Csillagpor.hu
Informatikai tárgyú kérdések, Kéretlen programok, kártevők eltávolítása, Windows

A WebsSearches eltávolítása, második felvonás

    Eddig 11 hozzászólás, szólj hozzá! Frissítve: 2016. október 4. 11:03

Az előző WebsSearchesről szóló bejegyzést már nem akarom tovább toldozgatni, így inkább egy újabb bejegyzés következik erről az idegesítő kis mocsokról.

Egy ismerősöm laptopját takarítottam szívességből a minap, és szerencsémre végre rátaláltam élőben az istar webssearchesre! Na gondoltam: elkaptalak! Kérdeztem a gép tulajdonosától, hogy tudja e mióta van ez rajta (több más felesleges hülyeséggel együtt), de nem tudta (vagy nem árulta el).

Volt a gépen több potenciális hordozó program is, de egy virtuális gépen kipróbálva egyik sem fertőzött.
Akkor rátaláltam egy Microsoft Office aktiváló programra.
Ami nem tudom aktivál e egyáltalán, de az eredeti neve az volt hogy: Office 2010 Toolkit and EZ-Activator v 2.1.6 Final.
Ezt is elindítottam, bár én fel nem tenném semelyik gépemre az MS Office-t, reméltem hogy nem kell a futásához.

Egy nagy telepítési procedúrába kezdett, aminek a végeredménye valóban webssearches fertőzés lett.
Ez abban nyilvánult meg, hogy a kezdőoldalt kicserélte a sajátjára, tele reklámmal és az ő keresőjével, az alapértelmezett kereső is a webssearches lett…

… és minden megnyitott weboldalon ugyanúgy mint a kezdőoldalon, jobb és baloldalon, fent és lent és még külön felbukkanó ablakokban reklámok voltak láthatók, gyakorlatilag nem lehetett hozzáférni a betöltött weboldalhoz.

Kezdődjön a takarítás!

Ezután … nézem sorban a képernyőképeket, úgy könnyebb időrendi sorrendben leírnom.
A Firefox Kiterjesztések között felfedeztem a BlockAndSurf és a Fast Start valamit, amit semmiképp sem én telepítettem fel. Ezeket kikapcsoltam eltávolítottam.
Minden maradt ugyanolyan a következő Firefox indításnál is. A beállításokban természetesen amit lehetett visszaállítottam az eredetire, de a Kezdőlap ugyanúgy istart.webssearches.com/… stb. maradt ezután is.

A regedit Beállításszerkesztőben rákerestem az istar majd a webssearches kulcsszóra és töröltem mindent amit találtam.
Itt az előző bejegyzésben írtakat érdemes figyelembe venni, szóval van még mit keresni, törölni itt.
És … maradt ugyanolyan a Chrome és a Firefox is, illetve most már a weboldalakat nem mocskolta össze, csak a kezdőlap és a kereső maradt meg.

Chrome és a webssearches
Itt további képek találhatók a bejegyzéshez.

Töröltem az itt megadott könyvtárakat. Majd eszembe jutott, hogy a Programok és szolgáltatásokban még nem jártam.
Onnan kiindulva eltávolítottam a BlockAndSurf, GoForFiles, csak így simán Installer, Update Service GoForFiles programokat. Lehet, hogy csak ezek után tűnt el a reklám az oldalakból … már nem emlékszem.
A lényeg: a kezdőoldal és kereső még mindig az övé!

Akkor jött a ComboFix. Ez törölte a c:\users\Zsolt\AppData\Roaming\1D959CA221C7573.sys és c:\windows\wininit.ini fájlokat, emlékszem is valamire, ezekről valahol olvastam talán, vagyis ez is a webssearcheshez tartozott.
Ez a program a végén készített naplófájljában közöl pl. olyanokat, hogy milyen új könyvtárak és fájlok lettek létrehozva. Akkor is, ha semmit sem csinált velük. Ebből a dátum alapján megtudhatjuk, hogy nagyjából merrefelé érdemes keresgélni.

PL. ilyesmik voltak benne, amik szerintem hasznosak lehetnek:
c:\users\Public\AppData\Local\temp, c:\users\Default\AppData\Local\temp, c:\users\Zsolt\AppData\Roaming\GoforFiles
… vagyis innen érdemes amit csak lehet kitörölni …
Akkor még a következők is:
FF – ProfilePath – c:\users\Zsolt\AppData\Roaming\Mozilla\Firefox\Profiles\tczbasje.default\mozi
FF – prefs.js: browser.search.selectedEngine – webssearches
FF – prefs.js: browser.startup.homepage – about:home

… tehát belenézek ebbe a Firefox profil mappába.

Az ott található fájlokat betöltöm egy (ügyes) szövegszerkesztőbe, és rákeresek mindegyikben a gyanúsnak vélt szövegre.
6-8 fájlban átírtam, töröltem ezt azt. Nem értek igazán hozzá, csak kísérleteztem, vagyis előtte elmentettem az “eredeti” fájlokat.
Ezekkel a fájl piszkálgatásokkal azt sikerült elérnem, hogy nem a webssearches lett az alapértelmezett kereső, és eltűnt a reklám a kezdőoldalról, de a kezdőoldal még mindig maradt!
Volt még pár bináris fájl amiben találtam valamit, de azok átszerkesztgetéséhez nem fogtam hozzá …

Tulajdonképp itt feladtam…

De volt még az a lehetőség, hogy az itt ajánlott YAC-al próbálkozom.
A programot feltelepítettem, elindítottam, és anélkül hogy bármit csináltam volna vele, már rendben is voltak a böngészők!
Tulajdonképp annyira gyorsan és bármi állítása vagy elindítása nélkül, hogy még arra is gyanakodtam, hogy végül is nekem sikerült megcsinálnom, csak nem indítottam újra a böngészőt .. vagy valami.
De mivel a Chromeból is eltűnt, valószínűbb hogy ez a 30 napos próbaverziós program győzte le.

