BrowserDefender + Delta Chrome Toolbar

[mortal]

Witam serdecznie.

 

Dawno nie zaglądałem do procesów systemowych w menedżerze urządzeń. Dziś to zrobiłem i znalazłem kwiatek - BrowserDefender.exe. Zajrzałem gdo Panelu sterowania i znalazłem dodatkowo Delte Chrome Toolbar.

Wiem, że to nieproszeni goście więc proszę uprzejmie w pomoc w pozbyciu się ich. W załączniku logi z OTL.

Extras.Txt

OTL.Txt

[picasso]

Dodatkowa uwaga: jakieś narzędzie resetowało jak szalone polityki i powstało mnóstwo niepotrzebnych kluczy. To już kolejny log, w którym widać to oraz Webroot. Czy w Webroot używałeś jakiejś funkcji tego rodzaju?

 

1. Zacznij od deinstalacji:

- Przez Panel sterowania odinstaluj Delta toolbar, Delta Chrome Toolbar.

- Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKU\S-1-5-21-1202660629-1897051121-682003330-1003\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=D89D001D7D07425E&affID=119357&tsp=4947
IE - HKU\S-1-5-21-1202660629-1897051121-682003330-1003\..\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}: "URL" = http://search.yahoo.com/search?fr=chr-panda&q={searchTerms}&ei=UTF-8&type=PCAFSI1208
FF - HKLM\Software\MozillaPlugins\@checkpoint.com/FFApi: C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\npFFApi.dll File not found
O3 - HKU\S-1-5-21-1202660629-1897051121-682003330-1003\..\Toolbar\WebBrowser: (no name) - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - No CLSID value found.
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoDispAppearancePage = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoDispBackgroundPage = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoDispSettingsPage = 0
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O35 - HKU\S-1-5-21-1202660629-1897051121-682003330-1003..exefile [open] -- "%1" %*
O37 - HKU\S-1-5-21-1202660629-1897051121-682003330-1003\...exe [@ = exefile] -- "%1" %*
SRV - File not found [Auto | Stopped] -- C:\Documents and Settings\All Users\Dane aplikacji\Skype\Toolbars\Skype C2C Service\c2c_service.exe -- (Skype C2C Service)
SRV - File not found [Auto | Stopped] -- C:\Program Files\Privacyware\Privatefirewall 7.0\pfsvc.exe -- (PFNet)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\pwipf6.sys -- (pwipf6)
[2013-07-18 19:36:00 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Admin\Dane aplikacji\BabSolution
[2013-07-18 19:35:07 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Admin\Dane aplikacji\Babylon
[2012-09-20 21:55:37 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Admin\Dane aplikacji\CheckPoint
[2013-07-18 19:35:10 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Babylon
[2013-07-18 19:35:08 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Babylon
[2012-09-20 21:53:32 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\CheckPoint
[2013-01-07 17:55:08 | 000,000,000 | ---D | M] -- C:\Documents and Settings\LocalService\Dane aplikacji\GeekBuddyRSP
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies]
[-HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies]
[-HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies]
[-HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"HonorAutoRunSetting"=dword:00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoLowDiskSpaceChecks"=dword:00000001
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

3. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[mortal]

Dziękuję za odzew.

Odpowiadając na Twoje pytanie - nigdy nie używałem w Webroocie żadnego tego typu funkcji.

Delte Chrome Toolbar odinstalowałem przez Panel sterowania. Delte Toolbar za pomocą Revo Uninstaller, ponieważ nie dało się tego zrobić przez Panel sterowania ( po kliknięciu na Usuń nic się nie działo ). Za pomocą Revo Uninstaller usunąlem też wszystkie wpisy jakie w/w program zalecił.

 

Uruchomiłem skrypt. 

Uruchomiłem AdwCleaner.

Uruchomiłem OTL.

 

Poniżej zamieszczam log wyświetlowny po wykonaniu skryptu ( nie mogłem dodać go jako załącznik ). Pozostałe logi w załączniku.

 

 

All processes killed

========== OTL ==========

Registry key HKEY_USERS\S-1-5-21-1202660629-1897051121-682003330-1003\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}\ not found.

Registry key HKEY_USERS\S-1-5-21-1202660629-1897051121-682003330-1003\Software\Microsoft\Internet Explorer\SearchScopes\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3BD44F0E-0596-4008-AEE0-45D47E3A8F0E}\ not found.

Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@checkpoint.com/FFApi\ deleted successfully.

Registry value HKEY_USERS\S-1-5-21-1202660629-1897051121-682003330-1003\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107}\ not found.

Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\KernelFaultCheck deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\NoDispAppearancePage deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\NoDispBackgroundPage deleted successfully.

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\NoDispSettingsPage deleted successfully.

Starting removal of ActiveX control {E2883E8F-472F-4FB0-9522-AC9BF37916A7}

C:\WINDOWS\Downloaded Program Files\gp.inf not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.

Registry value HKEY_USERS\S-1-5-21-1202660629-1897051121-682003330-1003_Classes\exefile\shell\open\command\\'' updated successfully.

Registry key HKEY_USERS\S-1-5-21-1202660629-1897051121-682003330-1003_Classes\.exe\ deleted successfully.

Registry key HKEY_USERS\S-1-5-21-1202660629-1897051121-682003330-1003_Classes\exefile\ deleted successfully.

HKEY_LOCAL_MACHINE\Software\Classes\.exe\\|exefile /E : value set successfully!

