Zawirusowany komputer

[damianko]

Witam

 

Niestety zainstalował mi się na komputerze jakiś syf. Dużo udało mi się odinstalować, ale niestety coś jeszcze zostało. Objawy są takie, że od czasu do czasu komputer nie pracuje normalnie tylko wszystko przez kilka sekund wszystko się zacina i pracuje skokowo. 

 

W załącznikach logi. 

 

 

Z góry dzięki za pomoc. 

Pozdrawiam

Damian

Addition.txt

FRST.txt

Shortcut.txt

gmer.txt

[picasso]

Objawy są takie, że od czasu do czasu komputer nie pracuje normalnie tylko wszystko przez kilka sekund wszystko się zacina i pracuje skokowo.

W raportach nie ma oznak czynnej infekcji, więc przyczyna objawów musi być inna.

 

Na razie doczyść szczątki i śmieci:

 

1. Odinstaluj stare niebezpieczne wersje: Java™ 6 Update 10, QuickTime 7.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
CHR HomePage: Profile 1 -> hxxp://www-searching.com/?pid=s&s=g6rzamobl11426br,5211bcfd-e537-47f0-b77f-34953afed435,
CHR DefaultSearchURL: Profile 1 -> hxxp://www-searching.com/search.aspx?site=shdefault1&prd=smw&pid=s&shr=d&q={searchTerms}&s=g6rzamobl11426br,5211bcfd-e537-47f0-b77f-34953afed435,
CHR DefaultSearchKeyword: Profile 1 -> www-searching.com
CHR DefaultSuggestURL: Profile 1 -> hxxp://api.searchpredict.com/api/?rqtype=ffplugin&siteID=8661&dbCode=1&command={searchTerms}
CHR HKU\S-1-5-21-931221518-1227756064-3671384185-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
SearchScopes: HKU\S-1-5-21-931221518-1227756064-3671384185-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
ShellExecuteHooks: - {6710C780-E20E-4C49-A87D-321850ED3D7C} - Brak pliku [ ]
HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
HKU\S-1-5-21-931221518-1227756064-3671384185-1000\...\Run: [AdobeBridge] => [X]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AmmyyAdmin_160C => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AmmyyAdmin_B74 => ""="Service"
S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-12-25] ()
S3 IntcAzAudAddService; system32\drivers\RTKVHD64.sys [X]
S3 MBfilt; system32\drivers\MBfilt64.sys [X]
S3 NTIOLib_1_0_3; \??\C:\Program Files (x86)\MSI\Super-Charger\NTIOLib_X64.sys [X]
S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
Task: {1C6A45AB-3ADF-4D60-A745-C3523F5A5C6F} - System32\Tasks\Fisusy Schedule => C:\Program Files (x86)\Shociph\fisusyscheduleRetught.exe
Task: {C1429CBB-EFBD-4E6C-95F2-E854A7010A87} - System32\Tasks\{F16DFFD6-4FAF-43B5-B079-15579A91D23D} => pcalua.exe -a C:\Users\dmk\Desktop\AUTODATA.3.24\AUTODATA.3.24.part01.exe -d C:\Users\dmk\Desktop\AUTODATA.3.24
Task: {CD5D659E-38CD-4F15-B79A-12CB4B0F5C1B} - System32\Tasks\{FACC5D5F-1E8B-471B-AC5A-86FB0BB5629C} => pcalua.exe -a C:\Users\dmk\AppData\Roaming\do-search\UninstallManager.exe -c -ptid=cor
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BitComet
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Bonus.SSR.FR12
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DownloadAccelerator
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FlickrUploadr
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\hmonitor
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\iTunesHelper
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpybotSD TeaTimer
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Zoner Photo Studio Autoupdate
DisableService: PLAY INTERNET. RunOuc
AlternateDataStreams: C:\Program Files\Common Files\System:egQwhn8jNrX6hoZrqimEHX [2104]
AlternateDataStreams: C:\ProgramData\Microsoft:1dvveuj2uV2uiV8kTJ8nz6RJvc [2268]
AlternateDataStreams: C:\ProgramData\Microsoft:DlWdg5jmydBNlPEQ3WVsU [2114]
AlternateDataStreams: C:\ProgramData\Microsoft:mpsDZ4wc8OIhOsImsBbo4q8A [2066]
AlternateDataStreams: C:\ProgramData\Microsoft:uk0UXxknS166OB8geyq4TKrS [2074]
AlternateDataStreams: C:\Users\dmk\Ustawienia lokalne:ZPqEk0Frx8WPeMtlWNQAcTY3y [1962]
AlternateDataStreams: C:\Users\dmk\AppData\Local:ZPqEk0Frx8WPeMtlWNQAcTY3y [1962]
C:\ProgramData\TEMP
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ASGRAF
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PP Bilety\Pomoc do programu PP-Bilety.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PP Bilety\PP-Bilety - informacja o programie.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PP Bilety\PP-Bilety - szybki start.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PP Bilety\PP-Bilety.lnk
C:\Users\dmk\AppData\Local\{*}
C:\Users\dmk\AppData\Local\deterghtperjispnernupy
C:\Users\dmk\AppData\Roaming\*.*
C:\Users\dmk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Easy Audio Copy
C:\Users\dmk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Flickr
C:\Users\dmk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
C:\Users\dmk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks
C:\Users\dmk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\XVM FULL 5.2.1 conf by DjVirusPL 0.9.0 v3
C:\Users\dmk\Documents\Adobe\After Effects CS6\User Presets\(Adobe).lnk
C:\Users\dmk\Dysk Google\Dopłaty\Dopaty 2015\miesiące\luty 2015\luty 2015_001 — skrót.lnk
C:\Users\dmk\Dysk Google\Dopłaty\Dopaty 2015\miesiące\luty 2015\luty 2015_002 — skrót.lnk
C:\Windows\System32\results.xml
C:\Windows\System32\Drivers\EsgScanner.sys
C:\Windows\System32\Drivers\etc\hp.bak
CMD: netsh advfirewall reset
Hosts:
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8

 

Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Wyczyść przeglądarki:

 

Firefox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść całą historię przeglądania.

Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.
• Ustawienia > karta Ustawienia > sekcja Osoby > usuń drugi profil, o ile jest tam widoczny.

4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER:

 

C:\Users\dmk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools

 

Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff

 

5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Edytowane 11 Sierpnia 2016 przez picasso
Temat zostaje zamknięty z powodu braku odpowiedzi. //picasso