Powolne działanie komputera

jackob209 · 21 Stycznia 2017

Witam,

ostatnio zaobserwowałem że mój laptop odmawia posłuszeństwa, domyślam się że wkradło coś się nie dobrego w ten system.

Prosze o pomoc i dziekuje.

Edytowane 21 Stycznia 2017 przez Rucek
Kasuję stare logi.

Miszel03 · 21 Stycznia 2017

Raporty zostały wygenerowane przy użyciu przestarzałej wersji narzędzia Farbr Recovery Scan Tool (wersja sprzed kilku miesięcy). Wykonaj nowy zestaw raportów przy użyciu najnowszej wersji FRST.

jackob209 · 22 Stycznia 2017

Przesyłam poprawne logi

Miszel03 · 22 Stycznia 2017

Nic dziwnego, że system nie wyrabia, przy tak kolosalnym bałaganie. Mnóstwo infekcji adware / PUP. Jest tu co robić.

Akcja.

1. Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
RemoveDirectory: C:\Program Files (x86)\Fishhas
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
HKU\S-1-5-21-499711634-606110142-1186871544-1001\...\CurrentVersion\Windows: [Run] C:\Users\KubaDamaszk\AppData\Roaming\datasyst\sys.exe HKLM\...\Providers\grjsiaw4: C:\Program Files (x86)\Qazlegakepy Schedule\local64spl.dll [292352 2017-01-18] ()
 C:\Program Files (x86)\Qazlegakepy Schedule
ShellExecuteHooks: Brak nazwy - {CE1B435E-DB95-11E6-9921-64006A5CFC23} -  -> Brak pliku
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms}
HKU\S-1-5-21-499711634-606110142-1186871544-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYvGouH7veb0_qfADU3xjqZiIVgJ9tCTY1fjxjYpwsDksYinMPko3dSN4GPEH-y0jmxohLcYiHlInZ8NQu7eC8f7LWkJzhRH_sILV2BEYVJgq2NvYohvVfBs-1y_38K3pA1j2alTEmqEkcjCMJSkL7R-WZG8Q,,&q={searchTerms}
HKU\S-1-5-21-499711634-606110142-1186871544-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT
HKU\S-1-5-21-499711634-606110142-1186871544-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms}
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYvGouH7veb0_qfADU3xjqZiIVgJ9tCTY1fjxjYpwsDksYinMPko3dSN4GPEH-y0jmxohLcYiHlInZ8NQu7eC8f7LWkJzhRH_sILV2BEYVJgq2NvYohvVfBs-1y_38K3pA1j2alTEmqEkcjCMJSkL7R-WZG8Q,,&q={searchTerms}
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms}
SearchScopes: HKU\S-1-5-21-499711634-606110142-1186871544-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1484905529&z=004fa85502041a5ebd0df3cg4z9b3z1t2e8w6w1c7e&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms}
SearchScopes: HKU\S-1-5-21-499711634-606110142-1186871544-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1484905529&z=004fa85502041a5ebd0df3cg4z9b3z1t2e8w6w1c7e&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms}
SearchScopes: HKU\S-1-5-21-499711634-606110142-1186871544-1001 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKU\S-1-5-21-499711634-606110142-1186871544-1001 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYvGouH7veb0_qfADU3xjqZiIVgJ9tCTY1fjxjYpwsDksYinMPko3dSN4GPEH-y0jmxohLcYiHlInZ8NQu7eC8f7LWkJzhRH_sILV2BEYVJgq2NvYohvVfBs-1y_38K3pA1j2alTEmqEkcjCMJSkL7R-WZG8Q,,&q={searchTerms}
R3 iThemes5; C:\Program Files (x86)\Common Files\Services\iThemes.dll [583680 2017-01-19] () [brak podpisu cyfrowego] R2 Prijik; C:\Program Files (x86)\Foteingjokiy\Srhcloud.dll [138752 2017-01-18] () [brak podpisu cyfrowego]
R2 WinSAPSvc; C:\ProgramData\WinSAPSvc\WinSAP.dll [485376 2017-01-20] () [brak podpisu cyfrowego]
S2 ed2kidle; "C:\Program Files (x86)\amuleC2\ed2k.exe" -downloadwhenidle [X]
R2 OperaFootballManager; C:\Program Files (x86)\Opera\OperaFootballManager.dll [224256 2017-01-18] () [brak podpisu cyfrowego]
R2 GubedZL; C:\Program Files (x86)\Gubed\GubedZL.dll [124416 2017-01-19] () [brak podpisu cyfrowego]
R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [100352 2017-01-19] () [brak podpisu cyfrowego]
S4 CloudPrinter; C:\ProgramData\\CloudPrinter\\CloudPrinter.exe [982016 2017-01-18] () [brak podpisu cyfrowego]
C:\ProgramData\\CloudPrinter
C:\Program Files (x86)\Firefox
C:\Program Files (x86)\Gubed
C:\Program Files (x86)\Opera
C:\Program Files (x86)\Foteingjokiy
C:\ProgramData\WinSAPSvc
C:\Program Files (x86)\amuleC2
S3 ew_hwusbdev; \SystemRoot\system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; \SystemRoot\System32\drivers\ew_usbenumfilter.sys [X]
S3 huawei_cdcacm; \SystemRoot\system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_cdcecm; \SystemRoot\system32\DRIVERS\ew_jucdcecm.sys [X]
S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X]
S3 huawei_ext_ctrl; \SystemRoot\System32\drivers\ew_juextctrl.sys [X]
S3 massfilter; system32\drivers\massfilter.sys [X]
S3 ZTEusbnet; \SystemRoot\system32\DRIVERS\ZTEusbnet.sys [X]
