Csillagpor.hu
Informatikai tárgyú kérdések, Kéretlen programok, kártevők eltávolítása, Windows

A WebsSearches eltávolítása, második felvonás

Megosztás    

Az előző WebsSearchesről szóló bejegyzést már nem akarom tovább toldozgatni, így inkább egy újabb bejegyzés következik erről az idegesítő kis mocsokról.

Egy ismerősöm laptopját takarítottam szívességből a minap, és szerencsémre végre rátaláltam élőben az istar webssearchesre! Na gondoltam: elkaptalak! Kérdeztem a gép tulajdonosától, hogy tudja e mióta van ez rajta (több más felesleges hülyeséggel együtt), de nem tudta (vagy nem árulta el).

Volt a gépen több potenciális hordozó program is, de egy virtuális gépen kipróbálva egyik sem fertőzött.
Akkor rátaláltam egy Microsoft Office aktiváló programra.
Ami nem tudom aktivál e egyáltalán, de az eredeti neve az volt hogy: Office 2010 Toolkit and EZ-Activator v 2.1.6 Final.
Ezt is elindítottam, bár én fel nem tenném semelyik gépemre az MS Office-t, reméltem hogy nem kell a futásához.

Egy nagy telepítési procedúrába kezdett, aminek a végeredménye valóban webssearches fertőzés lett.
Ez abban nyilvánult meg, hogy a kezdőoldalt kicserélte a sajátjára, tele reklámmal és az ő keresőjével, az alapértelmezett kereső is a webssearches lett…

… és minden megnyitott weboldalon ugyanúgy mint a kezdőoldalon, jobb és baloldalon, fent és lent és még külön felbukkanó ablakokban reklámok voltak láthatók, gyakorlatilag nem lehetett hozzáférni a betöltött weboldalhoz.

Kezdődjön a takarítás!

Ezután … nézem sorban a képernyőképeket, úgy könnyebb időrendi sorrendben leírnom.
A Firefox Kiterjesztések között felfedeztem a BlockAndSurf és a Fast Start valamit, amit semmiképp sem én telepítettem fel. Ezeket kikapcsoltam eltávolítottam.
Minden maradt ugyanolyan a következő Firefox indításnál is. A beállításokban természetesen amit lehetett visszaállítottam az eredetire, de a Kezdőlap ugyanúgy istart.webssearches.com/… stb. maradt ezután is.

A regedit Beállításszerkesztőben rákerestem az istar majd a webssearches kulcsszóra és töröltem mindent amit találtam.
Itt az előző bejegyzésben írtakat érdemes figyelembe venni, szóval van még mit keresni, törölni itt.
És … maradt ugyanolyan a Chrome és a Firefox is, illetve most már a weboldalakat nem mocskolta össze, csak a kezdőlap és a kereső maradt meg.

Chrome és a webssearches
Itt további képek találhatók a bejegyzéshez.

Töröltem az itt megadott könyvtárakat. Majd eszembe jutott, hogy a Programok és szolgáltatásokban még nem jártam.
Onnan kiindulva eltávolítottam a BlockAndSurf, GoForFiles, csak így simán Installer, Update Service GoForFiles programokat. Lehet, hogy csak ezek után tűnt el a reklám az oldalakból … már nem emlékszem.
A lényeg: a kezdőoldal és kereső még mindig az övé!

Akkor jött a ComboFix. Ez törölte a c:\users\Zsolt\AppData\Roaming\1D959CA221C7573.sys és c:\windows\wininit.ini fájlokat, emlékszem is valamire, ezekről valahol olvastam talán, vagyis ez is a webssearcheshez tartozott.
Ez a program a végén készített naplófájljában közöl pl. olyanokat, hogy milyen új könyvtárak és fájlok lettek létrehozva. Akkor is, ha semmit sem csinált velük. Ebből a dátum alapján megtudhatjuk, hogy nagyjából merrefelé érdemes keresgélni.

PL. ilyesmik voltak benne, amik szerintem hasznosak lehetnek:
c:\users\Public\AppData\Local\temp, c:\users\Default\AppData\Local\temp, c:\users\Zsolt\AppData\Roaming\GoforFiles
… vagyis innen érdemes amit csak lehet kitörölni …
Akkor még a következők is:
FF – ProfilePath – c:\users\Zsolt\AppData\Roaming\Mozilla\Firefox\Profiles\tczbasje.default\mozi
FF – prefs.js: browser.search.selectedEngine – webssearches
FF – prefs.js: browser.startup.homepage – about:home

… tehát belenézek ebbe a Firefox profil mappába.

Az ott található fájlokat betöltöm egy (ügyes) szövegszerkesztőbe, és rákeresek mindegyikben a gyanúsnak vélt szövegre.
6-8 fájlban átírtam, töröltem ezt azt. Nem értek igazán hozzá, csak kísérleteztem, vagyis előtte elmentettem az “eredeti” fájlokat.
Ezekkel a fájl piszkálgatásokkal azt sikerült elérnem, hogy nem a webssearches lett az alapértelmezett kereső, és eltűnt a reklám a kezdőoldalról, de a kezdőoldal még mindig maradt!
Volt még pár bináris fájl amiben találtam valamit, de azok átszerkesztgetéséhez nem fogtam hozzá …

Tulajdonképp itt feladtam…

De volt még az a lehetőség, hogy az itt ajánlott YAC-al próbálkozom.
A programot feltelepítettem, elindítottam, és anélkül hogy bármit csináltam volna vele, már rendben is voltak a böngészők!
Tulajdonképp annyira gyorsan és bármi állítása vagy elindítása nélkül, hogy még arra is gyanakodtam, hogy végül is nekem sikerült megcsinálnom, csak nem indítottam újra a böngészőt .. vagy valami.
De mivel a Chromeból is eltűnt, valószínűbb hogy ez a 30 napos próbaverziós program győzte le.

