BesttSavvefaorYou, cheaapMe, couupExteensiOn, ExostraaCoo


(Parentaladvisory10) #1

Witam

 

Na komputerze zainstaowały mi się programy o takich nazwach jak powyżej w temacie. Próbowałem szukać pomocy w google, ale większość stron nie była w j. polskim. W jaki sposób mogę pozbyć się tych paskudztw ?

 

Zamiast docelowych stron, otwierały mi się inne związane z reklamą. W ustawieniach przeglądarki (mozilla) usunąłem kilka rozszerzeń i wydaję się być teraz lepiej, jednak programy w ciąż są zainstalowane i nie mogę ich odinstalować. Próbowałem po przez “dodaj lub usuń programy”.


(Atis) #2

Nowy log obowiązkowy - Farbar Recovery Scan Tool


(Parentaladvisory10) #3

Proszę bardzo

 

http://www.wklej.org/id/1619968/

http://www.wklej.org/id/1619970/


(Atis) #4

Nie cytuj moich odpowiedzi.

W panelu sterowania odinstaluj:

BEsttSaVVeFaorYou

CheaapMe

CouupExteensiOn

ExostraaCoouupoon

PathRunner

PC_Booster

PC_Sustainer 1.80

pRicecHop

RoboSaverr

Pobierz i uruchom AdwCleaner Kliknij Szukaj i później Usuń.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.


(Parentaladvisory10) #5

Nie udało się usunąć po przez panel pierwszych czterech pozycji z Twojej listy oraz PC_Sustainter 1.80

Jednak po uruchomieniu i usunięciu plików AdwClenerem już ich nie widzę na liście programów…

Nowe raporty:

 

http://www.wklej.org/id/1620067/

http://www.wklej.org/id/1620068/


(Atis) #6

Pobierz ESET Necurs Cleaner:

http://download.eset.com/special/ESETNecursCleaner.exe

Uruchom ESETNecursCleaner i postępuj zgodnie z zaleceniami programu.

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

HKLM\...\Run: [avast] => "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
SecurityProviders: msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, IsfuhmiLfosb.dll
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
URLSearchHook: [S-1-5-21-1708537768-861567501-1417001333-1003] ATTENTION ==> Default URLSearchHook is missing.
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-1708537768-861567501-1417001333-1003 -> Backup.Old.DefaultScope {95B7759C-8C7F-4BF1-B163-73684A933233}
Locked "7e4f0711d8afdd6c" service could not be unlocked. <===== ATTENTION

S2 32148148; "C:\WINDOWS\system32\rundll32.exe" "c:\progra~1\pc_boo~1\AssistantSvc.dll",service
S4 NMIndexingService; "C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe" [X]
S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X]
S4 IntelIde; No ImagePath
S3 massfilter; system32\drivers\massfilter.sys [X]
S3 mcdbus; system32\DRIVERS\mcdbus.sys [X]
S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X]
S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X]
S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X]
S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X]
C:\Documents and Settings\GT\Ustawienia lokalne\Temp*.html
2015-02-01 23:04 - 2015-02-01 23:08 - 00000000 ____ D () C:\AdwCleaner
2015-02-01 23:01 - 2015-02-01 23:01 - 00000000 ____ D () C:\Documents and Settings\All Users\Dane aplikacji\23405448
2011-02-21 19:02 - 2011-02-21 19:02 - 0022328 ____ C () C:\Documents and Settings\GT\Dane aplikacji\PnkBstrK.sys
CustomCLSID: HKU\S-1-5-21-1708537768-861567501-1417001333-1003_Classes\CLSID\{F28C2F70-47DE-4EA5-8F6D-7D1476CD1EF5}\localserver32 -> C:\Documents and Settings\GT\Moje dokumenty\Pobrane\CRWeN.rar.exe No File
C:\Documents and Settings\GT\Dane aplikacji\Kuakz
AlternateDataStreams: C:\WINDOWS:17C389A3C318DF3F
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.


(Parentaladvisory10) #7

Uruchomiłem program o którym wspomniałeś, ale pokazało się tylko okno w którym jest napisane - scanning for system… a niżej win32/necurs found in your system, do you want remove it ? Czekałem dość długo, ale nic się nie zmieniło. Chciałem kliknąć “tak” remove, ale nie wiem w jaki sposób.

