Wyczyszczenie systemu z adware i innych śmieci - komputer znajomej

[robson]

Witam

Proszę o pomoc w wyczyszeniu komputera znajomej z adware i innych śmieci. Po wstępnej analizie loga z GMER widzę, ze sterownik sptd jesty mnadal wykrywany pomimo zastosowania opcji Uinall w programie SPTDinst. Dodatkowo system troche dłużej zastrzymuje się na ekranie z logo Windows podczas startu. Logi z FRST, OTL i GMER w załączniku.

Pozdrawiam

Addition.txt

FRST.txt

OTL.Txt

Extras.Txt

GMER.txt

[picasso]

Po wstępnej analizie loga z GMER widzę, ze sterownik sptd jesty mnadal wykrywany pomimo zastosowania opcji Uinall w programie SPTDinst.

To naturalne po deinstalacji SPTD. To co widzisz w GMER to wyniki bez znaczenia dla uruchomienia GMER, gdyż to statyczne odczyty zablokowanego przez uprawnienia odpadkowego klucza SPTD. Przy uruchamianiu GMER chodzi o co innego, czyli o zdjęcie aktywności sterownika per se (hooki na urządzeniach), co tu zaistniało.

 

 

1. Przez Dodaj/Usuń programy odinstaluj:

 

- Adware: DealPly, SpeedAnalysis.com, Updater Service, Update_DealPly, Yontoo 2.051.

- Stare lub szczątkowe aplikacje: Ad-Aware SE Personal, LiveUpdate 3.0 (Symantec Corporation).

- Duplikat Avast, gdyż tu są zainstalowane najwyrażniej dwie wersje: stara Avast 4 (niepoprawnie odinstalowana) oraz nowa komercyjna Avast Internet Security.

 

==================== Installed Programs =======================
 

avast! Antivirus (Version: 4.8)

avast! Internet Security (Version: 2014.9.0.2001)

 

2. Otwórz Notatnik i wklej w nim:

 

C:\WINDOWS\system32\ACF7EF
C:\Documents and Settings\All Users\Dane aplikacji\Babylon
C:\Documents and Settings\All Users\Dane aplikacji\TEMP
C:\Documents and Settings\Barbara Postek\Dane aplikacji\Babylon
C:\Documents and Settings\Barbara Postek\Dane aplikacji\File Scout
C:\Documents and Settings\Barbara Postek\Dane aplikacji\PerformerSoft
C:\Documents and Settings\Barbara Postek\Dane aplikacji\PriceGong
C:\Documents and Settings\Barbara Postek\Ustawienia lokalne\Dane aplikacji\Conduit
C:\Documents and Settings\Patryk\Menu Start\Programy\Autostart\74BE16.lnk
C:\Program Files\McAfee Security Scan
MountPoints2: {452060c8-6b9b-11dc-95fc-001b770f419d} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycle.exe
MountPoints2: {452060c9-6b9b-11dc-95fc-001b770f419d} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycle.exe
MountPoints2: {4c2271c6-847e-11dc-9620-001b770f419d} - G:\2u.com
MountPoints2: {5e1a865e-cb6b-11dd-983d-0017a4e1e168} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
MountPoints2: {66910f0d-03a6-11df-99b8-0017a4e1e168} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycle.exe
MountPoints2: {6a1e24a0-b2a2-11de-9957-0017a4e1e168} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycle.exe
MountPoints2: {943d1a60-4191-11df-9a15-0017a4e1e168} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycle.exe
MountPoints2: {943d1a62-4191-11df-9a15-0017a4e1e168} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycle.exe
MountPoints2: {ef30e5f4-4322-11df-9a18-0017a4e1e168} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycle.exe
HKU\Administrator\...\Run: [wsctf.exe] - wsctf.exe
HKU\Administrator\...\Run: [EXPLORER.EXE] - EXPLORER.EXE
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-search.com/?affID=119961&babsrc=HP_ss&mntrId=097C0017A4E1E168
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=119961&babsrc=SP_ss&mntrId=097C0017A4E1E168
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear
SearchScopes: HKCU - {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2475029
FF HKLM\...\Firefox\Extensions: [speedanalysis@SpeedAnalysis.com] - C:\Documents and Settings\Barbara Postek\Dane aplikacji\Mozilla\Extensions\speedanalysis@SpeedAnalysis.com
FF HKCU\...\Firefox\Extensions: [speedanalysis@SpeedAnalysis.com] - C:\Documents and Settings\Barbara Postek\Dane aplikacji\Mozilla\Extensions\speedanalysis@SpeedAnalysis.com
FF Extension: SpeedAnalysis.com - C:\Documents and Settings\Barbara Postek\Dane aplikacji\Mozilla\Extensions\speedanalysis@SpeedAnalysis.com
FF SearchPlugin: C:\Program Files\mozilla firefox\searchplugins\babylon.xml
DPF: {65D72393-E210-4A2A-B8E0-10AC45986770} http://megapanel.gem.pl/WebInstaller.dll
Unlock: HKLM\SYSTEM\CurrentControlSet\Services\sptd
S3 ASFWHide; \??\C:\DOCUME~1\BARBAR~1\USTAWI~1\Temp\ASFWHide [x]
S4 sptd; System32\Drivers\sptd.sys [x]

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

4. Uruchom TFC - Temp Cleaner.

 

5. Zrób nowe skany FRST z każdego konta z osobna: zalogowana obecnie Barbara (Addition po raz drugi niepotrzebny), a następnie przelogowanie na Patryka (tu należy zaznaczyć tworzenie Addition). Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

 

.

