_campaign=install_ie&utm_content=ds&from=obw&uid=HitachiXHTS542525K9SA00_080627BB6F00WDEHJ32FX&ts=1428595178&type=default&q={searchTerms}
Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
FF NewTab: chrome://quick_start/content/index.html
FF DefaultSearchEngine: istartsurf
FF SelectedSearchEngine: istartsurf
FF Extension: FF Toolbar - C:\Users\PrzemczaN\AppData\Roaming\Mozilla\Firefox\Profiles\mb04cseq.default\Extensions\fftoolbar2014@etech.com [2015-04-09]
FF Extension: Fast Start - C:\Users\PrzemczaN\AppData\Roaming\Mozilla\Firefox\Profiles\mb04cseq.default\Extensions\istart_ffnt@gmail.com [2015-04-09]
FF HKLM-x32\...\Firefox\Extensions: [searchengine@gmail.com] - C:\Users\PrzemczaN\AppData\Roaming\Mozilla\Firefox\Profiles\mb04cseq.default\extensions\searchengine@gmail.com
FF HKLM-x32\...\Firefox\Extensions: [istart_ffnt@gmail.com] - C:\Users\PrzemczaN\AppData\Roaming\Mozilla\Firefox\Profiles\mb04cseq.default\extensions\istart_ffnt@gmail.com
FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\PrzemczaN\AppData\Roaming\Mozilla\Firefox\Profiles\mb04cseq.default\extensions\fftoolbar2014@etech.com
CHR StartupUrls: Default -> "hxxp://www.istartsurf.com/?type=hppp&ts=1428595149&from=obw&uid=HitachiXHTS542525K9SA00_080627BB6F00WDEHJ32FX"
CHR HKU\S-1-5-21-2217063651-4040103803-998868478-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - https://clients2.google.com/service/update2/crx
R2 kikeqiki; C:\Users\PrzemczaN\AppData\Roaming\00F5DFCB-1428595030-DD11-9E0B-FAE29925BA6A\nspEDEA.tmp [149504 2015-04-10] () [File not signed]
R2 pidijupo; C:\Users\PrzemczaN\AppData\Roaming\00F5DFCB-1428595030-DD11-9E0B-FAE29925BA6A\jnsmBF19.tmp [227328 2015-04-09] () [File not signed]
R2 ADExchange; C:\Program Files (x86)\Common Files\ArcSoft\esinter\Bin\eservutil.exe [X]
2015-04-09 18:08 - 2015-04-09 18:08 - 00000000 ____ D () C:\ProgramData\6cdd39f000002f57
2015-04-09 17:57 - 2015-04-10 20:00 - 00000000 ____ D () C:\Users\PrzemczaN\AppData\Roaming\00F5DFCB-1428595030-DD11-9E0B-FAE29925BA6A
2015-04-09 17:57 - 2015-04-09 17:57 - 00000000 ____ D () C:\ProgramData\{655a413e-e94a-44a2-655a-a413ee9404fb}
CustomCLSID: HKU\S-1-5-21-2217063651-4040103803-998868478-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\PrzemczaN\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-2217063651-4040103803-998868478-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\PrzemczaN\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-2217063651-4040103803-998868478-1000_Classes\CLSID\{E8CF3E55-F919-49D9-ABC0-948E6CB34B9F}\InprocServer32 -> C:\Users\PrzemczaN\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File
CustomCLSID: HKU\S-1-5-21-2217063651-4040103803-998868478-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\PrzemczaN\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File
Task: {10B55B57-F083-4974-A06E-0C2EE96D50E1} - System32\Tasks\{0165F543-896C-409A-BB02-11D7AA001599} => pcalua.exe -a C:\Users\PrzemczaN\Downloads\AdwCleaner_www.INSTALKI.pl.exe -d C:\Users\PrzemczaN\Downloads
Task: {37FEF610-DB1E-4C9D-8E12-5F044D0559C5} - System32\Tasks\{2EDABD2D-6E88-4936-B801-CAB4D01FA96A} => pcalua.exe -a C:\Users\PrzemczaN\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=obw
Task: {42D7ADFF-A9F6-4369-8EB4-D5152A3C3F5F} - System32\Tasks\{6EEE5FD3-8585-429A-84BF-F5C410A745A7} => pcalua.exe -a E:\Gry\the_settlers_7_1.10full.exe -d E:\Gry
Task: {959BDE70-BDCA-439C-964A-1235938811EA} - System32\Tasks\{084D8E26-499E-4E37-A2BB-54ED87A233ED} => pcalua.exe -a E:\PrzemczaN\Instalki\Fingerprint_AuthenTec_6.2.56_W7x64W7x86_A\FingerPrint_Authentec_6.2.56_Win7x86x64\setup.exe -d E:\PrzemczaN\Instalki\Fingerprint_AuthenTec_6.2.56_W7x64W7x86_A\FingerPrint_Authentec_6.2.56_Win7x86x64
Task: {F8A48699-6E62-4EBC-800A-BAD0444BA968} - System32\Tasks\{70E8247A-854D-468F-89B0-D9A86EB6511F} => pcalua.exe -a I:\mp3gain-win-1_2_5.exe -d I:\
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.


(PrzemczaN) #5

fixlog po usuwaniu: http://www.wklej.org/id/1685369/


(Atis) #6

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
2015-04-11 17:45 - 2015-04-11 17:47 - 00000000 ____ D () C:\AdwCleaner
DeleteQuarantine:

Uruchom FRST i kliknij Fix. Skasuj folder C:\FRST

Usuń stare punkty przywracania: Aby usunąć wszystkie punkty przywracania

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

http://wstaw.org/m/2014/03/25/2014-03-25_123039.png

Język PL > Settings > General Settings > Language > Polish

Przeczytaj w jaki sposób należy instalować programy: KLIK - KLIK - KLIK - KLIK

Odinstaluj:

Adobe Flash Player 16 ActiveX

Adobe Reader XI

Java 8 Update 31

JavaFX 2.1.1

Zainstaluj:

Flash Player 17.0.0.134 ActiveX

Adobe Reader XI 11.0.10

Java 8 Update 40


(PrzemczaN) #7

Dzięki kolego, wszystko zrobiłem.