Powolny laptop, doczyszczenie po niechcianym oprogramowaniu

[Adalbert]

Witam

Sąsiadka prosiła o przywrócenie laptopa do stanu używalności. Zrobiłem wstępny skan FRST (logi z 0 na początku), usunąłem co wiedziałem że niepotrzebne, zaktualizowałem oprogramowanie i wykonałem kolejny skan FRST (logi z 1 na początku).

Jakie akcje są jeszcze wymagane by dokończyć czyszczenie?

Z góry dziękuję za pomoc.

0_Addition.txt

0_FRST.txt

1_Addition.txt

1_FRST.txt

[picasso]

Wymagane poprawki. Akcja:

 

1. Otwórz Notatnik i wklej w nim:

 

Task: C:\WINDOWS\Tasks\EPUpdater.job => C:\DOCUME~1\KATARZ~1\DANEAP~1\BABSOL~1\Shared\BabMaint.exe 
HKLM\...\Run: [mobilegeni daemon] - C:\Program Files\Mobogenie\DaemonProcess.exe
HKCU\...\Run: [Apps Hat] - C:\Documents and Settings\Katarzyna\Ustawienia lokalne\Dane aplikacji\WebPlayer\AppsHat\WebPlayer.exe
HKCU\...\Run: [NextLive] - C:\Documents and Settings\Katarzyna\Dane aplikacji\newnext.me\nengine.dll [1283584 2013-11-14] (NewNextDotMe)
MountPoints2: {48aa2cd5-8b58-11e2-a049-bd8cf93df324} - F:\AutoRun.exe
AppInit_DLLs: C:\PROGRA~1\MOVIES~1\SAFETY~1\SAFETY~2.DLL => File Not Found
IFEO\bitguard.exe: [Debugger] tasklist.exe
IFEO\bprotect.exe: [Debugger] tasklist.exe
IFEO\browserdefender.exe: [Debugger] tasklist.exe
IFEO\browserprotect.exe: [Debugger] tasklist.exe
HKLM\...\AppCertDlls: [x64] -> c:\program files\movies toolbar\safetynut\x64\safetycrt.dll
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.tb.ask.com/index.jhtml?n=77FD35DB&p2=^AYY^xdm007^S06949^pl&ptb=322A4F43-A7A0-4CAB-AC4A-BAF924795321&si=CM73ws3O4bkCFche3god9x8A-g
SearchScopes: HKLM - DefaultScope {75b4241f-171e-44a3-bf44-23613b6e3e03} URL = http://search.tb.ask.com/search/GGmain.jhtml?p2=^AYY^xdm007^S06949^pl&si=CM73ws3O4bkCFche3god9x8A-g&ptb=322A4F43-A7A0-4CAB-AC4A-BAF924795321&ind=2013092309&n=77fd59d5&psa=&st=sb&searchfor={searchTerms}
SearchScopes: HKLM - {52db1893-8a90-4192-aede-08e00b8f8473} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=102&systemid=473&v=n9602-149&apn_uid=8305672278134416&apn_dtid=BND473&o=APN10640&apn_ptnrs=AG1&q={searchTerms}
SearchScopes: HKLM - {75b4241f-171e-44a3-bf44-23613b6e3e03} URL = http://search.tb.ask.com/search/GGmain.jhtml?p2=^AYY^xdm007^S06949^pl&si=CM73ws3O4bkCFche3god9x8A-g&ptb=322A4F43-A7A0-4CAB-AC4A-BAF924795321&ind=2013092309&n=77fd59d5&psa=&st=sb&searchfor={searchTerms}
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL =
SearchScopes: HKCU - {52db1893-8a90-4192-aede-08e00b8f8473} URL =
SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear
SearchScopes: HKCU - {75b4241f-171e-44a3-bf44-23613b6e3e03} URL =
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
C:\Documents and Settings\Katarzyna\.android
C:\Documents and Settings\Katarzyna\daemonprocess.txt
C:\Documents and Settings\Katarzyna\Dane aplikacji\newnext.me
C:\Documents and Settings\Katarzyna\Ustawienia lokalne\Dane aplikacji\Apps Hat Mini
C:\Documents and Settings\Katarzyna\Ustawienia lokalne\Dane aplikacji\cache
C:\Documents and Settings\Katarzyna\Ustawienia lokalne\Dane aplikacji\genienext
C:\Documents and Settings\Katarzyna\Ustawienia lokalne\Dane aplikacji\Mobogenie
C:\Program Files\DiVapton

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt.

 

2. Wyczyść Google Chrome:

• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy Babylon Search i inne niedomylne śmieci (o ile będą).
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania.

 

4. Uruchom TFC - Temp Cleaner.

 

5. Zrób nowy skan FRST (bez Addition) oraz zaległy OTL (te logi nadal są obowiązkowe). Dołącz plik fixlog.txt i log z AdwCleaner.

 

 

 

.

[Adalbert]

Dziękuję za instrukcje, wykonane bez problemów, logi w załącznikach.

Wszystko przebiegło pomyślnie? Jakie działania jeszcze zastosować? Rozumiem, że poważnej infekcji nie było, jedynie śmieci po niechcianych dodatkach do instalatorów?

Fixlog.txt

AdwCleanerS0.txt

AdwCleanerR0.txt

2_FRST.txt

2_OTL.Txt

2_Extras.Txt

[picasso]

To co było usuwane to odpadki po adware. Akcje przeprowadzone pomyślnie i można zakończyć sprawy:

 

1. Mini poprawka. Otwórz Notatnik i wklej w nim:

 

SearchScopes: HKLM - DefaultScope value is missing.
C:\Documents and Settings\Katarzyna\Dane aplikacji\newnext.me
C:\Documents and Settings\All Users\Dane aplikacji\TEMP
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

 

2. Przez SHIFT+DEL skasuj FRST i folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. O ile nic się nie zmieniło od pierwszego raportu Addition, te programy do aktualizacji:

 

==================== Installed Programs ======================
 

Adobe Flash Player 11 ActiveX (Version: 11.9.900.170 - Adobe Systems Incorporated) ----> wtyczka dla IE

Google Chrome (Version: 32.0.1700.102 - Google Inc.)

Java 7 Update 40 (Version: 7.0.400 - Oracle)

Mozilla Firefox 26.0 (x86 pl) (Version: 26.0 - Mozilla)

 

 

.

[Adalbert]

Akcje zakończone powodzeniem, dziękuję kolejny raz za Twoją pomoc picasso, wszystko działa jak należy, temat do zamknięcia.

Pozdrawiam