Malware på två nya datorer-program och proffshjälp löser inget

[StaLin]

Innan sommaren köpte jag en ASUS. Installerade vanliga, betrodda program. AV fanns redan. Inget konstigt. Jag har dock under en längre tid haft problem med Office-produkter och pratade nyligen med MS som bad mig köra Malwarebytes. Och visst hittades malware på datorn (WinYahoo). Men hur mycket jag än rensade fanns de fortfarande kvar på datorn. Jag prövade några andra program som fått goda skriverier på typ PC för alla. Vissa av dem hittade inga malware, andra hittade men kunde inte ta bort dem. Så jag hörde av mig till supporten på Malwarebytes. De skickade något program jag skulle köra. Men inget försvann. Malwarebytes skickade ytterligare något verktyg. Inget försvann. De skickade ett tredje verktyg men inget löstes. Sedan dess har jag inte hört av dem.

 

Sedan gick jag och köpte en ny ASUS (inte pga problemen utan för att jag behövde två datorer). Denna dator (som också innehåller AV från fabriken) uppdaterade jag till Win10 och sedan installerade jag typ bara Firefox, Office, Google Drive, drivrutin till Canon-skrivaren och så och sedan Malwarebytes. Tror ni inte den hittade samma jävla WinYahoo. Jag gjorde en återställning av datorn och började sedan med att installera Malwarebytes (som jag sedan kört typ var 5:e minut). Därefter uppgraderade jag till Win10. Sedan Firefox, Office skrivardrivrutiner, Drive. Malwarebytes visade inga tecken på malware. Jag använde datorn lite till att läsa FB, Gmail och lite andra säkra sidor. Fortfarande körde jag Malwarebytes var femte minut. Så. efter någon dag hittades malware, WinYahoo, på datorn. Även denna gång kunde skiten inte tas bort hur mycket jag än försökte. Till råga på allt hittades efter ett litet tag  något nytt. Malwarebytes rapporterade ” Filer: 0 (Inga skadliga poster upptäckta) Unknown.Rootkit.Driver, C:\WINDOWS\SYSTEM32\drivers\mfewfpk.sys”

 

Vad händer?

[Flyfisherman]

Hej,

När jag läser din beskrivning så förstår jag att vissa saker är frustrerande, men kanske ändå inte så allvarliga?

Vissa Antivurs och antimalware-program rapporterar ibland falskt.

 

Till att börja med så skickar i princip alla datortillverkare med en massa 3:e partsprogram som är förinstallerade.

Dessa kan man tycka är ett otyg och varför frågar man sig?

 

Anledningen är att man vill pressa priserna på den färdiga produkten till konsumenten och hur skall man göra detta?

Jo man tar hjälp av andra företag som i sin tur får "lov" att förinstallera sina programvaror och på så sätt finansieras denna dators kostnad.

 

Detta är vad man brukar kalla för "crapware" och som ofta ställer till med bekymmer faktiskt.

Och olika anti-malware s/w rapporterar dessa som skadliga - vilket dom egentligen inte är, fast det finns undantag.

 

Det bästa är att vid nyköp direkt gå in i Kontrollpanelen > Program => avinstallera alla sådana innan man ens klickar och startar upp dessa..Klickar man däremot på ett sådant så börjar installationen av dessa och blir betydligt jobbigare att få få bort sedan.

 

Det finns också ett särskilt program framtagit för just detta: Decrapifier som man kan köra.

 

Men om det dessutom finns annat som är skadligt på dina datorer kan jag inte säga, överlåter detta till mer kunniga på det området.

Mvh

[Cecilia]

Med hjälp av programmet FRST kan vi se vad som är på gång i datorn. Följ anvisningarna i tråden Till dig med virus eller andra skadliga program i datorn så gott det går.

 

Klistra även in den logg där Malwarebytes Anti-Malware (MBAM) har hittat Rootkit och WinYahoo.

 

Det är stor chans att det som MBAM har kallat rootkit i stället är en del av McAfee antivirus och/eller brandvägg.

[StaLin]

Hej,

När jag läser din beskrivning så förstår jag att vissa saker är frustrerande, men kanske ändå inte så allvarliga?

Vissa Antivurs och antimalware-program rapporterar ibland falskt.

 

Det finns också ett särskilt program framtagit för just detta: Decrapifier som man kan köra.

 

Men om det dessutom finns annat som är skadligt på dina datorer kan jag inte säga, överlåter detta till mer kunniga på det området.

Mvh

 

Tack, så kan det ju vara. WinYahoo rapporteras som PUP, dvs ev icke önskvärt, inte farligt. Men såhär skriver Malwarebytes om den:

"An interesting PUP that our researchers have observed is known as “WinYahoo”. WinYahoo gets its name from the files it creates in the user’s Program Files directory, along with Yahoo being set as the default search engine and homepage in installed browsers."

 

Ska kolla på Decrap.

[StaLin]

Med hjälp av programmet FRST kan vi se vad som är på gång i datorn. Följ anvisningarna i tråden Till dig med virus eller andra skadliga program i datorn så gott det går.

 

Klistra även in den logg där Malwarebytes Anti-Malware (MBAM) har hittat Rootkit och WinYahoo.

 

Det är stor chans att det som MBAM har kallat rootkit i stället är en del av McAfee antivirus och/eller brandvägg.

Tack, FRST körde jag på uppmaning av Malwarebytes support. Bifogar den filen här. Och andra log filer som supporten velat ha. Logfilen från Rookiten har jag inte sparat. Inte manuellt i alla fall. Skickar med en fil från senaste skanningen.

FRST.txt

Fixlog.txt

Addition.txt

Malwarebytes log.txt

[Cecilia]

Ingen orsak

 

1. Jag har för mig att man ska kunna få fram alla tidigare loggar inne i MBAM.

 

2. Är det så att McAfee antivirusprogram var installerat tidigare i datorn, typ skickades med av datortillverkaren?

 

3. Avinstallera "STOPzilla AntiVirus 7" för det är inget att ha.

 

 

4. Ta bort den AdwCleaner du redan har och ladda ner senaste versionen i stället.

Spara AdwCleaner av Xplode på Skrivbordet: https://toolslib.net/downloads/viewdownload/1-adwcleaner/

Stäng alla program, inklusive webbläsare.
Dubbelklicka på AdwCleaner för att starta programmet.

Klicka på Scan-knappen.
Vänta tills sökningen är klar.
Klicka på knappen Log file.
En rapport kommer upp, kopiera innehållet och klistra in i ditt svar.
Om rapporten inte kommer upp, så finns den även som C:\AdwCleaner\AdwCleaner[R0].txt

[StaLin]

Ingen orsak

 

1. Jag har för mig att man ska kunna få fram alla tidigare loggar inne i MBAM.

 

2. Är det så att McAfee antivirusprogram var installerat tidigare i datorn, typ skickades med av datortillverkaren?

 

3. Avinstallera "STOPzilla AntiVirus 7" för det är inget att ha.

 

 

4. Ta bort den AdwCleaner du redan har och ladda ner senaste versionen i stället.

Spara AdwCleaner av Xplode på Skrivbordet: https://toolslib.net/downloads/viewdownload/1-adwcleaner/

 

Stäng alla program, inklusive webbläsare.

Dubbelklicka på AdwCleaner för att starta programmet.

 

Klicka på Scan-knappen.

Vänta tills sökningen är klar.

Klicka på knappen Log file.

En rapport kommer upp, kopiera innehållet och klistra in i ditt svar.

