Pozostałości po programach.

[Andman]

Witam.

W związku z wygaśnięciem licencji na program antywirusowy szukałem nowego zabezpieczenia. Instalowałem SecureA Plus potem ArcaVir'a. Jednak finalnie zdecydowałem się na Werboot'a.

Pomimo deinstalacji antywirusów pozostały mi ich pozostałości. W menu PPM nadal widnieje opcja skanowania poprzez ArcaVir'a. Narzędzia polecanego na stronie nie można niestety pobrać.

 

Ponadto proszę ocenić ogólną sytuacje systemu.

Za udzieloną pomoc z góry dziękuję.

 

Addition.txt FRST.txt Shortcut.txt

[mirf]

Do odinstalowania pozostałości po antywirusach spróbuj ESET AV Remover tool.

[Andman]

Niestety, ESET AV Remover tool znalazł jedynie zainstalowanego antywirusa i Mozillę. 

[picasso]

Temat przenoszę do stosowniejszego działu, nie jest to przecież powiązane wcale z infekcją. W raportach FRST mało co widać od Arcabit, drobne autoryzacje w Zaporze Windows, kilka obiektów na dysku oraz załadowany moduł integrujący Arcabit z eksploratorem, który najprawdopodobniej jest odpowiedzialny za obecność wpisów menu kontekstowego:

 

==================== Załadowane moduły (filtrowane) ==============

2016-07-01 22:50 - 2016-07-01 22:50 - 00225368 _____ () D:\Program Files D\Antywir\bin\arcashl.dll

 

1. Rozpocznijmy od derejestracji widocznego wyżej modułu arcashl.dll, komenda zostanie załączona w skrypcie FRST, wraz z innymi dodatkowymi operacjami. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
CMD: netsh firewall reset
CMD: regsvr32 /u /s "D:\Program Files D\Antywir\bin\arcashl.dll"
FF user.js: detected! => C:\Documents and Settings\Mariusz\Dane aplikacji\Mozilla\Firefox\Profiles\vep30pal.default-1463316975000\user.js [2016-06-12]
FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff => nie znaleziono
FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
DeleteKey: HKLM\SOFTWARE\Google
C:\Documents and Settings\All Users\Arcabit
C:\Documents and Settings\Mariusz\Dane aplikacji\*.*
C:\Program Files\Mozilla Firefox\extensions
D:\Program Files D\Antywir
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\WINDOWS\system32\Drivers\arcafsav.sys
C:\WINDOWS\system32\Drivers\arcawfp.sys
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

Jeśli rozszerzenie menu kontekstowego nie zniknie po w/w operacji:

 

2. Sfery rozszerzeń kontekstowych FRST w chwili obecnej w ogóle nie skanuje. Potrzebne narzędzie skanujące rozszerzenia powłoki tego typu. Zrób raport z Autoruns, o ile nadal działa na XP, bo teoretycznie już brak wsparcia. Jeśli program się nie uruchomi na XP, zamiennie wykonaj log z Silent Runners.

 

[Andman]

Czynności wykonałem.

FRST z opcją "napraw" uruchamiałem dwa razy. Za pierwszym uruchomieniem wystąpił błąd i aplikacja została zamknięta.

Z menu PPM zniknęły wpisy ArcaVir'a, dlatego pkt. 2 nie realizowałem.

 

Fixlog.txt

[Andman]

Zauważyłem, że w Centrum zabezpieczeń pozostały wpisy po ArcaVir, zarówno w zaporze jak i ochronie przed wirusami.

Aby pozbyć się błędnych danych, skorzystałem z tutorialu picasso zamieszczonego pod tym linkiem: