Wiszący wpis o wielu antywirusach po dezinstalacji CyberDefender

Kate · 13 Lutego 2013

Kiedyś (jakieś 4 miesiące temu) zainstalował mi się ze starej płyty program CyberDedender IS 2006.

Program, że mimo stary coś wykrył (12 wpisów w rejestrze) - od razu je usunęłam.

Po kilku dniach podjęłam próbę aktualizacji bazy, proces zakończył się pomyślnie.

Program już nic nie wykrył, zauważyłam przycisk upgrade.

Po kliknięciu program zalkalizował się do wersji CyberDefender 2009.

Program znalazł znowu coś w rejestrze (nie pamiętam, co) - już tego obecnie nie ma.

Przy aktualizacji bazy program zaproponował instalację nowszej wersji [klik]

Program się zaktualizował do nowszej wersji.

Stwierdziłam, że jest mi nie potrzebny, bo nic nie znajduje i się zacinał.

Usunęłam go z apletu dodaj / usuń programy.

Dezinstalacja się jakoś fiaskiem zakończyła, bo 1/4 plików była w użyciu

Deinstalator poleciał a ja przez 3 restarty usuwałam to, czego on nie usunął

Chyba nie wszystko usunęłam do dziś, bo wciąż mam komunikat o wielu antywirusach.

Tego całego CyberDefendera nie widzi nawet instalator Norton 360 i BitDefender Antivirus Plus 2013

Security Check:

Results of screen317's Security Check version 0.99.57

Windows XP Service Pack 3 x86

Internet Explorer 8

``````````````Antivirus/Firewall Check:``````````````

avast! Free Antivirus

`````````Anti-malware/Other Utilities Check:`````````

Malwarebytes Anti-Malware wersja 1.70.0.1100

Argente - Registry Cleaner 3.1.0.1

CCleaner

Wise Disk Cleaner 7.73

Wise Registry Cleaner 7.62

SlimCleaner

Java™ 6 Update 37

Java 7 Update 9

Java version out of Date!

Adobe Flash Player 11.6.602.168

Adobe Reader XI

Mozilla Firefox (18.0.2)

Google Chrome 25.0.1364.58

Google Chrome 25.0.1364.68

````````Process Check: objlist.exe by Laurent````````

AVAST Software Avast AvastSvc.exe

AVAST Software Avast avastUI.exe

`````````````````System Health check`````````````````

Total Fragmentation on Drive C::

````````````````````End of Log``````````````````````

raporty

FSS - tutaj

picasso · 13 Lutego 2013

Usunęłam go z apletu dodaj / usuń programy.
Dezinstalacja się jakoś fiaskiem zakończyła, bo 1/4 plików była w użyciu

Deinstalator poleciał a ja przez 3 restarty usuwałam to, czego on nie usunął

Chyba nie wszystko usunęłam do dziś, bo wciąż mam komunikat o wielu antywirusach.

Tego całego CyberDefendera nie widzi nawet instalator Norton 360 i BitDefender Antivirus Plus 2013

Ale ... gdzie? Co się pokazuje i w którym miejscu?

PS. A system brudny, adware zainstalowane (m.in search.certified-toolbar.com). Czyszczenie w spoilerze:

1. Przez Panel sterowania odinstaluj Ghostery IE Plugin, OPSWAT Toolbar. W Google Chrome w Rozszerzeniach powtórz deinstalację.

2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

3. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
IE - HKU\S-1-5-21-515967899-606747145-725345543-1005\..\SearchScopes\{96bd48dd-741b-41ae-ac4a-aff96ba00f7e}: "URL" = "http://home.myplaycity.com/results.php?category=web&s={searchTerms}"
IE - HKU\S-1-5-21-515967899-606747145-725345543-1005\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = "http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3223346&CUI=UN50547199332598180"
O3 - HKLM\..\Toolbar: (no name) - {68FF9E0F-2E96-4467-87FA-1A8B9734C7E7} - No CLSID value found.
FF - HKLM\Software\MozillaPlugins\@ei.MyWebFace_5a.com/Plugin: C:\Program Files\MyWebFace_5aEI\Installr\1.bin\NP5aEISB.dll (MyWebFace)
O4 - HKLM..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k File not found
O16 - DPF: {10000000-1000-1000-1000-100000000000} "http://cdn.betteradvertising.com/ghostery/addons/ie/2.4.2.0/ghostery.cab" (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab" (Reg Error: Value error.)
[2013-02-13 12:42:23 | 000,000,332 | ---- | M] () -- C:\WINDOWS\tasks\Protected Search.job
[2013-02-06 21:56:29 | 000,000,009 | ---- | M] () -- C:\END
[2012-12-02 17:04:16 | 000,003,621 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\avg-secure-search.xml
[2012-11-19 12:54:10 | 000,003,269 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Web Search.xml
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:Commands
[emptytemp]

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Klik w Wykonaj skrypt. Zatwierdź restart systemu.

4. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

5. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Uruchom SystemLook i do okna wklej:

:regfind

certified

protected search

Klik w Look.

Dołącz log utworzony przez AdwCleaner.

I jeszcze mam pytanie, co to za modyfikacja:

O20 - HKLM Winlogon: UIHost - (%windir%\XP SP3 W1440.exe) - C:\WINDOWS\XP SP3 W1440.EXE (Microsoft Corporation) 
[2013-01-16 21:57:15 | 005,613,568 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\XP SP3 W1440.EXE
[2013-01-16 21:57:15 | 005,613,568 | ---- | C] (Microsoft Corporation) -- C:\Documents and Settings\Domowy\Moje dokumenty\XP SP3 W1440.EXE

.

Kate · 13 Lutego 2013

Więc po kolei:

Ale ... gdzie? Co się pokazuje i w którym miejscu?

pisze to w centrum akcji (nie ma podglądu jakie), za to widać to w System Explorer:

raporty:

SystemLook:

SystemLook 30.07.11 by jpshortstuff

Log created at 18:36 on 13/02/2013 by Domowy

Administrator - Elevation successful

========== regfind ==========

Searching for "certified"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\AboutURLs]

"Tabs"="http://newtab.certified-toolbar.com/nie?si=33953&tid=2958&new=true"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchURI]

"(Default)"="http://search.certified-toolbar.com?si=33953&bs=true&tid=2958&q=%s"

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl]

"(Default)"="http://search.certified-toolbar.com?si=33953&bs=true&tid=2958&q=%s"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Software\Microsoft\Internet Explorer\AboutURLs]

"Tabs"="http://newtab.certified-toolbar.com/nie?si=33953&tid=2958&new=true"