Om rapporten inte kommer upp, så finns den även som C:\AdwCleaner\AdwCleaner[R0].txt

2. På dator ett avinstallerade jag det tidigt och la in Avast free. På dator 2 kom det med från fabrik.

 

4. Här kommer filerna. (log-filen har jag fått lägga till .txt till).

AdwCleanerC3.txt

AdwCleanerS3.txt

Quarantine.log.txt

[Cecilia]

1. Efter en vanlig avinstallation av McAfee antivirusprogram och liknande är det bäst att också köra MCPR för att få bort alla rester av McAfee: http://service.mcafee.com/FAQDocument.aspx?id=TS101331

 

2. Jag kan se att AdwCleaner tidigare har flyttat Chrome- och Firefox-tillägg som kommer från Iobit till sin karantän. Dök Yahoo upp i webbläsarna i samband med att du installerade något Iobit-program eller installerade du Iobit-program för att du trodde att det skulle hjälpa dig att få bort Yahoo?

Det är vanligt att Iobit-program innehåller reklamprogram (PUP).

 

3. Starta FRST.

Bocka för Addition.txt och skanna sen.

Bifoga de två nya loggfilerna.

 

 

4. Skanna datorn online på http://www.eset.com/onlinescan/ och använd helst Internet Explorer till det.
För att inte skannern ska ta för lång tid på sig stäng av ditt antivirusprogram under tiden.

Välj alternativet Enable detection of potentially unwanted applications.

Klicka på Advanced Settings.
Ta bort bocken framför Remove found threats.
Bocka för:
Scan Archives
Scan for potentially unsafe applications
Enable Anti-Stealth Technology

Klicka på Start

När skanningen är klar klicka på List of found threats, följt av Export to a text file. Spara till en fil på skrivbordet, öppna filen, kopiera resultatet och klistra sedan in det i ditt svar.

[StaLin]

1. Efter en vanlig avinstallation av McAfee antivirusprogram och liknande är det bäst att också köra MCPR för att få bort alla rester av McAfee: http://service.mcafee.com/FAQDocument.aspx?id=TS101331

 

2. Jag kan se att AdwCleaner tidigare har flyttat Chrome- och Firefox-tillägg som kommer från Iobit till sin karantän. Dök Yahoo upp i webbläsarna i samband med att du installerade något Iobit-program eller installerade du Iobit-program för att du trodde att det skulle hjälpa dig att få bort Yahoo?

Det är vanligt att Iobit-program innehåller reklamprogram (PUP).

 

3. Starta FRST.

Bocka för Addition.txt och skanna sen.

Bifoga de två nya loggfilerna.

 

 

4. Skanna datorn online på http://www.eset.com/onlinescan/ och använd helst Internet Explorer till det.

För att inte skannern ska ta för lång tid på sig stäng av ditt antivirusprogram under tiden.

 

Välj alternativet Enable detection of potentially unwanted applications.

 

Klicka på Advanced Settings.

Ta bort bocken framför Remove found threats.

Bocka för:

Scan Archives

Scan for potentially unsafe applications

Enable Anti-Stealth Technology

 

Klicka på Start

 

När skanningen är klar klicka på List of found threats, följt av Export to a text file. Spara till en fil på skrivbordet, öppna filen, kopiera resultatet och klistra sedan in det i ditt svar.

2. Såhär, dator ett som jag haft ett halvår och som är den jag försöker mest på med att rensa kom Iobit med vid leverans, inget jag installerat själv. På dator två som jag precis köpt finns inga Iobit-produkter med alls och har aldrig funnits.

 

3. Filerna bifogade.

 

4. Filen bifogad.

 

En sak som börjat hända med datorn senaste tiden och som jag utgår från hänger ihop med det här är att Firefox frågar mig varje gång om jag vill använda FF som standarsläsare. Dvs något skit sitter och byter standardläsare åt mig.

Addition.txt

FRST.txt

ESET online scan.txt

[Cecilia]

2. Låt oss koncentrera oss på en dator i taget och nu den med Iobit-program. Om du inte har installerat de programmen så avinstallera dem för det är inget man behöver ha och kan krocka med andra program du har, t ex MBAM.

