Skocz do zawartości
goddy

Podmieniona strona startowa, silnik wyszukiwarki i ciągle krzyczący antywirus po uruchomieniu aktywatora office 2013

Rekomendowane odpowiedzi

Witajcie,

 

Całkiem niedawno na moim komputerze został uruchomiony pseudo aktywator do pakietu office ściągnięty ze strony hxxp://kmspico10.com/.

Żeby tego było mało, antywirus był wyłączony w tym czasie.

Jak nietrudno się domyślić, spowodowało to spore zamieszanie w systemie.

Obserwowane skutki:

  • Strona startowa podmieniona na hxxp://www.istartsurf.com/
  • Podmieniona silnik wyszukiwarki zarówno w Chrome, jak i Firefox (podejrzewam,  że też w IE) na hxxp://search.webssearches.com/.
  • Przy włączonej przeglądarce antywirus ciągle krzyczy. Widać, że coś się dzieje w tle.

 

Mój system to Windows 7 SP1 x64

 

Będę bardzo wdzięczny za rzucenie okiem na moje logi.

 

Addition.txt

FRST.txt

GMER.txt

Shortcut.txt

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

1) Użyj >Adw-cleaner
najpierw kliknij na SZUKAJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ (CLEANING), to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt

 

2) Otwórz Notatnik i wklej w nim:

 

CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1438025515&z=edfa5004c1046cfbbd8e761gcz5cab6efoewdzaqem&from=obw&uid=ADATAXSP920SS_14140C1147390C114739&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.istartsurf.com/web/?type=ds&ts=1438025515&z=edfa5004c1046cfbbd8e761gcz5cab6efoewdzaqem&from=obw&uid=ADATAXSP920SS_14140C1147390C114739&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1438025515&z=edfa5004c1046cfbbd8e761gcz5cab6efoewdzaqem&from=obw&uid=ADATAXSP920SS_14140C1147390C114739&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.istartsurf.com/web/?type=ds&ts=1438025515&z=edfa5004c1046cfbbd8e761gcz5cab6efoewdzaqem&from=obw&uid=ADATAXSP920SS_14140C1147390C114739&q={searchTerms}
SearchScopes: HKU\S-1-5-21-948294637-126623534-2788625075-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=obw&utm_campaign=install_ie&utm_content=ds&from=obw&uid=ADATAXSP920SS_14140C1147390C114739&ts=1438025561&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-948294637-126623534-2788625075-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=obw&utm_campaign=install_ie&utm_content=ds&from=obw&uid=ADATAXSP920SS_14140C1147390C114739&ts=1438025561&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-948294637-126623534-2788625075-1000 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=obw&utm_campaign=install_ie&utm_content=ds&from=obw&uid=ADATAXSP920SS_14140C1147390C114739&ts=1438025561&type=default&q={searchTerms}
SearchScopes: HKU\S-1-5-21-948294637-126623534-2788625075-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://www.istartsurf.com/web/?utm_source=b&utm_medium=obw&utm_campaign=install_ie&utm_content=ds&from=obw&uid=ADATAXSP920SS_14140C1147390C114739&ts=1438025561&type=default&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.istartsurf.com/?type=sc&ts=1438025515&z=edfa5004c1046cfbbd8e761gcz5cab6efoewdzaqem&from=obw&uid=ADATAXSP920SS_14140C1147390C114739
FF NewTab: hxxp://www.istartsurf.com/newtab/?type=nt&ts=1438025515&z=edfa5004c1046cfbbd8e761gcz5cab6efoewdzaqem&from=obw&uid=ADATAXSP920SS_14140C1147390C114739
FF SearchPlugin: C:\Users\Piotr\AppData\Roaming\Mozilla\Firefox\Profiles\ifukcu1k.default\searchplugins\istartsurf.xml [2015-07-27]
FF Extension: deskCut - C:\Users\Piotr\AppData\Roaming\Mozilla\Firefox\Profiles\ifukcu1k.default\Extensions\deskCutv2@gmail.com [2015-07-27]
FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Piotr\AppData\Roaming\Mozilla\Firefox\Profiles\ifukcu1k.default\extensions\deskCutv2@gmail.com
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
2015-07-27 21:34 - 2015-07-27 21:34 - 00000000 ____D C:\ProgramData\8982373780703246254
2015-07-27 21:34 - 2015-07-27 21:34 - 00000000 ____D C:\Program Files (x86)\RSS Subscription Extension by
2015-07-27 21:34 - 2015-07-27 21:34 - 00000000 ____D C:\Program Files (x86)\CutThePrice
2015-07-27 21:34 - 2015-07-27 21:34 - 00000000 ____D C:\Program Files (x86)\CuatThePruice
2015-07-27 21:34 - 2015-07-27 21:34 - 00000000 ____D C:\Program Files (x86)\bestadblocker
2015-07-27 21:33 - 2015-07-28 22:19 - 00000000 ____D C:\ProgramData\ahphcahnkamaapjichgaamkckohjfcac
2015-07-27 21:32 - 2015-07-29 20:07 - 00000000 ____D C:\Users\Piotr\AppData\Roaming\istartsurf
2015-07-27 21:32 - 2015-07-28 22:25 - 00000000 ____D C:\ProgramData\{22f70bc9-6994-e68d-22f7-70bc96992f25}
2015-07-27 21:32 - 2015-07-27 21:43 - 00000000 ____D C:\ProgramData\tWinManProt
2015-07-27 21:32 - 2015-07-27 21:43 - 00000000 ____D C:\Program Files (x86)\MiuiTab
2015-07-27 21:32 - 2015-07-27 21:36 - 00000000 ____D C:\Users\Piotr\AppData\Local\ospd_us_013010043
2015-07-27 21:32 - 2015-07-27 21:32 - 00000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ONESOFTPERDAY
2015-07-27 21:32 - 2015-07-27 21:32 - 00000000 ____D C:\ProgramData\IHProtectUpDate
2015-07-27 21:32 - 2015-07-27 21:32 - 00000000 ____D C:\Program Files (x86)\ospd_us_013010043
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.

 

3)

 

CHR dev: Chrome dev build detected! <======= ATTENTION

Odinstaluj tę dziurawą wersję Google Chrome.
Zainstaluj stąd > http://www.google.com/chrome/

 

4) Zrób nowe logi FRST

 

5)Napisz,. czy zmieniło to sytuację?

 

jessi

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Otwórz Notatnik i wklej w nim:

 

C:\Windows\Minidump\*.dmp
FF Extension: No Name - C:\Users\Piotr\AppData\Roaming\Mozilla\Firefox\Profiles\ifukcu1k.default\extensions\deskCutv2@gmail.com [not found]
C:\ProgramData\boost_interprocess
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.

 

Potem kończymy:

Otwórz Notatnik i wklej w nim:

 

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix.
przez SHIFT+DEL usuń pozostały folder C:\FRST.

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).

 

jessi

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Wielkie dzięki za pomoc, Jessi!

Dzięki Wam Internet jest lepszym miejscem :)

Pozdrawiam serdecznie!

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...