Skocz do zawartości

Wyczyszczenie systemu z adware i innych śmieci - komputer znajomej


Rekomendowane odpowiedzi

Witam

Proszę o pomoc w wyczyszeniu komputera znajomej z adware i innych śmieci. Po wstępnej analizie loga z GMER widzę, ze sterownik sptd jesty mnadal wykrywany pomimo zastosowania opcji Uinall w programie SPTDinst. Dodatkowo system troche dłużej zastrzymuje się na ekranie z logo Windows podczas startu. Logi z FRST, OTL i GMER w załączniku.

Pozdrawiam

Addition.txt

FRST.txt

OTL.Txt

Extras.Txt

GMER.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Po wstępnej analizie loga z GMER widzę, ze sterownik sptd jesty mnadal wykrywany pomimo zastosowania opcji Uinall w programie SPTDinst.

To naturalne po deinstalacji SPTD. To co widzisz w GMER to wyniki bez znaczenia dla uruchomienia GMER, gdyż to statyczne odczyty zablokowanego przez uprawnienia odpadkowego klucza SPTD. Przy uruchamianiu GMER chodzi o co innego, czyli o zdjęcie aktywności sterownika per se (hooki na urządzeniach), co tu zaistniało.

 

 

1. Przez Dodaj/Usuń programy odinstaluj:

 

- Adware: DealPly, SpeedAnalysis.com, Updater Service, Update_DealPly, Yontoo 2.051.

- Stare lub szczątkowe aplikacje: Ad-Aware SE Personal, LiveUpdate 3.0 (Symantec Corporation).

- Duplikat Avast, gdyż tu są zainstalowane najwyrażniej dwie wersje: stara Avast 4 (niepoprawnie odinstalowana) oraz nowa komercyjna Avast Internet Security.

 

==================== Installed Programs =======================

 

avast! Antivirus (Version: 4.8)

avast! Internet Security (Version: 2014.9.0.2001)

 

2. Otwórz Notatnik i wklej w nim:

 

C:\WINDOWS\system32\ACF7EF
C:\Documents and Settings\All Users\Dane aplikacji\Babylon
C:\Documents and Settings\All Users\Dane aplikacji\TEMP
C:\Documents and Settings\Barbara Postek\Dane aplikacji\Babylon
C:\Documents and Settings\Barbara Postek\Dane aplikacji\File Scout
C:\Documents and Settings\Barbara Postek\Dane aplikacji\PerformerSoft
C:\Documents and Settings\Barbara Postek\Dane aplikacji\PriceGong
C:\Documents and Settings\Barbara Postek\Ustawienia lokalne\Dane aplikacji\Conduit
C:\Documents and Settings\Patryk\Menu Start\Programy\Autostart\74BE16.lnk
C:\Program Files\McAfee Security Scan
MountPoints2: {452060c8-6b9b-11dc-95fc-001b770f419d} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycle.exe
MountPoints2: {452060c9-6b9b-11dc-95fc-001b770f419d} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycle.exe
MountPoints2: {4c2271c6-847e-11dc-9620-001b770f419d} - G:\2u.com
MountPoints2: {5e1a865e-cb6b-11dd-983d-0017a4e1e168} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
MountPoints2: {66910f0d-03a6-11df-99b8-0017a4e1e168} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycle.exe
MountPoints2: {6a1e24a0-b2a2-11de-9957-0017a4e1e168} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycle.exe
MountPoints2: {943d1a60-4191-11df-9a15-0017a4e1e168} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycle.exe
MountPoints2: {943d1a62-4191-11df-9a15-0017a4e1e168} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycle.exe
MountPoints2: {ef30e5f4-4322-11df-9a18-0017a4e1e168} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycle.exe
HKU\Administrator\...\Run: [wsctf.exe] - wsctf.exe
HKU\Administrator\...\Run: [EXPLORER.EXE] - EXPLORER.EXE
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-search.com/?affID=119961&babsrc=HP_ss&mntrId=097C0017A4E1E168
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=119961&babsrc=SP_ss&mntrId=097C0017A4E1E168
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear
SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2475029
FF HKLM\...\Firefox\Extensions: [speedanalysis@SpeedAnalysis.com] - C:\Documents and Settings\Barbara Postek\Dane aplikacji\Mozilla\Extensions\speedanalysis@SpeedAnalysis.com
FF HKCU\...\Firefox\Extensions: [speedanalysis@SpeedAnalysis.com] - C:\Documents and Settings\Barbara Postek\Dane aplikacji\Mozilla\Extensions\speedanalysis@SpeedAnalysis.com
FF Extension: SpeedAnalysis.com - C:\Documents and Settings\Barbara Postek\Dane aplikacji\Mozilla\Extensions\speedanalysis@SpeedAnalysis.com
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\babylon.xml
DPF: {65D72393-E210-4A2A-B8E0-10AC45986770} http://megapanel.gem.pl/WebInstaller.dll
Unlock: HKLM\SYSTEM\CurrentControlSet\Services\sptd
S3 ASFWHide; \??\C:\DOCUME~1\BARBAR~1\USTAWI~1\Temp\ASFWHide [x]
S4 sptd; System32\Drivers\sptd.sys [x]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

