Huer:Trojan.Win32.StartPage wykryty przez Kaspersky

[Lukaszmed]

Mam zainstalowany Kaspersy Internet Security 2012. Podczas uruchomienia systemu wyświetlił komunikat że wykryto Huer:Trojan.Win32.StartPage. Nie mam juz nigdzie zapisanego komunikatu ktory później wyświetlił, ale chodziło o to że nie może go poddać kwarantannie. Podana była lokalizacja pliku jako:

C:\Users\Lukasz\AppData\Local\Temp\offerID5\simpboapp.exe

 

Uruchomiłem komputer ponownie (bo nie wiedziałem czy wszystko jest OK) i po ponownym uruchomieniu przy próbie otwarcia jakiejkolwiek aplikacji pojawia sie komunikat który rozpoczyna się od ścieżki dostępu do danej aplikacji a następnie pisze, że "nie jest prawidłową aplikacją systemu Win32". Kaspersky jednak uruchomił się z systemem więc załączyłem pełne skanowanie. Po 2,5h skończyło się tym, że nie znalazł żadnych zagrożeń.

 

Zupełnie nie wiem co się dzieje, pierwszy raz spotykam się z takim problemem, proszę o pomoc. Pliki które zamieszczam uzyskałem zgodnie z instrukcją odnośnie zakładania nowych tematów. Użyłem programu OLT z rozszerzeniem .com bo .exe nie chciał się uruchomić.

OTL.Txt

Extras.Txt

[picasso]

Hmmm, co dopiero tu był temat (KLIK), gdzie w systemie zero znaków infekcji, za to był Kaspersky oraz błędy "nie jest prawidłową aplikacją systemu Win32" (ale w Trybie awaryjnym wszystko działało). U Ciebie sprawa podobna: brak oznak infekcji (jest tylko adware, ale to mierna sprawa i nie jest związane z problemem), Kaspersky i błąd po jego operacji ... Ja zaczynam podejrzewać, że Kaspersky "coś" nieprawidłowego zrobił i ustawił blokadę uruchamiania wszystkich wykonywalnych EXE.

 

Powiedz mi czy u Ciebie też w Trybie awaryjnym wszystko działa? Czy w Trybie awaryjnym jesteś w stanie wejść do konfiguracji Kasperskiego?

 

 

Podczas uruchomienia systemu wyświetlił komunikat że wykryto Huer:Trojan.Win32.StartPage. Nie mam juz nigdzie zapisanego komunikatu ktory później wyświetlił, ale chodziło o to że nie może go poddać kwarantannie. Podana była lokalizacja pliku jako:

C:\Users\Lukasz\AppData\Local\Temp\offerID5\simpboapp.exe

 

To nie wygląda na infekcję w rozumieniu tradycyjnym, nazwa zagrożenia + "offerID5" sugeruje po prostu uruchomienie instalatora o parametrach adware. Jak mówiłam, adware u Ciebie jest widoczne (SweetIM / Facemoods).

 

 

.

[Lukaszmed]

Rzeczywiście problem wygląda u mnie bardzo podobnie jak ten w linku. Też jestem w stanie otworzyć plik danego programu, np. plik worda otwiera się w Wordzie ale już sam Word nie. Zauważyłem jeszcze, że przy niektórych aplikacjach ścieżka dostępu w komunikacie o błędzie czasem kończy się na *.exe i wtedy jest komunikat: "Taki interfejs nie jest obsługiwany"; a czasem kończy się na *.Ink i wtedy pisze: "nie jest prawidłową aplikacją systemu Win32". Zauważyłem to niestety w trybie awaryjnym, bo u mnie w tym trybie nie ma poprawy, tzn. żadna aplikacja sie nie otwiera i są te same komunikaty co w trybie normalnym. W trybie awaryjnym nie uruchomił się też Kaspersky i po powrocie do trybu normalnego też już się nie uruchamia ("kaspersky Internet Security 2012.Ink nie jest prawidłową aplikacją systemu Win32"...

[picasso]

Od razu pytanie: F8 przy starcie > Napraw komputer > Przywracanie systemu > czy są punkty sprzed usterki?

 

 

[Lukaszmed]

Są punkty przywracania. Najnowszy jest z 9/8/2012. To chyba jest jakiś automatycznie stworzony punkt przywracania bo ja go nie tworzyłem. Pisze że przywracanie zakończyło się pomyślnie. Programy się otwierają jak gdyby nigdy nic, Kaspersky też. Czy to znaczy że już wszystko jest dobrze? A i skoro to już działa to czy mogę coś zrobić z tym Adware?

[picasso]

Tak, system tworzy w określonych interwałach automatyczne punkty kontrolne, punkty te są również tworzone przy instalacjach / deinstalacjach programów i aktualizacji. Przywracanie systemu rozwiązało problem, to możemy zająć się adware, o ile nadal jest w systemie, gdyż Przywracanie systemu mogło cofnąć do daty sprzed instalacji. Pokaż nowy log OTL z opcji Skanuj.

 

 

 

.

[Lukaszmed]

Już mam. Załączam.

OTL.Txt

Extras.Txt

[picasso]

Adware nadal na miejscu. Czyli czyścimy to:

 

1. Otwórz Google Chrome i wejdź do ustawień. Z listy stron startowych wymaż home.sweetim.com. W zarządzaniu wyszukiwarkami przestaw domyślną ze SweetIM Search na np. Google, po tym SweetIM Search usuń z listy. W Rozszerzeniach odinstaluj Facemoods, SweetIM for Facebook.

 

2. Otwórz Firefox i w Dodatkach odinstaluj SweetIM Toolbar for Firefox, ytbyclick Community Toolbar.

 

3. Przez Panel sterowania odinstaluj Facemoods Toolbar, Update Manager for SweetPacks 1.0.

 

4. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:Files
C:\Users\Lukasz\AppData\Roaming\mozilla\firefox\profiles\w20wo10v.default\searchplugins\sweetim.xml
C:\Program Files (x86)\mozilla firefox\searchplugins\fcmdSrch.xml
C:\Users\Lukasz\AppData\Local\Temp*.html
C:\ProgramData\Premium
C:\ProgramData\InstallMate
netsh advfirewall reset /C
 
:OTL
IE - HKU\S-1-5-21-1742788513-3874824688-2955588305-1003\..\SearchScopes\{0D7562AE-8EF6-416d-A838-AB665251703A}: "URL" = "http://start.facemoods.com/?a=ironto&s={searchTerms}&f=4"
O3 - HKU\S-1-5-21-1742788513-3874824688-2955588305-1003\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
O3 - HKU\S-1-5-21-1742788513-3874824688-2955588305-1003\..\Toolbar\WebBrowser: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O4 - HKU\S-1-5-21-1742788513-3874824688-2955588305-1003..\Run: []  File not found
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search]
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. System zostanie zresetowany.

 

5. Uruchom AdwCleaner i zastosuj Delete. Z tego działania powstanie log na dysku C.

 

6. Wygeneruj nowy log OTL, ale ogranicz go: tylko opcję Rejestr ustaw na Użyj filtrowania, a resztę na Brak + wyszukiwanie plików na Żadne, klik w Skanuj. Dołącz log z usuwania OTL z punktu 4 oraz AdwCleaner z punktu 5.

 

 

.

[Lukaszmed]

Muszę przyznać że jestem pod wrażeniem tego co się dzieje. Klikam dokładnie tak jak w punktach powyżej i wszystko przebiegało dokładnie tak jak napisałaś.

Log z punktu 4 to 09102012_104119

09102012_104119.txt

AdwCleanerS1.txt

OTL.Txt

[picasso]

Adware zostało pomyślnie wyczyszczone. Finalizujemy temat:

 

1. Porządki po narzędziach: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Zaktualizuj poniżej wyliczone aplikacje (cytaty z Twojej listy zainstalowanych). Szczegóły aktualizacyjne: KLIK.

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
64bit: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX 64-bit (wtyczka dla IE)
"Microsoft SQL Server 10" = Microsoft SQL Server 2008 R2 (64-bit)
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
"{AC76BA86-7AD7-1045-7B44-A95000000001}" = Adobe Reader 9.5.0 - Polish
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Mozilla Firefox 6.0 (x86 pl)" = Mozilla Firefox 6.0 (x86 pl)
 
========== HKEY_USERS Uninstall List ==========
 
[HKEY_USERS\S-1-5-21-1742788513-3874824688-2955588305-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"Mozilla Firefox 12.0 (x86 pl)" = Mozilla Firefox 12.0 (x86 pl)

 

+ Service Pack dla SQL Server 2008 R2: KB2527041

 

 

 

Uwaga poboczna: Gadu-Gadu 10 to zasobożerny reklamodawczy potwór. Sugeruję oglądnięcie lżejszych / przyjaźniejszych dla zasobów aplikacji z obsługą Gadu: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

 

.

 

 

[Lukaszmed]

Wykonałem wszystkie kroki. Aplikacje zaktualizowane. Service Pack zainstalowany.

Gadu-Gadu nawet nie pamiętałem, że mam a już od ponad roku nie użwyam. Już odinstalowany.

 

Dziękuję Ci za tak dokładny opis i poprowadzenie jak za "rączkę", bo inaczej nigdy bym tego nie naprawił. To forum (a właściwie ludzie udzielający na nim odpowiedzi) jest fenomenalne.

 

Jeszcze pytanie: czy skoro usunąłem wszystkie punkty przywracania to powinienem teraz stworzyć sobie na wszelki wypadek nowy czy on znów stworzy się automatycznie?

[picasso]

Jeszcze pytanie: czy skoro usunąłem wszystkie punkty przywracania to powinienem teraz stworzyć sobie na wszelki wypadek nowy czy on znów stworzy się automatycznie?

 

Możesz oczywiście zrobić sobie ręczny punkt, ale jak długo on zostanie to już inna sprawa, bo będą także tworzone punkty automatyczne (kontrolne systemu lub przy (de)instalacjach oprogramowania). Cieniowanie woluminów ma określoną rezerwę miejsca, a po przekroczeniu limitu magazyn się zeruje (starsze punkty są automatycznie usuwane). Tutaj masz dodatkowe tematy z forum: KLIK, KLIK.

 

 

 

.

[Lukaszmed]

Dziękuję za linki na forum i jeszcze raz za całą pomoc.