Skocz do zawartości

Zmieniona strona startowa - v9.com


Rekomendowane odpowiedzi

Witam.

 

Przytrafił mi się dzisiaj problem, z którym niestety nie mogę sobie poradzić przy pomocy porad pojawiających się w wynikach wyszukiwania, a widziałem, że komuś z tym problem już pomogliście ;)

 

Otóż strona startowa w moich przeglądarkach tj. Chrome i IE została podmieniona na V9 Portal Site. Oczywiście procedura dostępna pod linkiem uninstall w stopce tej strony nie działa, zarówno w Chrome, jak i IE.

 

Dokładny adres, jaki pojawia się w pasku adresu to:

 

IE: hxxp://en.v9.com/?utm_source=b&utm_medium=update&from=update&uid=SAMSUNGXSSDX830XSeries_S0Z3NSAC930057&ts=1369824011

 

Chrome: hxxp://en.v9.com/?utm_source=b&utm_medium=update&from=update&uid=SAMSUNGXSSDX830XSeries_S0Z3NSAC930057&ts=1369824011

 

Oczywiście normalnie jest http ;)

 

Nie mam bladego pojęcia, w jaki sposób ten syf dostał się do mojego systemu, używam KIS-a 2013, poza tym nie zdarza mi się instalować żadnych niesprawdzonych programów. Stało się to dzisiaj w pracy, odszedłem od laptopa, a po powrocie, gry uruchomiłem przeglądarkę, strona startowa była już zmieniona.

 

W załączeniu obowiązkowe logi.

 

Pozdrawiam i liczę na Waszą pomoc.

 

Z góry dziękuję.

 

EDIT:

 

Dodam jeszcze, że próbowałem pozbyć się tego dziadostwa przy pomocy AdwCleanera, które to rozwiązanie było jednym z częściej wymienianych, niestety nie pomogło. W załączeniu również logi z dwóch skanowań i użyć tego programu.

Extras.Txt

gmer.txt

OTL.Txt

AdwCleanerR1.txt

AdwCleanerR2.txt

AdwCleanerS1.txt

AdwCleanerS2.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W raportach nie widać żadnych wpisów v9. Jeśli przeglądarki nadal się otwierają z v9, to oznacza że prawdopodobnie ich skróty są zmodyfikowane. v9 może zmodyfikować skróty na dwa sposoby:

 

1. Modyfikacja Elementu docelowego w pliku skrótu. Otwórz programy bezpośrednio (nie przez skróty) i zweryfikuj co widzisz:

 

C:\Program Files (x86)\Google\Chrome\Application\chrome.exe

C:\Program Files (x86)\Internet Explorer\iexplore.exe

 

Jeśli tak otworzone programy nie pokażą strony startowej v9, należy usunąć wszystkie skróty przeglądarek (z Pulpitu / Menu start / Paska zadań) i utworzyć nowe czyste.

 

2. Modyfikacja skrótów przypiętych w Menu Start poprzez rejestr. Pod tym kątem podaj skan dodatkowy. Uruchom SystemLook x64 i do skanu wklej:

 

:reg
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet /s
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Clients\StartMenuInternet /s

 

Klik w Look i przedstaw wynikowy raport. 

 

 

Nie mam bladego pojęcia, w jaki sposób ten syf dostał się do mojego systemu, używam KIS-a 2013, poza tym nie zdarza mi się instalować żadnych niesprawdzonych programów. Stało się to dzisiaj w pracy, odszedłem od laptopa, a po powrocie, gry uruchomiłem przeglądarkę, strona startowa była już zmieniona.

 

To adware sponsorujące instalatory innych prawidłowych programów. W Twoim logu są subtelne ślady, że mogło to być w instalatorze IrfanView:

 

[2013-05-27 17:44:31 | 000,000,000 | ---D | C] -- C:\Users\Mateusz\AppData\Roaming\IrfanView

[2013-05-27 17:42:04 | 000,000,000 | ---D | C] -- C:\Users\Mateusz\AppData\Roaming\eDownload

 

Wnioski stąd, że mniej więcej w tym samym przedziale czasowym powstał katalog aplikacji właściwej oraz "eDownload" (AdwCleaner wywalał zresztą pokrewny "eIntaller"), który jest charakterystyczny dla instalacji wiązanych i na forum już widziałam go m.in. przy instalacji WinRAR sponsorowanej jakimiś innymi syfkami.

 

 

 

.

Odnośnik do komentarza

Witam.

 

Faktycznie programy z ich lokalizacji docelowych otwierają się normalnie. Utworzyłem nowe skróty na pasku zadań i ekranie startowym. V9 się już nie pojawia.

 

Wykonałem log, o który prosiłaś. Widzę w nim, że jeszcze niektóre wartości zawierają v9.

 

Log w załączniku.

 

To adware sponsorujące instalatory innych prawidłowych programów. W Twoim logu są subtelne ślady, że mogło to być w instalatorze IrfanView:

 

Fakt, pobierałem IrfanView z oficjalnej strony, ale ten v9 uaktywnił się dopiero wczoraj, 2 dni później.

 

Czy jest jakiś sposób na ochronę przed takimi intruzami? Jak widać, KIS, na którego do tej pory nie mogłem narzekać, jakoś przepuścił tego intruza.

 

Dzięki wielkie za pomoc.

Fantastyczne forum.

SystemLook.txt

Odnośnik do komentarza

Tak, skróty przypiętych są także zmodyfikowane. Ładuj korektę na to oraz inne drobne poprawki.

1. Otwórz Notatnik i wklej w nim:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\Google Chrome\shell\open\command]
@="C:\\Program Files (x86)\\Google\\Chrome\\Application\\chrome.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command]
@="C:\\Program Files\\Internet Explorer\\iexplore.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Clients\StartMenuInternet\Google Chrome\shell\open\command]
@="C:\\Program Files (x86)\\Google\\Chrome\\Application\\chrome.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command]
@="C:\\Program Files\\Internet Explorer\\iexplore.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
""=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
""=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]

[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]

[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]


Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

2. Przez SHIFT+DEL dokasuj jeszcze ten folder, o którym mówiłam:

C:\Users\Mateusz\AppData\Roaming\eDownload

3. Usuń narzędzia: w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

4. Wyczyść foldery Przywracania systemu: KLIK.

5. Usuń starą Java 7 Update 15 i zastąp najnowszą wersją 32-bit: KLIK.

 

 

Czy jest jakiś sposób na ochronę przed takimi intruzami? Jak widać, KIS, na którego do tej pory nie mogłem narzekać, jakoś przepuścił tego intruza.

 

v9 jest typem drobnego adware, tenże typ nie musi być adresowany programami w rodzaju KIS. Sponsorowane instalatory nie zawsze będą wykrywane przez aplikacje zorientowane głównie na malware innego kalibru (wirusy / trojany i podobne). Pomijając fakt, że trzeba po prostu uważać przy instalacji obojętnie jakiego programu (teraz to już nic nie jest pewne, instalacjami adware okazują się ostatnio programy, których bym o to nie podejrzewała), tu ewentualnie mógłby pomóc program realizujący funkcję oceny zachowań instalatorów/aplikacji, który przy próbie instalacji sponsora zwróci uwagę, że konsekwencją będą modyfikacje przeglądarek i pozwoli to zatrzymać. Nie pamiętam opcji KIS, jakimi funkcjami dysponuje.



.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...