CinemaPlus

[Erikssonvr6]

Jag har lyckats fått in Cinemaplus på men får inte bort den själv så jag behöver lite med vad jag ska göra.

 

Gjorde en sökning med FRST så dessa är bifogade.

FRST.txt

Addition.txt

[Cecilia]

1. Har du konfigurerat Avast så att den ska upptäcka PUP (Potentially Unwanted Programs) och sen gjort en fullständig genomsökning av datorn?

 

2. Avinstallera alla Java-versioner eftersom du har en massa gamla versioner med kända säkerhetshål som gör det lätt att infektera datorn från en webbsida. De flesta behöver inte ha Java installerat alls, men om du måste är det viktigt att alltid ha den senaste versionen, och bara den.

 

3. Avinstallera SpyHunter eftersom det är ett dåligt program. Installera i stället gratis Malwarebytes Anti-Malware och gör en full kontroll (hotskanning) av datorn med det: http://www.malwarebytes.org/
 

 

4. Spara AdwCleaner av Xplode på Skrivbordet: https://toolslib.net/downloads/viewdownload/1-adwcleaner/

Stäng alla program, inklusive webbläsare.
Dubbelklicka på AdwCleaner för att starta programmet.

Klicka på Scan-knappen.
Vänta tills sökningen är klar.
Klicka på knappen Log file.
En rapport kommer upp, kopiera innehållet och klistra in i ditt svar.
Om rapporten inte kommer upp, så finns den även som C:\AdwCleaner\AdwCleaner[R0].txt

[Erikssonvr6]

Så där nu har jag äntligen fått tid till att rensa datorn.

 

1. Nej Avast kördes endast på original settings.

 

2. Jag behöver ha Java 7 i jobbet då en del gamla program fortfarande körs i det. Har du något bra tips på hur man kan skydda sig trots att man fortfarande har gamla versioner?

 

3. Spyhunter är avinstallerat, och Malwarebytes är kört några gånger.

 

4. AdwCleaner är installerad och kört det en gång. Bifogar loggen.

 

Malwarebytes blockerar fortfarande saker när jag surfar runt. Har glömt att kolla vad det står, återkommer om det.

 

Jag får tacka så hemskt mycket för all hjälp!

AdwCleanerC1.txt

[Cecilia]

1. Då tycker jag att du går igenom Avasts inställningar och väljer till detektering av PUP.

 

2. Ok, se till att Java är inaktiverat förutom när du verkligen behöver använda det.

Sen behöver du väl inte ha Java version 6 och två olika version 7 resp. 8. Dessa finns enligt Addition.txt:

Java 7 Update 45 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F86417045FF}) (Version: 7.0.450 - Oracle)
Java 7 Update 71 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F03217071FF}) (Version: 7.0.710 - Oracle)
Java 8 Update 40 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83218040F0}) (Version: 8.0.400 - Oracle Corporation)
Java 8 Update 60 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83218060F0}) (Version: 8.0.600.27 - Oracle Corporation)
Java™ 6 Update 45 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F86416045FF}) (Version: 6.0.450 - Oracle)
Java™ SE Development Kit 6 Update 45 (64-bit) (HKLM\...\{64A3A4F4-B792-11D6-A78A-00B0D0160450}) (Version: 1.6.0.450 - Oracle)
 

4. Bra att AdwCleaner kunde ta bort så mycket av det olämpliga.

 

 

5. Skanna datorn online på http://www.eset.com/onlinescan/ och använd helst Internet Explorer till det.
För att inte skannern ska ta för lång tid på sig stäng av ditt antivirusprogram under tiden.

Välj alternativet Enable detection of potentially unwanted applications.

Klicka på Advanced Settings.
Ta bort bocken framför Remove found threats.
Bocka för:
Scan Archives
Scan for potentially unsafe applications
Enable Anti-Stealth Technology

Klicka på Start

När skanningen är klar klicka på List of found threats, följt av Export to a text file. Spara till en fil på skrivbordet, öppna filen, kopiera resultatet och klistra sedan in det i ditt svar.

