Skocz do zawartości

Witamy na forum Fixitpc.pl
Aktualnie przeglądasz stronę jako gość. Jeżeli posiadasz już konto, zaloguj się - w przeciwnym wypadku zarejestruj konto. Rejestracja jest darmowa, prosta i umożliwia pełny dostęp do funkcji forum.
Zdjęcie

Zmieniona strona startowa - v9.com


  • Zamknięty Temat jest zamknięty
5 odpowiedzi w tym temacie

#1
zylka87

zylka87

    Użytkownik

  • Użytkownicy
  • Pip
  • 3 postów
  • Skąd:Łódź

Witam.

 

Przytrafił mi się dzisiaj problem, z którym niestety nie mogę sobie poradzić przy pomocy porad pojawiających się w wynikach wyszukiwania, a widziałem, że komuś z tym problem już pomogliście ;)

 

Otóż strona startowa w moich przeglądarkach tj. Chrome i IE została podmieniona na V9 Portal Site. Oczywiście procedura dostępna pod linkiem uninstall w stopce tej strony nie działa, zarówno w Chrome, jak i IE.

 

Dokładny adres, jaki pojawia się w pasku adresu to:

 

IE: hxxp://en.v9.com/?utm_source=b&utm_medium=update&from=update&uid=SAMSUNGXSSDX830XSeries_S0Z3NSAC930057&ts=1369824011

 

Chrome: hxxp://en.v9.com/?utm_source=b&utm_medium=update&from=update&uid=SAMSUNGXSSDX830XSeries_S0Z3NSAC930057&ts=1369824011

 

Oczywiście normalnie jest http ;)

 

Nie mam bladego pojęcia, w jaki sposób ten syf dostał się do mojego systemu, używam KIS-a 2013, poza tym nie zdarza mi się instalować żadnych niesprawdzonych programów. Stało się to dzisiaj w pracy, odszedłem od laptopa, a po powrocie, gry uruchomiłem przeglądarkę, strona startowa była już zmieniona.

 

W załączeniu obowiązkowe logi.

 

Pozdrawiam i liczę na Waszą pomoc.

 

Z góry dziękuję.

 

EDIT:

 

Dodam jeszcze, że próbowałem pozbyć się tego dziadostwa przy pomocy AdwCleanera, które to rozwiązanie było jednym z częściej wymienianych, niestety nie pomogło. W załączeniu również logi z dwóch skanowań i użyć tego programu.

Załączone pliki



#2
picasso

picasso

    Administrator

  • Administratorzy
  • 30217 postów
  • Skąd:Holandia
W raportach nie widać żadnych wpisów v9. Jeśli przeglądarki nadal się otwierają z v9, to oznacza że prawdopodobnie ich skróty są zmodyfikowane. v9 może zmodyfikować skróty na dwa sposoby:
 
1. Modyfikacja Elementu docelowego w pliku skrótu. Otwórz programy bezpośrednio (nie przez skróty) i zweryfikuj co widzisz:

C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe


Jeśli tak otworzone programy nie pokażą strony startowej v9, należy usunąć wszystkie skróty przeglądarek (z Pulpitu / Menu start / Paska zadań) i utworzyć nowe czyste.
 
2. Modyfikacja skrótów przypiętych w Menu Start poprzez rejestr. Pod tym kątem podaj skan dodatkowy. Uruchom SystemLook x64 i do skanu wklej:

:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet /s
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Clients\StartMenuInternet /s


Klik w Look i przedstaw wynikowy raport. 

 

Nie mam bladego pojęcia, w jaki sposób ten syf dostał się do mojego systemu, używam KIS-a 2013, poza tym nie zdarza mi się instalować żadnych niesprawdzonych programów. Stało się to dzisiaj w pracy, odszedłem od laptopa, a po powrocie, gry uruchomiłem przeglądarkę, strona startowa była już zmieniona.

 
To adware sponsorujące instalatory innych prawidłowych programów. W Twoim logu są subtelne ślady, że mogło to być w instalatorze IrfanView:

[2013-05-27 17:44:31 | 000,000,000 | ---D | C] -- C:\Users\Mateusz\AppData\Roaming\IrfanView
[2013-05-27 17:42:04 | 000,000,000 | ---D | C] -- C:\Users\Mateusz\AppData\Roaming\eDownload


Wnioski stąd, że mniej więcej w tym samym przedziale czasowym powstał katalog aplikacji właściwej oraz "eDownload" (AdwCleaner wywalał zresztą pokrewny "eIntaller"), który jest charakterystyczny dla instalacji wiązanych i na forum już widziałam go m.in. przy instalacji WinRAR sponsorowanej jakimiś innymi syfkami.
 
