Wirus na wirusie

[Nidril]

Witam!

Do niedawna miałem Avasta jako głównego obrońce mojego kompa, ale no cóż okazało się, że zawalił sprawę koncertowo. Avirą już przeskanowałem kompa i okazało się, że mam kilka koni trojańskich. Z tym nie było problemu.

Problem natomiast mam taki, że jako stronę startową ustawia mi QV06, a na kompie pojawił się program WinZipper.

Odpaliłem adwcleanera, przeskanowałem i walnąłem opcję CLEAN, ale widzę, że w panelu sterowania ten program nadal jest, mimo, że wcześniej widziałem go na liście programów do usunięcia adwleanera.

Co robić?

[feleron]

Zrób pełny skan programem Malwarebytes anti-malware, jeżeli coś wykryje to usuń i daj log. Następnie daj logi z programu OTL.

[TooruHW]

Do sprawowania pieczy nad komputerem polecam NOD 32 Smart Security firmy ESET,

QV06 trzeba wywalić z rejestru bo inaczej nic to nie da.

[Nidril]

Jak dodać tu plik tekstowy?

[[Ekspert] BladyPiter]

Na np: speedyshare i daj tu linka.

[Nidril]

http://speedy.sh/dJup4/OTL.Txt

http://speedy.sh/E2QZ9/Extras.Txt

I z malware: http://speedy.sh/mgesN/MBAM-log-2013-08-25-22-27-13.txt

[feleron]

Daj jeszcze log z programu adwcleaner(domyślnie na c:\adWcleaner)

Przy pomocy revo uninstaller spróbuj odinstalować Winzipper. Co ciekawe, w logu nie znalazłem śladu po nim ani żadnym adware. Uruchom OTL i w oknie własne opcje skanowania/skrypt wklej i kliknij wykonaj skrypt (drobna kosmetyka):

:otl
FF - HKCU\Software\MozillaPlugins\ubisoft.com/uplaypc: D:\Program Files\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll File not found
[2013-07-26 22:31:20 | 000,713,729 | ---- | M] () (No name found) -- C:\Users\Gryffindor\AppData\Roaming\mozilla\firefox\profiles\q18ckez3.default\extensions	oolbar_AVIRA-V7@apn.ask.com.xpi
O2 - BHO: (no name) - {41564952-412D-5637-00A7-7A786E7484D7} - No CLSID value found.
O2 - BHO: (no name) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {41564952-412D-5637-00A7-7A786E7484D7} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - No CLSID value found.
:Commands
[emptytemp]

Daj log z usuwania.

Spróbuj przywrócić domyślną stronę startową: https://support.mozilla.org/pl/kb/domyslna-strona-startowa-w-firefoksie. Zobacz jeszcze: PPM na ikonę Mozilli->właściwości i zobacz czy w polu element docelowy nie ma żadnych dodatkowych wpisów.

Wygląda na to, że obecnie używasz AVG, użyj tego narzędzia aby pozbyć się pozostałości po Avascie.

[Sepowaty]

Ja również miałem problem z WinZipperem. AdwCleaner go nie usuwał, a odinstalowanie go przez panel oznaczało doinstalowanie dwóch dodatkowych śmieci. Ostatecznie wszystko usunąłem ręcznie w trybie awaryjnym i oczyściłem rejestr.

Chętnie bym zasztyletował twórcę tego dzieła.

[Nidril]

http://speedy.sh/NdX4r/08262013-162841.log - po usuwaniu

http://speedy.sh/kEc93/AdwCleaner-S1.txt - adwcleaner

Udało mi się bez problemu ustawić wszystko w przeglądarce.

Teraz jak wszedłem na dysk C to jakoś tak się zaniepokoiłem, bo pojawiło się na nim dużo takich przyćmionych folderów i plików, których nigdy tam nie widziałem.

Revo uninstaller wyświetla, że program zwiódł gdy próbuje wykonać dezinstalację, nawet wymuszoną. Po skanowaniu wyświetla mi się lista plików na całym kompie, które mają coś wspólnego z WinZipperem i ta lista jest zatrważająco długa.

[feleron]

Co do tych plików to spokojnie, są to po prostu ukryte pliki i foldery. https://safegroup.pl/pomoc/instrukcja-wlaczenia-pokazywania-ukrytych-plikow-t3149.html z tym, że ty musisz zrobić wszystko na odwrót czyli zaznacz opcję nie pokazuj ukrytych plików i folderów Co do revo uninstallera, jak możesz to daj screen z tą listą.

[Nidril]

http://imageshack.us/g/19/qb53.png/

Jak widzisz to tylko dwa screeny, a pasek przewijania jest na początku. Jakby ten winzipper był wszędzie.

[feleron]

Wpisy te dotyczą klucza contextMenuHandlers czyli opcji które widzisz po kliknięciu prawym klawiszem myszki. Winzipper dodaje różne niechciane opcje do menu kotekstowego stąd te wpisy w rejestrze. Wydaje się, że ich usunięcie powinno pomóc, ale jeśli zdecydujesz się na usuwanie to na Twoim miejscu zrobiłbym kopię zapasową rejestru - tak na wszelki wypadek.

[Nidril]

Nie mogę zdecydować się na ich usunięcie, bo jest ich zbyt dużo

Jak załatwić sprawę w trybie awaryjnym? Gdzieś już widziałem, że tak trzeba, a i użytkownik Sepowaty to potwierdził. Nie mam pojęcia jak to zrobić.

[Sepowaty]

Ja to zrobiłem metodą dosyć "niekulturalną". Usunąłem żywcem WinZippera (z Program Files), a następnie przejechałem rejestr CCleanerem. Chodzi jak trzeba, akurat w przypadku tego Zippera. Oczywiście wszystko w trybie awaryjnym.

[Nidril]

Też mam CCleanera. Jak wejść w tryb awaryjny i czego nie robić, żeby nic nie uszkodzić, gdy w nim jestem

[Sevard]

Przede wszystkim nie używaj narzędzi do czyszczenia rejestru (no chyba, że potrafisz naprawić system, jeśli coś pójdzie nie tak).

Daj nowe logi z Malwarebytes' Anti-Malware (w poprzednim skanowaniu znalazł coś coś ciekawego, a nikt tego nie poinstruował Cię, żebyś to usunął) oraz z OTL.