Niepożądana wyszukiwarka "istartsurf.com"

[fabios]

Witam

Od jakiegoś czasu zaczęła mi się pojawiac strona startowa "istartsurf.com", ktorej nie mogę się pozbyć. Być może jest jakaś infekcja. Bardzo proszę o sprawdzenie. Załączam obowiązkowo logi. Z góry dziękuję.

Shortcut.txt

Addition.txt

FRST.txt

gmer.txt

[picasso]

Pokłosie instalacji adware. Przypuszczalnie załatwił Cię plik stosujący technikę "downloadera" ze sponsorami:

 

2015-10-27 21:21 - 2015-10-27 21:21 - 01014928 _____ (Web Program Installer ) C:\Users\Fabian\Downloads\easy-display-manager.exe

 

Obecnie widoczne tylko szczątki adware. Do wdrożenia:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
SearchScopes: HKU\S-1-5-21-1656078074-662784795-2507075442-1001 -> DefaultScope {6E895921-1BC1-4729-90B3-68B9183EEB3E} URL =
SearchScopes: HKU\S-1-5-21-1656078074-662784795-2507075442-1001 -> {6E895921-1BC1-4729-90B3-68B9183EEB3E} URL =
BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1445978202&z=e68d9e8317f0816c944a11dg4z9z1w1t2mbm8t8z7w&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FCC02804
FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Fabian\AppData\Roaming\Mozilla\Firefox\Profiles\sh8sse2o.default\extensions\defsearchp@gmail.com => nie znaleziono
FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Fabian\AppData\Roaming\Mozilla\Firefox\Profiles\sh8sse2o.default\extensions\deskCutv2@gmail.com => nie znaleziono
HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe"
S2 KMSServerService; C:\WINDOWS\KMSServerService\KMS Server Service.exe [X]
C:\$360Section
C:\Program Files (x86)\360
C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
C:\ProgramData\360Quarant
C:\ProgramData\yWMiniProy
C:\Users\Fabian\AppData\Roaming\istartsurf
C:\Users\Fabian\Downloads\easy-display-manager.exe
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\istartsurf uninstall
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść Firefox z przekierowań:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale zainstalowane rozszerzenia (Adblock Plus, NoScript, ReminderFox) trzeba będzie przeinstalować.
• Menu Historia > Wyczyść historię przeglądania

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

[fabios]

Zrobione

 

Fixlog.txt

FRST.txt

[picasso]

Wszystko zgodnie z planem. Na wszelki wypadek jeszcze:

 

Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log z folderu C:\AdwCleaner

[fabios]

Wykonane.

Ale istartsurf.com nadal się wyświetla.

AdwCleanerS1.txt

[picasso]

O kurcze, jakoś pominęłam wyniki z Shortcut, nie wkleiłam ich do skryptu. Poprawki. Otwórz Notatnik i wklej w nim:

 

ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1445978202&z=e68d9e8317f0816c944a11dg4z9z1w1t2mbm8t8z7w&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FCC02804
ShortcutWithArgument: C:\Users\Fabian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1445978202&z=e68d9e8317f0816c944a11dg4z9z1w1t2mbm8t8z7w&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FCC02804
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1445978202&z=e68d9e8317f0816c944a11dg4z9z1w1t2mbm8t8z7w&from=cor&uid=ST1000LM024XHN-M101MBB_S2RQJ9FCC02804
DeleteKey: HKCU\Software\Mozilla\Extends
DeleteKey: HKCU\Software\PRODUCTSETUP
DeleteKey: HKCU\Software\UpdateStar
DeleteKey: HKLM\SOFTWARE\istartsurfSoftware
DeleteKey: HKLM\SOFTWARE\FFPluginHp
DeleteKey: HKLM\SOFTWARE\WdsManPro

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

[fabios]

Stronka już się nie pojawia.

Fixlog.txt

[picasso]

Wykonałeś skrypt sprzed mojej edycji (usunęłam duplikaty HKU). Ale w sumie wyniki końcowe są prawie tożsame.

 

1. Poprawka. System 64-bit, ciągle zapominam, że AdwCleaner niepoprawnie przedstawia klucze 64-bitowe. Kolejny skrypt do FRST:

 

DeleteKey: HKLM\SOFTWARE\Wow6432Node\istartsurfSoftware
DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp
DeleteKey: HKLM\SOFTWARE\Wow6432Node\WdsManPro

 

2. Na zakończenie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

[fabios]

Problem już nie występuje. Dzięki

Fixlog.txt

DelFix.txt

[picasso]

Wszystko zrobione zgodnie z planem. Skasuj z dysku plik C:\delfix.txt.

 

Temat rozwiązany. Zamykam.