 
 
.

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.


#3
zylka87

zylka87

    Użytkownik

  • Użytkownicy
  • Pip
  • 3 postów
  • Skąd:Łódź

Witam.

 

Faktycznie programy z ich lokalizacji docelowych otwierają się normalnie. Utworzyłem nowe skróty na pasku zadań i ekranie startowym. V9 się już nie pojawia.

 

Wykonałem log, o który prosiłaś. Widzę w nim, że jeszcze niektóre wartości zawierają v9.

 

Log w załączniku.

 

To adware sponsorujące instalatory innych prawidłowych programów. W Twoim logu są subtelne ślady, że mogło to być w instalatorze IrfanView:

 

Fakt, pobierałem IrfanView z oficjalnej strony, ale ten v9 uaktywnił się dopiero wczoraj, 2 dni później.

 

Czy jest jakiś sposób na ochronę przed takimi intruzami? Jak widać, KIS, na którego do tej pory nie mogłem narzekać, jakoś przepuścił tego intruza.

 

Dzięki wielkie za pomoc.

Fantastyczne forum.

Załączone pliki



#4
picasso

picasso

    Administrator

  • Administratorzy
  • 30217 postów
  • Skąd:Holandia

Tak, skróty przypiętych są także zmodyfikowane. Ładuj korektę na to oraz inne drobne poprawki.

1. Otwórz Notatnik i wklej w nim:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\Google Chrome\shell\open\command]
@="C:\\Program Files (x86)\\Google\\Chrome\\Application\\chrome.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command]
@="C:\\Program Files\\Internet Explorer\\iexplore.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Clients\StartMenuInternet\Google Chrome\shell\open\command]
@="C:\\Program Files (x86)\\Google\\Chrome\\Application\\chrome.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command]
@="C:\\Program Files\\Internet Explorer\\iexplore.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
""=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
""=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]

[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]

[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]


Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

2. Przez SHIFT+DEL dokasuj jeszcze ten folder, o którym mówiłam:

C:\Users\Mateusz\AppData\Roaming\eDownload

3. Usuń narzędzia: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

4. Wyczyść foldery Przywracania systemu: KLIK.

5. Usuń starą Java 7 Update 15 i zastąp najnowszą wersją 32-bit: KLIK.

 

 

Czy jest jakiś sposób na ochronę przed takimi intruzami? Jak widać, KIS, na którego do tej pory nie mogłem narzekać, jakoś przepuścił tego intruza.

 

v9 jest typem drobnego adware, tenże typ nie musi być adresowany programami w rodzaju KIS. Sponsorowane instalatory nie zawsze będą wykrywane przez aplikacje zorientowane głównie na malware innego kalibru (wirusy / trojany i podobne). Pomijając fakt, że trzeba po prostu uważać przy instalacji obojętnie jakiego programu (teraz to już nic nie jest pewne, instalacjami adware okazują się ostatnio programy, których bym o to nie podejrzewała), tu ewentualnie mógłby pomóc program realizujący funkcję oceny zachowań instalatorów/aplikacji, który przy próbie instalacji sponsora zwróci uwagę, że konsekwencją będą modyfikacje przeglądarek i pozwoli to zatrzymać. Nie pamiętam opcji KIS, jakimi funkcjami dysponuje.



.


Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.


#5
zylka87

zylka87

    Użytkownik

  • Użytkownicy
  • Pip
  • 3 postów
  • Skąd:Łódź

Powyższe kroki wykonane ;)

 

Jeszcze raz wielkie dzięki @picasso.

 

Jestem pełen podziwu dla Twojego profesjonalizmu i tego forum.

 

Oczywiście strona ląduje w moich ulubionych, a na Twoje konto leci parę złotówek wsparcia ;)

 

Pozdrawiam



#6
picasso

picasso

    Administrator

  • Administratorzy
  • 30217 postów
  • Skąd:Holandia

Oczywiście strona ląduje w moich ulubionych, a na Twoje konto leci parę złotówek wsparcia

 

Wielkie dzięki.

 

Temat rozwiązany. Zamykam.

 

 

.


Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu.





Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych