Skocz do zawartości

Powolne działanie komputera


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Nic dziwnego, że system nie wyrabia, przy tak kolosalnym bałaganie. Mnóstwo infekcji adware / PUP. Jest tu co robić.
 
Akcja.
 
1. Otwórz Notatnik w nim wklej:
 

CloseProcesses:
CreateRestorePoint:
RemoveDirectory: C:\Program Files (x86)\Fishhas
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
HKU\S-1-5-21-499711634-606110142-1186871544-1001\...\CurrentVersion\Windows: [Run] C:\Users\KubaDamaszk\AppData\Roaming\datasyst\sys.exe HKLM\...\Providers\grjsiaw4: C:\Program Files (x86)\Qazlegakepy Schedule\local64spl.dll [292352 2017-01-18] ()
 C:\Program Files (x86)\Qazlegakepy Schedule
ShellExecuteHooks: Brak nazwy - {CE1B435E-DB95-11E6-9921-64006A5CFC23} -  -> Brak pliku
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.amisites.com/search/?type=ds&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms}
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.amisites.com/search/?type=ds&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms}
HKU\S-1-5-21-499711634-606110142-1186871544-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYvGouH7veb0_qfADU3xjqZiIVgJ9tCTY1fjxjYpwsDksYinMPko3dSN4GPEH-y0jmxohLcYiHlInZ8NQu7eC8f7LWkJzhRH_sILV2BEYVJgq2NvYohvVfBs-1y_38K3pA1j2alTEmqEkcjCMJSkL7R-WZG8Q,,&q={searchTerms}
HKU\S-1-5-21-499711634-606110142-1186871544-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.amisites.com/?type=hp&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT
HKU\S-1-5-21-499711634-606110142-1186871544-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.amisites.com/?type=hp&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms}
SearchScopes: HKLM-x32 -> ielnksrch URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYvGouH7veb0_qfADU3xjqZiIVgJ9tCTY1fjxjYpwsDksYinMPko3dSN4GPEH-y0jmxohLcYiHlInZ8NQu7eC8f7LWkJzhRH_sILV2BEYVJgq2NvYohvVfBs-1y_38K3pA1j2alTEmqEkcjCMJSkL7R-WZG8Q,,&q={searchTerms}
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1484819910&z=679e23553294506efb1dd24gfz2b3zdb3g5t9t6g3g&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms}
SearchScopes: HKU\S-1-5-21-499711634-606110142-1186871544-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1484905529&z=004fa85502041a5ebd0df3cg4z9b3z1t2e8w6w1c7e&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms}
SearchScopes: HKU\S-1-5-21-499711634-606110142-1186871544-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.amisites.com/search/?type=ds&ts=1484905529&z=004fa85502041a5ebd0df3cg4z9b3z1t2e8w6w1c7e&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT&q={searchTerms}
SearchScopes: HKU\S-1-5-21-499711634-606110142-1186871544-1001 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKU\S-1-5-21-499711634-606110142-1186871544-1001 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYvGouH7veb0_qfADU3xjqZiIVgJ9tCTY1fjxjYpwsDksYinMPko3dSN4GPEH-y0jmxohLcYiHlInZ8NQu7eC8f7LWkJzhRH_sILV2BEYVJgq2NvYohvVfBs-1y_38K3pA1j2alTEmqEkcjCMJSkL7R-WZG8Q,,&q={searchTerms}
R3 iThemes5; C:\Program Files (x86)\Common Files\Services\iThemes.dll [583680 2017-01-19] () [brak podpisu cyfrowego] R2 Prijik; C:\Program Files (x86)\Foteingjokiy\Srhcloud.dll [138752 2017-01-18] () [brak podpisu cyfrowego]
R2 WinSAPSvc; C:\ProgramData\WinSAPSvc\WinSAP.dll [485376 2017-01-20] () [brak podpisu cyfrowego]
S2 ed2kidle; "C:\Program Files (x86)\amuleC2\ed2k.exe" -downloadwhenidle [X]
R2 OperaFootballManager; C:\Program Files (x86)\Opera\OperaFootballManager.dll [224256 2017-01-18] () [brak podpisu cyfrowego]
R2 GubedZL; C:\Program Files (x86)\Gubed\GubedZL.dll [124416 2017-01-19] () [brak podpisu cyfrowego]
R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [100352 2017-01-19] () [brak podpisu cyfrowego]
S4 CloudPrinter; C:\ProgramData\\CloudPrinter\\CloudPrinter.exe [982016 2017-01-18] () [brak podpisu cyfrowego]
C:\ProgramData\\CloudPrinter
C:\Program Files (x86)\Firefox
C:\Program Files (x86)\Gubed
C:\Program Files (x86)\Opera
C:\Program Files (x86)\Foteingjokiy
C:\ProgramData\WinSAPSvc
C:\Program Files (x86)\amuleC2
S3 ew_hwusbdev; \SystemRoot\system32\DRIVERS\ew_hwusbdev.sys [X]
S3 ew_usbenumfilter; \SystemRoot\System32\drivers\ew_usbenumfilter.sys [X]
S3 huawei_cdcacm; \SystemRoot\system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_cdcecm; \SystemRoot\system32\DRIVERS\ew_jucdcecm.sys [X]
S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X]
S3 huawei_ext_ctrl; \SystemRoot\System32\drivers\ew_juextctrl.sys [X]
S3 massfilter; system32\drivers\massfilter.sys [X]
S3 ZTEusbnet; \SystemRoot\system32\DRIVERS\ZTEusbnet.sys [X]
