Wolny komputer. Reklamy w przeglądarce.

[oszymi]

Witam, mam kłopoty z wolnym laptopem i reklamami w przeglądarce Opera. Widziałem w panelu sterowania jakieś 2 dziwne programy o nazwie Vuupc Packages i WPM Cherished Technology Limited. Dziewczyna mi musiała je jakoś zainstalować, bo ja nic nie instalowałem, ale oczywiście mówi, że nie wie co zrobiła... Usunąłem je za pomocą odinstaluj/zmień w panelu sterowania, ale nie wiem czy na dobre pozbyłem się tych programów, bo nie mam teraz dostępu do internetu w domu. Czy znalazłby się uprzejmy użytkownik i mógł spojrzeć na logi? Wykorzystałem programy SPTDinst, FRST na 64-bit'owym systemie Windows 8.1. Jeśli dobrze zrozumiałem program SPTDinst usuwa jakiś sterownik SPTD, czy po wygenerowaniu logów mam ten sterownik zainstalować ponownie? Z góry dziękuję za pomoc.

 

Nie wykonałem logów w GMER gdyż w trakcie uruchamiania pojawia się błąd: "C:\Windows\system32\config\system: Proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces".

 

 

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

mam kłopoty z wolnym laptopem i reklamami w przeglądarce Opera. Widziałem w panelu sterowania jakieś 2 dziwne programy o nazwie Vuupc Packages i WPM Cherished Technology Limited. Dziewczyna mi musiała je jakoś zainstalować, bo ja nic nie instalowałem, ale oczywiście mówi, że nie wie co zrobiła... Usunąłem je za pomocą odinstaluj/zmień w panelu sterowania, ale nie wiem czy na dobre pozbyłem się tych programów, bo nie mam teraz dostępu do internetu w domu.

Metody nabycia adware (tu prawdopodobnie był uruchamiany jakiś "downloader"): KLIK. System nadal nie jest czysty. Działa adware BringStar, są też związane z tym adware aż trzy aktywne sterowniki. Dodatkowo plączą się jeszcze inne śmieci.

 

 

Jeśli dobrze zrozumiałem program SPTDinst usuwa jakiś sterownik SPTD, czy po wygenerowaniu logów mam ten sterownik zainstalować ponownie?

Sterownik SPTD jest tylko wtedy potrzebny, gdy w systemie jest Alcohol, bądź DAEMON Tools, w przeciwnym wypadku kompletnie zbędny i to bardzo dobrze, że go nie ma (jest mocno inwazyjny). Poza tym, czy Ty na pewno go odinstalowałeś a nie zainstalowałeś? Wg FRST sterownik SPTD jest aktywny, a brak w/w programów:

 

R0 sptd; C:\Windows\System32\Drivers\sptd.sys [381608 2015-03-05] (Duplex Secure Ltd.)

 

 

---

Działania do przeprowadzenia:

 

