Goobzo ltd - Dziadostwo zainstalowane wraz z HTC Home

[Justice4All]

Witam serdecznie, po raz pierwszy na forum.

Niestety nadziałem się drugi raz na to samo, wcześniej było to mniej kłopotliwe bo dołączonego dziadostwa było mniej i system xp gdzie nie zależało mi jakoś super na stanie tego PC, a ten widget jest całkiem spoko.. No cóż..
Część rzeczy pousuwałem jakoś łopatologicznie, pozostał jedynie shopper pro który w momencie odpalenia usuwania z panulu prosi o podłączenie do LAN i tworzy w tempie tymczasowy folder z którego nie da się go wykopać.. A po zamknięciu "niby uninstalatora" znika.

Powywalałem też sporo rejestrów modyfikowanych w czasię gdy do ku***stwo się instalowało i syfiło mój świeżutki system.

Straciłem na tym 2h i wiele nerwów, bardzo by mi zależało żeby system wrócił w 99.9% do stanu z przed tej felernej instalacji..

 

1) Czy użycie przywracania systemu załatwiło by sprawę ?

 

2) Jeśli nie, to z jakiego programu zamieścić tutaj log/i ?

 

System: Windows 7 HP 64bity

 

Z góry dziękuję i pozdrawiam.

 

P.S. Strona z której to pobrałem wyglądała na oficialną, zamieszczona była też na forum win7 jako OK miejsce, WOT dał zielone światło.. I pomyślałem że gdy ściagałem to na stary PC to musiałem mieć niefart.. A tu tyle krwi struło.

[picasso]

Proszę podaj obowiązujące tu logi: KLIK. Dopiero na ich podstawie będzie można stwierdzić jaki jest ogólny stan systemu i jakie działania podjąć.

[Justice4All]

Witam po krótkiej przerwie.

Nowego PC nawet nie podłączam do LANa, działam na starym i przerzucam pliki via aparat.

Zrobiłem log z FRST oraz OTL ( miałem zamiast niego zrobić gmerem, ale on coś tam miesza z ustawieniami SSD)

I w zasadzie miałem zrobić teraz przywracanie sys i wrzucić drugie logi ("po") czy wszystko wylazło.

 

Ale postanowiłem nie kombinować i pozostawić sprawę mózgowi tego portalu

Z góry dziękuję i pozdrawiam!

 

Edit: Jeżeli log z gmera okaże się w tym wypadku ważny, to go dorobię.

Jednak podkreślam że to świeży system i nie ma tam żadnego innego badziewia - kabel LAN wypiąłem jeszcze w trakcie instalacji gdy zorientowałem się co się dzieję, tak aby nie dociągał więcej syfu.

Extras.Txt

FRST.txt

OTL.Txt

Shortcut.txt

Addition.txt

[picasso]

GMER sobie darujmy.

 