 

 

6. Starta FRST.

Bocka för Addition.txt och skanna sen med programmet.

Bifoga de två nya loggarna så får vi se om det är något mer som ska bort.

[Erikssonvr6]

Jag bifogade även FRST.

ESET.txt

Addition.txt

FRST.txt

[Cecilia]

1.
D:\Games\sr-dirt3.iso    Win32/HackTool.Crack.O potentially unsafe application
D:\Games\The.Walking.Dead.Episode.1-RELOADED\rld-twdep1.iso    a variant of Win32/HackTool.Crack.BQ potentially unsafe application
E:\Program\AUTODESK.AUTOCAD.V2014.WIN64-ISO\acad2014_x64.iso    a variant of Win32/Keygen.HA potentially unsafe application
Alltid riskfyllt att hålla på med cracks.
 
2.
C:\Users\Erikxson\Downloads\CuteWriter.exe    a variant of Win32/Bundled.Toolbar.Ask.D potentially unsafe application
C:\Users\Erikxson\Downloads\uTorrent.exe    a variant of Win32/AdkDLLWrapper.A potentially unwanted application
De två programmen skickar med reklamprogram.
Var försiktig med vad du laddar ner och läs noga under installationen, välj anpassad installation om ett sånt val finns så att du kan välja bort allt onödigt som följer med.
 
3. Är det du eller de olämpliga programmen som har sänkt nivån Användarkontroll (UAC, User Access Control) så att det blir lättare för skadliga program att komma in och nästla in sig djupt i Windows?

Om din dator får in skadliga program och du sen ansluter den till ditt jobbs nätverk kan det innebära att hela företagsnätverket blir smittat.


4.Nedanstående skript kommer att tömma alla papperskorgar och mappar för tillfälliga filer så se till att där inte finns något som du vill ha kvar.
 
