Sasiad Opublikowano 17 Lutego 2014 Zgłoś Udostępnij Opublikowano 17 Lutego 2014 Witam, Uprzejmie proszę o pomoc w usunięciu trojana Win32:BProtect-D. Bardzo słabo się orientuję w tej materii. Diagnozuje go Avast, nie usuwa. Obecnie na 3 plikach, wcześniej na 5. Po ujawnieniu rzuciłem się do skanowania czym się dało..Avastem, Malwarebytes Anti-Malware oraz SUPERAntiSpyware'em. Ten ostatni inormował, że usunął jakieś 2 trojany, ale o nazwach nic mi nie mówiących. Chyba inne. Malwarebytes Anti-Malware też usunął coś innego. Mój poziom zaawansowania w temacie nie pozwala mi ocenić, co usunął, a co pozostało. Avast pod windowsem wykrył ostatnio 3 niebezpieczne pliki (w tym w/w z tematu) i potwierdził ich usunięcie, ale po zasugerowanym restarcie (w wersji przed uruchomieniem win) znalazł jeszcze 3 i nie usunął. Nie wiem, jak wygenerować z avasta historię, którą mógłbym przesłać. Mam nadzieję, że wygenerowałem, co trzeba do oceny sytuacji. Serdecznie dziękuję za pomoc. S. Addition.txt Extras.Txt FRST.txt OTL.Txt Odnośnik do komentarza
picasso Opublikowano 17 Lutego 2014 Zgłoś Udostępnij Opublikowano 17 Lutego 2014 Nie podałeś wyników z MBAM i SUPERAntiSpyware, więc nie można tego ocenić. Na razie to ja podejrzewam, że zostały wykryte po prostu obiekty adware a nie trojany (ten Win32:BProtect-D to też ta seria), bo jest dużo "uszkodzonych" wpisów w systemie od adware (czyli niepoprawna metoda deinstalacji). I nadal jest tu co robić: 1. Otwórz Notatnik i wklej w nim: Task: {D63FE7D8-F7D5-43C9-97B2-3D333FB50E18} - System32\Tasks\Digital Sites => C:\Users\AGNIES~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE Task: {FA66FA68-63DA-44F5-81EC-2363521FE2A6} - System32\Tasks\Scheduled Update for Ask Toolbar => C:\Program Files (x86)\Ask.com\UpdateTask.exe [2012-04-09] () Task: C:\Windows\Tasks\Digital Sites.job => C:\Users\AGNIES~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE HKLM-x32\...\Run: [] - [X] HKLM-x32\...\Run: [AnyProtect Tray] - C:\Program Files (x86)\AnyProtectEx\AnyProtectTray.exe /scanner HKLM-x32\...\Run: [AnyProtect] - C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe URLSearchHook: HKLM-x32 - (No Name) - {5c5b9468-d672-4eb7-b52f-b5afabf28c5b} - No File URLSearchHook: HKCU - (No Name) - {5c5b9468-d672-4eb7-b52f-b5afabf28c5b} - No File SearchScopes: HKLM-x32 - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031817 SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=BC4B001E65473CE9&affID=119357&tsp=4985 SearchScopes: HKCU - {11F11C32-2045-4B0E-A039-C570056E0584} URL = SearchScopes: HKCU - {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3031817 SearchScopes: HKCU - {F1D88A11-D5ED-4B4C-A457-2FF08B4A3AB5} URL = http://websearch.ask.com/custom/java/redirect?client=ie&tb=ORJ&o=100000026&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000 BHO-x32: No Name - {30F9B915-B755-4826-820B-08FBA6BD249D} - No File BHO-x32: No Name - {5c5b9468-d672-4eb7-b52f-b5afabf28c5b} - No File Toolbar: HKLM-x32 - No Name - {5c5b9468-d672-4eb7-b52f-b5afabf28c5b} - No File Toolbar: HKLM-x32 - No Name - {30F9B915-B755-4826-820B-08FBA6BD249D} - No File Toolbar: HKCU - No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File CHR HKCU\...\Chrome\Extension: [efbkdhmfnmnmfimllbjamfodcoanhmdd] - C:\Users\AGNIES~1\AppData\Local\WebToSave.crx [2013-09-06] CHR HKLM-x32\...\Chrome\Extension: [ieakfmpjhljbpbfpldjkddkjmmgjmgon] - C:\Program Files (x86)\WebConnect\ieakfmpjhljbpbfpldjkddkjmmgjmgon.crx [2013-09-06] S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] S3 massfilter; system32\drivers\massfilter.sys [X] S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X] S3 ZTEusbnet; system32\DRIVERS\ZTEusbnet.sys [X] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X] S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X] U3 aswMBR; \??\C:\Users\AGNIES~1\AppData\Local\Temp\aswMBR.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" C:\Users\Agnieszka\AppData\Roaming\Babylon Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2" /f CMD: for /d %f in (C:\Users\Agnieszka\AppData\Local\{*}) do rd /s /q "%f" CMD: sc config "PLAY ONLINE. RunOuc" start= demand Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware: Ask Toolbar, Conduit Engine, PDF Creator Packages, SFT_Polska Toolbar, Update for PDF Creator, WebConnect 3.0.0. 3. Wyczyść przeglądarki (zakładki i hasła nie zostaną naruszone.): - Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. - Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. 4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. 5. Uruchom TFC - Temp Cleaner. 6. Zrób nowy skan FRST (bez Addition). Dołącz też plik fixlog.txt i log z AdwCleaner. . Odnośnik do komentarza
Sasiad Opublikowano 17 Lutego 2014 Autor Zgłoś Udostępnij Opublikowano 17 Lutego 2014 Bardzo dziękuję za odpowiedź i instrukcję ! Ad. 1. Zrobione Ad. 2. Conduit Engine - nie dawał się usunąć poprzez panel sterowania, SFT_Polska Toolbar - też nie dał się tak usunąć, Rozumiem, że skasowały je kolejne kroki. Ad. 3 Zrobione. Ad. 4 Raport w zał. Ad. 5.Zrobione Ad. 6. W zał. Mam nadzieję, że o to chodziło. Czy w logach widać, że wszystko zostało skasowane? S. AdwCleanerS0.txt FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 21 Lutego 2014 Zgłoś Udostępnij Opublikowano 21 Lutego 2014 Tak, AdwCleaner dokasował Conduit Engine i SFT_Polska Toolbar. Reszta zadań również prawie wykonana, choć jednak usuwanie plików Temp budzi wątpliwości (nadal widzę wyniki, których nie powinno być po zastosowaniu TFC)... Finalizuj sprawy: 1. Mini poprawka. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Runonce: [AvgUninstallURL] - cmd.exe /c start http://www.avg.com/ww.special-uninstallation-feedback-app?lic=OQBBAFYARgBSAEUARQAtAFYAMgBHADMASwAtADgANwBXAFUAVQAtADIAVABWAEgAQQAtAFgANgBEAEYAOAAtAEwANgBQAEEATgA"&"inst=NwA3AC0ANAAzADQAMAA4ADkAMAA2ADAALQBGAEwAKwA5AC0AWABPADMANgArADEALQBYAE8AOQArADEA"&"prod=90"&"ver=9.0.894 [X] C:\Users\Agnieszka\AppData\Local\Temp\*.dll C:\Users\Agnieszka\AppData\Local\Temp\*.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. 2. Przez SHIFT+DEL (omija Kosz) skasuj FRST i foldery: C:\FRST C:\Users\Agnieszka\Desktop\Stare dane programu Firefox W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się