Nadal widać dużo elementów grupy "Goobzo" (ShopperPro i YouTube Accelerator), z tym że to ShopperPro jest częściowo czynny (zadanie w Harmonogramie próbuje go "uzupełniać"), reszta szczątki. Adware zmodyfikowało łańcuch Winsock, "łopatologie" go uszkodziły (usunięcie pliku adware z dysku bez prawidłowego wypięcia z Winsock). Wdróż następujące akcje:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
S4 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe -service [X]
S4 NVHDA; system32\drivers\nvhda64v.sys [X]
S4 SPBIUpd; C:\Program Files\Common Files\ShopperPro\spbiu.exe /service [X]
S3 SPBIUpdd; \??\C:\Program Files\Common Files\ShopperPro\spbiw.sys [X]
R2 SPDRIVER_1.38.0.1437; C:\Program Files (x86)\ShopperPro\JSDriver\1.38.0.1437\jsdrv.sys [52584 2014-12-10] ()
S1 wpnfd_1_10_0_4; system32\drivers\wpnfd_1_10_0_4.sys [X]
S2 YouTubeAcceleratorService; C:\PROGRA~2\YOUTUB~1\YouTubeAcceleratorService.exe -start -scm [X]
Task: {5060A676-C1F7-47B5-A943-BCAC0127239E} - System32\Tasks\ShopperProJSUpd => C:\Program Files (x86)\ShopperPro\updater.exe [2014-12-10] (Goobzo) 
Task: {694E8C2F-DB63-43D5-AF87-46D818F896B7} - System32\Tasks\SPBIW_UpdateTask_Time_323231393831363432352d374a55414134502a576c4a5a => Wscript.exe //B "C:\ProgramData\ShopperPro\spbihe.js" spbiu.exe /invoke /f:check_services /l:0 
Task: {7F51C96E-B554-4EDA-8CB2-6DC89B54DC7E} - System32\Tasks\YTAUpdate_logon => C:\PROGRA~2\YOUTUB~1\Updater.exe 
Task: {7FCACBC8-7780-4A13-82D8-3B78048199F6} - System32\Tasks\{039CC313-F8D6-419D-A278-A18599BA2C7D} => pcalua.exe -a C:\Users\Radziu\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=smt
Task: {A619EC51-0625-42A2-A897-9FD6139E932A} - System32\Tasks\YTAHelper => C:\Program Files (x86)\YTAHelper\YTAHelper.exe 
Task: {AFD1E278-5263-4B39-A439-D304C3304B11} - System32\Tasks\YTAUpdate => C:\PROGRA~2\YOUTUB~1\Updater.exe 
Task: {C4CE1052-7B18-4221-8D24-D2EAD9267C7D} - System32\Tasks\Installer_sense => C:\Users\Radziu\AppData\Local\Installer\Installsense_30696\ins_postInst.exe 
Task: {CC19B9DC-5CA6-41DA-B50D-E81C7911D513} - System32\Tasks\ShopperPro => C:\Program Files (x86)\ShopperPro\ShopperPro.exe [2014-12-10] (Goobzo LTD) 
Task: {DFB9A7C9-9563-4484-B59B-17F8AC8873B8} - System32\Tasks\SPDriver => C:\Program Files (x86)\ShopperPro\JSDriver\1.38.0.1437\jsdrv.exe [2014-12-10] () 
Task: {F7C0F6DC-72B5-4A50-8410-A665C3387358} - System32\Tasks\{AB7A8563-66E8-4667-80C6-226CB3648B3F} => pcalua.exe -a "C:\Program Files (x86)\YouTube Accelerator\YTAUninstall.exe"
Task: {FF91A0AD-6195-4007-A2E1-C8A0A395301F} - System32\Tasks\Installer_iwebar => C:\Users\Radziu\AppData\Local\Installer\Installiwebar_30696\ins_postInst.exe 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1418242426&from=smt&uid=CrucialXCT256MX100SSD1_14370D2D5C760D2D5C76&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1418242426&from=smt&uid=CrucialXCT256MX100SSD1_14370D2D5C760D2D5C76&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1418242426&from=smt&uid=CrucialXCT256MX100SSD1_14370D2D5C760D2D5C76&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1418242426&from=smt&uid=CrucialXCT256MX100SSD1_14370D2D5C760D2D5C76&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1418242426&from=smt&uid=CrucialXCT256MX100SSD1_14370D2D5C760D2D5C76
BHO: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\ProgramData\ShopperPro\ShopperPro64.dll (Goobzo Ltd.)
BHO: YTAHelper -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> C:\ProgramData\YTAHelper\YTAHelper64.dll No File
BHO-x32: Shopper Pro -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> C:\ProgramData\ShopperPro\ShopperPro.dll (Goobzo Ltd.)
BHO-x32: YTAHelper -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> C:\ProgramData\YTAHelper\YTAHelper.dll No File
C:\Program Files (x86)\ShopperPro
C:\Program Files (x86)\YouTube Accelerator
C:\ProgramData\ShopperPro
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YouTube Accelerator
C:\Users\Public\Documents\GOOBZO
C:\Users\Public\Documents\ShopperPro
C:\Users\Public\Documents\YTAHelper
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\ShopperPro /f
CMD: netsh winsock reset
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Radziu\AppData\Local
CMD: dir /a C:\Users\Radziu\AppData\LocalLow
CMD: dir /a C:\Users\Radziu\AppData\Roaming
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Specjalny skrót Internet Explorer jest uszkodzony:

 

Shortcut: C:\Users\Radziu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation)

 

W pasku adresów eksploratora wklej ścieżkę C:\Users\Radziu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus i WOT należy przeinstalować.

 

4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

[Justice4All]

Wykonałem wszystko zgodnie z zaleceniami:
Po restarcie(after fix) wyskoczył błąd - coś się musiało asusowi uwalić w rejestrze.

Szczerze? Nie spodziewałem się tyle lini syfu po jednym incydencie

Gratuluje ( i zazdroszczę ) wiedzy! Po nowym roku prześlę parę złotych na rzecz portalu.

 

Spytam jeszcze na boku, czym załatać dziury w tym w7 ? Secundo, poprawnie skonfigurowane Comodo czy NOD32 ?

Tertio, rozumiem że gdybym nie użył odpowiednich narzędzi pod okiem eksperta i cyknął przywracanie sys to jakieś modyfikację plików systemowych by przetrwały (?)

 

Edit: Po restarcie FF powstał folder ze starymi danym = shift + del

 

Na koniec przedstawiam powstałe logi:

FRST.txt

Fixlog.txt

[picasso]

Tertio, rozumiem że gdybym nie użył odpowiednich narzędzi pod okiem eksperta i cyknął przywracanie sys to jakieś modyfikację plików systemowych by przetrwały (?)

Przywracanie systemu na pewno odkręciłoby większość, ale mogłyby się zaplątać gdzieś drobnostki. Tu już posunąłeś się tak daleko, że wybrałam doczyszczenie tego, a nie rolowanie całego systemu.

 

 

Po restarcie(after fix) wyskoczył błąd - coś się musiało asusowi uwalić w rejestrze.

