Problem z ComboFix i usunięciem BackEnv

[SMQ]

Witam mam dokładnie taki problem jak kolega z forum https://www.fixitpc.pl/topic/2864-po-usuwaniu-wirusow/ Nie mogę usunąć folderu BackEnv. Proszę o pomoc

[picasso]

- Po pierwsze, zakładasz temat w dziale diagnostyki infekcji, więc aplikują się konkretne zasady i zestaw obowiązkowych raportów: KLIK.

- Po drugie, na temat uruchamiania ComboFix: KLIK. Tak więc jaki był powód jego uruchomienia?

 

A błąd masz, bo nie odinstalowałeś narzędzia w prawidłowy sposób. Tego się nie kasuje ręcznie. Do korekty przejdę potem. Na początek chcę tu wyegzekwować odpowiedź na pytanie w jakim celu uruchamiano ComboFix + obowiązkowe raporty dające pogląd na system.

 

 

 

.

[SMQ]

CombooFix zainstalowałem by przeskanować system.........dziś AVG wyświetlił mi komunikat o wirusie więc poczytałem trochę w internecie i napotkałem posty że dobrze jest przeskanować system takim narzędziem jak ComboFix

 

A oto log z ComboFix

ComboFix.txt

[picasso]

Do uzupełniania posta, gdy nikt jeszcze nie odpisał, służy opcja Edytuj, a nie post pod postem. Sklejam. Prócz raportu ComboFix należy także dodać obowiązkowe w tym dziale logi OTL (raport wynikowy ComboFix ich nie zastąpi) oraz:

 

dziś AVG wyświetlił mi komunikat o wirusie

 

Przekleić konkrety z dziennika skanowania AVG co to było (w jakim pliku / ścieżce dostępu).

 

 

.

[SMQ]

AVG nie wyświetlił inf. o wirusie podczas skanowania systemu tylko podczas przeglądania stron (ochrona rezydenta czy coś w tym stylu ) Niestety nie pamietam nazwy tego wirusa. Kiedy została wyświetlona inf o tym wirusie chciałem rutynowo odwirusować komputer ----kierowałem się tym: http://www.cscenter....irusowanie.html skanowałem również tymi programami

- CCleaner

- Spybot- Search & destroy

OTL.Txt

Extras.Txt

[picasso]

AVG nie wyświetlił inf. o wirusie podczas skanowania systemu tylko podczas przeglądania stron (ochrona rezydenta czy coś w tym stylu ) Niestety nie pamietam nazwy tego wirusa.

 

W systemie nie ma żadnych oznak infekcji, czyli osłona rezydentna zatrzymała wtedy zagrożenie.

 

 

kierowałem się tym: http://www.cscenter.pl/artykuly_i_poradniki/174669-skuteczne_odwirusowanie.html skanowałem również tymi programami

- CCleaner

- Spybot- Search & destroy

 

Jakiś dyletant to pisał, który o infekcjach i działaniu narzędzi ma bardzo nikłe pojęcie. Po pierwsze: ComboFix to nie jest normalny skaner i jego użycie bez określonej wiedzy na pałę może spowodować niepożądane rezultaty. Już kierowałam Cię do opisu tu na forum dlaczego nie. Po drugie: nietrafiony wybór skanerów, Spybot to stary i dziś mało wiarygodny skaner, CCleaner to narzędzie konserwacyjne o innym przeznaczeniu, jest o wiele więcej skanerów dedykowanych do usuwania infekcji. I czy popatrzyłeś na datę tego "artykułu"? Rok 2010.

 

 

Nie mogę usunąć folderu BackEnv.

 

Uściślij skąd go próbujesz usuwać: kasując folder C:\Qoobox czy opróżniając Kosz? Jeśli to pierwsze, porzuć akcje ręczne, bo to nawet nie jest wszystko co należy usunąć po ComboFix. Prawidłowo przeprowadzona deinstalacja ComboFix sama się tym zajmie. Na razie to odsuwam, bo mamy tu inne zajęcia do przeprowadzenia.

