Zamulony netbook - usunięto 300 mb smieci - adware w przegladarce

[Rucek]

Witam

 

połączyłem się zdalnie z netbookiem znajomej, był strasznie zamulony, powyłączałem część zbędnych rzeczy, poczyściłem co mogłem (wiem że jeszcze śmieci w przeglądarkach sporo), komp ma bardzo mało ramu 1GB, słaby procek, proszę o info jeśli coś jeszcze można zrobić by go lekko przyśpieszyć.

 

To co udało mi się zrobić:

- CCleaner + TFC = wywalono ok 300 MB śmieci

- mbar + tdsskiller = nie znalazły nic istotnego

- AdwCleaner = wskazał kilka rzeczy, nie dawałem jeszcze usuń, to co można było to odinstalowałem z programy dodaj/usuń, wskazuje też na śmieci w firefox

 

Poniżej logi bez GMERa, gmer ukończył skan, strasznie długo to trwało, nie wyświetliło się nic na czerwono ale log niestety nie został zapisany... nie mam jak odpalić ponownie.

 

@Jessi, @Zappa - jak macie chwilkę, proszę o info co jeszcze doczyścić

[jessica]

Otwórz Notatnik i wklej w nim:

 

Task: {DAC25CF4-D5CB-4277-B85C-D250C0F24672} - System32\Tasks\DSite => C:\Users\Monia\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
C:\Users\Monia\AppData\Roaming\DSite
Task: C:\Windows\Tasks\DSite.job => C:\Users\Monia\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE <==== ATTENTION
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hp&ts=1410440752&from=wpc&uid=ST9250315AS_5VCKD67DXXXX5VCKD67D
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1410440752&from=wpc&uid=ST9250315AS_5VCKD67DXXXX5VCKD67D&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1410440752&from=wpc&uid=ST9250315AS_5VCKD67DXXXX5VCKD67D
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1410440752&from=wpc&uid=ST9250315AS_5VCKD67DXXXX5VCKD67D&q={searchTerms}
Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
HKU\S-1-5-21-2476440829-2024474781-965103288-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1410440752&from=wpc&uid=ST9250315AS_5VCKD67DXXXX5VCKD67D
SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1410440752&from=wpc&uid=ST9250315AS_5VCKD67DXXXX5VCKD67D&q={searchTerms}
SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1410440752&from=wpc&uid=ST9250315AS_5VCKD67DXXXX5VCKD67D&q={searchTerms}
SearchScopes: HKU\S-1-5-21-2476440829-2024474781-965103288-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://istart.webssearches.com/?type=sc&ts=1410440752&from=wpc&uid=ST9250315AS_5VCKD67DXXXX5VCKD67D
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\webssearches.xml [2014-09-11]
CHR Extension: (GoSaave) - C:\Users\Monia\AppData\Local\Google\Chrome\User Data\Default\Extensions\kmeebefdjahmfjmmkafjglhlnmnpcmcn [2014-09-11]
CHR Extension: (NexTaCoup) - C:\Users\Monia\AppData\Local\Google\Chrome\User Data\Default\Extensions\njbbjmfkpeeglmbjakokbphompcidmnh [2014-09-11]
CHR Extension: (Save Best) - C:\Users\Monia\AppData\Local\Google\Chrome\User Data\Default\Extensions\pnaiinchjaonopoejhknmgjingcnaloc [2014-09-11]
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe
Uruchom FRST i kliknij przycisk Fix.
Powstanie plik fixlog.txt.
Daj ten log.

 

Zrób nowe logi,- już bez Shortcut.

 

jessi

[Rucek]

Poniżej nowe logi, fixlog wykonany poprawnie z tego co widzę. Komp się ogólnie odmulił, chodzi dużo szybciej. Czy coś jeszcze?

[picasso]

- Tu jeszcze niezbyt czysty Firefox oraz na dysku szczątkowe Google Chrome w wersji "dev". W całości należało usuwać wszystko od Google, a nie przetwarzać pojedyncze rozszerzenia z martwego profilu. Nawiasem mówiąc, usuwanie rozszerzeń adware skryptem FRST nie usuwa ich z preferencji i pozostają widoczne na liście = jak wyłożone w tutorialu, zalecana metoda to deinstalacja w opcjach a nie skrypt FRST. To samo dotyczy Opery.