Był czyszczony katalog Temp, więc pewnie dlatego. Ten wpis jest zresztą zbędny w starcie. Podobny temat na forum: KLIK. Skorzystaj z Autoruns do wyłączenia wpisu:

 

==================== Scheduled Tasks (whitelisted) =============
 

Task: {860863D0-EA03-46FE-9975-CBFD1E4A7A50} - System32\Tasks\ASUS\i-Setup143208 => C:\Windows\MEI-Win7-8-8-1_VER10001204\AsusSetup.exe [2013-08-22] (ASUSTeK Computer Inc.)

 

 

Wszystko zrobione, log piękny. Drobne poprawki:

 

1. Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: C:\Program Files (x86)\Temp
RemoveDirectory: C:\FRST\Quarantine

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw fixlog.txt.

 

2. Uruchom AdwCleaner, wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner .

[Justice4All]

Zastosowałem się do instrukcji.

AdwCleaner znalazł jeszcze rejestry do wywalenia, ale nie usuwałem, grzecznie zrobiłem log'a

FRST ładnie wszystko usunął.

 

Jeszcze raz dziękuję za pomoc, skorzystałbym z płatnego seminarium byle by ogarnąć chociaż podstawy..

 

Czasu nie starcza by odpowiadać na męczące pytania gawiedzi, ale prosiłbym chociaż o jakiś link z forum o zabezpieczaniu win7, domykaniu furtek dla robali etc.. XP(sp2) łatałem czym się dało i trzyma się już z 8 lat

Dziękuję, pozdrawiam i życzę dużo snu!

 

AdwCleanerR0.txt

Fixlog.txt

[picasso]

1. W AdwCleaner uruchom Szukaj, następnie w karcie Registry odznacz wpisy typu Nico Mak Computing (wpisy wyglądają na pochodną instalacji WinZIP), dopiero po tym Usuń i przedstaw wynikowy log.

 

2. Przy okazji, w Dzienniku zdarzeń jest błąd WMI numer 10. Zastosuj narzędzie Fix-it: KLIK.

 

 

Czasu nie starcza by odpowiadać na męczące pytania gawiedzi, ale prosiłbym chociaż o jakiś link z forum o zabezpieczaniu win7, domykaniu furtek dla robali etc.. XP(sp2) łatałem czym się dało i trzyma się już z 8 lat

Nie przypominam tu sobie żadnego tematu zbiorczego na forum traktującgo o tym ogólnie. A "domykanie furtek robali" znane z XP nie aplikuje się na systemach Vista i nowszych. Po pierwsze: systemy są natywnie zimmunizowane w określonych partiach i nie występują w nich problemy z XP. Po drugie: użycie jednej z procedur znanych w programach WWDC / Seconfig powoduje pad Harmonogramu zadań tych systemów i przestaje działać mnóstwo funkcji systemowych - Harmonogram jest zupełnie innej architektury niż w prymitywie XP i jest potrzebny do poprawnego funkcjonowania systemu.

 

Pomijając oczywiste aktualizacje Windows + aplikacji oraz antywirusy / pakiety zabezpieczeń, zainteresuj się narzędziami chronionącymi przed exploitami czy wirtualizacją środowiska np. Malwarebytes Anti-Exploit, EMET, SandBoxie.

 

Przy okazji, incydenty typu "Goobzo" to niestety kwestia braku uwagi, więc jeszcze podsuwam ten materiał ogólny: KLIK.

[Justice4All]

1) Wszystko cacy, załączam loga.

2) Usunięcie tego błędu nie koliduje z wersją DAZ ? *W którym logu widać błędy z dzienniczka ?

 

 

Przy okazji, incydenty typu "Goobzo" to niestety kwestia braku uwagi, więc jeszcze podsuwam ten materiał ogólny: KLIK.

 

-Zgadza się, pośpiech i piwo uśpiło moją czujność

Nie mniej artykuł ciekawy i rzeczowy.. Swoją drogą to szkoda dobrychprogramów.pl kiedyś lubiłem to miejsce.

 

3)Foxit czy Adobę bezpieczniejszy ? Kiedyś ktoś zalecił mi przesiąść się na Foxita i tak zostało.

AdwCleanerS0.txt

[picasso]

Na zakończenie DelFix i czyszczenie folderów Przywracania systemu: KLIK.

 

 

Usunięcie tego błędu nie koliduje z wersją DAZ ? *W którym logu widać błędy z dzienniczka ?

Sprawy w ogóle nie są ze sobą powiązane, a błąd który wspominam jest poziomu "kosmetycznego". Błąd figuruje w raporcie FRST Addition:

 

Application errors:

==================

Error: (12/10/2014 10:31:32 PM) (Source: WinMgmt) (EventID: 10) (User: )

Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003

 

 

Foxit czy Adobę bezpieczniejszy ? Kiedyś ktoś zalecił mi przesiąść się na Foxita i tak zostało.

Adobe jest bardziej popularny, co przekładam na bycie pod większym radarem. Ale Foxit wcale nie był taki bezpieczny - starsze wersje też miały krytyczne luki prowadzące do wykonania infekcji z wklejek www. Po prostu zostaw ten Foxit, tylko pilnuj aktualizacji.