 

I wybacz, ale nie wiem w którym miejscu wkleić plik fixlist, próbowałem w różnych miejscach, ale pokazuję się komunikat iż plik został nie odnaleziony

 

jakieś sugestie ?


(Atis) #8

W czym problem?

W oknie Necurs Cleaner wpisz z klawiatury Y i zatwierdź enterem.

Wymagany będzie restart systemu.

Fixlist zapisz tam gdzie program FRST:

Running from C:\Documents and Settings\GT\Moje dokumenty\Pobrane


(Parentaladvisory10) #9

Jestem właśnie po resecie, wyskakuję mi teraz jakiś problem związany z Avirą C:\Documents and Settings\All Users\Dane aplikacji\Package Cache{21388E37-9EC5-4549-95CA-95D9B2D327A4}v1.1.27.25527\

Nie wiem czy ma to związek z naszymi działaniami, ale nie może odnaleźć jakiegoś pliku. Ponad to w panelu sterowania w opcji dodaj lub usuń programy, ponownie pokazały się -

BEsttSaVVeFaorYou


(Atis) #10

Sprawdź czy Necurs Cleaner wykrywa rootkita.

Pobierz i uruchom TDSSKiller

Kliknij Start scan i jeśli coś wykryje wybierz Skip

Pokaż raport z tego programu zapisany na: C:\TDSSKiller.wersja_data_czas_log.txt


(Parentaladvisory10) #11

Plik pokazał się bezspośrednio na dycku c

 

http://www.wklej.org/id/1620162/


(Atis) #12

Pobiera się bez problemów z linku który podałem.

Takie programy należy pobierać wyłącznie z strony producenta.


(Parentaladvisory10) #13

Pobrałem z dobreprogramy.pl

Pozostał mi format czy próbujemy dalej jakiś sztuczek ?


(Atis) #14

Może zacznij czytać odpowiedzi, bo o coś pytałem.

 

Uruchom TDSSKiller i tym razem wybierz opcję usuwania Delete.

Zatwierdź restart w celu dokończenia usuwania.

Po restarcie ponownie przeskanuj za pomocą TDSSKiller i pokaż raport.


(Parentaladvisory10) #15

Wiesz co, zrobiłem restart komputera, bo wcześniej to zignorowałem gdy program tego ode mnie wymagał. Nowy skan gdzie nie wykryto rootkita.

 

http://www.wklej.org/id/1620199/ raport bezpośrednio z programu

http://www.wklej.org/id/1620206/ raport z lokalizacji dla pliku którą wskazałaś

 

W programach widzę dalej - PathRunner oraz PC_Sustainer 1.80

Przy próbie usunięcia wyskakuję "błąd podczas ładowania C:\progra1-\PCBOO-1\Assist-1.dll