1. Odinstaluj starą wersję Adobe Reader X (10.1.8) MUI.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
DisableService: sptd
R1 {55685567-4840-4a91-962b-49a412e9485a}Gw64; C:\Windows\System32\drivers\{55685567-4840-4a91-962b-49a412e9485a}Gw64.sys [61112 2014-06-10] (StdLib)
R1 {55685567-4840-4a91-962b-49a412e9485a}w64; C:\Windows\System32\drivers\{55685567-4840-4a91-962b-49a412e9485a}w64.sys [61112 2014-06-12] (StdLib)
R1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64; C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys [61112 2014-05-22] (StdLib)
R2 Update BringStar; C:\Program Files (x86)\BringStar\updateBringStar.exe [317728 2014-06-11] ()
R2 Util BringStar; C:\Program Files (x86)\BringStar\bin\utilBringStar.exe [317728 2014-06-11] ()
Task: {0FD8188F-4C07-4D93-B6C0-611FA2F37051} - System32\Tasks\SaveSenseLiveUpdateTaskMachineUA => C:\Program Files (x86)\SaveSenseLive\Update\SaveSenseLive.exe 
Task: {10AFC872-1F31-405D-A3E8-BDED2FAC54A4} - System32\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-2568246086-2447926606-4193830083-1002 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe
Task: {332EABD6-129F-4CA2-B824-7743EFEA3F33} - System32\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-2568246086-2447926606-4193830083-1002 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe
Task: {4024785F-BE99-46F1-99FD-33D91A9ECFA5} - \VuuPCUpdateLogin No Task File 
Task: {51750AA7-6CE1-4E14-BC3D-F9C41E4D9AE2} - System32\Tasks\{06AB844F-BB53-4346-A8FD-D2DF973ACBE1} => Iexplore.exe http://ui.skype.com/ui/0/6.3.0.107/pl/abandoninstall?source=lightinstaller&page=tsProgressBar
Task: {526DFC45-1EFA-4CA1-88C0-795076A0996E} - System32\Tasks\SaveSenseLiveUpdateTaskMachineCore => C:\Program Files (x86)\SaveSenseLive\Update\SaveSenseLive.exe 
Task: {57E5969D-28F8-43DA-89DA-71F36C57CE8C} - \SaveSense No Task File 
Task: {608995CB-165D-4583-9ECB-E263B5A9BABE} - System32\Tasks\ReclaimerUpdateFiles_xx => C:\Users\xx\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\12.01\agent\rnupgagent.exe [2015-02-05] (RealNetworks, Inc.)
Task: {7158FF08-DA9F-40FD-A020-F8AC52C645E7} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\BrowserChoice\browserchoice.exe
Task: {9AA55A49-9A4E-44C6-9032-E55C35390364} - \VuuPCUpdate No Task File 
Task: {EB15BBA3-F5A1-40BA-940B-0B2EDD844896} - System32\Tasks\ReclaimerUpdateXML_xx => C:\Users\xx\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\12.01\agent\rnupgagent.exe [2015-02-05] (RealNetworks, Inc.)
Task: C:\WINDOWS\Tasks\ReclaimerUpdateFiles_xx.job => C:\Users\xx\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\12.01\agent\rnupgagent.exe
Task: C:\WINDOWS\Tasks\ReclaimerUpdateXML_xx.job => C:\Users\xx\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\12.01\agent\rnupgagent.exe
Task: C:\WINDOWS\Tasks\SaveSenseLiveUpdateTaskMachineCore.job => C:\Program Files (x86)\SaveSenseLive\Update\SaveSenseLive.exe 
Task: C:\WINDOWS\Tasks\SaveSenseLiveUpdateTaskMachineUA.job => C:\Program Files (x86)\SaveSenseLive\Update\SaveSenseLive.exe 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page =
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKLM-x32 -> DefaultScope value is missing.
SearchScopes: HKU\S-1-5-21-2568246086-2447926606-4193830083-1002 -> {51BCC7B1-3642-4753-9589-1AB5C0C58671} URL =
BHO-x32: BringStar -> {6f0d3dec-9246-4b6f-a5e3-c1c169493eef} -> C:\Program Files (x86)\BringStar\BringStarBHO.dll (BringStar)
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
C:\Program Files (x86)\BringStar
C:\Program Files (x86)\Real
C:\ProgramData\Real
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FlvPlayer
C:\Users\xx\AppData\Roaming\Real
C:\Windows\System32\drivers\{55685567-4840-4a91-962b-49a412e9485a}Gw64.sys
C:\Windows\System32\drivers\{55685567-4840-4a91-962b-49a412e9485a}w64.sys
C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\SaveSense /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v fst_pl_79 /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v fst_pl_99 /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Potwierdź ustąpienie reklam.

[oszymi]

Rzeczywiście zainstalowałem ten sterownik   Odinstalowałem SPTD i Adobe Reader'a.

Fixlog.txt

FRST.txt

[picasso]

Wszystko wykonane. Teraz:

 

Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

[oszymi]

Proszę.

AdwCleanerR2.txt

[picasso]

Uruchom AdwCleaner ponownie, wybierz sekwencję Szukaj + Usuń i dostarcz wynikowy log C:\AdwCleaner\AdwCleaner[s2].txt.

[oszymi]

Wykonałem.

AdwCleanerS2.txt

[picasso]

Kończymy:

 

1. Otwórz Notatnik i wklej w nim:

 

S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X]
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
CMD: del /q C:\Users\xx\Desktop\SPTDinst*.exe
CMD: del /q C:\Users\xx\Desktop\ymf0bl2b.exe
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

 

2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

[oszymi]

Również wykonane. Nowy punkt przywracania sam się utworzy czy ja muszę to zrobić?

Fixlog.txt

[picasso]

Fix wykonany. System tworzy automatycznie punkty w określonych przedziałach czasowych, ale ręczne czyszczenie punktów nie odpali automatycznego tworzenia nowego punktu i jeśli ma być on zrobiony konkretnie w tym czasie, to należy ręcznie go stworzyć. On i tak nie przetrwa zbyt długo, bo system czyści starsze punkty, gdy brak już miejsca na nowe.

[oszymi]

Czyli wszystko już zrobione? Dzięki za pomoc! Jak będę miał wolne środki to prześlę "parę groszy". Pozdrawiam

[picasso]

Tak, to już wszystko. Temat rozwiązany, zamykam.

 

I dzięki za ewentualne wsparcie!