Szóval megoldva… Végre!
A képek után még folytatódik!

istartsurfsoftware

istartsurf

Egy dolog később azért feltűnt … itt: istart.webssearches.com/uninstall, a … még egyszer nem írom le a nevét, szóval ANNAK a hivatalos uninstallálásról szóló oldalán egyetlen reklám van, az pedig a YAC program letöltéséről szól, mégpedig egy direkt linkkel, vagyis kattintásra indul is lefele a program.

Egyébként az oldalon leírt eltávolítás nem működik.

A YAC hivatalos oldala.

Sok sikert!

Frissítve: 2017. január 19. 18:35

Megosztás      

»
«

Eddig 11 hozzászólás, szólj hozzá te is!

Zsolt

Módosítania kell regisztrációs kulcsokat, mert az a WebsSearches eltávolítási folyamatának az egyik művelete. Az hogy az e egy védett kulcs vagy nem, nem tudom, de ha valóban veszélyes egy fájl, akkor a Comodo szó nélkül karanténba teszi, nem kérdezget. Szóval szerintem engedheted neki.
Az előző bejegyzés végén írtam arról, hogy kb. miket kell eltávolítani a registryből, ezt csinálja ez a program, a Comodonak meg gyanús: http://csillagpor.hu/remek/42/webssearches-bongeszo-hijacker-szoftver-eltavolitasa
Ahogy már írtam, gyanús szimbiózisban él a WebsSearches és a YAC, de tényleg eltávolítja és én még nem hallottam olyanról (és nem is tapasztaltam), hogy ez utóbbi bármi kárt okozott volna.

Chill

Köszönöm az útbaigazítást! =)
Sikerült kivenni a honlapszűrést, és megnyitni a yac-ot. Le is töltöttem, viszont amikor telepíteni akartam, azt az üzenetet írta ki a comodo, hogy “az isafedownloader.exe nem beazonosítható és próbálja módosítani a ….. védett regisztrációs kulcsot”. …ez mit jelent?
Köszi

Zsolt

Ha a Tűzfal beállításainál a honlapszűrést kikapcsolod és OK, akkor működik, bár lehet, hogy előbb a böngésző előzményeit törölni kell, csak annyit amióta meg akartad nyitni. Nálam is Comodo Internet Security működik, és én is kipróbáltam, itt is blokkolta, majd kikapcsoltam egy kicsit a honlapszűrést, de még mindig a blokkolásos üzenet jött elő, ezután töröltem az utolsó óra előzményeit a Firefoxból és már ment.
Ha végeztél kapcsold vissza!

Sok sikert!

cis-fw-out

Chill

Sziasztok,

az explorer kezdőlapjáról a YAC nevű progi segítségével álltam neki az eltávolításhoz. Amikor rákattintottam a linkre, az jött ki, hogy az oldalt a Comodo firewall blokkolta. Tudnátok segíteni, hogy mit és hogyan állítsak át a Comodon, hogy meg tudjam nyitni az oldalt? …gondolom nem az egész tűzfalat célszerű kikapcsolni, nem túl sokat értek a dologhoz =) Köszönöm előre is!!
És a cikkek nagyon hasznosak meg inspirálóak voltak, örülök, h rájuk találtam, már 1 ideje szerettem volna kiszórni ezt a szemetet… :D

Zsolt

Köszönjük, hogy leírtad! Akkor +1 six74 megoldásának :)

Dodok

Sziasztok! Én is megkaptam és sehogy sem tudtam kiirtani a kis mocskot. Ekkor kezdtem el utána nézni valami segítségért. Six74 által leírt módon sikerült. Köszi.

Zsolt

Megnéztem a KMPlayert többször is, de nekem nem produkálta a webssearches fertőzést. Mindenesetre azért odaírtam, hogy elképzelhető… http://csillagpor.hu/remek/programok/kmplayer-letoltese

Zsolt

Rendben, köszi! Ki fogom próbálni!

six74

nem 100% de nekem nagyon úgy tűnik hogy a múltkor a “km player” média lejátszóval jött le a webssearches… további minden jót, sziasztok!

Zsolt

Szia! Köszi, hogy leírtad nekünk! Akkor tehát itt áll egy másfajta eltávolítási lehetőség is most már.

Minden jót!

six74

Sziasztok! Én is megkaptam a webssearches csomagot és nekem a malwerbytes anti-malware teljesen kiirtotta az összetevőket, viszont a kezdőlapom ugyan az maradt… ezt úgy oldottam meg hogy előbb töröltem a google chromot és újratelepítettem majd töröltem a windows internet explorert (mert annál is átvette az irányítást) és azt is újra raktam…azóta nincs hír róla…

Kérdezz, szólj hozzá!
Nem kötelező semmilyen adat megadása... a név azért hasznos.


Itt szólhatsz hozzá:

Kattints a fehér négyzetre a "Nem vagyok robot" szöveg előtt!
Majd ha nem vagy robot, elküldheted a hozzászólást!

Impresszum / Kapcsolat / Közösségi média | Adatvédelmi Nyilatkozat

2003 - 2017 : Csillagpor.hu / ReSpeedy.Berlin ... hogy neked jó legyen!