(Atis) #16

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
HKLM\...\Run: [{2c18809c-4097-4b51-a4d0-3deade730ef3}] => C:\Documents and Settings\All Users\Dane aplikacji\Package Cache\{2c18809c-4097-4b51-a4d0-3deade730ef3}\Avira.OE.Setup.Bundle.exe [780168 2015-02-01] (Avira Operations & Co. KG) <===== ATTENTION
AppInit_DLLs: c:\progra~1\pc_boo~1\assist~1.dll => c:\progra~1\pc_boo~1\assist~1.dll File Not Found
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.gboxapp.com/
HKU\S-1-5-21-1708537768-861567501-1417001333-1003\Software\Microsoft\Internet Explorer\Main,Backup.Old.Start Page = http://search.babylon.com/?babsrc=HP_Prot
URLSearchHook: [S-1-5-21-1708537768-861567501-1417001333-1003] ATTENTION ==> Default URLSearchHook is missing.
URLSearchHook: HKU\S-1-5-21-1708537768-861567501-1417001333-1003 - SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll No File
SearchScopes: HKLM -> {B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzutAtN2Y1L1QzutDtDtC0C0B0F0CtD0Azz0DtB0BtDyDtDtN0D0TzutBtDtCtBtDyBtByC&cr=1186694235
SearchScopes: HKU\S-1-5-21-1708537768-861567501-1417001333-1003 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=121845&babsrc=SP_ss&mntrId=D071001CBFC0A8D2
SearchScopes: HKU\S-1-5-21-1708537768-861567501-1417001333-1003 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050
SearchScopes: HKU\S-1-5-21-1708537768-861567501-1417001333-1003 -> {B7971660-A1CE-4FDD-B9E0-2C37D77AFB0B} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzutAtN2Y1L1QzutDtDtC0C0B0F0CtD0Azz0DtB0BtDyDtDtN0D0TzutBtDtCtBtDyBtByC&cr=1186694235
BHO: CheaapMe -> {2c6032e7-9210-49d8-ab93-98c61372e873} -> C:\Program Files\CheaapMe\LFzUQlwgjaMSQ3.dll No File
BHO: Funmoods Helper Object -> {75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7} -> C:\PROGRA~1\Funmoods\1.5.23.22\bh\escort.dll No File
BHO: No Name -> {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} -> No File
Toolbar: HKLM - Funmoods Toolbar - {A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3} - C:\PROGRA~1\Funmoods\1.5.23.22\escorTlbr.dll No File
Toolbar: HKU\S-1-5-21-1708537768-861567501-1417001333-1003 -> No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File
Toolbar: HKU\S-1-5-21-1708537768-861567501-1417001333-1003 -> SweetPacks Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File
S2 24c54e38; "C:\WINDOWS\system32\rundll32.exe" "c:\Program Files\DeltaFix\DeltaFix.dll",serv <==== ATTENTION
C:\Documents and Settings\GT\Ustawienia lokalne\Temp*.html
2015-02-01 16:25 - 2014-11-10 12:04 - 00000000 ____ D () C:\Documents and Settings\All Users\Dane aplikacji\Package Cache
2015-01-19 18:43 - 2015-01-19 18:45 - 00000000 ____ D () C:\Documents and Settings\All Users\Dane aplikacji\InstallMate
AlternateDataStreams: C:\WINDOWS:17C389A3C318DF3F
Reg: reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{5F189DF5-2D05-472B-9091-84D9848AE48B} /f
Reg: reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{24c54e38} /f
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.


(Parentaladvisory10) #17

Między 14 a 15 jak tylko wrócę z pracy, to od razu wrzucę

 

Pozdrawiam


(Atis) #18

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

URLSearchHook: [S-1-5-21-1708537768-861567501-1417001333-1003] ATTENTION ==> Default URLSearchHook is missing.
S0 21661018; system32\drivers\74313308.sys [X]
S0 31945993; system32\drivers\50713404.sys [X]
S0 7e4f0711d8afdd6c; \SystemRoot\System32\Drivers\7e4f0711d8afdd6c.sys [X]
2015-02-02 00:45 - 2015-02-02 01:25 - 00000000 ____ D () C:\Documents and Settings\All Users\Dane aplikacji\7129546578987cdd
DeleteQuarantine:
CreateRestorePoint:

Uruchom FRST i kliknij Fix. Skasuj folder C:\FRST

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

http://wstaw.org/m/2014/03/25/2014-03-25_123039.png

Język PL > Settings > General Settings > Language > Polish

Przeczytaj w jaki sposób należy instalować programy: KLIK - KLIK - KLIK - KLIK

Odinstaluj:

Java 7 Update 55

Java 6 Update 22

Microsoft Silverlight

Adobe Reader XI

Zainstaluj:

Silverlight 5.1.30514.0

Adobe Reader XI 11.0.10

Java 7 Update 71


(Parentaladvisory10) #19

Zrobiłem wszystko według Twoich wskazówek.Natomiast nie udało mi się zainstalować Javy, wyskakuję jkomunikt “browser lunch error.” Spróbuję po resecie. Dodatkowo by chronić się na przyszłość zainstalowałem Unchecky. Nie jestem typem osoby, która podczas instalacji programów, bez opanowania klika “dalej” zawsze na to zważam, jednak rozumiem, że skądś ten bałagan na moim dysku musiał się wziąć. Czy to już wszystko? W programach nie widzę już tych dziwacznych nazw aplikacji typu “BesttSavvefaorYou” czy innych, które spotkaliśmy na mojej drodze do celu.


(Atis) #20

W logach nie widać żadnej infekcji.

Jeżeli nadal masz problem to użyj Java Uninstall Tool:

https://www.java.com/pl/download/faq/uninstaller_toolinfo.xml

Później spróbuj zainstalować Java 8 Update 31