S3 ZTEusbnmea; \SystemRoot\system32\DRIVERS\ZTEusbnmea.sys [X]
S3 ZTEusbser6k; \SystemRoot\system32\DRIVERS\ZTEusbser6k.sys [X]
2017-01-18 02:12 - 2017-01-18 02:12 - 7316480 _____ () C:\Users\KubaDamaszk\AppData\Roaming\agent.dat
2017-01-18 02:12 - 2017-01-18 02:12 - 0054272 _____ () C:\Users\KubaDamaszk\AppData\Roaming\ApplicationHosting.dat
2017-01-18 02:12 - 2017-01-18 02:12 - 0070752 _____ () C:\Users\KubaDamaszk\AppData\Roaming\Config.xml
2017-01-18 02:11 - 2017-01-18 02:11 - 0016560 _____ () C:\Users\KubaDamaszk\AppData\Roaming\InstallationConfiguration.xml
2017-01-18 02:11 - 2017-01-18 02:11 - 0140288 _____ () C:\Users\KubaDamaszk\AppData\Roaming\Installer.dat
2017-01-18 02:12 - 2017-01-18 02:11 - 0982016 _____ () C:\Users\KubaDamaszk\AppData\Roaming\Jaytax.exe
2017-01-18 02:12 - 2017-01-18 02:12 - 0072787 _____ () C:\Users\KubaDamaszk\AppData\Roaming\Jaytax.tst
2017-01-18 02:12 - 2017-01-18 02:12 - 0126464 _____ () C:\Users\KubaDamaszk\AppData\Roaming\lobby.dat
2017-01-18 02:12 - 2017-01-18 02:12 - 0018432 _____ () C:\Users\KubaDamaszk\AppData\Roaming\Main.dat
2017-01-18 02:12 - 2017-01-18 02:12 - 0005568 _____ () C:\Users\KubaDamaszk\AppData\Roaming\md.xml
2017-01-18 02:12 - 2017-01-18 02:12 - 0126464 _____ () C:\Users\KubaDamaszk\AppData\Roaming\noah.dat
2017-01-18 02:12 - 2017-01-18 02:12 - 1938531 _____ () C:\Users\KubaDamaszk\AppData\Roaming\OntoStrong.bin
2017-01-18 02:12 - 2017-01-18 02:11 - 0982016 _____ () C:\Users\KubaDamaszk\AppData\Roaming\Stringfan.exe
2017-01-18 02:12 - 2017-01-18 02:12 - 1907662 _____ () C:\Users\KubaDamaszk\AppData\Roaming\Stringfan.tst
2017-01-18 02:12 - 2017-01-18 02:12 - 0032038 _____ () C:\Users\KubaDamaszk\AppData\Roaming\uninstall_temp.ico
C:\Users\KubaDamaszk\dzavwkzx.exe
C:\Users\KubaDamaszk\oklghvki.exe
HKU\S-1-5-21-499711634-606110142-1186871544-1001\...\ChromeHTML: -> C:\Program Files (x86)\Fishhas\Application\chrome.exe (Google Inc.) Task: {EFDCDEFF-4C3B-40ED-B143-C30C81476994} - System32\Tasks\SteamClient => C:\Users\KubaDamaszk\AppData\Roaming\Steam\SteamHelper.exe [2015-10-09] (Valve Corporation) ShortcutWithArgument: C:\Users\KubaDamaszk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.amisites.com/?type=sc&ts=1484905529&z=004fa85502041a5ebd0df3cg4z9b3z1t2e8w6w1c7e&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT
ShortcutWithArgument: C:\Users\KubaDamaszk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Fishhas\Application\chrome.exe (Google Inc.) -> hxxp://www.amisites.com/?type=sc&ts=1484905529&z=004fa85502041a5ebd0df3cg4z9b3z1t2e8w6w1c7e&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT
ShortcutWithArgument: C:\Users\KubaDamaszk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\3373c9ebc3a5e445\Chromium.lnk -> C:\Program Files (x86)\SuperBird\superbird.exe (The Superbird Authors) -> --profile-directory=Default
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Firefox\Firefox.exe (Mozilla Corporation) -> hxxp://www.amisites.com/?type=sc&ts=1484905529&z=004fa85502041a5ebd0df3cg4z9b3z1t2e8w6w1c7e&from=che0812&uid=TOSHIBAXMQ01ABF050_Z3LTC8BPTXXZ3LTC8BPT
HKU\S-1-5-21-499711634-606110142-1186871544-1001\Software\Classes\regfile: regedit.exe "%1" DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\KubaDamaszk\AppData\Local\Mozilla
C:\Users\KubaDamaszk\AppData\Roaming\Mozilla
C:\Users\KubaDamaszk\AppData\Roaming\Profiles
Reg: reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Themes /s
Reg: reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt /s
Reg: reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BFE /s
Reg: reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\MpsSvc /s
Reg: reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\mpsdrv /s
EmptyTemp:


Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
 
2. Obecny profil w przeglądarce Google Chrome (ChromeDefaultData) zidentyfikowany jest jako prefabrykowany (wstawiony przez nowoczesne adware) i szkodliwy.
 
Otwórz Google Chrome: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > dodaj nową osobę / profil, zaloguj się na nią > wejdź ponownie do sekcji Osoby i skasuj wszystkie poprzednie osoby / profile. 
 
3. Ustaw przeglądarkę Google Chrome jako domyślną (ze względu na aktywność infekcji podszywającą się pod nią) - KLIK.
 
4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry).
 
Fishhas

 
Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum.
 
5. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.
 
6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.
Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...