EZD Downloader

bastet_bastard · 25 Styczeń 2015 11:07

Czy ktoś miał już do czynienia z tym [ciach]?

Wczoraj kolega “komputerowiec” pomagał mi w rozwiązaniu kilku problemów, w zamian zostawiając tego oto niesympatycznego szpiega.

Usuwałam już wiele podobnych nieproszonych gości, z tym jednak poradzić sobie nie mogę (jestem wyczulona na “bonusy” do darmowego oprogramowania i kolegę też chciałam wyczulić, ale chyba potraktował to jako babską histerię… ).

Informacji w goole zbyt wielu nie ma, a wszelkie “jak usunąć” odsyła do stronki

http://www.remove-pcvirus.com/pl/usun-ezdownloader/

która od razu wydaje się być podejrzana. Nie mając nic do stracenia (pewnie i tak czeka mnie format /komp kupiony trzy dni temu) -zainstalowałam go. Oczywiście po przeskanowaniu i wykryciu miliona zagrożeń odsyła do rubryk gotowych na numer karty kredytowej, nic w tym zaskakującego, gdyby nie fakt, że tzw. SpyHunter4 także usunąć się nie da (przez Panel Sterowania, przez CCleanera - po kliknięciu “odinstaluj” i potwierdzeniu, pojawia się reklama, której potwierdzenie zamknięcia, zamyka także “odinstalator”).

Dodam tylko, że pisanie komentarzy na tej stronie nie działa, więc ostrzeżenie przed oszustwem nie jest możliwe.

No i teraz pytanie; jak pozbyć się nieproszonych gości? (EZD Dowloader oraz jego kompana SpyHuntera4)

EZD Downloader nie figuruje na listach programów do odinstalowania.

Co nie pomogło:

reset wszystkich przeglądarek

czyszczenie CCleanerem (także rejestru)

(system win7)

Dziękuję z góry. Przy okazji chcętnie się dowiem co to za badziew.

Cedar · 25 Styczeń 2015 11:11

Skoro założyłaś wątek w tym dziale, to przeczytaj przynajmniej pierwszy przypięty w nim temat: http://forum.dobreprogramy.pl/bezpiecze%C5%84stwo-f15/ w

Acorus · 25 Styczeń 2015 11:16

Pobierz Farbar Recovery Scan Tool http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ zgodny z wersją systemu 32-bit lub 64-bit.

Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.

Raporty umieść na http://wklej.org/ i podaj link.

bastet_bastard · 25 Styczeń 2015 12:54

Raporty tutaj.

http://przeklej.org/file/kgZmlw/Addition.txt

http://przeklej.org/file/lj3wQs/FRST.txt

Cedar, najmocniej przepraszam, że walcząc od dwóch dni z kompem (jutro mam zlecenie do robienia) nie zapoznałam się z regulaminem. Kajam się.

Czasem jednak trzeba nazywać rzeczy po imieniu.

Acorus · 25 Styczeń 2015 12:57

Raporty umieść na http://wklej.org/ i podaj link.

bastet_bastard · 25 Styczeń 2015 13:05

z tego co widzę, bez założenia konta tam, nie mogę tam nic umieścić. Serio taka różnica gdzie to jest?

Rozumiem, że bez tego nie mogę liczyć na pomoc?

Acorus · 25 Styczeń 2015 13:09

Tam nie trzeba żadnego konta.Jak sobie nie radzisz to na wklej.to

bastet_bastard · 25 Styczeń 2015 13:23

http://wklej.to/rT0uN

http://wklej.to/mKSlB

Spyhuntera już się pozbyłam.

Acorus · 25 Styczeń 2015 13:46

Otwórz notatnik systemowy i wklej:

HKLM\...\Run: [AdobeAAMUpdater-1.0] = C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe [557768 2014-09-19] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [AdobeCS5.5ServiceManager] = C:\Program Files (x86)\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe [1523360 2011-01-12] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [Adobe ARM] = C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [932288 2010-10-25] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [] = [X]
HKLM-x32\...\Run: [Adobe Acrobat Speed Launcher] = E:\adobe\Acrobat 10.0\Acrobat\Acrobat_sl.exe [36760 2010-10-25] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [Acrobat Assistant 8.0] = E:\adobe\Acrobat 10.0\Acrobat\Acrotray.exe [821144 2010-10-25] (Adobe Systems Inc.)
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hpts=1422117421from=wpcuid=GOODRAMXC40_DE3F074A08C600864298
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://websearch.thesearchpage.info/?pid=20714r=2015/01/24hid=1179990710621690010lg=ENcc=PLunqvl=74
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=dsts=1422117421from=wpcuid=GOODRAMXC40_DE3F074A08C600864298q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=dsts=1422117421from=wpcuid=GOODRAMXC40_DE3F074A08C600864298q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hpts=1422117421from=wpcuid=GOODRAMXC40_DE3F074A08C600864298
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hpts=1422117421from=wpcuid=GOODRAMXC40_DE3F074A08C600864298
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=dsts=1422117421from=wpcuid=GOODRAMXC40_DE3F074A08C600864298q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=dsts=1422117421from=wpcuid=GOODRAMXC40_DE3F074A08C600864298q={searchTerms}
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dsts=1422117421from=wpcuid=GOODRAMXC40_DE3F074A08C600864298q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dsts=1422117421from=wpcuid=GOODRAMXC40_DE3F074A08C600864298q={searchTerms}
SearchScopes: HKLM-x32 - DefaultScope {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.thesearchpage.info/?l=1q={searchTerms}pid=20714r=2015/01/24hid=1179990710621690010lg=ENcc=PLunqvl=74
SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dsts=1422117421from=wpcuid=GOODRAMXC40_DE3F074A08C600864298q={searchTerms}
SearchScopes: HKLM-x32 - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.thesearchpage.info/?l=1q={searchTerms}pid=20714r=2015/01/24hid=1179990710621690010lg=ENcc=PLunqvl=74
SearchScopes: HKU\S-1-5-21-123566663-3719955111-2109569844-1000 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
FF Extension: Adobe Contribute Toolbar - E:\adobe\Adobe Contribute CS5.1\Plugins\FirefoxPlugin\{01A8CA0A-4C96-465b-A49B-65C46FAD54F9} [2015-01-24]
FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\Little Lord Vader\AppData\Roaming\Mozilla\Firefox\Profiles\2g5eoh6y.default\extensions\fftoolbar2014@etech.com
R4 IOMap; \\C:\Windows\system32\drivers\IOMap64.sys [X]
2015-01-25 11:57 - 2015-01-25 11:57 - 00006078 _____ () C:\Users\Little Lord Vader\Desktop\ezddpwnloader.odt
2015-01-24 18:34 - 2015-01-24 18:34 - 00000000 ____ D () C:\Users\Little Lord Vader\AppData\Local\mbot_pl_175
2015-01-24 18:34 - 2015-01-24 18:34 - 00000000 ____ D () C:\Program Files (x86)\mbot_pl_175
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

bastet_bastard · 25 Styczeń 2015 14:10

Dziękuję, będę próbować.