Zaśmiecony laptop

kosa4321 · 1 Czerwca 2014

Cześć wszystkim

Na prośbę brata mam się zająć jego laptopem (Win 7 Home Premium 64bit), w którym jest masa śmieci i kto wie co jeszcze. Brat często wykonuje

transakcje przez internet, a nie ma pojęcia że w takich przypadkach różnie może być.

@GMER wrzucam w formie 'quick scan', gdy robiłem przy C: to zresetował się system i długo się wczytywał.

W wolnej chwili Picasso rzuć proszę okiem na ten temat, liczę na pomoc. Dziękuję.

picasso · 3 Czerwca 2014

Widzę tu tylko adware i to głównie w szczątkach, oraz nieczynne źle kiedyś doczyszczone odpadki infekcji "policyjnej". Akcja:

1. Otwórz Notatnik i wklej w nim:

S4 WebCake Desktop Updater; "C:\Program Files (x86)\WebCake\WebCakeDesktop.Updater.exe" "C:\Users\Pawe│\AppData\Roaming\WebCake\WebCakeDesktop.exe"
S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 massfilter_lte; \??\C:\windows\system32\drivers\massfilter_lte.sys [X]
S3 zgdcat; system32\DRIVERS\zgdcat.sys [X]
S3 zgdcdiag; system32\DRIVERS\zgdcdiag.sys [X]
S3 zgdcmdm; system32\DRIVERS\zgdcmdm.sys [X]
S3 zgdcnet; system32\DRIVERS\zgdcnet.sys [X]
S3 zgdcnmea; system32\DRIVERS\zgdcnmea.sys [X]
HKU\.DEFAULT\...\RunOnce: [] - [X]
HKU\S-1-5-19\...\RunOnce: [] - [X]
HKU\S-1-5-20\...\RunOnce: [] - [X]
HKU\S-1-5-21-2666340739-2498256653-3035462964-1000\...\Policies\Explorer: [NofolderOptions] 0
Task: {10CB747F-820E-4E3E-989B-34469BC094E9} - System32\Tasks\YourFile DownloaderUpdate => C:\Program Files (x86)\YourFileDownloader Updater\YourFileUpdater.exe [2014-05-20] (http://yourfiledownloader.com) 
Task: {49A58959-3400-4B38-80C5-E58CF8A113FE} - System32\Tasks\DigitalSite => C:\Users\Paweł\AppData\Roaming\DigitalSite\UpdateProc\UpdateTask.exe [2013-04-12] () 
Task: {7AE693AA-E1E8-4C7D-B64B-A05E41887163} - System32\Tasks\Digital Sites => C:\Users\PAWE~1\AppData\Roaming\DIGITA~2\UPDATE~1\UPDATE~1.EXE 
Task: {ECEB85FB-663E-44B1-892F-6714A80D4754} - System32\Tasks\DSite => C:\Users\PAWE~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE 
Task: C:\windows\Tasks\Digital Sites.job => C:\Users\PAWE~1\AppData\Roaming\DIGITA~2\UPDATE~1\UPDATE~1.EXE 
Task: C:\windows\Tasks\DigitalSite.job => C:\Users\PAWE~1\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE 
Task: C:\windows\Tasks\DSite.job => C:\Users\PAWE~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE 
AppInit_DLLs: c:\progra~3\bitguard\271832~1.68\{c16c1~1\loader.dll => c:\progra~3\bitguard\271832~1.68\{c16c1~1\loader.dll File Not Found
AppInit_DLLs: c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll => c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll File Not Found
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1400622543&from=exp&uid=HitachiXHTS547550A9E384_J1120021C2L5WAC2L5WAX
ShortcutWithArgument: C:\Users\Paweł\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1400622543&from=exp&uid=HitachiXHTS547550A9E384_J1120021C2L5WAC2L5WAX
ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://istart.webssearches.com/?type=sc&ts=1400622543&from=exp&uid=HitachiXHTS547550A9E384_J1120021C2L5WAC2L5WAX
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1400622543&from=exp&uid=HitachiXHTS547550A9E384_J1120021C2L5WAC2L5WAX
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1400622543&from=exp&uid=HitachiXHTS547550A9E384_J1120021C2L5WAC2L5WAX
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1400622543&from=exp&uid=HitachiXHTS547550A9E384_J1120021C2L5WAC2L5WAX&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1400622543&from=exp&uid=HitachiXHTS547550A9E384_J1120021C2L5WAC2L5WAX
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1400622543&from=exp&uid=HitachiXHTS547550A9E384_J1120021C2L5WAC2L5WAX
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1400622543&from=exp&uid=HitachiXHTS547550A9E384_J1120021C2L5WAC2L5WAX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1400622543&from=exp&uid=HitachiXHTS547550A9E384_J1120021C2L5WAC2L5WAX&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1400622543&from=exp&uid=HitachiXHTS547550A9E384_J1120021C2L5WAC2L5WAX
