Spowolnienie systemu po podłączeniu pendrive'a

[parafuso]

Cześć,

 

podłączyłelm pendrive'a i niestety musiałelm coś podłapać - system wyraźnie zwolnił nie mówiąc o przeglądarce i ładowaniu się stron.

 

Poniżej zamieszczam logi i uprzejmie dziękuję za pomoc.

Addition.txt

FRST.txt

OTL.Txt

gmer.txt

[picasso]

Brakuje plików FRST Shortcut i OTL Extras.

 

Brak oznak infekcji z pendrive. Tu jest całkiem inny rodzaj infekcji, czyli adware, nabyte przez Ciebie własnoręcznie przez nieuwagę na jeden z tych sposobów: KLIK. Conajmniej jedna grupa adware powstała na świeżo przy pobieraniu instalatora Java z jakiegoś lewego serwisu udostępniającego "downloader" zamiast poprawnej instalacji. Ponadto, w Firefox siedzi m.in. lewe rozszerzenie "Easy YouTube Video Downloader". To rozszerzenie produkujące reklamy na Youtube, zresztą i tak nie działa już wcale i zostało usunięte po zdemaskowaniu procederu: KLIK.

 

 

Wdróż następujące działania:

 

1. Otwórz Notatnik i wklej w nim:

 