[robson]

Witam

Niestety podczas wykonywania punktu 1 wystąpiły poważne problemy i musze prosić o pomoc w ich rozwiązaniu przed przejściem do dalszych instrukcji. Mianowicie:

- nie mogłem odszukać wśród zaimnstalowanych programów Update_DealPly

- przy próbie odinstalowania LiveUpdate 3.0 (Symantec Corporation) program zgłosił, że na komputerze są jeszcze zainstalowane inne programy korzystające z niego w związku z czym anulowałem deinstalację.

- teraz główny powód przerwania dalszych działań - po odinstalowaniu poprzez Avast Uninstall Utility obu wersji Avast na komputerze znajomej przestał działać internet, tego posta pisze ze swojego komputera.

Pozdrawiam

 

// edit

 

Internet przywrócony poprzez usunięcie filtra na karcie sieciowej, przechodzę do punktu i dalszych.

 

// edit 2

 

Punkt 2 i dalsze wykonane bez problemu, logi w załączniku.

FRST-Barbara.txt

Fixlog.txt

AdwCleanerS0.txt

Addition-Patryk.txt

FRST-Patryk.txt

Edytowane 17 Września 2013 przez robson

[picasso]

Jeszcze drobne działania na odpadki.

 

1. Pobierz ponownie FRST (ma nowe poprawki). Zaloguj się na konto Patryk. Otwórz Notatnik i wklej w nim:

 

MountPoints2: {977bc157-76b1-11dc-9604-001b770f419d} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycle.exe
MountPoints2: {ef30e5f4-4322-11df-9a18-0017a4e1e168} - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycle.exe
SearchScopes: HKLM - DefaultScope value is missing.
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL =
Toolbar: HKCU - No Name - {C4069E3A-68F1-403E-B40E-20066696354B} - No File
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
DPF: {65D72393-E210-4A2A-B8E0-10AC45986770} http://megapanel.gem.pl/WebInstaller.dll
U2 Harmonogram automatycznej usługi LiveUpdate; C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe [100032 2006-08-03] (Symantec Corporation)
S3 LiveUpdate; C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE [2119360 2006-08-03] (Symantec Corporation)
S2 aswUpdSv; "C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe" [x]
R1 eeCtrl; C:\Program Files\Common Files\Symantec Shared\EENGINE\eeCtrl.sys [395312 2007-09-21] (Symantec Corporation)
C:\Documents and Settings\Barbara Postek\Dane aplikacji\Lavasoft
C:\Documents and Settings\Patryk\Dane aplikacji\Lavasoft
C:\Program Files\Common Files\Symantec Shared
C:\Program Files\Symantec
C:\WINDOWS\system32\lsass.log
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Uruchom Norton Removal Tool.

 

3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt.

 

 

 

.

[robson]

Woitam

1. Wykonane, fixlist.txt musiałem zapisać w w kodowaniu UTF-8 (załącznik fixlog-Patryk.txt).

2. Zrobione.

3. Wykonane z obu kont ( załączniki FRST-Patryk2.txt i FRST-Barbara2.txt).

Pozdrawiam

Fixlog-Patryk.txt

FRST-Patryk2.txt

[picasso]

Chodziło mi tylko o jeden skan FRST, z konta Patryk (na nim były czynności wykonywane). Usuwam nadwyżkę.

 

1. Wykonane, fixlist.txt musiałem zapisać w w kodowaniu UTF-8 (załącznik fixlog-Patryk.txt).

Nie rozumiem. Jaki powód? Załączone wpisy nie miały żadnych znaków Unicode...

 

A akcje wykonane. Kończ:

 

1. Minimalna poprawka, nie zauważyłam wpisów pustych. Otwórz Notatnik i wklej w nim:

 

HKLM\...\Run: [FaxCenterServer] - "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
HKCU\...\Run: [swg] - C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

 

2. Usuń narzędzia: przez SHIFT+DEL skasuj C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Był uruchamiany GMER, więc zweryfikuj transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

 

4. Te pozycje do aktualizacji:

 

==================== Installed Programs =======================
 

Gadu-Gadu 7.7

Mozilla Firefox 23.0.1 (x86 pl) (Version: 23.0.1)

OpenOffice.org Installer 1.0 (Version: 1.0.9221) ----> deinstalacja

 

Zamiast mało bezpiecznego próchna Gadu-Gadu 7.7 np. WTW (dobra obsługa GG): KLIK.

 

 

 

.