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1400622543&from=exp&uid=HitachiXHTS547550A9E384_J1120021C2L5WAC2L5WAX
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1400622543&from=exp&uid=HitachiXHTS547550A9E384_J1120021C2L5WAC2L5WAX&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://istart.webssearches.com/?type=sc&ts=1400622543&from=exp&uid=HitachiXHTS547550A9E384_J1120021C2L5WAC2L5WAX
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1400622543&from=exp&uid=HitachiXHTS547550A9E384_J1120021C2L5WAC2L5WAX&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1400622543&from=exp&uid=HitachiXHTS547550A9E384_J1120021C2L5WAC2L5WAX&q={searchTerms}
SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1400622543&from=exp&uid=HitachiXHTS547550A9E384_J1120021C2L5WAC2L5WAX&q={searchTerms}
SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1400622543&from=exp&uid=HitachiXHTS547550A9E384_J1120021C2L5WAC2L5WAX&q={searchTerms}
SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1400622543&from=exp&uid=HitachiXHTS547550A9E384_J1120021C2L5WAC2L5WAX&q={searchTerms}
SearchScopes: HKCU - {062A0111-06AE-4D8B-BE52-3B27724D95CC} URL = http://websearch.ask.com/redirect?client=ie&tb=SGT&o=APN10374&src=kw&q={searchTerms}&locale=&apn_ptnrs=^AHO&apn_dtid=^YYYYYY^YY^PL&apn_uid=a72d9980-6dc7-4bd7-bfc0-45f9b0fc2182&apn_sauid=1B887098-0C21-441E-8424-8BFC7A3C76B8
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&babsrc=SP_ss_din2g&mntrId=2E6E72B7C3133987&affID=119357&tt=040713_rdrctful&tsp=4937
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1400622543&from=exp&uid=HitachiXHTS547550A9E384_J1120021C2L5WAC2L5WAX&q={searchTerms}
SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL =
BHO-x32: WebCake - {2A5A2A90-3B30-4E6E-A955-2F232C6EF517} - C:\Program Files (x86)\WebCake\WebCakeIEClient.dll (WebCake LLC)
FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\webssearches.xml
C:\ProgramData\Microsoft\Windows\Start Menu\YourFileDownloader
C:\Users\Paweł\AppData\Local\Google
C:\Users\Paweł\AppData\Roaming\skype.ini
C:\Users\Paweł\AppData\Roaming\skype.dat
C:\Users\Paweł\AppData\Roaming\Babylon
C:\Users\Paweł\AppData\Roaming\Betcat
C:\Users\Paweł\AppData\Roaming\File Scout
C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lollipop.lnk
C:\Users\Paweł\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage
C:\Users\Paweł\Downloads\creative_mediasource_player_5_free_downloader.exe
C:\Users\Public\Desktop\YourFile Downloader.lnk
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\WebCake Desktop Updater" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnUpdater" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\lollipop_03081805" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WebCake Desktop"/f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKU\S-1-5-18\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /f
Reg: reg delete "HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /f
Reg: reg delete "HKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Page" /f
Reboot:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Przez Panel sterowania odinstaluj adware Feature Update Service (YFD), Installer, Lollipop, Update for Codec Pack, WebCake 3.00, webssearches uninstaller, YourFileDownloader.

3. Wyczyść Firefox:

menu Historia > Wyczyść historię przeglądania
menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone.

4. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt i log z AdwCleaner.

.

kosa4321 · 6 Czerwca 2014

Witam i dziękuje za pomoc.

Podczas fixa w FRST musiałem zakończyć zadanie gdyż trwało ponad 30min, poniżej przedstawie fixlog, system się oczywiście po tym fixie nie zrestartował automatycznie - wykonałem go ręcznie.

Adware Lolipop po którymś razie dopiero zniknął z panelu. Mam dwa logi z AdwCleaner, so i ro.

A czy na tej stronie mam widziec jakąs reklamę w FF w stylu "Ad by Browser Extension", mogę to zamknąć ale wyskoczy na nowej karcie/stronie.