 

 

---

Infekcji wprawdzie nie ma, ale system jest zabrudzony adware. Przeprowadź następujące działania:

 

1. Przez Panel sterowania odinstaluj adware DAEMON Tools Toolbar, Yontoo 1.10.03.

 

2. Firefox: masz zainstalowany dubel. Usuń wersję Mozilla Firefox 8.0 (x86 pl), zostaw Mozilla Firefox 15.0.1 (x86 pl). Następnie wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

 

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/?q={searchTerms}&AF=100481&babsrc=SP_ss&mntrId=9af624430000000000006cf0490c21c6"
IE - HKCU\..\SearchScopes\{5D8CB63C-0EFC-4ef7-AC13-102B6DB37DD1}: "URL" = "http://www.google.com/cse?cx=partner-pub-3794288947762788%3A4067623346&ie=UTF-8&q={searchTerms}&sa=Search&siteurl=www.google.com%2Fcse%2Fhome%3Fcx%3Dpartner-pub-3794288947762788%3A4067623346"
IE - HKCU\..\SearchScopes\{881ED52A-883A-4fbc-A274-22F2C07E45A2}: "URL" = "http://www.bing.com/search?q={searchTerms}&form=SPLBR2&pc=SPLH"
IE - HKCU\..\SearchScopes\{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}: "URL" = "http://www.daemon-search.com/search?q={searchTerms}"
IE - HKCU\..\SearchScopes\{EC6D1C6B-32F6-4ecb-BBAD-783F092A17A4}: "URL" = "http://search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=STDVM"
O2 - BHO: (Yontoo) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files (x86)\Yontoo\YontooIEClient.dll File not found
[2012-12-06 15:04:37 | 000,000,000 | ---D | C] -- C:\ProgramData\Spybot - Search & Destroy
[2012-12-06 15:04:25 | 000,000,000 | ---D | C] -- C:\Program Files (x86)\Spybot - Search & Destroy 2
[2012-12-02 08:59:46 | 000,000,000 | ---D | C] -- C:\ProgramData\McAfee
 
:Commands
[emptytemp]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

 

4. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

 

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[SMQ]

C:\Users\SEBASTIAN\Desktop\bxcfbcv\bnvb\BackEnv - ten folder próbowałem usuwać, został ze skanu ComboFix-em.( usunołem folder Qoobox i log jak w artykule do którego podałem link). Aby podać log z ComboFix musiałem ponownie uruchomic program. ComboFix utworzył nowy folder C:\Qoobox z którego nic nie usuwałem .

 

1) DAEMON Tools Toolbar, Yontoo 1.10.03 -odinstalowane

2) Kiedy usunołem Mozilla Firefox 8.0 (x86 pl), usuneła się też wersja Mozilla Firefox 15.0.1 (x86 pl). Pobrałem więc 17.0.1 i zainstalowałem Zresetowałem Firefoxa ale nie wiem czy w takiej sytuacji było to potrzebne

3) Skrypt wykonany

AdwCleanerS1.txt

OTL.Txt

[picasso]

Aby podać log z ComboFix musiałem ponownie uruchomic program.

 

To był błąd. Ten log do niczego nie posłuży, nie poda co narzędzie robiło w pierwszym podejściu.

 

 

usunołem folder Qoobox i log jak w artykule do którego podałem link

 

To jest za mało. To nie usuwa wszystkich składników wyekstraktowanych przez program. Jedyna prawidłowa metoda usuwania to deinstalacja ComboFix przez parametr.

 

 

C:\Users\SEBASTIAN\Desktop\bxcfbcv\bnvb\BackEnv - ten folder próbowałem usuwać

 

Kliknij prawym na folder BackEnv > Właściwości > karta Zabezpieczenia > Zaawansowane > podświetl grupę Wszyscy > Zmień uprawnienia > odptaszkuj Odmów i ustaw Pełną kontrolę. Po tej operacji katalog będzie gotowy do usuwania przez SHIFT+DEL.

