Skocz do zawartości

Infekcja Mystartsearch w chrome i w programach


Rekomendowane odpowiedzi

Witam,

Problem dotyczy netbooka Dell Inspirion Duo z Windows 7 32bitowym.

Proszę o pomoc w usunięciu tego natręctwa. Zainstalowałem to po tym jak Java dopominała się o aktualizację ale w trakcie owej wyskakiwał jakiś komunikat i w efekcie nie aktualizowało się. Próbowałem w googlu znaleźć rozwiązanie problemu (Java) wpisując treść komunikatu jaki dostawałem. Znalazłem cudowne "lekarstwo", którego efektem jest w dalszym ciągu nieaktualna Java i w prezencie jakieś kilkadziesiąt infekcji. Poprzez MBAM usunąłem te infekcje, teraz nic nie pokazuje, ale w programach został Mystartsearch unistal i za cholerę nie daje się odinstalować. W Chrome również strona domowa, startowa - mystartsearch. Pomimo zmiany ustawień powraca. Chrom nie chce się zresetować. 

Bardzo proszę o pomoc.

 

Niestety GMER dwa razy się zawiesił, a raz skończyło się crash dump'em... Nie widzę w komputerze żadnych emulatorów napędu, ale głowy na pień nie położę...

OTL.Txt

Extras.Txt

Addition.txt

FRST.txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Prawdopodobnie nie jesteś w stanie odinstalować tej pozycji, gdyż użyłeś MBAM. Zawsze zaczyna się od deinstalacji, po tym dopiero automaty. I problem przekierowań Mystartsearch nadal istnieje, gdyż są zmodyfikowane skróty LNK przeglądarek.

 

 

Do wdrożenia poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mystartsearch.com/?type=sc&ts=1414174883&from=sky&uid=ST92503010AS_5YH04Q89XXXX5YH04Q89
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mystartsearch.com/?type=sc&ts=1414174883&from=sky&uid=ST92503010AS_5YH04Q89XXXX5YH04Q89
ShortcutWithArgument: C:\Users\Renia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1414174883&from=sky&uid=ST92503010AS_5YH04Q89XXXX5YH04Q89
ShortcutWithArgument: C:\Users\Renia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1414174883&from=sky&uid=ST92503010AS_5YH04Q89XXXX5YH04Q89
ShortcutWithArgument: C:\Users\Renia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mystartsearch.com/?type=sc&ts=1414174883&from=sky&uid=ST92503010AS_5YH04Q89XXXX5YH04Q89
CHR StartMenuInternet: Google Chrome - C:\Program Files\Google\Chrome\Application\chrome.exe http://www.mystartsearch.com/?type=sc&ts=1414174883&from=sky&uid=ST92503010AS_5YH04Q89XXXX5YH04Q89
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1414174883&from=sky&uid=ST92503010AS_5YH04Q89XXXX5YH04Q89
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1414174883&from=sky&uid=ST92503010AS_5YH04Q89XXXX5YH04Q89&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hp&ts=1414174883&from=sky&uid=ST92503010AS_5YH04Q89XXXX5YH04Q89
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1414174883&from=sky&uid=ST92503010AS_5YH04Q89XXXX5YH04Q89&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1414174883&from=sky&uid=ST92503010AS_5YH04Q89XXXX5YH04Q89
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKCU - {3BD44F0E-0596-4008-AEE0-45D47E3A8F0E} URL = http://www.mystart.com/results.php?gen=ms&pr=manycam&id=manycam_ot&v=4_0&ent=ch_5007&q={searchTerms}
AppInit_DLLs: c:\progra~2\pcperf~1\261339~1.144\{61d8b~1\pcpmngr.dll => c:\progra~2\pcperf~1\261339~1.144\{61d8b~1\pcpmngr.dll File Not Found
HKLM\...\Run: [uVS11 Preload] => C:\Program Files\Ulead Systems\Ulead VideoStudio 11\uvPL.exe
CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\Renia\AppData\Local\Google\Update\1.3.21.135\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File
CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{095A2EEC-F7FE-42E8-96FB-C20E53081908}\InprocServer32 -> C:\Users\Renia\AppData\Local\Google\Update\1.3.21.99\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{320F0FDB-BE0A-4648-9D18-4A2C3448C007}\InprocServer32 -> C:\Users\Renia\AppData\Local\Google\Update\1.3.21.79\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File
CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Users\Renia\AppData\Local\Google\Update\1.3.21.145\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{634059C0-D264-4B2C-AE80-F73E48D33E5B}\InprocServer32 -> C:\Users\Renia\AppData\Local\Google\Update\1.3.21.123\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\Renia\AppData\Local\Google\Update\1.3.21.153\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\Renia\AppData\Local\Google\Update\1.3.21.165\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{BB6410D8-F879-4184-9C5C-6A02D16AE0B3}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File
CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{C5A2122B-A05B-4FD8-AE49-91990AE10998}\InprocServer32 -> C:\Users\Renia\AppData\Local\Google\Update\1.3.21.115\psuser.dll No File
CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{CA1073A2-5F3F-4445-8E5E-7109BDCEDDBE}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File
CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File
CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{D5A55D2D-C59D-42C3-A5BF-4C08EEE74339}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File
CustomCLSID: HKU\S-1-5-21-2954293459-2226986906-1304803025-1000_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> C:\Users\Renia\AppData\Local\Google\Update\1.3.21.111\psuser.dll No File
C:\Program Files\Mozilla Firefox
C:\Users\Renia\AppData\Roaming\Mozilla
C:\Users\Renia\AppData\Roaming\mystartsearch
C:\Windows\system32\sho*.tmp
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mystartsearch uninstall" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {D0A7DD4E-4406-4261-B505-BE774A5B9AA1} /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. W systemie są trzy konta:

 

========================= Accounts: ==========================

 

Adusia . ^^ (S-1-5-21-2954293459-2226986906-1304803025-1167 - Limited - Enabled) => C:\Users\Adusia . ^^

Olusia (S-1-5-21-2954293459-2226986906-1304803025-1168 - Limited - Enabled) => C:\Users\Olusia

Renia (S-1-5-21-2954293459-2226986906-1304803025-1000 - Administrator - Enabled) => C:\Users\Renia

 

Każde musi zostać sprawdzone z osobna. Zaloguj się po kolei na każde konto poprzez pełny restart komputera (a nie Wyloguj czy Przełącz użytkownika) i na każdym zrób nowy log FRST z opcji Scan, przy czym tylko na koncie administracyjnym Renia zaznacz, by powstał ponownie Shortcut. Na kontach limitowanych Adusia . ^^ i Olusia uruchom FRST poprzez dwuklik, nie przez "Uruchom jako Administrator" (to zmieni kontekst konta).

 

Doczącz też plik fixlog.txt.

 

 

 

.

Odnośnik do komentarza

Końcowe wyniki zgodnie z planem. Aczkolwiek skrypt był uruchomiony wiele razy, konkretnie aż trzy:

 

Ran by Renia at 2014-10-28 23:10:56 Run:3

 

Skryptów nie należy powtarzać, są jednorazowe. Co się działo podczas pierwszego podejścia? Czy w folderze archiwum C:\FRST\Logs występują starsze pliki o modelu nazwy Fixlog_data_czas.txt?

Odnośnik do komentarza

To jest ten sam Fixlog co wcześniej (runda numer 3). Na przyszłość: Fix niekoniecznie może być błyskawiczny, należy cierpliwie czekać. Jak mówiłam, zadania się wykonały i w nowych raportach brak oznak infekcji. Kończymy:

 

1. Jeszcze dokasowanie folderów usuniętych kont. Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: C:\Users\Adusia . ^^
RemoveDirectory: C:\Users\Olusia
DeleteQuarantine:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw fixlog.txt i to zanim przejdziesz dalej (zostanie skasowany).

 

2. Usuń ręcznie folder C:\Users\Renia\Desktop\FRST. Zastosuj DelFix.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Poniższe aplikacje do aktualizacji:

 

==================== Installed Programs ======================

 

Adobe Reader X (10.1.12) MUI (HKLM\...\{AC76BA86-7AD7-FFFF-7B44-AA0000000001}) (Version: 10.1.12 - Adobe Systems Incorporated)

Java 7 Update 17 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83217017FF}) (Version: 7.0.170 - Oracle)

Java™ 6 Update 30 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83216027FF}) (Version: 6.0.300 - Oracle)

Mozilla Thunderbird 9.0.1 (x86 pl) (HKLM\...\Mozilla Thunderbird 9.0.1 (x86 pl)) (Version: 9.0.1 - Mozilla)

Opera Stable 20.0.1387.82 (HKLM\...\Opera 20.0.1387.82) (Version: 20.0.1387.82 - Opera Software ASA)

Odnośnik do komentarza
Ok, fixlog poniżej. Wykonuję dalsze punkty Twojej instrukcji.
 

 

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 27-10-2014 01

Ran by Renia at 2014-10-29 13:47:41 Run:4

Running from C:\Users\Renia\Desktop\FRST

Loaded Profile: Renia (Available profiles: Renia)

Boot Mode: Normal

 

==============================================

 

Content of fixlist:

*****************

RemoveDirectory: C:\Users\Adusia . ^^

RemoveDirectory: C:\Users\Olusia

DeleteQuarantine:

*****************

"C:\Users\Adusia . ^^" => Removed successfully.

"C:\Users\Olusia" => Removed successfully.

"C:\FRST\Quarantine" => Removed successfully.

==== End of Fixlog ====

 

 

 

Wykonałem punkty 2 i 3, aktualizacje później. Jeśli to wszystko to bardzo dziękuję za (jak zwykle) szybką i profesjonalną pomoc.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...