PUP.Optional

[aoeseo]

Witam.

 

Malwarebytes Anti-Malware Wykrył mi PUP.Optional różne rodzaje. Ogólnie około 110 zainfekowanych. Proszę o pomoc

 

Results of screen317's Security Check version 0.99.79

Windows 7 Service Pack 1 x64 (UAC is enabled)

Internet Explorer 11

``````````````Antivirus/Firewall Check:``````````````

avast! Antivirus

Antivirus up to date!

`````````Anti-malware/Other Utilities Check:`````````

Java 7 Update 51

Adobe Flash Player 12.0.0.44 Flash Player out of Date!

Adobe Reader XI

Google Chrome 32.0.1700.102

Google Chrome 32.0.1700.107

Google Chrome plugins...

````````Process Check: objlist.exe by Laurent````````

Internet w Cyfrowym Polsacie OnlineUpdate ouc.exe

AVAST Software Avast AvastSvc.exe

AVAST Software Avast AvastUI.exe

`````````````````System Health check`````````````````

Total Fragmentation on Drive C:

````````````````````End of Log``````````````````````

OTL.Txt

Extras.Txt

Addition.txt

FRST.txt

gmer.txt

MBAM-log-2014-02-18 (00-45-31).txt

[picasso]

Post innego użytkownika niezgodny z regulaminem zostaje usunięty.

 

aoeseo, w ogóle nie dostarczyłeś raportu z MBAM (dodaj), to skąd mogę wiedzieć co dokładnie wykrył. Tu się jedynie można domyślać jakie adware patrząc w raporty. Raporty ponadto sugerują, że to nie była poprawna metoda usuwania (najpierw się deinstaluje adware).I nadal jest tu co czyścić z adware:

 

1. Otwórz Notatnik i wklej w nim:

 

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1388676203&from=wpm0102&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2EH59451994519&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2EH59451994519&ts=1380577515
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2EH59451994519&ts=1380577515
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1388676203&from=wpm0102&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2EH59451994519&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.delta-homes.com/web/?type=ds&ts=1388676203&from=wpm0102&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2EH59451994519&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://search.delta-homes.com/web/?type=ds&ts=1388676203&from=wpm0102&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2EH59451994519&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE http://www.delta-homes.com/?type=sc&ts=1388676203&from=wpm0102&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2EH59451994519
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1388676203&from=wpm0102&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2EH59451994519&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1388676203&from=wpm0102&uid=WDCXWD5000AAKX-00ERMA0_WD-WCC2EH59451994519&q={searchTerms}
SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=B21E001E101F1ED9&affID=119828&tt=080913_nch&tsp=4999
SearchScopes: HKCU - {3E19EFB9-0C34-4FC0-B477-CDBB03D26022} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=C5A91EB5-70A1-4946-9DA5-01B1242D0757&apn_sauid=FADFCD84-FAC8-4B2C-9133-4D8F7950CE93
CHR HKCU\...\Chrome\Extension: [ejpbbhjlbipncjklfjjaedaieimbmdda] - C:\Users\Aoeseo\AppData\Local\CRE\ejpbbhjlbipncjklfjjaedaieimbmdda.crx [2013-09-26]
CHR HKLM-x32\...\Chrome\Extension: [ejpbbhjlbipncjklfjjaedaieimbmdda] - C:\Users\Aoeseo\AppData\Local\CRE\ejpbbhjlbipncjklfjjaedaieimbmdda.crx [2013-09-26]
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
Task: {4962F270-05AB-4049-90A8-24C99CDEB5EE} - System32\Tasks\BonanzaDealsUpdate => C:\Program
Task: {4D3E6C6D-00A3-4E4F-A2CD-FD164BF0501C} - System32\Tasks\{0F987157-8651-4605-81C8-42EB1CC79EC6} => F:\Setup.exe
Task: {5F9824C8-6AA5-40D9-AD7C-779C6846142F} - System32\Tasks\{72357A7F-8E3A-4323-8A4A-F7B7CC523428} => F:\Setup.exe
Task: {DD18E098-5F07-43C2-A84E-D573315647E2} - System32\Tasks\BrowserDefendert => Sc.exe start BrowserDefendert
S2 BrowserDefendert; C:\ProgramData\BrowserDefender\2.6.1562.221\{c16c1ccb-1111-4e5c-a2f3-533ad2fec8e8}\BrowserDefender.exe [X]
S2 AODDriver4.2; \??\C:\Program Files (x86)\GIGABYTE\ET6\amd64\AODDriver2.sys [X]
S3 DUMeterDrv; \??\C:\Program Files (x86)\DU Meter\DUMETR64.SYS [X]
S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X]
S3 massfilter_lte; \??\C:\Windows\system32\drivers\massfilter_lte.sys [X]
S3 zgdcat; system32\DRIVERS\zgdcat.sys [X]
S3 zgdcdiag; system32\DRIVERS\zgdcdiag.sys [X]
S3 zgdcmdm; system32\DRIVERS\zgdcmdm.sys [X]
S3 zgdcnet; system32\DRIVERS\zgdcnet.sys [X]
S3 zgdcnmea; system32\DRIVERS\zgdcnmea.sys [X]
C:\ProgramData\eSafe
C:\ProgramData\WPM
C:\Users\Aoeseo\AppData\Local\CRE
C:\Users\Aoeseo\AppData\Roaming\desktop.ini
C:\Users\Aoeseo\AppData\Roaming\Mozilla
C:\Program Files (x86)\Mozilla Firefox
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f
CMD: sc config "Internet w Cyfrowym Polsacie. RunOuc" start= demand

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware Internet Explorer Toolbar 4.6 by SweetPacks, SweetIM for Messenger 3.7, SweetPacks bundle uninstaller oraz McAfee Security Scan Plus (to zapewne także była instalacja sponsorowana).

 

3. Wyczyść Google Chrome z adware:

• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy delta-homes i niedomyślne śmieci (o ile będą).
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

5. Uruchom TFC - Temp Cleaner.

 

6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

 

.

[aoeseo]

Wszystko zrobione. Nie mogłem ręcznie usunąć tych programów ale widocznie zrobił to pózniej za mnie TFC. Mam pytanie MBAM ma w kwarantannie ponad 320 plików usunąć całość ? 

AdwCleanerS0.txt

Fixlog.txt

FRST.txt

[picasso]

Mam pytanie MBAM ma w kwarantannie ponad 320 plików usunąć całość ?

Tak, to martwa sfera. Zadania zostały poprawnie wykonane, nic więcej w raportach nie widzę. Finalizuj sprawy:

 

1. Przez SHIFT+DEL skasuj:

 

C:\FRST

C:\Users\Aoeseo\Downloads\FRST-OlderVersion

C:\Users\Aoeseo\Downloads\FRST64.exe

 

W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

2. Wyczyść foldery Przywracania systemu: KLIK.

 

3. Odinstaluj starszą wersję Java oraz zaktualizuj Operę:

 

==================== Installed Programs ======================
 

Java 7 Update 17 (64-bit) (Version: 7.0.170 - Oracle)

Opera 12.15 (Version: 12.15.1748 - Opera Software ASA)

 

 

 

.

[aoeseo]

Dziękuje serdecznie za pomoc. Życzę miłego weekendu.