Skocz do zawartości

Zamulanie systemu


Rekomendowane odpowiedzi

Witam,

 

Sprawa jest prosta, komputer rodzinny, instalowane syfy cały czas, poezja. Dzisiaj wracam do domu, ledwo daję radę uruchomić przeglądarkę. Spowolniona praca komputera o ok. 90%., strony ładują się po 3 sekundach. Podejrzewam Malware. Już jakiś czas temu tutaj pisałem i nie zawiodłem się, pomoc pierwsza klasa, dziękuję. Keep it going ;)

 

Wracając do sprawy systemu.. Od razu sprawdziłem w CCleanerze zainstalowane programy.. 

- FormatFactory 3.3.5.0 - nie da rady usunąć.

- shopper pro - od razu syf usunięty, ale chyba nie do końca - w Program Files mam jakieś : Apps Hat , YouTube Accelerator , YTAHelper. Moje siły na nic, za cholerę tego usunąć nie mogę.

 

 

Raporty:

Farbar Recovery Scan Tool (FRST): 

Addition.txt

FRST.txt

Shortcut.txt

 

OTL:

OTL.Txt

Extras.Txt

 

GMER:

Program przestał działać. Wedle https://www.fixitpc.pl/forum-6/announcement-2-ważne-oprogramowanie-emulujące-napędy/ - zainstalowałem SCSI Pass Through Direct - ale sterownik SPTD nie jest zainstalowany. Co robić?

 

 

 

Windows 8.1

 

Pozdrawiam.

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Sprawa jest prosta, komputer rodzinny, instalowane syfy cały czas, poezja.

(...)

w Program Files mam jakieś : Apps Hat , YouTube Accelerator , YTAHelper. Moje siły na nic, za cholerę tego usunąć nie mogę.

Problemy adware są wynikiem uruchomienia tzw. "downloaderów" portalowych, a przykład szkodliwego pliku poniżej. Więcej na ten temat: KLIK. Notabene: HDD Regenerator to nie jest polecany tu program.

 

2014-10-24 12:44 - 2014-10-24 12:44 - 00225464 _____ () C:\Users\Kamil\Downloads\HDDRegenerator_downloader-IeXp5SxIY.exe

 

Folderu YouTube Accelerator nie da się usunąć, gdyż jest chroniony przez aktywne procesy, a dodatkowo jest wpięty w łańcuch sieciowy Winsock. Usunięcie "z ręki" grozi uszkodzeniem łańcucha i odcięciem od sieci. Akcja będzie podzielona na dwa etapy. Dodatkowo: w procesach działa Google Chrome, a w ogóle nie ma wejścia deinstalacji programu, przeglądarka wygląda na częściowo uszkodzoną. W systemie są też ślady instalacji Opera, ale zdaje się, że to rzeczywuiście odinstalowany program i będę usuwać powiązane obiekty.

 

 

FormatFactory 3.3.5.0 - nie da rady usunąć.

Wg Shortcut instalacja jest wybrakowana i nie ma na dysku plików wymaganych do jej przeprowadzenia (skierowanie na dysk F nawet nie wykryty jako istniejący):

 

Shortcut: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FormatFactory\FormatFactory.lnk -> F:\pliki\FormatFactory\FormatFactory.exe (No File)

Shortcut: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FormatFactory\Help.lnk -> F:\pliki\FormatFactory\FormatFactory.exe (No File)

Shortcut: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FormatFactory\Uninstall.lnk -> F:\pliki\FormatFactory\uninst.exe (No File)

 

 

GMER: Program przestał działać. (...) zainstalowałem SCSI Pass Through Direct - ale sterownik SPTD nie jest zainstalowany. Co robić?

Wg raportu nie ma tu żadnych sterowników związanych z emulacją. Przyczyna błędu programu jest więc inna, lecz trudno stwierdzić jaka. GMER jest fanaberyjny. Darujmy go sobie teraz.

