Arkathor Opublikowano 12 Września 2013 Zgłoś Udostępnij Opublikowano 12 Września 2013 Dzien Dobry Ostatnio kupilem, zainstalowalem i odpalilem gre Guardians of Middle-Earth (gra wykorzystuje system Peer-to-Peer, wiec musialem odblokowac Peer-to-Peer w Windows Firewall). Efekt byl taki ze po pograniu troche Avira wychwycila mi kilka wirusow (wtedy nie skojarzylem jeszcze ze to przez ta gre). Sytuacja powtorzyla sie kilka razy i w koncu znowu zablokowalem to p2p w Windows Firewall. Kolega polecil mi abym wykonal skany i wrzucil tu aby sprawdzic czy antywirus wszystko usunal. W zalacznikach skany a tu screen z kwarantanny Avira: http://img580.imageshack.us/img580/2157/rnk8.png Pozdrawiam P.S. Przepraszam za brak polskich znakow ale mieszkam w Niemczech i nie mam ich na klawiaturze. Addition.txt Extras.Txt FRST.txt GMER.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 12 Września 2013 Zgłoś Udostępnij Opublikowano 12 Września 2013 Ale ze skanów Avira wynika całkiem inna sprawa nie związana z grą, infekcja na życzenie, czyli adware BrowserDefender i kilka innych. To nie wlatuje z powietrza, to jest wynik nieuważnego pobierania programów z portali. Czyli jedno z tych: - Zamiast ze strony producenta, pobrano program z portalu pośredniego, a portal ten stosuje tzw. "download wrapper" a nie link bezpośredni do instalatora, którego celem jest wpakować śmietnisko sponsorowane w system. Przykładowy portal: dobreprogramy.pl i "Asystent pobierania" szmuglujący przedziadostwa (BrowserDefender + Delta Toolbar + BabSolution). Ale BrowserDefender może być też pochodną innych portali. - Na portalu bądź stronie producenta były reklamy odwracające uwagę i wyróżniony duży (niewłaściwy) przycisk "Download", którego uruchomienie pobiera nie to co należy. - Wreszcie, pobrany program właściwy, który w instalatorze ma sponsorów, niestety nie odznaczono instalacji śmieci (zwykle ukryte w dialogu "Zaawansowanym") lub instalator na chama nie udostępnia nawet takiej opcji. I Twój system wymaga dalszego czyszczenia. Śmieci adware większa ilość. Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj adware: Auto Lyrics, BrowserCompanion, BrowserDefender, BrowseToSave 1.74, Bundled software uninstaller, DealPly (dwie pozycje), Delta toolbar, Desktop Icon für Amazon, EasyLife Gadget, EasyLife Search 1.74, OptimizerPro, PricePeep, SearchAnonymizer, SoftwareUpdater. Dodatkowo podejrzane obiekty ph, bl. 2. Wyczyść przeglądarki: - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Reset nie naruszy zakładek i haseł. - Google Chrome: ma uszkodzone preferencje. Zrób kilka akcji: Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie włącz. Ustawienia > karta Ustawienia > Po uruchomieniu > usuń strony tam otwierane, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i wymaż URL stamtąd Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > na liście poprzestawiaj kilka razy domyślną wyszukiwarkę, tak by Google ostatecznie było domyślną, po tym skasuj z listy dodane śmieci. Ustawienia > karta Historia > wyczyść 3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy skan FRST (zaznacz, by powstał ponownie Addition). Dołącz log z AdwCleaner. . Odnośnik do komentarza
Arkathor Opublikowano 12 Września 2013 Autor Zgłoś Udostępnij Opublikowano 12 Września 2013 1. Wszystko pousuwalem przy czym przy niektorych programach nie pojawilo sie zadne okienko tylko po prostu zniknely z listy po kliknieciu na deinstaluj. 2. Wszystko zrobilem zgodnie z instrukcjami, bez komplikacji. 3. Raporty w zalacznikach 4. Getting user folders. Stopping running processes. Emptying Temp folders. User: All Users User: Default ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 57616 bytes User: Default User ->Temp folder emptied: 0 bytes ->Temporary Internet Files folder emptied: 0 bytes ->Flash cache emptied: 0 bytes User: Public User: Siedlecki User: Siedlecki Kacper ->Temp folder emptied: 1735247103 bytes ->Temporary Internet Files folder emptied: 452962067 bytes ->Java cache emptied: 2651251 bytes ->FireFox cache emptied: 30436889 bytes ->Google Chrome cache emptied: 24050193 bytes ->Flash cache emptied: 145842 bytes %systemdrive% .tmp files removed: 0 bytes %systemroot% .tmp files removed: 0 bytes %systemroot%\System32 .tmp files removed: 0 bytes %systemroot%\System32 (64bit) .tmp files removed: 0 bytes %systemroot%\System32\drivers .tmp files removed: 0 bytes Windows Temp folder emptied: 131525000 bytes %systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33298 bytes %systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 753 bytes %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 42304047 bytes Emptying RecycleBin. Do not interrupt. RecycleBin emptied: 0 bytes Process complete! Total Files Cleaned = 2.307,00 mb 5. raporty w zalacznikach AdwCleanerR0.txt AdwCleanerR1.txt AdwCleanerS0.txt AdwCleanerS1.txt Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 12 Września 2013 Zgłoś Udostępnij Opublikowano 12 Września 2013 Wymagane poprawki: 1. Nadal widzę na liście zainstalowanych pozycje bl, ph. 2. Otwórz Notatnik i wklej w nim: R2 InfEefaultInstall; C:\Windows\system32\mmci32.exe [117760 2013-07-09] () Task: {8913F2DB-01FB-4112-875C-36F6AC3576F3} - System32\Tasks\Express FilesUpdate => C:\Program Files (x86)\ExpressFiles\EFUpdater.exe Task: {8A7346E7-097E-4D85-92F5-23499472043D} - \EPUpdater No Task File Task: {8C4269BD-A0FE-466B-8DFF-110D328A93B2} - \BrowserDefendert No Task File Task: {8DD1357D-AC97-43AC-BAFC-220057E1EF5C} - \DealPly No Task File Task: {A1DCE046-07E7-43CF-9638-92A06C27672A} - \DealPlyUpdate No Task File Task: {F4F90FBD-D2F4-4B0E-8AB8-5D848148F47F} - System32\Tasks\schedule!3036567561 => C:\ProgramData\BetterSoft\OptimizerPro\OptimizerPro.exe Task: C:\Windows\Tasks\schedule!3036567561.job => C:\ProgramData\BetterSoft\OptimizerPro\OptimizerPro.exe AlternateDataStreams: C:\Users\Siedlecki Kacper\Lokale Einstellungen:D2qduYBngL27GtFqII4oxtMs AlternateDataStreams: C:\Users\Siedlecki Kacper\AppData\Local:D2qduYBngL27GtFqII4oxtMs AlternateDataStreams: C:\Users\Siedlecki Kacper\AppData\Local\Anwendungsdaten:D2qduYBngL27GtFqII4oxtMs AlternateDataStreams: C:\Users\Siedlecki Kacper\AppData\Local\h7ZfgQBNt:Cw2PfIidzjDrDv3Vjg AlternateDataStreams: C:\Users\Siedlecki Kacper\AppData\Local\Temporary Internet Files:HgFHLN8Qlqjff78vU3bv4tW9V C:\Windows\system32\mmci32.exe C:\Users\Siedlecki\HRUPPROG.TXT C:\Program Files (x86)\ExpressFiles C:\Program Files (x86)\Uniblue C:\ProgramData\BetterSoft C:\ProgramData\InstallMate HKLM\...\Run: [] - [x] HKCU\...\Run: [AdobeBridge] - [x] HKCU\...\Policies\Explorer: [NoDriveTypeAutoRun] 0x00000000 HKLM-x32\...\Run: [] - [x] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [x] Reg: reg add "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {0633EE93-D776-472f-A0FF-E1416B8B2E3A} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. . Odnośnik do komentarza
Arkathor Opublikowano 12 Września 2013 Autor Zgłoś Udostępnij Opublikowano 12 Września 2013 1. Programow nie bylo na liscie mozliwych do deinstalacji : http://img34.imageshack.us/img34/7241/x5w.png 2 i 3. pliki w zalacznikach Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 12 Września 2013 Zgłoś Udostępnij Opublikowano 12 Września 2013 Zadania wykonane. Programow nie bylo na liscie mozliwych do deinstalacji Sprawdź czy pozycje bl i ph widzi to narzędzie: KLIK. Wybierz tryb nieautomatyczny, co doprowadzi do pokazania listy deinstalacji. . Odnośnik do komentarza
Arkathor Opublikowano 12 Września 2013 Autor Zgłoś Udostępnij Opublikowano 12 Września 2013 Dziekuje za pomoc, 2 ostatnie programy rowniez zostaly usuniete za pomoca tego narzedzia. Odnośnik do komentarza
picasso Opublikowano 12 Września 2013 Zgłoś Udostępnij Opublikowano 12 Września 2013 Na zakończenie: 1. Przez SHIFT+DEL skasuj folder: C:\FRST C:\MATS W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj produkty Adobe, Java i Firefox: KLIK. Wersje widziane u Ciebie jako zainstalowane: ==================== Installed Programs ======================= Adobe Flash Player 11 ActiveX (x32 Version: 11.7.700.224) ----> wtyczka dla IE Adobe Flash Player 11 Plugin (x32 Version: 11.8.800.94) ----> wtyczka dla Firefox Adobe Reader X (10.1.5) MUI (x32 Version: 10.1.5) Java 7 Update 25 (x32 Version: 7.0.250) Java 6 Update 27 (64-bit) (Version: 6.0.270) Mozilla Firefox 22.0 (x86 de) (x32 Version: 22.0) . Odnośnik do komentarza
Arkathor Opublikowano 12 Września 2013 Autor Zgłoś Udostępnij Opublikowano 12 Września 2013 ok, dziekuje za pomoc. Odnośnik do komentarza
Rekomendowane odpowiedzi