 

Fast du har visst avinstallerat Iobit-programmen nu förutom att deras uppdateringsprogram är igång och mappar finns kvar.

(IObit) C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe

 

Vill du ha hjälp med att få bort Iobitsmappar?

 

Har du fortfarande problem med Yahoo?

Jag ser inte längre till det i loggarna.

[StaLin]

2. Låt oss koncentrera oss på en dator i taget och nu den med Iobit-program. Om du inte har installerat de programmen så avinstallera dem för det är inget man behöver ha och kan krocka med andra program du har, t ex MBAM.

 

Fast du har visst avinstallerat Iobit-programmen nu förutom att deras uppdateringsprogram är igång och mappar finns kvar.

(IObit) C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe

 

Vill du ha hjälp med att få bort Iobitsmappar?

 

Har du fortfarande problem med Yahoo?

Jag ser inte längre till det i loggarna.

Hmm, verkar funka. Du får gärna berätta hur jag tar bort dem, hittar ingen avinstallationsfunktion.

 

Ska jag gå igenom samma processer med andra datorn?

[Cecilia]

Nedanstående tar bort allt Iobit och Stopzilla som syns i FRST-loggarna.

 

Starta programmet Anteckningar.

Kopiera alla rader i rutan:

CreateRestorePoint:
CloseProcesses:
R2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2909472 2015-08-01] (IObit)
2015-09-21 19:49 - 2015-09-21 19:50 - 09470040 _____ (IObit ) C:\Users\Staffan\Downloads\sm8-setup.exe
2015-10-18 20:28 - 2015-05-06 20:47 - 00000000 ____D C:\Program Files (x86)\IObit
2015-10-10 00:27 - 2015-05-06 20:47 - 00000000 ____D C:\Users\Staffan\AppData\Roaming\IObit
2015-10-10 00:27 - 2015-05-06 20:47 - 00000000 ____D C:\ProgramData\IObit
2015-09-28 16:28 - 2015-09-28 16:28 - 00000000 ____D C:\ProgramData\VIPRE
2015-09-28 16:27 - 2015-10-14 22:55 - 00000000 ____D C:\Program Files (x86)\iS3
2015-09-28 16:27 - 2015-10-14 22:53 - 00000000 ____D C:\ProgramData\STOPzilla!
2015-09-28 16:25 - 2015-09-28 16:25 - 02042328 _____ (iS3, Inc.) C:\Users\Staffan\Downloads\STOPzillaPRO_Downloader.exe
Reboot:

och klistra in i Anteckningar. Kontrollera att inga filer har delats upp på två rader.

Spara filen på skrivbordet med namnet fixlist.txt.

 

Stäng av alla program.

Starta FRST som finns på skrivbordet.

Klicka på knappen Fix.

Vänta tills programmet är klart.

Om datorn inte startas om automatiskt så gör det själv.

 

Programmet skapar en logg Fixlog.txt på skrivbordet.

Klistra in innehållet i den i ditt svar.

 

 

Nu kan du bifoga FRST-loggar från andra datorn.

[StaLin]

Nedanstående tar bort allt Iobit och Stopzilla som syns i FRST-loggarna.

 

Starta programmet Anteckningar.

Kopiera alla rader i rutan:

CreateRestorePoint:
CloseProcesses:
R2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2909472 2015-08-01] (IObit)
2015-09-21 19:49 - 2015-09-21 19:50 - 09470040 _____ (IObit ) C:\Users\Staffan\Downloads\sm8-setup.exe
2015-10-18 20:28 - 2015-05-06 20:47 - 00000000 ____D C:\Program Files (x86)\IObit
2015-10-10 00:27 - 2015-05-06 20:47 - 00000000 ____D C:\Users\Staffan\AppData\Roaming\IObit
2015-10-10 00:27 - 2015-05-06 20:47 - 00000000 ____D C:\ProgramData\IObit
2015-09-28 16:28 - 2015-09-28 16:28 - 00000000 ____D C:\ProgramData\VIPRE
2015-09-28 16:27 - 2015-10-14 22:55 - 00000000 ____D C:\Program Files (x86)\iS3
2015-09-28 16:27 - 2015-10-14 22:53 - 00000000 ____D C:\ProgramData\STOPzilla!
2015-09-28 16:25 - 2015-09-28 16:25 - 02042328 _____ (iS3, Inc.) C:\Users\Staffan\Downloads\STOPzillaPRO_Downloader.exe
Reboot:

och klistra in i Anteckningar. Kontrollera att inga filer har delats upp på två rader.

