Zasmiecony komp - Trojan.Agent.Gen / Adware.EoRezo / duzo adware

[Rucek]

Witam,

Zaśmiecony komp kumpeli, winxp, 500 MB ramu(sic!), zaniedbany system, zaległe aktualizacje, kupa adware

Opis sytuacji i podejmowanych działań (chronologicznie):
- Komp wisi po uruchomieniu systemu - trzeba czekać bardzo długo zanim cokolwiek się odpali (jest ustawione DMA)
- przywiesza się mocno
- w pewnym momencie widzę 2 ikony windows update (2 procesy)
- widzę Mobogenie - gdzieś widziałem ze było usuwane - nic nie robię z tym póki co
- po zamknięciu svchost który zajmuje 99 CPU komp trochę zaczyna oddychać
- proces bezczynności potrafi tez zajmować 98 CPU
- problem z komunikacją z wifi (dostałem info, nie testowałem, lecę na kablu)
- w firefox odpala się strona t.ad2games.com  ( problem usunięty )
- odpaliły się 3 firefoxy (albo 3 okienka firefoxa) zamiast 1 - po czym wszystko znikło z paska, proces firefoxa nadal aktywny
- na zdjęciach dużo dziwnych folderów, co z tego mogę wywalić?
- jak na moje oko dużo dziwnych procesów: utilmaucampo.exe / updatemaucampo.exe (cześć z nich usunięto)
- dużo procesów svchost.exe ( 9 )

Programy dodaj/usuń:
fst_pl_73.exe  - odinstalowałem
upfst_pl_49.exe  - odinstalowałem
maucampo - odinstalowałem
SweetIM - odinstalowałem
Update Manager for SweetPacks  - odinstalowałem

podczas odinstalowania YoutubeAdblocker alarm z avasta:
TRPC.exe - avast zablokował
b677fyv0uhm.exe   - avast zablokował

Skasowałem foldery ze ścieżki (na podstawie info avasta, foto):
all users/dane aplikacji/youtubeadblocker
all users/dane aplikacji/greautsaver
all users/dane aplikacji/SNT
all users/dane aplikacji/Installations - z tym nie wiem co zrobić, czy kasować czy najpierw odinstalować od Nokii z programów dodaj usuń

SNT - odinstalowałem - kolejny alarm avasta (nie zdążyłem zapisać, nie ma go w kwarantannie[foto])

- jakie śmieci można jeszcze odinstalować?

Reset ustawień firefox - bo nic sie nie dało zrobić
komp trochę odżył...

- puste wpisy w msconfig/uruchamianie (foto)

Odpalam malwarebytes - znalazł 2 rzeczy, trojan i adware
Odpalam Kaspersky TDSSKiller - nie znalazł nic
Poszly skany, wymagane logi.
Dołączam jeszcze foto z HDTune (zakładka HEALTH-pusta, Quick error skan cały na zielono) i HWinfo

Z reszta czekam (AdCleaner, TFC)

GMER.txt

OTL.Txt

Shortcut.txt

system-log.txt

[picasso]

- Komp wisi po uruchomieniu systemu - trzeba czekać bardzo długo zanim cokolwiek się odpali (jest ustawione DMA)

- przywiesza się mocno

W logu nie ma aż takich konkretów. Z rzeczy które się uruchamiają na wczesnym etapie (faza z logo Windows, lecz nie później) i mogą mieć związek widzę sterownik tStLibG.sys od adware. A większość błędów startowych figurujących w Dzienniku zdarzeń i tak usunie mój skrypt do FRST:

 

 

 

System errors:

=============

Error: (04/06/2014 08:22:33 PM) (Source: Service Control Manager) (User: )

Description: Nie można załadować następujących sterowników startu rozruchowego lub systemowego:

AliIde

PCIIde

tvtool

ViaIde

 

Error: (04/06/2014 08:22:30 PM) (Source: Service Control Manager) (User: )

Description: Nie można uruchomić usługi Util maucampo z powodu następującego błędu:

%%3

 

Error: (04/06/2014 08:22:30 PM) (Source: Service Control Manager) (User: )

Description: Nie można uruchomić usługi Update maucampo z powodu następującego błędu:

%%3

 

Error: (04/06/2014 08:22:30 PM) (Source: Service Control Manager) (User: )

Description: Nie można uruchomić usługi General Purpose USB Driver (e4ldr.sys) z powodu następującego błędu:

%%1058

 

Error: (04/06/2014 07:14:50 PM) (Source: Service Control Manager) (User: )

Description: Nie można załadować następujących sterowników startu rozruchowego lub systemowego:

tvtool

 

Error: (04/06/2014 07:14:46 PM) (Source: Service Control Manager) (User: )

Description: Nie można uruchomić usługi Util maucampo z powodu następującego błędu:

%%3

 

Error: (04/06/2014 07:14:46 PM) (Source: Service Control Manager) (User: )

Description: Nie można uruchomić usługi Update maucampo z powodu następującego błędu:

%%3

 

Error: (04/06/2014 07:14:46 PM) (Source: Service Control Manager) (User: )

Description: Nie można uruchomić usługi General Purpose USB Driver (e4ldr.sys) z powodu następującego błędu:

%%1058

 

Error: (04/06/2014 06:55:42 PM) (Source: Service Control Manager) (User: )

Description: Nie można załadować następujących sterowników startu rozruchowego lub systemowego:

tvtool

 

Error: (04/06/2014 06:55:40 PM) (Source: Service Control Manager) (User: )

Description: Nie można uruchomić usługi Util maucampo z powodu następującego błędu:

%%3

 

 

 

- przywiesza się mocno

- w pewnym momencie widzę 2 ikony windows update (2 procesy)

- po zamknięciu svchost który zajmuje 99 CPU komp trochę zaczyna oddychać

Może problemem są Automatyczne aktualizacje oraz przestarzała wersja Agenta aktualizacji. Aktualizację Agenta to na końcu zrobisz.

 

 

- proces bezczynności potrafi tez zajmować 98 CPU

To jest poprawne, ten proces interpretuje się dokładnie na odwrót niż resztę. Im wyższa liczba przy CPU, tym niższe jego obciążenie.

 

 

- dużo procesów svchost.exe ( 9 )

Raczej norma. Popatrz też do tego posta: KLIK.

 

 

- jak na moje oko dużo dziwnych procesów: utilmaucampo.exe / updatemaucampo.exe (cześć z nich usunięto)

Do których konkretnie pijesz już po deinstalacji maucampo? Obecnie filtrowana lista procesów (ukryte domyślne procesy MS) nie pokazuje nic dziwnego:

 

==================== Processes (Whitelisted) =================
 

(AVAST Software) C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

(Microsoft Corporation) C:\WINDOWS\System32\SCardSvr.exe

(ABBYY Production LLC) C:\Program Files\ABBYY PDF Transformer+\NetworkLicenseServer.exe

(Cognizance Corporation) C:\Program Files\HPQ\IAM\bin\asghost.exe

(France Telecom) C:\WINDOWS\System32\FTRTSVC.exe

(Hewlett-Packard Company) C:\Program Files\Common Files\LightScribe\LSSrvc.exe

(Microsoft Corporation) C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\MDM.EXE

(Microsoft Corporation) C:\WINDOWS\system32\mqsvc.exe

(Microsoft Corporation) C:\WINDOWS\system32\mqtgsvc.exe

(AVAST Software) C:\Program Files\Alwil Software\Avast5\AvastUI.exe

(Microsoft Corporation) C:\WINDOWS\system32\wuauclt.exe

 

 

- puste wpisy w msconfig/uruchamianie (foto)

Na przyszłość, nie ma potrzeby pokazywania obrazka z msconfig. Log z FRST pokazuje to miejsce: wpisy włączone są w głównym logu, a wyłączone w Addition. Te trzy bez nazwy to prawdopodobnie te wpisy, bo nic innego mi tu nie pasuje:

 

HKLM\...\Run: [] - [X]

HKLM\...\Run: [fst_pl_73] - [X]

HKLM\...\Run: [fst_pl_49] - [X]

 

 

podczas odinstalowania YoutubeAdblocker alarm z avasta:

(...)