- Po ukończeniu czyszczenia coś należy zrobić z archaizmen ESET z 2009 (!). A ten "MBAM Portable" (nie wiem skąd pobrany, ale to nie jest wersja producenta) to nie portable - na dysku porozrzucane różne elementy (usuwam skryptem).

 

 

1. Odinstaluj te niezdrowe truposze sprzed kilkunastu lat: Nimo Codecs Pack v5.0, SLD CODEC PACK 1.5.

 

2. Wyczyść Firefox:

• menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Po akcji trzeba będzie przeinstalować Adblock Plus.
• menu Historia > Wyczyść historię przeglądania

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
DisableService: PLAY ONLINE. RunOuc
C:\Program Files\Google
C:\ProgramData\Malwarebytes' Anti-Malware (portable)
C:\ProgramData\Malwarebytes
C:\Users\Monia\AppData\Local\Google
C:\Users\Monia\AppData\Roaming\LiveSupport.exe_log.txt
C:\Users\Monia\AppData\Roaming\regsvr32.exe_log.txt
C:\Windows\system32\Drivers\MBAMSwissArmy.sys
C:\Windows\system32\Drivers\mbamchameleon.sys
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKCU\Software\Google /f
Reg: reg delete HKLM\SOFTWARE\Google /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Po restarcie zaprezentuj fixlog.txt.

[Rucek]

Co do ESET - przekazano sugestie

Co do mbam - pojecia nie mam, ja uzywalem chyba dobrej wersji sciagnietej z Twojego linka.

 

AD1:

Nimo Codecs Pack v5.0 - nie było tego na liście do odinstalowania

SLD CODEC PACK 1.5. - odinstalowane

 

AD2: zrobione

AD3: zrobione log poniżej

 

Dodatkowo - na dysku C: znajdował się katalog Windows.old - usunalem to.

Coś jeszcze?

[picasso]

Fix wykonany, więc wiadome kroki końcowe będą do wdrożenia.

 

 

Nimo Codecs Pack v5.0 - nie było tego na liście do odinstalowania

Dostarczone raporty FRST pokazywały ten program na liście Dodaj/Usuń oraz jego skróty na dysku:

 

==================== Installed Programs ======================
 

Nimo Codecs Pack v5.0 (Remove Only) (HKLM\...\NimoCorp) (Version: - )
 

Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nimo Codec Pack\DivFix.lnk -> C:\Program Files\NimoCodec Pack\Div Fix\DivFix.exe (Budai Csaba)

Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nimo Codec Pack\Misc Utlities.lnk -> C:\Program Files\NimoCodec Pack\MiscStuff ()

Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nimo Codec Pack\Nimo.lnk -> C:\Program Files\NimoCodec Pack\Nimo.jpg ()

Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nimo Codec Pack\NimoPack.lnk -> C:\Program Files\NimoCodec Pack ()

Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nimo Codec Pack\SubMux.lnk -> C:\Program Files\NimoCodec Pack\DirectVobSub\submux.exe (Gabest)

Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nimo Codec Pack\SubResync.lnk -> C:\Program Files\NimoCodec Pack\DirectVobSub\subresync.exe (Gabest)

Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nimo Codec Pack\Uninstall.lnk -> C:\Program Files\NimoCodec Pack\uninstall.exe ()

Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nimo Codec Pack\Player\DivX Player 2.0 Alpha.lnk -> C:\Program Files\DivX\DivX Player 2.0 Alpha\DivX Player 2.0 Alpha.exe ()

Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nimo Codec Pack\Player\Playa.lnk -> C:\Program Files\The Playa\ThePlaya.exe (Project Mayo)

Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nimo Codec Pack\Divx 5 Codec\DivX help guide.lnk -> C:\Program Files\DivX\DivX Codec\DivX help guide.url (No File)

Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nimo Codec Pack\Divx 5 Codec\DivX.com.lnk -> C:\Program Files\DivX\DivX Codec\DivX.com.url (No File)

Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nimo Codec Pack\Divx 5 Codec\License.lnk -> C:\Program Files\DivX\DivX Codec\LICENSE.TXT (No File)

Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nimo Codec Pack\Divx 5 Codec\ReadMe.lnk -> C:\Program Files\DivX\DivX Codec\README.txt (No File)

 

Czy widzisz folder C:\Program Files\NimoCodec Pack na dysku?

Edytowane 2 Czerwca 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso