EZD Downloader

Czy ktoś miał już do czynienia z tym [ciach]?

 

Wczoraj kolega “komputerowiec” pomagał mi w rozwiązaniu kilku problemów, w zamian zostawiając tego oto niesympatycznego szpiega.

Usuwałam już wiele podobnych nieproszonych gości, z tym jednak poradzić sobie nie mogę (jestem wyczulona na “bonusy” do darmowego oprogramowania i kolegę też chciałam wyczulić, ale chyba potraktował to jako babską histerię… ).

 

Informacji w goole zbyt wielu nie ma, a wszelkie “jak usunąć” odsyła do stronki

http://www.remove-pcvirus.com/pl/usun-ezdownloader/

 

która od razu wydaje się być podejrzana. Nie mając nic do stracenia (pewnie i tak czeka mnie format /komp kupiony trzy dni temu) -zainstalowałam go. Oczywiście po przeskanowaniu i wykryciu miliona zagrożeń odsyła do rubryk gotowych na numer karty kredytowej, nic w tym zaskakującego, gdyby nie fakt, że tzw. SpyHunter4 także usunąć się nie da (przez Panel Sterowania, przez CCleanera - po kliknięciu “odinstaluj” i potwierdzeniu, pojawia się reklama, której potwierdzenie zamknięcia, zamyka także “odinstalator”).

 

Dodam tylko, że pisanie komentarzy na tej stronie nie działa, więc ostrzeżenie przed oszustwem nie jest możliwe.

 

No i teraz pytanie; jak pozbyć się nieproszonych gości? (EZD Dowloader oraz jego kompana SpyHuntera4)

 

EZD Downloader nie figuruje na listach programów do odinstalowania.

 

Co nie pomogło:

reset wszystkich przeglądarek

czyszczenie CCleanerem (także rejestru)

 

(system win7)

 

Dziękuję z góry. Przy okazji chcętnie się dowiem co to za badziew.

Skoro założyłaś wątek w tym dziale, to przeczytaj przynajmniej pierwszy przypięty w nim temat: http://forum.dobreprogramy.pl/bezpiecze%C5%84stwo-f15/ w

Pobierz Farbar Recovery Scan Tool http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ zgodny z wersją systemu 32-bit lub 64-bit.

Uruchom FRST i kliknij Scan. Pokaż raport FRST i Addition.

Raporty umieść na http://wklej.org/ i podaj link.

Raporty tutaj.

 

http://przeklej.org/file/kgZmlw/Addition.txt

http://przeklej.org/file/lj3wQs/FRST.txt

 

 

Cedar, najmocniej przepraszam, że walcząc od dwóch dni z kompem (jutro mam zlecenie do robienia) nie zapoznałam się z regulaminem. Kajam się.

Czasem jednak trzeba nazywać rzeczy po imieniu.

Raporty umieść na http://wklej.org/ i podaj link.

z tego co widzę, bez założenia konta tam, nie mogę tam nic umieścić. Serio taka różnica gdzie to jest?

 

Rozumiem, że bez tego nie mogę liczyć na pomoc?

Tam nie trzeba żadnego konta.Jak sobie nie radzisz to na wklej.to

http://wklej.to/rT0uN

 

http://wklej.to/mKSlB

 

Spyhuntera już się pozbyłam.

Otwórz notatnik systemowy i wklej:

HKLM\...\Run: [AdobeAAMUpdater-1.0] = C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe [557768 2014-09-19] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [AdobeCS5.5ServiceManager] = C:\Program Files (x86)\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe [1523360 2011-01-12] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [Adobe ARM] = C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [932288 2010-10-25] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [] = [X]
HKLM-x32\...\Run: [Adobe Acrobat Speed Launcher] = E:\adobe\Acrobat 10.0\Acrobat\Acrobat_sl.exe [36760 2010-10-25] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [Acrobat Assistant 8.0] = E:\adobe\Acrobat 10.0\Acrobat\Acrotray.exe [821144 2010-10-25] (Adobe Systems Inc.)
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mystartsearch.com/?type=hpts=1422117421from=wpcuid=GOODRAMXC40_DE3F074A08C600864298
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://websearch.thesearchpage.info/?pid=20714r=2015/01/24hid=1179990710621690010lg=ENcc=PLunqvl=74
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=dsts=1422117421from=wpcuid=GOODRAMXC40_DE3F074A08C600864298q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=dsts=1422117421from=wpcuid=GOODRAMXC40_DE3F074A08C600864298q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hpts=1422117421from=wpcuid=GOODRAMXC40_DE3F074A08C600864298
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.mystartsearch.com/?type=hpts=1422117421from=wpcuid=GOODRAMXC40_DE3F074A08C600864298
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=dsts=1422117421from=wpcuid=GOODRAMXC40_DE3F074A08C600864298q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=dsts=1422117421from=wpcuid=GOODRAMXC40_DE3F074A08C600864298q={searchTerms}
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dsts=1422117421from=wpcuid=GOODRAMXC40_DE3F074A08C600864298q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dsts=1422117421from=wpcuid=GOODRAMXC40_DE3F074A08C600864298q={searchTerms}
SearchScopes: HKLM-x32 - DefaultScope {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.thesearchpage.info/?l=1q={searchTerms}pid=20714r=2015/01/24hid=1179990710621690010lg=ENcc=PLunqvl=74
SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.mystartsearch.com/web/?type=dsts=1422117421from=wpcuid=GOODRAMXC40_DE3F074A08C600864298q={searchTerms}
SearchScopes: HKLM-x32 - {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = http://websearch.thesearchpage.info/?l=1q={searchTerms}pid=20714r=2015/01/24hid=1179990710621690010lg=ENcc=PLunqvl=74
SearchScopes: HKU\S-1-5-21-123566663-3719955111-2109569844-1000 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
FF Extension: Adobe Contribute Toolbar - E:\adobe\Adobe Contribute CS5.1\Plugins\FirefoxPlugin\{01A8CA0A-4C96-465b-A49B-65C46FAD54F9} [2015-01-24]
FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\Little Lord Vader\AppData\Roaming\Mozilla\Firefox\Profiles\2g5eoh6y.default\extensions\fftoolbar2014@etech.com
R4 IOMap; \\C:\Windows\system32\drivers\IOMap64.sys [X]
2015-01-25 11:57 - 2015-01-25 11:57 - 00006078 _____ () C:\Users\Little Lord Vader\Desktop\ezddpwnloader.odt
2015-01-24 18:34 - 2015-01-24 18:34 - 00000000 ____ D () C:\Users\Little Lord Vader\AppData\Local\mbot_pl_175
2015-01-24 18:34 - 2015-01-24 18:34 - 00000000 ____ D () C:\Program Files (x86)\mbot_pl_175
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.

Dziękuję, będę próbować.