Service Skype C2C Service stopped successfully!

Service Skype C2C Service deleted successfully!

File C:\Documents and Settings\All Users\Dane aplikacji\Skype\Toolbars\Skype C2C Service\c2c_service.exe not found.

Service PFNet stopped successfully!

Service PFNet deleted successfully!

File C:\Program Files\Privacyware\Privatefirewall 7.0\pfsvc.exe not found.

Service pwipf6 stopped successfully!

Service pwipf6 deleted successfully!

File system32\DRIVERS\pwipf6.sys not found.

Folder C:\Documents and Settings\Admin\Dane aplikacji\BabSolution\ not found.

C:\Documents and Settings\Admin\Dane aplikacji\Babylon folder moved successfully.

C:\Documents and Settings\Admin\Dane aplikacji\CheckPoint\ZoneAlarm LTD Toolbar\TrustChecker folder moved successfully.

C:\Documents and Settings\Admin\Dane aplikacji\CheckPoint\ZoneAlarm LTD Toolbar\PTPCACHE folder moved successfully.

C:\Documents and Settings\Admin\Dane aplikacji\CheckPoint\ZoneAlarm LTD Toolbar folder moved successfully.

C:\Documents and Settings\Admin\Dane aplikacji\CheckPoint folder moved successfully.

C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Babylon folder moved successfully.

C:\Documents and Settings\All Users\Dane aplikacji\Babylon folder moved successfully.

C:\Documents and Settings\All Users\Dane aplikacji\CheckPoint\ZoneAlarm\Data folder moved successfully.

C:\Documents and Settings\All Users\Dane aplikacji\CheckPoint\ZoneAlarm folder moved successfully.

C:\Documents and Settings\All Users\Dane aplikacji\CheckPoint folder moved successfully.

C:\Documents and Settings\LocalService\Dane aplikacji\GeekBuddyRSP folder moved successfully.

========== REGISTRY ==========

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\\"Start Page"|"about:blank" /E : value set successfully!

Registry key HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ deleted successfully.

Registry key HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ deleted successfully.

Registry key HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ deleted successfully.

Registry key HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\ deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\"HonorAutoRunSetting"|dword:00000001 /E : value set successfully!

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\\"NoLowDiskSpaceChecks"|dword:00000001 /E : value set successfully!

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: Admin

->Temp folder emptied: 621782103 bytes

->Temporary Internet Files folder emptied: 74832803 bytes

->Java cache emptied: 0 bytes

->FireFox cache emptied: 392051225 bytes

->Opera cache emptied: 23340722 bytes

->Flash cache emptied: 53726646 bytes

 

User: All Users

AdwCleanerS1.txt

[picasso]

No tak, ale dałeś mi nie ten log główny co należy, czyli Extras (usuwam), a miało być dokładnie na odwrót:

 

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

A co do:

 

Poniżej zamieszczam log wyświetlowny po wykonaniu skryptu ( nie mogłem dodać go jako załącznik ).

Objaśnia to Pomoc forum (link na spodzie). W Załącznikach można dodawać tylko format *.TXT, a to jest *.LOG. Na przyszłość: albo ręczna zmiana nazwy pliku (przy wyłączonej opcji Ukrywaj rozszerzenia znanych typów plików), albo zapis do nowego pliku *,TXT.

 

 

 

.

[mortal]

Przepraszam za błąd. W załączniku jest już właściwy log.

 

No tak, ale dałeś mi nie ten log główny co należy, czyli Extras, a miało być dokładnie na odwrót:

OTL.Txt

[picasso]

Wszystko zrobione. Kroki końcowe:

 

1. Drobna poprawka. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
O3 - HKLM\..\Toolbar: (no name) - {82E1477C-B154-48D3-9891-33D83C26BCD3} - No CLSID value found.
O35 - HKU\S-1-5-19..exefile [open] -- "%1" %*
O35 - HKU\S-1-5-20..exefile [open] -- "%1" %*
O37 - HKU\S-1-5-18\...exe [@ = exefile] -- "%1" %*
O37 - HKU\S-1-5-19\...exe [@ = exefile] -- "%1" %*
O37 - HKU\S-1-5-20\...exe [@ = exefile] -- "%1" %*
[2013-01-07 17:58:21 | 000,405,585 | ---- | C] () -- C:\WINDOWS\System32\drivers\sfi.dat
[2013-05-12 08:22:07 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software
[2012-12-29 20:50:28 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\MFAData
[2012-11-17 14:58:02 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Dane aplikacji\Privacyware

 

Klik w Wykonaj skrypt. Tym razem nie będzie restartu.

 

2. Porządki po narzędziach: przez SHIF+DEL skasuj z dysku folder Stare dane programu Firefox, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Usuń starą Java 6 oraz zaktualizuj Silverlight: KLIK. Wersje widziane w systemie:

 

========== HKEY_LOCAL_MACHINE Uninstall List ==========
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"{26A24AE4-039D-4CA4-87B4-2F83216037FF}" = Java™ 6 Update 37

"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight
 

FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll ( Microsoft Corporation)

 

 

.

[mortal]

Wszystkie kroki wykonałem zgodnie z Twoim poleceniem. Po wykonaniu skryptu OTL wygenerował log który zamieściłem w załączniku. Reszta usunięta, odinstalowana i zaktualizowana.

07212013_092418.txt

[picasso]

Skrypt pomyślnie wykonany. Temat rozwiąany. Zamykam.