4. Uruchom TFC - Temp Cleaner.

 

5. Zrób nowe skany FRST z każdego konta z osobna: zalogowana obecnie Barbara (Addition po raz drugi niepotrzebny), a następnie przelogowanie na Patryka (tu należy zaznaczyć tworzenie Addition). Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

 

.

Odnośnik do komentarza

Witam

Niestety podczas wykonywania punktu 1 wystąpiły poważne problemy i musze prosić o pomoc w ich rozwiązaniu przed przejściem do dalszych instrukcji. Mianowicie:

- nie mogłem odszukać wśród zaimnstalowanych programów Update_DealPly

- przy próbie odinstalowania LiveUpdate 3.0 (Symantec Corporation) program zgłosił, że na komputerze są jeszcze zainstalowane inne programy korzystające z niego w związku z czym anulowałem deinstalację.

- teraz główny powód przerwania dalszych działań - po odinstalowaniu poprzez Avast Uninstall Utility obu wersji Avast na komputerze znajomej przestał działać internet, tego posta pisze ze swojego komputera.

Pozdrawiam

 

// edit

 

Internet przywrócony poprzez usunięcie filtra na karcie sieciowej, przechodzę do punktu i dalszych.

 

// edit 2

 

Punkt 2 i dalsze wykonane bez problemu, logi w załączniku.

FRST-Barbara.txt

Fixlog.txt

AdwCleanerS0.txt

Addition-Patryk.txt

FRST-Patryk.txt

Edytowane przez robson
Odnośnik do komentarza

Jeszcze drobne działania na odpadki.

 

1. Pobierz ponownie FRST (ma nowe poprawki). Zaloguj się na konto Patryk. Otwórz Notatnik i wklej w nim:

 

MountPoints2: {977bc157-76b1-11dc-9604-001b770f419d} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycle.exe
MountPoints2: {ef30e5f4-4322-11df-9a18-0017a4e1e168} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycle.exe
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL =
Toolbar: HKCU - No Name - {C4069E3A-68F1-403E-B40E-20066696354B} - No File
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
DPF: {65D72393-E210-4A2A-B8E0-10AC45986770} http://megapanel.gem.pl/WebInstaller.dll
U2 Harmonogram automatycznej usługi LiveUpdate; C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe [100032 2006-08-03] (Symantec Corporation)
S3 LiveUpdate; C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE [2119360 2006-08-03] (Symantec Corporation)
S2 aswUpdSv; "C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe" [x]
R1 eeCtrl; C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys [395312 2007-09-21] (Symantec Corporation)
C:\Documents and Settings\Barbara Postek\Dane aplikacji\Lavasoft
C:\Documents and Settings\Patryk\Dane aplikacji\Lavasoft
C:\Program Files\Common Files\Symantec Shared
C:\Program Files\Symantec
C:\WINDOWS\system32\lsass.log
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Uruchom Norton Removal Tool.

 

3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.

 

 

 

.

Odnośnik do komentarza

Chodziło mi tylko o jeden skan FRST, z konta Patryk (na nim były czynności wykonywane). Usuwam nadwyżkę.

 

1. Wykonane, fixlist.txt musiałem zapisać w w kodowaniu UTF-8 (załącznik fixlog-Patryk.txt).

Nie rozumiem. Jaki powód? Załączone wpisy nie miały żadnych znaków Unicode...

 

A akcje wykonane. Kończ:

 

1. Minimalna poprawka, nie zauważyłam wpisów pustych. Otwórz Notatnik i wklej w nim:

 

HKLM\...\Run: [FaxCenterServer] - "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
HKCU\...\Run: [swg] - C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

 

2. Usuń narzędzia: przez SHIFT+DEL skasuj C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Był uruchamiany GMER, więc zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

 

4. Te pozycje do aktualizacji:

 

==================== Installed Programs =======================

 

Gadu-Gadu 7.7

Mozilla Firefox 23.0.1 (x86 pl) (Version: 23.0.1)

OpenOffice.org Installer 1.0 (Version: 1.0.9221) ----> deinstalacja

 

Zamiast mało bezpiecznego próchna Gadu-Gadu 7.7 np. WTW (dobra obsługa GG): KLIK.

 

 

 

.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...