BrowserDefender po skasowaniu jeszcze siedzi w systemie?

[Jess]

Witam.

Na poczatku sierpnia czyscilem komputer ze zbednych mi programow przy czym zauwazylem tam takie cos jak BrowserDefender oraz Delta toolbar. Odinstalowalem browserdefender i delte recznie po czym przeskanowalem komputer Avira Free Antivirus. Program wykryl ze BrowserDefender nadal siedzi w komputerze i zarazil takze Firefoxa. Zaczelem dzialac na wlasna reke, odinstalowalem firefoxa, przeskanowalem System adwcleaner wykryl Browsera i go ,,niby,, usunal pisze niby poniewaz usunal pliki z folderow i rejestru ale w karcie Firefox znalazlo mi 2 pliczki o nazwie:

###C\Users\Jess\AppData\Roaming\Mozilla\Firefox\Profiles\56j929n9.\prefs.js ###

###C\...\uoq31s55.default-1379020668571\prefs.js #### zdefault,

ponownie przeskanowalem system antywirusem i browser dalej sie pokazywal. Sprobowalem pogrzebac w rejestrze, komenda regedit i zaczalem usuwac wszystko co znalazlem pod nazwa browserdefender. Po wykonaniu tego kroku ponownie przeskanowalem komputer avira free av i znalazlo to ponownie ale tym razem mniej 2 pliki, przy wczesniejszym skanowaniu wyszlo ich 12. Zrobilem takze ponowny skan adwcleanerem i dalej wykrywa mi te 2 pliki. Wiem ze on jeszcze tam jest poniewaz Internet nie dziala tak samo jak przedtem tzn. spowolnienia i avira pokazuje ze jest browserdefender jak chce posurfowac po internecie. Prosze bardzo o pomoc nie wiem juz jak sie pozbyc tego cholerstwa. Dziekuje za poswiecony czasi oraz checi.

 

Z gory przepraszam ze pisze bez polskich znakow, poniewaz uzytkuje na niemieckim komputerze i w ogole nie wiem jak robic tu polskie znaki?

 

Zalaczam pliki:

[picasso]

Na poczatku sierpnia czyscilem komputer ze zbednych mi programow przy czym zauwazylem tam takie cos jak BrowserDefender oraz Delta toolbar.

Jednym ze źródeł nabycia są portale z oprogramowaniem stosujące "download wrapper" (a nie link bezpośredni do pobierania aplikacji). M.in. portal dobreprogramy.pl i jego "Asystent pobierania" instaluje BowserDefender + Delta Toolbar.

 

 

System adwcleaner wykryl Browsera i go ,,niby,, usunal pisze niby poniewaz usunal pliki z folderow i rejestru ale w karcie Firefox znalazlo mi 2 pliczki o nazwie:

 

###C\Users\Jess\AppData\Roaming\Mozilla\Firefox\Profiles\56j929n9.\prefs.js ###

 

###C\...\uoq31s55.default-1379020668571\prefs.js #### zdefault,

 

ponownie przeskanowalem system antywirusem i browser dalej sie pokazywal.

 

 

(...)

 

Zrobilem takze ponowny skan adwcleanerem i dalej wykrywa mi te 2 pliki.

Ale zaraz. Te dwa pliki prefs.js jako takie są w porządku. To są pliki konfiguracji Firefox! One zawsze będą pokazane w skanie, jeśli jest zainstalowany Firefox lub na dysku po deinstalacji został jego profil, nawet jeśli nie jest on zaśmiecony. Cytuję z innego tematu:

 

AdwCleaner zawsze pokazuje takie ścieżki w logu (a gdy jest Opera, to jeszcze plik Opera):

 

[ File : C:\Users\Konto\AppData\Local\Google\Chrome\User Data\Default\preferences ]

[ File : C:\Users\Konto\AppData\Roaming\Mozilla\Firefox\Profiles\losowe.default\prefs.js ]

 

To jest informacja który plik preferencji (w jakim profilu użytkownika) otwiera do skanu. Jeśli nic złego program nie wykrył, pod tymi ścieżkami nie ma żadnych detekcji. A jeśli coś wykryje w preferencjach, pod spodem jest podane co:

 

[ File : C:\Users\dom\AppData\Roaming\Mozilla\Firefox\Profiles\bh04e4nn.default\prefs.js ]

 

Line Deleted : user_pref("browser.search.defaultenginename", "delta-homes");

 

[ File : C:\Users\dom\AppData\Local\Google\Chrome\User Data\Default\preferences ]

 

Deleted : homepage

Wg Twoich logów Firefox nie jest zainstalowany, więc możesz usunąć cały folder profilu Firefox. Konkretnie te trzy foldery na ubój:

 

C:\Users\Jessy\AppData\Roaming\Mozilla

C:\Users\Jessy\AppData\Local\Mozilla

C:\ProgramData\Mozilla

 

Dodatkowo, wraz z uruchomienie AdwCleaner wpuściłeś w system Hosts_Anti_Adwares_PUPs, który ma w zamiarze modyfikować plik HOSTS (blokady serwerów adware), ale modyfikacja ta może przynieść niekorzystne skutki uboczne. Duży plik HOSTS może zamulić system i sieć, przykład z forum: KLIK. Wprawdzie u Ciebie nie widać modyfikacji HOSTS jeszcze, ale program jest w systemie i może prędzej czy później plik zmodyfikować. Usuń go. Deinstalator powinien być w folderze C:\Program Files (x86)\Hosts_Anti_Adwares_PUPs.