S3 ZTEusbnmea; \SystemRoot\system32\DRIVERS\ZTEusbnmea.sys [X]
S3 ZTEusbser6k; \SystemRoot\system32\DRIVERS\ZTEusbser6k.sys [X]
2017-01-18 02:12 - 2017-01-18 02:12 - 7316480 _____ () C:\Users\KubaDamaszk\AppData\Roaming\agent.dat
2017-01-18 02:12 - 2017-01-18 02:12 - 0054272 _____ () C:\Users\KubaDamaszk\AppData\Roaming\ApplicationHosting.dat
2017-01-18 02:12 - 2017-01-18 02:12 - 0070752 _____ () C:\Users\KubaDamaszk\AppData\Roaming\Config.xml
2017-01-18 02:11 - 2017-01-18 02:11 - 0016560 _____ () C:\Users\KubaDamaszk\AppData\Roaming\InstallationConfiguration.xml
2017-01-18 02:11 - 2017-01-18 02:11 - 0140288 _____ () C:\Users\KubaDamaszk\AppData\Roaming\Installer.dat
2017-01-18 02:12 - 2017-01-18 02:11 - 0982016 _____ () C:\Users\KubaDamaszk\AppData\Roaming\Jaytax.exe
2017-01-18 02:12 - 2017-01-18 02:12 - 0072787 _____ () C:\Users\KubaDamaszk\AppData\Roaming\Jaytax.tst
2017-01-18 02:12 - 2017-01-18 02:12 - 0126464 _____ () C:\Users\KubaDamaszk\AppData\Roaming\lobby.dat
2017-01-18 02:12 - 2017-01-18 02:12 - 0018432 _____ () C:\Users\KubaDamaszk\AppData\Roaming\Main.dat
2017-01-18 02:12 - 2017-01-18 02:12 - 0005568 _____ () C:\Users\KubaDamaszk\AppData\Roaming\md.xml
2017-01-18 02:12 - 2017-01-18 02:12 - 0126464 _____ () C:\Users\KubaDamaszk\AppData\Roaming\noah.dat
2017-01-18 02:12 - 2017-01-18 02:12 - 1938531 _____ () C:\Users\KubaDamaszk\AppData\Roaming\OntoStrong.bin
2017-01-18 02:12 - 2017-01-18 02:11 - 0982016 _____ () C:\Users\KubaDamaszk\AppData\Roaming\Stringfan.exe
2017-01-18 02:12 - 2017-01-18 02:12 - 1907662 _____ () C:\Users\KubaDamaszk\AppData\Roaming\Stringfan.tst
2017-01-18 02:12 - 2017-01-18 02:12 - 0032038 _____ () C:\Users\KubaDamaszk\AppData\Roaming\uninstall_temp.ico
C:\Users\KubaDamaszk\dzavwkzx.exe
C:\Users\KubaDamaszk\oklghvki.exe
HKU\S-1-5-21-499711634-606110142-1186871544-1001\...\ChromeHTML: -> C:\Program Files (x86)\Fishhas\Application\chrome.exe (Google Inc.) Task: {EFDCDEFF-4C3B-40ED-B143-C30C81476994} - System32\Tasks\SteamClient => C:\Users\KubaDamaszk\AppData\Roaming\Steam\SteamHelper.exe [2015-10-09] (Valve Corporation) ShortcutWithArgument: C:\Users\KubaDamaszk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.amisites.com/?type=sc&ts=1484905529&z=004fa85502041a5ebd0df3cg4z9b3z1t2e8w6w1c7e&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT
ShortcutWithArgument: C:\Users\KubaDamaszk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Fishhas\Application\chrome.exe (Google Inc.) -> hxxp://www.amisites.com/?type=sc&ts=1484905529&z=004fa85502041a5ebd0df3cg4z9b3z1t2e8w6w1c7e&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT
ShortcutWithArgument: C:\Users\KubaDamaszk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\3373c9ebc3a5e445\Chromium.lnk -> C:\Program Files (x86)\SuperBird\superbird.exe (The Superbird Authors) -> --profile-directory=Default
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Firefox\Firefox.exe (Mozilla Corporation) -> hxxp://www.amisites.com/?type=sc&ts=1484905529&z=004fa85502041a5ebd0df3cg4z9b3z1t2e8w6w1c7e&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT
HKU\S-1-5-21-499711634-606110142-1186871544-1001\Software\Classes\regfile: regedit.exe "%1" DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\KubaDamaszk\AppData\Local\Mozilla
C:\Users\KubaDamaszk\AppData\Roaming\Mozilla
C:\Users\KubaDamaszk\AppData\Roaming\Profiles
Reg: reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Themes /s
Reg: reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt /s
Reg: reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BFE /s
Reg: reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc /s
Reg: reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mpsdrv /s
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Obecny profil w przeglądarce Google Chrome (ChromeDefaultData) zidentyfikowany jest jako prefabrykowany (wstawiony przez nowoczesne adware) i szkodliwy.

Otwórz Google Chrome: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > dodaj nową osobę / profil, zaloguj się na nią > wejdź ponownie do sekcji Osoby i skasuj wszystkie poprzednie osoby / profile.

3. Ustaw przeglądarkę Google Chrome jako domyślną (ze względu na aktywność infekcji podszywającą się pod nią) - KLIK.

4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry).

Fishhas

Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum.

5. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.

6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.