Procesy bez opisów i obniżona wydajność

[mlynekt]

Witam wczoraj przez własną głupotę ściągnąłem plik który po uruchomieniu nie zareagował a był skanowany przez avasta który nie wykazał nic podejrzanego. Następnie grając w grę zaczęły mnie martwić duże skoki fps co uniemożliwiało grę a nigdy tak się nie działo, zauważyłem także spadek prędkości internetu po tym zdarzeniu .

Otworzyłem więc menadżer zadań i napotkałem tam procesy atieclxx.exe, csrss.exe i winlogon.exe czytałem, że moga to być zarówno procesy systemowe lub też wirusy. Ale właśnie przy ich nazwie użytkownika i opisie są puste komórki.

Skany avastem nic nie wykazały.

 

Dołączam logi z OTL (w razie możliwości gdyby ktoś był tak miły odpowiedzieć na mój temat prosiłbym o jak najbardziej łopatologiczne zwroty bo akurat w temacie logów jestem całkowicie zielony bo zawsze mnie to przerażało i wolałem załatwiać takie sprawy innymi metodami, ale teraz jestem bezsilny)

 

Edit 

Przepraszam za niedoczytanie, dołączam brakujące pliki. Po włączeniu wszystkich procesów użytkowników menadżer wskazuje że powyższe procesy są obsługiwane przez system.

Ściągnąłem także antywirusa avg który wykrył jakieś trojany ale na razie nic z tym nie robiłem aby dokończyć tą sprawę już tutaj. 

Jeszcze dodam że już 2 razy wyłączyło mi komputer wywalając bluescreena a nigdy się to jeszcze na tym komputerze nie stało.

Aha i mój system operacyjny jest 64-bitowy 

OTL.Txt

Extras.Txt

GMER.txt

Addition.txt

FRST.txt

Shortcut.txt

[picasso]

Otworzyłem więc menadżer zadań i napotkałem tam procesy atieclxx.exe, csrss.exe i winlogon.exe czytałem, że moga to być zarówno procesy systemowe lub też wirusy. Ale właśnie przy ich nazwie użytkownika i opisie są puste komórki.

Wyjaśnienie braku danych przy tych procesach: KLIK. Opcja "Pokaż procesy wszystkich użytkowników" ujawnia te dane.

 

 

Mamy tu infekcję w postaci strumieni ADS podczepionych pod świeżo utworzony folder "Temp". Prócz tego jeszcze szczątki adware, ale to nieczynne iobiekty. Przeprowadź następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

(Microsoft Corporation) C:\Windows\SysWOW64\explorer.exe
(Microsoft Corporation) C:\Windows\SysWOW64\explorer.exe
(Microsoft Corporation) C:\Windows\SysWOW64\explorer.exe
(Microsoft Corporation) C:\Windows\SysWOW64\explorer.exe
HKU\S-1-5-21-906435108-3439195025-2073306531-1000\...\Run: [svchost] => regsvr32 /s "C:\Temp:026EB853.dat"
URLSearchHook: HKCU - (No Name) - {5c5b9468-d672-4eb7-b52f-b5afabf28c5b} - No File
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKCU - {64511A76-362E-4551-8000-BA43A8F82AAF} URL = http://search.babylon.com/?q={searchTerms}&AF=100478&babsrc=SP_ss&mntrId=36a0fad500000000000068a3c44e539c
SearchScopes: HKCU - {B5DF8EE5-D8B8-4C31-8858-311463CDB647} URL =
Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
Toolbar: HKCU - No Name - {5C5B9468-D672-4EB7-B52F-B5AFABF28C5B} - No File
C:\Program Files (x86)\mozilla firefox\plugins
FF HKLM-x32\...\Firefox\Extensions: [{C7AE725D-FA5C-4027-BB4C-787EF9F8248A}] - C:\Program Files (x86)\RelevantKnowledge\firefox
Task: {097E3930-62E5-4088-AB43-09011B8A24FA} - System32\Tasks\{120FB32D-A916-4D55-AEF5-40C40B5C7E3D} => C:\Users\Tomek\Desktop\LeagueofLegends.exe
Task: {53F0AA64-4F75-4EE9-BEC2-5C508A81C4DC} - \Program aktualizacji online firmy Adobe. No Task File 
Task: {558FF4C4-5B80-4CED-9D6C-4476A19E2D20} - \AdobeFlashPlayerUpdate No Task File 
Task: {7A5C515D-2D24-4A3D-BC9A-0EC2BC168092} - \AdobeFlashPlayerUpdate 2 No Task File 
Task: {898EAD81-BA3B-4D97-97B8-15E2E4B0871D} - System32\Tasks\{672535B5-AC22-4EC4-BE6A-7D68116F801D} => C:\Users\Tomek\Documents\LeagueofLegends.exe
S3 ALSysIO; \??\C:\Users\Tomek\AppData\Local\Temp\ALSysIO64.sys [X]
C:\Temp
C:\Users\Tomek\AppData\Local\Temp\*.dll
C:\Users\Tomek\AppData\Local\Temp\*.exe
C:\Users\Tomek\AppData\Roaming\ProgSense
C:\Users\Tomek\Desktop\AVG-PC-TuneUp(21136).exe
C:\Users\Tomek\Documents\aTube-Catcher(21622).exe
C:\Users\Tomek\Downloads\*.tmp
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Sweetpacks Communicator" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\MenuExt\Search the Web" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\MenuExt\Search the Web" /f
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Preferencje Google Chrome wyglądają na uszkodzone, toteż w przeglądarce:

• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone.
• Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z katalogu C:\AdwCleaner (był używany). Wypowiedz się czy nastąpiła poprawa wydajności.

 

 

 

.

[mlynekt]

Zrobiłem wszystko zgodnie z instrukcją. 

Wydajność komputera powróciła do prawidłowego stanu

Logi z AdwCleaner zamieszczam z wczoraj i z dzisiaj już po wykonaniu wszystkich procedur. 

Fixlog.txt

FRST.txt

AdwCleanerR0.txt

AdwCleanerR1.txt

AdwCleanerS0.txt

[picasso]

Wszysto wykonane. Poproszę Cię o przesłanie mi do testów kopii zapasowej, zapakuj do ZIP cały folder C:\FRST\Hives, shostuj gdzieś i na PW wyślij link. I po tym przejdź do kolejnego etapu:

 

1. Uruchom TFC - Temp Cleaner.

 

2. Uruchom DelFix. Dokasuj z dysku ręcznie te dwa pliki:

 

C:\Users\Tomek\Desktop\0e01wteu.exe

C:\Windows\SysWOW64\sqlite3.dll

 

3. Dla pewności zrób pełne skany za pomocą Malwarebytes Anti-Malware oraz Hitman Pro. Jeśli skanery coś wykryją, dostarcz ich raporty, w przeciwnym wypadku są one zbędne.

 

 

 

 

.