Spara filen på skrivbordet med namnet fixlist.txt.

 

Stäng av alla program.

Starta FRST som finns på skrivbordet.

Klicka på knappen Fix.

Vänta tills programmet är klart.

Om datorn inte startas om automatiskt så gör det själv.

 

Programmet skapar en logg Fixlog.txt på skrivbordet.

Klistra in innehållet i den i ditt svar.

 

 

Nu kan du bifoga FRST-loggar från andra datorn.

 

Fix result of Farbar Recovery Scan Tool (x64) Version:21-10-2015

Ran by Staffan (2015-10-21 21:02:39) Run:3

Running from C:\Users\Staffan\Desktop

Loaded Profiles: Staffan (Available Profiles: Staffan)

Boot Mode: Normal

==============================================

 

fixlist content:

*****************

CreateRestorePoint:

CloseProcesses:

R2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2909472 2015-08-01] (IObit)

2015-09-21 19:49 - 2015-09-21 19:50 - 09470040 _____ (IObit ) C:\Users\Staffan\Downloads\sm8-setup.exe

2015-10-18 20:28 - 2015-05-06 20:47 - 00000000 ____D C:\Program Files (x86)\IObit

2015-10-10 00:27 - 2015-05-06 20:47 - 00000000 ____D C:\Users\Staffan\AppData\Roaming\IObit

2015-10-10 00:27 - 2015-05-06 20:47 - 00000000 ____D C:\ProgramData\IObit

2015-09-28 16:28 - 2015-09-28 16:28 - 00000000 ____D C:\ProgramData\VIPRE

2015-09-28 16:27 - 2015-10-14 22:55 - 00000000 ____D C:\Program Files (x86)\iS3

2015-09-28 16:27 - 2015-10-14 22:53 - 00000000 ____D C:\ProgramData\STOPzilla!

2015-09-28 16:25 - 2015-09-28 16:25 - 02042328 _____ (iS3, Inc.) C:\Users\Staffan\Downloads\STOPzillaPRO_Downloader.exe

Reboot:

*****************

 

Firefox frågar mig fortfarande vid varje start om jag ska välja den som standardläsare. Kan ju vara något annat fel också.

[StaLin]

Edit: Jag körde MBAM efter det här inlägget och då hittades ingen WinYahoo. Märkligt eftersom jag inte gjort något speciellt för att ta bort skiten (jag har fokuserat på dator 1). Vad säger filerna?

 

____________________________

 

Och här är filerna från dator två.

FRST.txt

Addition.txt

[Cecilia]

Fix result of Farbar Recovery Scan Tool (x64) Version:21-10-2015

Ran by Staffan (2015-10-21 21:02:39) Run:3

Running from C:\Users\Staffan\Desktop

Loaded Profiles: Staffan (Available Profiles: Staffan)

Boot Mode: Normal

==============================================

 

fixlist content:

*****************

CreateRestorePoint:

CloseProcesses:

R2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2909472 2015-08-01] (IObit)

2015-09-21 19:49 - 2015-09-21 19:50 - 09470040 _____ (IObit ) C:\Users\Staffan\Downloads\sm8-setup.exe

2015-10-18 20:28 - 2015-05-06 20:47 - 00000000 ____D C:\Program Files (x86)\IObit

2015-10-10 00:27 - 2015-05-06 20:47 - 00000000 ____D C:\Users\Staffan\AppData\Roaming\IObit

2015-10-10 00:27 - 2015-05-06 20:47 - 00000000 ____D C:\ProgramData\IObit

2015-09-28 16:28 - 2015-09-28 16:28 - 00000000 ____D C:\ProgramData\VIPRE

2015-09-28 16:27 - 2015-10-14 22:55 - 00000000 ____D C:\Program Files (x86)\iS3

2015-09-28 16:27 - 2015-10-14 22:53 - 00000000 ____D C:\ProgramData\STOPzilla!

2015-09-28 16:25 - 2015-09-28 16:25 - 02042328 _____ (iS3, Inc.) C:\Users\Staffan\Downloads\STOPzillaPRO_Downloader.exe

Reboot:

*****************

 

Firefox frågar mig fortfarande vid varje start om jag ska välja den som standardläsare. Kan ju vara något annat fel också.

Det där är bara första halvan av fixlog.txt.

 

När det gäller Firefox vet jag inte men kolla att det har blivit rätt i Kontrollpanelen - Standardprogram eller pröva med att först välja en annan webbläsare som standard, starta om datorn och så välja Firefox i Kontrollpanelen - Stnadardprogram.

[Cecilia]

Edit: Jag körde MBAM efter det här inlägget och då hittades ingen WinYahoo. Märkligt eftersom jag inte gjort något speciellt för att ta bort skiten (jag har fokuserat på dator 1). Vad säger filerna?

 

____________________________

 

Och här är filerna från dator två.

Yahoo syntes i FRST-loggarna först, men efter AdwCleaner och andra program som du körde på egen hand fanns det inte längre kvar.

 

 

Dator med Windows 10:

 

1. ATTENTION: System Restore is disabled

Är det med mening som systemåterställningsfunktionen är avstängd?

Det är en bra funktion, särskilt när man håller på och gör ändringar i datorn, oavsett om det är manuellt eller med något program.

 

2. Var det problem med WinYahoo när du körde FRST?

För det finns inga spår av Yahoo i loggen.

[StaLin]

Yahoo syntes i FRST-loggarna först, men efter AdwCleaner och andra program som du körde på egen hand fanns det inte längre kvar.

 

 

Dator med Windows 10:

 

1. ATTENTION: System Restore is disabled

Är det med mening som systemåterställningsfunktionen är avstängd?

Det är en bra funktion, särskilt när man håller på och gör ändringar i datorn, oavsett om det är manuellt eller med något program.

 

2. Var det problem med WinYahoo när du körde FRST?

För det finns inga spår av Yahoo i loggen.

Nej, dator ett verkar vara ren nu.

 

Av någon anledning verkar dator två också vara ren utan att jag gjort något med den. ?

 

Jag har inte stängt av någon systemåterställningsfunktion. Jag tycker jag borde hitta var jag ändrar det, men inte nu. Vet du var?

 

Tack för all din hjälp, den har varit bättre än MBAMs support! Hoppas skiten fortsätter stanna borta.

[Cecilia]

Ingen orsak, särskilt som jag inte tycker att jag har rensat just något mer i datorerna än vad som redan var gjort. Möjligen att det blev en nyare version av AdwCleaner som klarade av mer.

 

 

Systemåterställning:

Se sidan http://www.tenforums.com/tutorials/4588-system-restore-windows-10-a.html#option2 Option Two följ punkt 1-8 men i bilden i punkt 8 väljer du "Configure" i stället.

 

 

Avinstallation av FRST och AdwCleaner:

 

1. Stäng alla program, inklusive webbläsare.
Dubbelklicka på AdwCleaner för att starta programmet.
Klicka på Uninstall-knappen.

2. Ladda ner avinstallationsprogrammet OTC till Skrivbordet: http://oldtimer.geekstogo.com/OTC.exe
Dubbelklicka på filen för att starta programmet.
Tryck på knappen CleanUp! och FRST kommer att avinstalleras efter en omstart av datorn. Ta bort eventuella loggar.