Starta programmet Anteckningar.
Kopiera alla rader i rutan:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-627016478-1493059415-3870656537-1001\...\Policies\Explorer: [] 
HKU\S-1-5-21-627016478-1493059415-3870656537-1001\...\MountPoints2: {26e482a0-4277-11e4-9756-90e6ba070a09} - H:\autorun.exe
AppInit_DLLs: C:\ProgramData\Bamcof\Tripple-It.dll => No File
AppInit_DLLs-x32: C:\ProgramData\Bamcof\Stan-Ron.dll => No File
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <======= ATTENTION
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
HKU\S-1-5-21-627016478-1493059415-3870656537-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3djKhbvQ61_17ZyvCK8uh7IVPZVhGVDEJsyQ6L0vttx-FUqA2XaI7gJ4-P-p6LvjJq8RF5Y_P3kjXj7KPEQAsp02lXOSCx9UU0uxs3s8RUW6i5kbNtXR1ZE23lT97E6Oy2BBjrTeb9M99N2xubbc13779nsr&q={searchTerms}
HKU\S-1-5-21-627016478-1493059415-3870656537-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3djKhbvQ61_17ZyvCK8uh7IVPZVhGVDEJsyQ6L0vttx-FUqA2XaI7gJ4-P-p6LvjJq8RF5Y_P3kjXj7KPEQAsp02lXOSCx9UU0uxs3s8RUW6i5kbNtXR1ZE23lT97E6Oy2BBjrTeb9M99N2xubbc13779nsr&q={searchTerms}
HKU\S-1-5-21-627016478-1493059415-3870656537-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3djKhbvQ61_17ZyvCK8uh7IVPZVhGVDEJsyQ6L0vttx-FUqA2XaI7gJ4-P-p6LvjJq8RF5Y_P3kjXj7KPEQAsp02lXOSCx9UU0uxs3s8RUW6i5kbNtXR1ZE23lT97E6Oy2BBjrTeb9M99N2xubbc13779nsr&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = 
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3djKhbvQ61_17ZyvCK8uh7IVPZVhGVDEJsyQ6L0vttx-FUqA2XaI7gJ4-P-p6LvjJq8RF5Y_P3kjXj7KPEQAsp02lXOSCx9UU0uxs3s8RUW6i5kbNtXR1ZE23lT97E6Oy2BBjrTeb9M99N2xubbc13779nsr&q={searchTerms}
SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKU\S-1-5-21-627016478-1493059415-3870656537-1001 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKU\S-1-5-21-627016478-1493059415-3870656537-1001 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKU\S-1-5-21-627016478-1493059415-3870656537-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBUTxkij9_B3djKhbvQ61_17ZyvCK8uh7IVPZVhGVDEJsyQ6L0vttx-FUqA2XaI7gJ4-P-p6LvjJq8RF5Y_P3kjXj7KPEQAsp02lXOSCx9UU0uxs3s8RUW6i5kbNtXR1ZE23lT97E6Oy2BBjrTeb9M99N2xubbc13779nsr&q={searchTerms}
FF NewTab: C:\\ProgramData\\Bamcofs\\ff.NT
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
R2 Bamcof; C:\ProgramData\\Bamcof\\Bamcof.exe [807936 2015-10-14] () [File not signed]
2015-10-25 07:50 - 2015-10-25 14:26 - 00000000 ____D C:\ProgramData\Bamcofs
2015-10-22 19:26 - 2015-10-25 17:47 - 00000000 ____D C:\ProgramData\Bamcof
2015-10-22 19:26 - 2015-10-22 19:26 - 05431569 _____ C:\Program Files\Common Files\z24kxy2i.exe
2015-10-22 19:23 - 2015-10-24 19:22 - 00000000 ____D C:\Program Files\Common Files\fgsybbqj
2015-10-22 19:23 - 2015-10-22 19:23 - 00003388 _____ C:\Windows\System32\Tasks\exte2wlu
2015-10-22 18:54 - 2015-10-23 05:56 - 00000102 _____ C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
2015-10-22 19:26 - 2015-10-22 19:26 - 5431569 _____ () C:\Program Files\Common Files\z24kxy2i.exe
2015-04-14 17:28 - 2015-04-14 17:28 - 0004387 _____ () C:\Users\Erikxson\AppData\Roaming\cUYxdrVryj4xG1KC3tyNpbZXrR
2015-04-14 17:28 - 2015-04-14 17:28 - 0004387 _____ () C:\Users\Erikxson\AppData\Roaming\IZlCDW9dTpQA0azPX
2015-10-22 18:23 - 2015-10-22 18:23 - 0000187 _____ () C:\Users\Erikxson\AppData\Local\Fixlux.exe.config
2015-10-22 18:54 - 2015-10-23 05:56 - 0000102 _____ () C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat
Task: {029E2EF2-40F4-47D9-8E7D-DE924F4665EE} - System32\Tasks\exte2wlu => C:\Program Files\Common Files\fgsybbqj\98c8e0lan2pn5.exe <==== ATTENTION
Task: {059D08E3-864A-4D8A-8245-FA012F52796D} - System32\Tasks\snf => C:\ProgramData\Bamcof\Bamcof.exe [2015-10-14] () <==== ATTENTION
Task: {6332E89E-8254-49E8-AE46-CF0B75C645E4} - System32\Tasks\snp => C:\ProgramData\Bamcof\Bamcof.exe [2015-10-14] () <==== ATTENTION
AlternateDataStreams: C:\ProgramData\.rdata:X
EmptyTemp:

och klistra in i Anteckningar. Kontrollera att inga filer har delats upp på två rader.
Spara filen på skrivbordet med namnet fixlist.txt.

Stäng av alla program.
Starta FRST som finns på skrivbordet.
Klicka på knappen Fix.
Vänta tills programmet är klart.
Om datorn inte startas om automatiskt så gör det själv.

Programmet skapar en logg Fixlog.txt på skrivbordet.
Klistra in innehållet i den i ditt svar.