 

 

 


Pod kątem adware przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
R1 {972b8ad0-9d6f-4688-9227-759df6914df4}w64; C:\Windows\System32\drivers\{972b8ad0-9d6f-4688-9227-759df6914df4}w64.sys [48776 2014-10-24] (StdLib)
R2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [705416 2014-09-24] (Cherished Technololgy LIMITED)
R2 YouTubeAcceleratorService; C:\Program Files (x86)\YouTube Accelerator\YouTubeAcceleratorService.exe [1510248 2014-10-24] (GOOBZO)
FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate)
FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate)
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1413460407&from=cor&uid=ST3500418AS_6VMGGVAGXXXX6VMGGVAG&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1413460407&from=cor&uid=ST3500418AS_6VMGGVAGXXXX6VMGGVAG&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1413460407&from=cor&uid=ST3500418AS_6VMGGVAGXXXX6VMGGVAG&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1413460407&from=cor&uid=ST3500418AS_6VMGGVAGXXXX6VMGGVAG&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=sc&ts=1413460407&from=cor&uid=ST3500418AS_6VMGGVAGXXXX6VMGGVAG
Startup: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Menedżer Realtek HD Audio.lnk
Task: C:\WINDOWS\Tasks\Opera N.job => C:\Program Files (x86)\Opera\launcher.exe
C:\Program Files (x86)\Apps Hat
C:\Program Files (x86)\globalUpdate
C:\Program Files (x86)\Opera
C:\Program Files (x86)\Temp
C:\Program Files (x86)\YTAHelper
C:\ProgramData\374311380
C:\ProgramData\IePluginServices
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YouTube Accelerator
C:\ProgramData\TEMP
C:\ProgramData\WindowsMangerProtect
C:\ProgramData\YTAHelper
C:\Users\Kamil\AppData\Local\globalUpdate
C:\Users\Kamil\AppData\Local\Google\Chrome\User Data\Default\Preferences
C:\Users\Kamil\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences
C:\Users\Kamil\AppData\Local\Opera Software
C:\Users\Kamil\AppData\Roaming\Opera Software
C:\Users\Kamil\AppData\Roaming\Systweak
C:\Users\Kamil\Downloads\*_downloader*.exe
C:\Users\Public\Documents\GOOBZO
C:\Users\Public\Documents\ShopperPro
C:\Users\Public\Documents\YTAHelper
C:\WINDOWS\system32\netcfg-*.txt
C:\WINDOWS\system32\roboot64.exe
C:\Windows\System32\drivers\{972b8ad0-9d6f-4688-9227-759df6914df4}w64.sys
CMD: netsh winsock reset
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Kamil\AppData\Local
CMD: dir /a C:\Users\Kamil\AppData\LocalLow
CMD: dir /a C:\Users\Kamil\AppData\Roaming
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. O ile przeglądarka Google Chrome ma pozostać, nadpisz ją nowym instalatorem.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

.

Odnośnik do komentarza

Wszystko pomyślnie wykonane, łańcuch Winsock zresetowany i możemy przejść już do usuwania odpadkowego katalogu. Czyli poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: C:\Program Files (x86)\YouTube Accelerator
RemoveDirectory: C:\ProgramData\SlimWare Utilities Inc
RemoveDirectory: C:\Users\Kamil\AppData\LocalLow\Goobzo
RemoveDirectory: C:\Users\Kamil\Downloads\FRST-OlderVersion
DeleteQuarantine:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt.

 

2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. Przedstaw log.

 

3. Uszkodzony FormatFactory 3.3.5.0 spróbuj zlikwidować za pomocą Revo Uninstaller Freeware.

 

 

 

.

Odnośnik do komentarza

Usuwanie via Fix oraz AdwCleaner wykonane pomyślnie. Zanim zadam czynności końcowe:

 

 

Znaleziono wpisy i pozostałe pliki. Usunąć je bez deinstalacji programu?

Jak mówiłam, program jest uszkodzony (wygląda na częściowo odinstalowany), toteż zostaje usunięcie wpisów rejestru wykrytych przez Revo. Jednak przed tą akcją na wszelki wypadek utwórz ręcznie punkt Przywracania systemu.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...