SNT - odinstalowałem - kolejny alarm avasta (nie zdążyłem zapisać, nie ma go w kwarantannie[foto])

Na przyszłość: na czas deinstalacji adware wyłącz strażnik Avast, by nie blokował.

 

 

all users/dane aplikacji/Installations - z tym nie wiem co zrobić, czy kasować czy najpierw odinstalować od Nokii z programów dodaj usuń

Dopóki dany program jest zainstalowany, nie usuwaj folderów trzymających jego obiekty. Ta detekcja w Avast to mi wygląda na fałszywy alarm. Folder (1245703E-0A41-4C00-BF3B-24273105DA32) należy do Nokia. Po deinstalacji Nokia oczywiście możesz usunąć wszystkie powiązane foldery.

 

 

- na zdjęciach dużo dziwnych folderów, co z tego mogę wywalić?

Wszystkie wskazywane na obrazkach możesz usunąć:

- Foldery alfanumeryczne są od Windows Update. I było to już omawiane w jednym z poprzednich tematów, w których brałeś udział: KLIK.

- Folder C:\i386 to najwyraźniej ręcznie skopiowany folder w to miejsce, prawdopodobnie wprost z płyty XP. No chyba, że ten folder to część "preinstalacji" producenta.

 

 

---

Doczyszczanie adware i śmieci:

 

1. Otwórz Notatnik i wklej w nim:

 

S2 Update maucampo; "C:\Program Files\maucampo\updatemaucampo.exe" [X]
S2 Util maucampo; "C:\Program Files\maucampo\bin\utilmaucampo.exe" [X]
S3 WmcCds; c:\program files\windows media connect\mswmccds.exe [X]
S3 WmcCdsLs; C:\Program Files\Windows Media Connect\mswmcls.exe [X]
R1 tStLibG; C:\WINDOWS\System32\drivers\tStLibG.sys [55224 2014-03-26] (StdLib)
S3 GTIPCI21; system32\DRIVERS\gtipci21.sys [X]
S3 tifm21; system32\drivers\tifm21.sys [X]
S1 tvtool; \??\C:\Program Files\TVTool\tvtool.sys [X]
S1 VClone; system32\DRIVERS\VClone.sys [X]
S3 ZDCndis5; \??\C:\WINDOWS\system32\ZDCndis5.SYS [X]
S3 ZDPSp50; System32\Drivers\ZDPSp50.sys [X]
HKLM\...\Run: [] - [X]
HKLM\...\Run: [upfst_pl_49.exe] - C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\fst_pl_49\upfst_pl_49.exe -runhelper
HKLM\...\Run: [fst_pl_73] - [X]
HKLM\...\Run: [fst_pl_49] - [X]
HKLM\...\Policies\Explorer: [NoCDBurning] 0
GroupPolicy: Group Policy on Chrome detected 
HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1389396544&from=wpc&uid=FUJITSUXMHV2080BHXPL_NW9ZT6A2RKMV&q={searchTerms}
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1389396544&from=wpc&uid=FUJITSUXMHV2080BHXPL_NW9ZT6A2RKMV
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1389396544&from=wpc&uid=FUJITSUXMHV2080BHXPL_NW9ZT6A2RKMV
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1389396544&from=wpc&uid=FUJITSUXMHV2080BHXPL_NW9ZT6A2RKMV&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1389396544&from=wpc&uid=FUJITSUXMHV2080BHXPL_NW9ZT6A2RKMV
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1389396544&from=wpc&uid=FUJITSUXMHV2080BHXPL_NW9ZT6A2RKMV&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1389396544&from=wpc&uid=FUJITSUXMHV2080BHXPL_NW9ZT6A2RKMV&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1389396544&from=wpc&uid=FUJITSUXMHV2080BHXPL_NW9ZT6A2RKMV
URLSearchHook: ATTENTION ==> Default URLSearchHook is missing.
URLSearchHook: HKCU - Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\neostrada tp\SearchPageURL.dll ()
URLSearchHook: HKCU - SweetIM ToolbarURLSearchHook Class - {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll (SweetIM Technologies Ltd.)
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1389396544&from=wpc&uid=FUJITSUXMHV2080BHXPL_NW9ZT6A2RKMV&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1389396544&from=wpc&uid=FUJITSUXMHV2080BHXPL_NW9ZT6A2RKMV&q={searchTerms}
SearchScopes: HKLM - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={064FB1D4-5858-42ED-A2D2-3B1369578B45}
SearchScopes: HKCU - {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=PV&apn_dtid=&apn_uid=E1DC314A-6502-4B93-8724-A65743461FD1&apn_sauid=B0AA4995-6E92-422C-AC9B-03C56B2BA662
SearchScopes: HKCU - {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&st=6&barid={064FB1D4-5858-42ED-A2D2-3B1369578B45}
Toolbar: HKCU - No Name - {C4069E3A-68F1-403E-B40E-20066696354B} - No File
Toolbar: HKCU - No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
Toolbar: HKCU - SweetPacks Toolbar for Internet Explorer - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
AlternateDataStreams: C:\Documents and Settings\All Users\Dane aplikacji\TEMP:63238B95
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\sweet-page.xml
C:\Documents and Settings\Administrator\Dane aplikacji\newnext.me
C:\Documents and Settings\Administrator\Dane aplikacji\OpenCandy
C:\Documents and Settings\Administrator\Dane aplikacji\SampleView
C:\Documents and Settings\Administrator\Dane aplikacji\YoudaGames
C:\Documents and Settings\All Users\Dane aplikacji\5feb9b51417b6c53
C:\Documents and Settings\All Users\Dane aplikacji\InstallMate
C:\Documents and Settings\All Users\Dane aplikacji\MSScanAppDataDir
C:\Documents and Settings\All Users\Dane aplikacji\SetApp
C:\Documents and Settings\All Users\Dane aplikacji\SweetIM
C:\Documents and Settings\All Users\Dane aplikacji\TEMP
C:\Documents and Settings\All Users\Dane aplikacji\wwEbsave
C:\Documents and Settings\Default User\Dane aplikacji\SampleView
C:\Documents and Settings\Gość\Dane aplikacji\SampleView
C:\Program Files\mozilla firefox\plugins
C:\Program Files\predm
C:\Program Files\SweetIM
C:\WINDOWS\system32\lsass.log
C:\WINDOWS\System32\drivers\tStLibG.sys
E:\AUTORUN.FCB
E:\AUTORUN.INF
FW: Norton Internet Worm Protection (Disabled) {990F9400-4CEE-43EA-A83A-D013ADD8EA6E}
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f
CMD: netsh firewall reset
CMD: rd /s /q "C:\Documents and Settings\Administrator\Pulpit\Stare dane programu Firefox"
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Dodaj/Usuń programy odinstaluj adware AppsHat Mobile Apps, Internet Explorer Toolbar 4.6 by SweetPacks. Wiadomo, że są też stare programy do usunięcia. A co jeszcze, to już musisz samodzielnie ocenić, skąd mam wiedzieć z czego korzysta użytkownik.

 

3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń.

 

4. Uruchom TFC - Temp Cleaner.

 

5. Zrób nowy skan FRST (bez Addition i Shortcut). Dołącz plik fixlog.txt i log z AdwCleaner. Podsumuj które problemy są nadal aktualne.

 

 

 

.

[Rucek]

Do których konkretnie pijesz już po deinstalacji maucampo? Obecnie filtrowana lista procesów (ukryte domyślne procesy MS) nie pokazuje nic dziwnego:

Przed deinstalacją. Większość dziwnych procesów została usunięta po odinstalowaniu adware z programy dodaj/usun.

 

Na przyszłość, nie ma potrzeby pokazywania obrazka z msconfig. Log z FRST pokazuje to miejsce: wpisy włączone są w głównym logu, a wyłączone w Addition. Te trzy bez nazwy to prawdopodobnie te wpisy, bo nic innego mi tu nie pasuje:

Ok, przyjąłem.

 

Na przyszłość: na czas deinstalacji adware wyłącz strażnik Avast, by nie blokował.

Ok, przyjąłem.