Szóval megoldva… Végre!
A képek után még folytatódik!

istartsurfsoftware

istartsurf

Egy dolog később azért feltűnt … itt: istart.webssearches.com/uninstall, a … még egyszer nem írom le a nevét, szóval ANNAK a hivatalos uninstallálásról szóló oldalán egyetlen reklám van, az pedig a YAC program letöltéséről szól, mégpedig egy direkt linkkel, vagyis kattintásra indul is lefele a program.

Egyébként az oldalon leírt eltávolítás nem működik.

A YAC hivatalos oldala.

Sok sikert!

»
«

11 Hozzászólás

Zsolt

Módosítania kell regisztrációs kulcsokat, mert az a WebsSearches eltávolítási folyamatának az egyik művelete. Az hogy az e egy védett kulcs vagy nem, nem tudom, de ha valóban veszélyes egy fájl, akkor a Comodo szó nélkül karanténba teszi, nem kérdezget. Szóval szerintem engedheted neki.
Az előző bejegyzés végén írtam arról, hogy kb. miket kell eltávolítani a registryből, ezt csinálja ez a program, a Comodonak meg gyanús: http://csillagpor.hu/remek/42/webssearches-bongeszo-hijacker-szoftver-eltavolitasa
Ahogy már írtam, gyanús szimbiózisban él a WebsSearches és a YAC, de tényleg eltávolítja és én még nem hallottam olyanról (és nem is tapasztaltam), hogy ez utóbbi bármi kárt okozott volna.

Chill

Köszönöm az útbaigazítást! =)
Sikerült kivenni a honlapszűrést, és megnyitni a yac-ot. Le is töltöttem, viszont amikor telepíteni akartam, azt az üzenetet írta ki a comodo, hogy “az isafedownloader.exe nem beazonosítható és próbálja módosítani a ….. védett regisztrációs kulcsot”. …ez mit jelent?
Köszi

Zsolt

Ha a Tűzfal beállításainál a honlapszűrést kikapcsolod és OK, akkor működik, bár lehet, hogy előbb a böngésző előzményeit törölni kell, csak annyit amióta meg akartad nyitni. Nálam is Comodo Internet Security működik, és én is kipróbáltam, itt is blokkolta, majd kikapcsoltam egy kicsit a honlapszűrést, de még mindig a blokkolásos üzenet jött elő, ezután töröltem az utolsó óra előzményeit a Firefoxból és már ment.
Ha végeztél kapcsold vissza!

Sok sikert!

cis-fw-out

Chill

Sziasztok,

az explorer kezdőlapjáról a YAC nevű progi segítségével álltam neki az eltávolításhoz. Amikor rákattintottam a linkre, az jött ki, hogy az oldalt a Comodo firewall blokkolta. Tudnátok segíteni, hogy mit és hogyan állítsak át a Comodon, hogy meg tudjam nyitni az oldalt? …gondolom nem az egész tűzfalat célszerű kikapcsolni, nem túl sokat értek a dologhoz =) Köszönöm előre is!!
És a cikkek nagyon hasznosak meg inspirálóak voltak, örülök, h rájuk találtam, már 1 ideje szerettem volna kiszórni ezt a szemetet… :D

Zsolt

Köszönjük, hogy leírtad! Akkor +1 six74 megoldásának :)

Dodok

Sziasztok! Én is megkaptam és sehogy sem tudtam kiirtani a kis mocskot. Ekkor kezdtem el utána nézni valami segítségért. Six74 által leírt módon sikerült. Köszi.

Zsolt

Megnéztem a KMPlayert többször is, de nekem nem produkálta a webssearches fertőzést. Mindenesetre azért odaírtam, hogy elképzelhető… http://csillagpor.hu/remek/programok/kmplayer-letoltese

Zsolt

Rendben, köszi! Ki fogom próbálni!

six74

nem 100% de nekem nagyon úgy tűnik hogy a múltkor a “km player” média lejátszóval jött le a webssearches… további minden jót, sziasztok!

Zsolt

Szia! Köszi, hogy leírtad nekünk! Akkor tehát itt áll egy másfajta eltávolítási lehetőség is most már.

Minden jót!

six74

Sziasztok! Én is megkaptam a webssearches csomagot és nekem a malwerbytes anti-malware teljesen kiirtotta az összetevőket, viszont a kezdőlapom ugyan az maradt… ezt úgy oldottam meg hogy előbb töröltem a google chromot és újratelepítettem majd töröltem a windows internet explorert (mert annál is átvette az irányítást) és azt is újra raktam…azóta nincs hír róla…

Kérdezz, szólj hozzá!
Nem kötelező semmilyen adat megadása... a név azért hasznos.


Itt szólhatsz hozzá:

Kattints a fehér négyzetre a "Nem vagyok robot" szöveg előtt!
Majd ha nem vagy robot, elküldheted a hozzászólást!

Impresszum / Kapcsolat / Közösségi média | Adatvédelmi Nyilatkozat

2003 - 2016 : Csillagpor.hu / ReSpeedy.Berlin ... hogy neked jó legyen!