 

 

Po wykonaniu tego kroku ponownie przeskanowalem komputer avira free av i znalazlo to ponownie ale tym razem mniej 2 pliki, przy wczesniejszym skanowaniu wyszlo ich 12.

Pokaż mi co widzi Avira, kokrety w postaci ścieżki dostępu.

 

 

Wiem ze on jeszcze tam jest poniewaz Internet nie dziala tak samo jak przedtem tzn. spowolnienia i avira pokazuje ze jest browserdefender jak chce posurfowac po internecie.

Nie, nie ma go w postaci czynnej, żadnych wpisów startowych. BrowserDefender nie może być tu przyczyną usterek, już usunięty w stopniu dostatecznym, jedynie pusty szczątek w Harmonogramie zadań został (poniżej usuwam skryptem FRST), ale ten szczątek nie ma żadnego wpływu na czynności systemowe. Są za to inni podejrzani dla spowolnienia sieci:

 

1. Adware iSafe (zalecam poniżej deinstalację), które jak widzę używa sterownik sieciowy:

 

R1 iSafeNetFilter; C:\Program Files (x86)\iSafe\iSafeNetFilter.sys [44400 2013-09-12] (NetFilterSDK.com)

 

2. Ewenualnie Avira i jej modyfikacje w Winsock sieciowym (składnik osłony Web). Program filtruje ruch sieciowy:

 

 

 

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000001 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG)

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000002 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG)

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000003 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG)

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000004 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG)

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000005 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG)

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000006 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG)

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000007 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG)

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000008 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG)

O10:64bit: - Protocol_Catalog9\Catalog_Entries64\000000000020 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda64.dll (Avira Operations GmbH & Co. KG)

O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)

O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)

O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)

O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)

O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)

O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)

O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)

O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)

O10 - Protocol_Catalog9\Catalog_Entries\000000000020 - C:\Program Files (x86)\Avira\AntiVir Desktop\avsda.dll (Avira Operations GmbH & Co. KG)

 

 

 

Notabene: komputer ma zainstalowane adware Avira. Niestety aktywacja funkcji Web wymaga zgody na instalację "Avira SearchFree Toolbar plus Web Protection", co jest zamaskowanym sponsorem Ask Toolbar. Adware nie może zostać usunięte, jeśli Avira ma utrzymać tę funkcjonalność.

 

 

---

Analizując raporty: do usunięcia odpadki adware. Akcja:

 

1. Przez Panel sterowania odinstaluj adware iSafe.

 

2. Otwórz Notatnik i wklej w nim:

 

Task: {0AF65B14-82D0-4ADD-802B-97945BA6A93F} - \BrowserDefendert No Task File
URLSearchHook: ATTENTION ==> Default URLSearchHook is missing.
URLSearchHook: (No Name) - {D8278076-BC68-4484-9233-6E7F1628B56C} - No File
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - {B53704D7-9240-40FD-AA0D-B2FD8C608FF0} URL =
BHO-x32: No Name - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - No File
BHO-x32: No Name - {9030D464-4C02-4ABF-8ECC-5164760863C6} - No File
BHO-x32: No Name - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - No File
BHO-x32: No Name - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No File
Toolbar: HKLM-x32 - No Name - {8dcb7100-df86-4384-8842-8fa844297b3f} - No File
S3 esgiguard; No ImagePath
C:\Users\Jessy\Downloads\iSafedl.exe
C:\Users\Jessy\AppData\Roaming\iSafe
C:\Users\Jessy\AppData\Roaming\eCyber
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\iSafe
C:\Program Files (x86)\iSafe
C:\Users\Public\Desktop\iSafe.lnk
C:\Program Files (x86)\LyricsSeeker
C:\ProgramData\DSearchLink
C:\Windows\SysWOW64\shoE205.tmp
C:\Windows\SysWOW64\Extensions
C:\Windows\86CA3695A4124BAE92B649A60C2AC663.TMP
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

3. Podawałam już, że do przeprowadzenia też usunięcie szczątków Mozilla i Hosts_Anti_Adwares_PUPs.

 

4. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.

 

 

 

.

[Jess]

Dziekuje sliczne za odpowiedz.

 

Zrobione wedlug instrukcji:

- usunelem szczatki firefoxa

- iSafe odinstalowany

- plik fixlist.txt utworzony i zaaplikowany

- skan FRST utworzony

 

     Niestety nie udalo mi sie usunac  Hosts_Anti_Adwares_PUPs , dotarlem do deinstalatora ale wyskoczyl komunikat i tu przepraszam bo po niemiecku :/ ale z tego co staralem sie wywnioskowac ( slowa: Systemsterrung i Standardprogramme).. Doszukalem sie tego, ale tam rowniez nie bylo dezinstalatora a w panelu sterowania w Programme nie wyswietla Hosts_Anti_Adwares_PUPs wiec prosze o podpowiedz jak sie go pozbyc inna metoda.

     Po tych wszystkich czynnosciach restart komputera i ponowne skanowanie avira antivirus ktora nie wykryla juz niczego. Skan zrobiony kompletny na ustawnieniach high i heuristic high. Po wejsciu w Internet nie wyskakuje juz raport o BrowserDefender. Prosze rowniez o podpowiedz czy da rade wylaczyc Ask Toolbar i czy adwareavira jest az tak potrzebne czy moge chronic komputer sama avira bez tej funkcji.

 

Zalaczniki:

[picasso]

Akcje wykonane poprawnie. Nie sprecyzowałeś czy po usunięciu iSafe poprawiła się funkcjonalność internetowa.

 

 

Niestety nie udalo mi sie usunac Hosts_Anti_Adwares_PUPs , dotarlem do deinstalatora ale wyskoczyl komunikat i tu przepraszam bo po niemiecku :/ ale z tego co staralem sie wywnioskowac ( slowa: Systemsterrung i Standardprogramme).. Doszukalem sie tego, ale tam rowniez nie bylo dezinstalatora a w panelu sterowania w Programme nie wyswietla Hosts_Anti_Adwares_PUPs wiec prosze o podpowiedz jak sie go pozbyc inna metoda.

Chyba jednak deinstalacja się wykonała. Poprzednio w logu była widziana usługa programu:

 

S4 HOSTS Anti-PUPs; C:\Program Files (x86)\Hosts_Anti_Adwares_PUPs\HOSTS_Anti-Adware.exe [285795 2013-09-12] ()

 

Teraz już nie jest wykryta. Czyli przez SHIFT+DEL dokasuj folder C:\Program Files (x86)\Hosts_Anti_Adwares_PUPs. Przy okazji, ten folder to chyba jakiś odpadek (i możliwe, że to adware): C:\Program Files (x86)\FLVPlayer.

 

 

Prosze rowniez o podpowiedz czy da rade wylaczyc Ask Toolbar i czy adwareavira jest az tak potrzebne czy moge chronic komputer sama avira bez tej funkcji.

Osłona Web jest potrzebna, by była zapewniona podstawowa reakcja na próbę instalacji malware przy otwieraniu strony, tzn. zapobiegnięcie instalacji infekcji. I tu nie chodzi tylko o strony jawnie podejrzane, ale także o strony prawidłowe, które nie budzą żadnych podejrzeń, a zostały shackowane / zainfekowane (wklejone ukryte iframe w kodzie).

Niestety, w przypadku Avira warunkiem używania tej funkcji jest pasek Ask i musi on pozostać. Są wprawdzie chyba jakieś sztuczki oszukujące program, ale to nie jest legalne (złamanie licencji programu). Ja tu raczej sugeruję wymianę antywirusa, gdyż Avira w darmowej postaci nie jest zbyt posażna. Proponuję darmowy Avast, m.in. osłona Web i kilka innych rzeczy nieobecnych w Avirze, a program nie wymusza adware jako warunku korzystania z określonych funkcji.

 

 

 

.

[Jess]

Po usunieciu iSafe oraz wykonaniu wszystkich krokow przez Ciebie podanych wszystko dziala o niebo lepiej.

 

HOSTSA i jego szczatki usunelem recznie. Przerzucam sie na avasta.

 

Pytanie czy wszystko juz ok? W razie czego zalaczam log FRST.

 

Moge tylko powiedziec jedno, jestes niesamowita. Dzieki wielkie za poswiecony czas i pomoc.

 

 

Zalacznik:

[picasso]

Możemy kończyć:

 

1. Na liście zainstalowanych jest starsza wersja Adobe Reader X MUI. Jeśli nie widać tego do deinstalacji w Panelu sterowania, skorzystaj z tego narzędzia do usunięcia wpisu: KLIK.

 

2. Porządki po narzędziach: przez SHIFT+DEL skasuj folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Uruchom TFC - Temp Cleaner.

 

4. Wyczyść foldery Przywracania systemu: KLIK.

 

 

 

.

[Jess]

Juz sie za to zabieram

Edytowane 14 Września 2013 przez picasso
Temat uznaję za zakończony. Zamykam. //picasso