 

 

Kiedy usunołem Mozilla Firefox 8.0 (x86 pl), usuneła się też wersja Mozilla Firefox 15.0.1 (x86 pl). Pobrałem więc 17.0.1 i zainstalowałem. Zresetowałem Firefoxa ale nie wiem czy w takiej sytuacji było to potrzebne

 

Tu mój błąd. Dzielony katalog E:\Programy\firefox między wersjami. Ale nawet lepiej się stało, bo i tak Firefox miał być aktualizowany. A reset Firefox był i tak potrzebny, jeśli przy deinstalacji nie zaznaczyłeś "usuwania plików użytkownika". To zostawia na dysku cały katalog C:\Users\SEBASTIAN\AppData\Roaming\mozilla\firefox z konfiguracją i rozszerzeniami (tu śmieci). Nawiasem mówiąc: mimo że Firefox masz zainstalowany na E, on wszystkie dane z profilami i tak trzyma na C w ścieżce którą Ci podałam.

 

 

---

Co do operacji czyszczących. Wyraźnie kierowałam do opisu programu na forum, gdzie są jedyne autoryzowane linki gwarantujące najnowszą wersję. A Ty pobrałeś program z innego serwisu:

 

# AdwCleaner v2.011 - Log utworzony 07/12/2012 o 16:00:09

# Ścieżka : K:\AdwCleaner_www.INSTALKI.pl.exe

 

Nie, Instalki to nie jest strona domowa ani autoryzowany link. Instalki rehostują plik, co oznacza, że pojawia się problem z dostępnością najnowszej wersji. Już tu na forum były przeboje, że użytkownicy pobierali stamtąd starą zabugowaną wersję, podczas gdy była już o wiele nowsza dostępna. Tu tylko przypadkiem udało Ci się pobrać najnowszy 2.011, bo ostatnio raczyli zaktualizować. Na przyszłość: pobieranie takich programów tylko ze strony domowej / linków autoryzowanych.

 

Ogólnie czyszczenie wykonane pomyślnie. Kończymy:

 

1. Drobna poprawka na domyślne wyszukiwarki Internet Explorer po użyciu AdwCleaner. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. Odinstaluj w prawidłowy sposób ComboFix, co wyczyści też foldery Przywracania systemu. Nie widzę na dysku pliku ComboFix.exe, pobierz ponownie (KLIK) i zapisz na Pulpicie. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:

 

C:\Users\SEBASTIAN\Desktop\ComboFix.exe /uninstall

 

Gdy komenda ukończy działanie wyczyść pozostałe: w AdwCleaner uruchom Uninstall, w OTL uruchom Sprzątanie, przez SHIFT+DEL skasuj folder C:\Windows\erdnt.

 

3. Na koniec zaktualizuj Windows, produkty Adobe i antywirusa. Wg raportu masz obecnie zainstalowane wersje:

 

64bit- Professional  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{AC76BA86-7AD7-1045-7B44-A90000000001}" = Adobe Reader 9 - Polish
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin
"AVG8Uninstall" = AVG Free 8.5
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_287.dll ()

 

Czyli: odinstaluj wszystko od Adobe + AVG i zainstaluj najnowsze, wykonaj pełną aktualizację systemu (SP1 + IE9 + reszta łat).

 

 

Dodatkowa uwaga: jest tu zainstalowany program Gadu-Gadu 10. Ciężki, zasobożerny, mało użytkowy (śmieci / reklamy), a ostatnio wyłączono też serwisy integrowane w tym badziewiu. Albo zainstaluj najnowszą wersję GG11, albo program alternatywny z obsługą sieci Gadu: WTW, Kadu, AQQ, Miranda. Wszystko opisane tu: Darmowe komunikatory.

 

 

.

[SMQ]

Wielkie dzięki wszystko jest w porządku.Wielkie wyrazy szacunku dla Pani i wiedzy którą posiada.Jeszcze raz bardzo dziekuje