(Cherished Technololgy LIMITED) C:\ProgramData\WPM\wprotectmanager.exe
() C:\Program Files (x86)\Rock Turner\updateRockTurner.exe
() C:\Program Files (x86)\Rock Turner\bin\utilRockTurner.exe
() C:\Program Files (x86)\Rock Turner\bin\RockTurner.PurBrowse64.exe
() C:\Program Files (x86)\Rock Turner\bin\RockTurner.BrowserAdapter.exe
R2 Update Rock Turner; C:\Program Files (x86)\Rock Turner\updateRockTurner.exe [317728 2014-06-01] ()
R2 Util Rock Turner; C:\Program Files (x86)\Rock Turner\bin\utilRockTurner.exe [317728 2014-06-01] ()
R2 Wpm; C:\ProgramData\WPM\wprotectmanager.exe [496640 2014-03-22] (Cherished Technololgy LIMITED)
S2 IePluginService; C:\ProgramData\IePluginService\PluginService.exe -service [X]
R1 {8ce1c375-1e13-43f7-a4fd-6530f47c4fde}w64; C:\Windows\System32\drivers\{8ce1c375-1e13-43f7-a4fd-6530f47c4fde}w64.sys [61120 2014-05-22] (StdLib)
HKU\S-1-5-21-328812129-6731451-2985146762-1000\...\Run: [AppSafe] => C:\Program Files (x86)\AppSafe\AppSafe.exe
AppInit_DLLs: C:\PROGRA~2\SupTab\SEARCH~2.DLL => C:\Program Files (x86)\SupTab\SearchProtect64.dll [96768 2014-03-05] (Skytech Co., Ltd.)
AppInit_DLLs-x32: C:\PROGRA~2\SupTab\SEARCH~1.DLL => C:\Program Files (x86)\SupTab\SearchProtect32.dll [85504 2014-03-05] (Skytech Co., Ltd.)
Task: {3E9ECD48-7BC0-47EA-98A5-BA48CD4C3762} - System32\Tasks\SpeedyPC Pro => C:\Program Files (x86)\SpeedyPC Software\SpeedyPC\SpeedyPC.exe [2012-11-22] (SpeedyPC Software, Inc.)
Task: {6691AF13-1015-4E15-92EB-9111524839A8} - System32\Tasks\SpeedyPC Update Version3 => C:\Program Files (x86)\Common Files\SpeedyPC Software\UUS3\SpeedyPC_Update3.exe [2012-11-26] (SpeedyPC Software)
Task: {8F76E6C7-A228-43CD-86AD-59D8A63E862A} - System32\Tasks\AppCloudUpdater => C:\Users\T420\AppData\Roaming\AppCloudUpdater\UpdateProc\UpdateTask.exe [2013-04-12] ()
Task: {A85E8B1E-2AF2-4BF2-A10A-7E198764946B} - System32\Tasks\SpeedyPC Update Version3 Startup Task => C:\Program Files (x86)\Common Files\SpeedyPC Software\UUS3\SpeedyPC_Update3.exe [2012-11-26] (SpeedyPC Software)
Task: {B3A57C32-DB45-486A-A26E-B0E1617C2255} - System32\Tasks\SpeedyPC Registration3 => Rundll32.exe "C:\Program Files (x86)\Common Files\SpeedyPC Software\UUS3\UUS3.dll" RunUns
Task: {FB187016-21DE-4FBD-B52C-E4B93BD9CA59} - System32\Tasks\AppSafe => C:\Program Files (x86)\AppSafe\AppSafe.exe
Task: C:\Windows\Tasks\AppCloudUpdater.job => C:\Users\T420\AppData\Roaming\APPCLO~1\UPDATE~1\UPDATE~1.EXE 
Task: C:\Windows\Tasks\AppSafe.job => C:\Program Files (x86)\AppSafe\AppSafe.exe
Task: C:\Windows\Tasks\SpeedyPC Pro.job => C:\Program Files (x86)\SpeedyPC Software\SpeedyPC\SpeedyPC.exe
Task: C:\Windows\Tasks\SpeedyPC Registration3.job => C:\Program Files (x86)\Common Files\SpeedyPC Software\UUS3\UUS3.dll
Task: C:\Windows\Tasks\SpeedyPC Update Version3 Startup Task.job => C:\Program Files (x86)\Common Files\SpeedyPC Software\UUS3\SpeedyPC_Update3.exe
Task: C:\Windows\Tasks\SpeedyPC Update Version3.job => C:\Program Files (x86)\Common Files\SpeedyPC Software\UUS3\SpeedyPC_Update3.exe
AlternateDataStreams: C:\Windows:AB26240E422DBC5F
HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1395439480&from=cor&uid=SAMSUNGXMZ7PA128HMCD-010L1_S0MUNEAC131739
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1395439480&from=cor&uid=SAMSUNGXMZ7PA128HMCD-010L1_S0MUNEAC131739
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1395439480&from=cor&uid=SAMSUNGXMZ7PA128HMCD-010L1_S0MUNEAC131739&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1395439480&from=cor&uid=SAMSUNGXMZ7PA128HMCD-010L1_S0MUNEAC131739
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1395439480&from=cor&uid=SAMSUNGXMZ7PA128HMCD-010L1_S0MUNEAC131739
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1395439480&from=cor&uid=SAMSUNGXMZ7PA128HMCD-010L1_S0MUNEAC131739&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1395439480&from=cor&uid=SAMSUNGXMZ7PA128HMCD-010L1_S0MUNEAC131739&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.sweet-page.com/?type=hp&ts=1395439480&from=cor&uid=SAMSUNGXMZ7PA128HMCD-010L1_S0MUNEAC131739
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.sweet-page.com/?type=hp&ts=1395439480&from=cor&uid=SAMSUNGXMZ7PA128HMCD-010L1_S0MUNEAC131739
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1395439480&from=cor&uid=SAMSUNGXMZ7PA128HMCD-010L1_S0MUNEAC131739&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1395439480&from=cor&uid=SAMSUNGXMZ7PA128HMCD-010L1_S0MUNEAC131739&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1395439480&from=cor&uid=SAMSUNGXMZ7PA128HMCD-010L1_S0MUNEAC131739&q={searchTerms}
SearchScopes: HKLM-x32 - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1395439480&from=cor&uid=SAMSUNGXMZ7PA128HMCD-010L1_S0MUNEAC131739&q={searchTerms}
SearchScopes: HKLM-x32 - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1395439480&from=cor&uid=SAMSUNGXMZ7PA128HMCD-010L1_S0MUNEAC131739&q={searchTerms}
SearchScopes: HKCU - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1395439480&from=cor&uid=SAMSUNGXMZ7PA128HMCD-010L1_S0MUNEAC131739&q={searchTerms}
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1395439480&from=cor&uid=SAMSUNGXMZ7PA128HMCD-010L1_S0MUNEAC131739&q={searchTerms}
BHO-x32: IETabPage Class - {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} - C:\Program Files (x86)\SupTab\SupTab.dll (Thinknice Co. Limited)
FF HKLM-x32\...\Firefox\Extensions: [fmdownloader@gmail.com] - C:\Program Files (x86)\Freemake\Freemake Video Downloader\BrowserPlugin\Firefox\fmdownloader@gmail.com\
FF HKLM-x32\...\Firefox\Extensions: [ytfmdownloader@gmail.com] - C:\Program Files (x86)\Freemake\Freemake Video Downloader\BrowserPlugin\Firefox\ytfmdownloader@gmail.com\
C:\Program Files (x86)\AppSafe
C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69
C:\Users\T420\AppData\Local\Google
C:\Users\T420\AppData\Roaming\DriverCure
C:\Users\T420\AppData\Roaming\File Scout
C:\Users\T420\AppData\Roaming\iDealshare VideoGo
C:\Users\T420\AppData\Roaming\ParetoLogic
C:\Windows\System32\drivers\{8ce1c375-1e13-43f7-a4fd-6530f47c4fde}w64.sys
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
CMD: sc config "PLAY ONLINE. RunOuc" start= demand
Reboot:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj adware AppCloudUpdater, Java technology allows you to work and play in a secure computing environment. Packages, Rock Turner, SpeedyPC Pro, sweet-page uninstaller, WPM17.8.0.3442 oraz wątpliwy Freemake Video Downloader.

 

3. Wyczyść Firefox:

• menu Historia > Wyczyść historię przeglądania
• menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia należy przeinstalować.

4. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt.

 

 

 

.