Zamulanie systemu

Vexeoss · 24 Października 2014

Witam,

Sprawa jest prosta, komputer rodzinny, instalowane syfy cały czas, poezja. Dzisiaj wracam do domu, ledwo daję radę uruchomić przeglądarkę. Spowolniona praca komputera o ok. 90%., strony ładują się po 3 sekundach. Podejrzewam Malware. Już jakiś czas temu tutaj pisałem i nie zawiodłem się, pomoc pierwsza klasa, dziękuję. Keep it going

Wracając do sprawy systemu.. Od razu sprawdziłem w CCleanerze zainstalowane programy..

- FormatFactory 3.3.5.0 - nie da rady usunąć.

- shopper pro - od razu syf usunięty, ale chyba nie do końca - w Program Files mam jakieś : Apps Hat , YouTube Accelerator , YTAHelper. Moje siły na nic, za cholerę tego usunąć nie mogę.

Raporty:

Farbar Recovery Scan Tool (FRST):

OTL:

GMER:

Program przestał działać. Wedle https://www.fixitpc.pl/forum-6/announcement-2-ważne-oprogramowanie-emulujące-napędy/ - zainstalowałem SCSI Pass Through Direct - ale sterownik SPTD nie jest zainstalowany. Co robić?

Windows 8.1

Pozdrawiam.

picasso · 28 Października 2014

Sprawa jest prosta, komputer rodzinny, instalowane syfy cały czas, poezja.

(...)

w Program Files mam jakieś : Apps Hat , YouTube Accelerator , YTAHelper. Moje siły na nic, za cholerę tego usunąć nie mogę.

Problemy adware są wynikiem uruchomienia tzw. "downloaderów" portalowych, a przykład szkodliwego pliku poniżej. Więcej na ten temat: KLIK. Notabene: HDD Regenerator to nie jest polecany tu program.

2014-10-24 12:44 - 2014-10-24 12:44 - 00225464 _____ () C:\Users\Kamil\Downloads\HDDRegenerator_downloader-IeXp5SxIY.exe

Folderu YouTube Accelerator nie da się usunąć, gdyż jest chroniony przez aktywne procesy, a dodatkowo jest wpięty w łańcuch sieciowy Winsock. Usunięcie "z ręki" grozi uszkodzeniem łańcucha i odcięciem od sieci. Akcja będzie podzielona na dwa etapy. Dodatkowo: w procesach działa Google Chrome, a w ogóle nie ma wejścia deinstalacji programu, przeglądarka wygląda na częściowo uszkodzoną. W systemie są też ślady instalacji Opera, ale zdaje się, że to rzeczywuiście odinstalowany program i będę usuwać powiązane obiekty.

FormatFactory 3.3.5.0 - nie da rady usunąć.

Wg Shortcut instalacja jest wybrakowana i nie ma na dysku plików wymaganych do jej przeprowadzenia (skierowanie na dysk F nawet nie wykryty jako istniejący):

Shortcut: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FormatFactory\FormatFactory.lnk -> F:\pliki\FormatFactory\FormatFactory.exe (No File)

Shortcut: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FormatFactory\Help.lnk -> F:\pliki\FormatFactory\FormatFactory.exe (No File)

Shortcut: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FormatFactory\Uninstall.lnk -> F:\pliki\FormatFactory\uninst.exe (No File)

GMER: Program przestał działać. (...) zainstalowałem SCSI Pass Through Direct - ale sterownik SPTD nie jest zainstalowany. Co robić?

Wg raportu nie ma tu żadnych sterowników związanych z emulacją. Przyczyna błędu programu jest więc inna, lecz trudno stwierdzić jaka. GMER jest fanaberyjny. Darujmy go sobie teraz.

Pod kątem adware przeprowadź następujące działania:

1. Otwórz Notatnik i wklej w nim:

CloseProcesses:
R1 {972b8ad0-9d6f-4688-9227-759df6914df4}w64; C:\Windows\System32\drivers\{972b8ad0-9d6f-4688-9227-759df6914df4}w64.sys [48776 2014-10-24] (StdLib)
R2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [705416 2014-09-24] (Cherished Technololgy LIMITED)
R2 YouTubeAcceleratorService; C:\Program Files (x86)\YouTube Accelerator\YouTubeAcceleratorService.exe [1510248 2014-10-24] (GOOBZO)
FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate)
FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate)
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1413460407&from=cor&uid=ST3500418AS_6VMGGVAGXXXX6VMGGVAG&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1413460407&from=cor&uid=ST3500418AS_6VMGGVAGXXXX6VMGGVAG&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1413460407&from=cor&uid=ST3500418AS_6VMGGVAGXXXX6VMGGVAG&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1413460407&from=cor&uid=ST3500418AS_6VMGGVAGXXXX6VMGGVAG&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=sc&ts=1413460407&from=cor&uid=ST3500418AS_6VMGGVAGXXXX6VMGGVAG
Startup: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Menedżer Realtek HD Audio.lnk
Task: C:\WINDOWS\Tasks\Opera N.job => C:\Program Files (x86)\Opera\launcher.exe
C:\Program Files (x86)\Apps Hat
C:\Program Files (x86)\globalUpdate
C:\Program Files (x86)\Opera
C:\Program Files (x86)\Temp
C:\Program Files (x86)\YTAHelper
C:\ProgramData\374311380
C:\ProgramData\IePluginServices
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YouTube Accelerator
C:\ProgramData\TEMP
C:\ProgramData\WindowsMangerProtect
C:\ProgramData\YTAHelper
C:\Users\Kamil\AppData\Local\globalUpdate
C:\Users\Kamil\AppData\Local\Google\Chrome\User Data\Default\Preferences
C:\Users\Kamil\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences
C:\Users\Kamil\AppData\Local\Opera Software
C:\Users\Kamil\AppData\Roaming\Opera Software
C:\Users\Kamil\AppData\Roaming\Systweak
C:\Users\Kamil\Downloads\*_downloader*.exe
C:\Users\Public\Documents\GOOBZO
C:\Users\Public\Documents\ShopperPro
C:\Users\Public\Documents\YTAHelper
C:\WINDOWS\system32\netcfg-*.txt
C:\WINDOWS\system32\roboot64.exe
C:\Windows\System32\drivers\{972b8ad0-9d6f-4688-9227-759df6914df4}w64.sys
CMD: netsh winsock reset
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Kamil\AppData\Local
CMD: dir /a C:\Users\Kamil\AppData\LocalLow
CMD: dir /a C:\Users\Kamil\AppData\Roaming
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. O ile przeglądarka Google Chrome ma pozostać, nadpisz ją nowym instalatorem.

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

.

Vexeoss · 28 Października 2014

Zrobione. Google Chrome nadpisałem instalacją

FRST.txt

Fixlog.txt

picasso · 29 Października 2014

Wszystko pomyślnie wykonane, łańcuch Winsock zresetowany i możemy przejść już do usuwania odpadkowego katalogu. Czyli poprawki:

1. Otwórz Notatnik i wklej w nim:

RemoveDirectory: C:\Program Files (x86)\YouTube Accelerator
RemoveDirectory: C:\ProgramData\SlimWare Utilities Inc
RemoveDirectory: C:\Users\Kamil\AppData\LocalLow\Goobzo
RemoveDirectory: C:\Users\Kamil\Downloads\FRST-OlderVersion
DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt.

2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. Przedstaw log.

3. Uszkodzony FormatFactory 3.3.5.0 spróbuj zlikwidować za pomocą Revo Uninstaller Freeware.

.

Vexeoss · 29 Października 2014

Witam,

Logi:

Fixlog.txt

AdwCleanerR0.txt

AdwCleanerS0.txt

Niestety FormatFactory 3.3.5.0 nie udało mi się usunąć.

Znaleziono wpisy i pozostałe pliki. Usunąć je bez deinstalacji programu?

picasso · 30 Października 2014

Usuwanie via Fix oraz AdwCleaner wykonane pomyślnie. Zanim zadam czynności końcowe:

Znaleziono wpisy i pozostałe pliki. Usunąć je bez deinstalacji programu?

Jak mówiłam, program jest uszkodzony (wygląda na częściowo odinstalowany), toteż zostaje usunięcie wpisów rejestru wykrytych przez Revo. Jednak przed tą akcją na wszelki wypadek utwórz ręcznie punkt Przywracania systemu.

Vexeoss · 30 Października 2014

Nie mogę utworzyć punktu przywracania systemu. Występuje komunikat o błędzie, gdy tylko klikam 'Ochrona systemu'.

picasso · 31 Października 2014

Z klawiatury kombinacja klawisz z flagą Windows + X > Zarządzanie komputerem > Usługi i aplikacje > Usługi. Na liście dwuklik na Dostawca kopiowania w tle oprogramowania firmy Microsoft i Typ uruchomienia zmień na Ręczny. Ponów próbę tworzenia punktu Przywracania systemu.

Vexeoss · 31 Października 2014

Teraz poszło sprawnie. Programu już na liście nie mam. Widzę, że malware też zniknęło. Załączyć jakieś logi? Pozostałe programy typu ADWCleaner, FRST, OTL usunąć ?

Pozdrawiam

picasso · 31 Października 2014

Wszystko zrobione, toteż kończymy. Zastosuj DelFix. Punktów Przywracania systemu nie ma co czyścić, poprzednio ich nie było, a ostatnio utworzony przed użyciem Revo na wszelki wypadek zostaw jeszcze.

Vexeoss · 1 Listopada 2014

Zrozumiano. Dziękuję za poświęcony czas

Pozdrawiam.

Zaloguj się

Zamulanie systemu

Rekomendowane odpowiedzi

Vexeoss

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Vexeoss

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Vexeoss

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Vexeoss

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Vexeoss

Odnośnik do komentarza

picasso

Odnośnik do komentarza

Vexeoss

Odnośnik do komentarza

Ostatnio przeglądający 0 użytkowników

Przeglądaj

Cała aktywność