 

Dopóki dany program jest zainstalowany, nie usuwaj folderów trzymających jego obiekty. Ta detekcja w Avast to mi wygląda na fałszywy alarm. Folder (1245703E-0A41-4C00-BF3B-24273105DA32) należy do Nokia. Po deinstalacji Nokia oczywiście możesz usunąć wszystkie powiązane foldery.

Ok.

 

- Foldery alfanumeryczne są od Windows Update. I było to już omawiane w jednym z poprzednich tematów, w których brałeś udział: KLIK.

Mój błąd, wybacz... 

 

- Folder C:\i386 to najwyraźniej ręcznie skopiowany folder w to miejsce, prawdopodobnie wprost z płyty XP. No chyba, że ten folder to część "preinstalacji" producenta.

Ok, wywalę to też.

 

Przez Dodaj/Usuń programy odinstaluj adware AppsHat Mobile Apps, Internet Explorer Toolbar 4.6 by SweetPacks.

Uciekło mi...  odinstalowałem już.

 

TFC - usunął 63 MB

Wywaliłem ręcznie Pulpit\Stare dane programu Firefox ( przed puszczeniem fixlog )

Czy z dysku C: mogę wywalić też pliki: Program1.RPT / Program2.RPT / Program3.RPT?   - co jeszcze zbędne jest z tych wolnych plików na C:

 

Generalnie chyba wszystko już ok - jedyna rzecz, która się rzuca w oczy to to: jak mam otwarty folder dysku C: i próbuję wejść w Documents and Settings - to okienko sie zawiesza ( mogę wejść jeszcze raz w na przykład Mój Komputer, więc reaguje, ale okno C: sie przywiesza na jakiś czas,  1-2 min, nie wiem z czym to może mieć związek, jak przemieli to wchodzi normalnie, ale jak dam "wstecz" to znowu mieli. Może za mało ramu? )

 

EDIT: avast wykrył zainfekowane pliki - foto - podobno wszystko usunął.

EDIT2: aktualizacje windowsa xp - zrobione.

[picasso]

Poprzednie zadania wykonane. Kończąc:

 

1. Otwórz Notatnik i wklej w nim:

 

SearchScopes: HKLM - DefaultScope value is missing.
C:\Documents and Settings\Administrator\Dane aplikacji\SampleView
C:\WINDOWS\system32\lsass.log
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

 

2. Usuń używane narzędzia za pomocą DelFix. Co zostanie to już ręcznie.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

 

EDIT: avast wykrył zainfekowane pliki - foto - podobno wszystko usunął.

- Folder C:\AdwCleaner = kwarantanna programu i się nie liczy, zostanie usunięta DelFixem.

- Folder C:\System Volume Information = zostanie przeczyszczony w/w klasyczną procedurą.

- E:\PRELOAD\BASE_X.inp = to są cząstkowe obiekty kopii "HP_RECOVERY" i tu trudno powiedzieć o co Avast chodzi, może to fałszywy alarm.

 

 

Czy z dysku C: mogę wywalić też pliki: Program1.RPT / Program2.RPT / Program3.RPT? - co jeszcze zbędne jest z tych wolnych plików na C:

Z tego co wyszukałam na Google, te pliki ProgramX.RPT to crash-raporty generowane przez określone gry. Sądzę że usunąć można, ale i można się spodziewać regeneracji tych plików w określonych okolicznościach.

 

 

Generalnie chyba wszystko już ok - jedyna rzecz, która się rzuca w oczy to to: jak mam otwarty folder dysku C: i próbuję wejść w Documents and Settings - to okienko sie zawiesza ( mogę wejść jeszcze raz w na przykład Mój Komputer, więc reaguje, ale okno C: sie przywiesza na jakiś czas, 1-2 min, nie wiem z czym to może mieć związek, jak przemieli to wchodzi normalnie, ale jak dam "wstecz" to znowu mieli. Może za mało ramu? )

Do przetestowania:

- Sprawdzanie dysku za pomocą checkdisk

- Konfiguracja osłon Avast (skanowanie plików w czasie rzeczywistym)

- Test na rozszerzenia powłoki w ShellExView

 

 

 

.

[Rucek]

Zrobione. fixlist.txt - w logu wszystko pozytywnie. Jak zawsze - OGROMNE DZIĘKI Picasso!   Temat do zamknięcia.