Dwa procesy bez nazwy spowalniające działanie komputera

[Janas]

Witam! Dzisiaj po powrocie do domu siostrzeniec skarżył się na "lagi" w GTA 5. Sprawdziłem i zobaczyłem w menadżerze zadań dwa procesy bez nazwy. Doświadczyłem też parę wyskakujących reklam po drodze co 5 minut.
Po wpisaniu "malware" lub "adwcleaner" w google, wyłączało przeglądarkę. Tak jest i teraz.
Zakończyłem działanie tych dwóch procesów, po czym pobrałem adwcleaner'a, jednak on nic nie zdziałał.
Użyłem HitmanPro. Znalazł on kilka ciastek w przeglądarkach (nawet tych, których nie używałem - IE, Edge), 3-5 malware i innych zagrożeń. Co prawda nie ma reklam, ale nadal po wpisaniu "malware" lub "wirus" w przeglądarkę, wyłącza mi ją oraz nadal komputer działa tak samo jak wcześniej (+ nadal ma te dwa procesy bez nazwy). Aktualnie używanie myszki jest nawet nie opłacalne bo przejście kursora z punktu A do B trwa dłużej i dużym spowolnionym tempie.

Chciałbym uzyskać jakąś pomoc, gdyż komputera aktualnie używam okazjonalnie, ze względu na godziny pracy, lecz często mi się przydaje do sprawdzania planów, projektów itd oraz do rozrywki. Uwzględniam też bardzo ważne pliki oraz programy.

Pozdrawiam!

EDIT:
Dodaje logi w załączniku ze skanu HitmanPro i FRST.

Addition.txt

FRST.txt

HitmanPro_20180802_1944.txt

[Miszel03]

Proszę dostosować temat do zasad działu. 

[Miszel03]

Raporty uzupełnione, ale niepoprawnie. Brakuje loga Shortcut. Po za tym:

 

Uruchomiony przez User (administrator) USER-KOMPUTER (31-07-2018 19:22:49)

 

Są sprzed 3 dni co czyni je kompletnie nieaktualnymi. 

 

Rezultaty skanowania Farbar Recovery Scan Tool (FRST) (x64) Wersja: 21.07.2018

 

Najnowsza wersja jest z pierwszego sierpnia (KLIK).

[Janas]

Jutro po pracz poprawie . Dzięki za wiadomość!

[Janas]

Załączam logi z dzisiejszego skanowania .

Addition_03-08-2018 20.20.27.txt

FRST_03-08-2018 20.20.27.txt

Shortcut_03-08-2018 20.20.27.txt

[Miszel03]

Raporty mają być bez dat, tzn. nie z archiwalnego C:\FRST, a z miejsca, w którym FRST został uruchomiony. Brak dat jest potwierdzeniem dla mnie, że nie nowszych raportów.

 

P.S: Jutro rozpocznie się proces aktualizacji forum, który może potrwać nawet kilka dni. Teoretycznie gdybyśmy się sprężyli to może dzisiaj by się udało jeszcze Ci pomóc. Powiedz co o tym sądzisz (nie zagwarantuje, że dzisiaj się uda doprowadzić system do ładu), jeśli sprawa jest priorytetowa (po tych raportach już widzę, że system jest zainfekowany) mogę odesłać do innego specjalisty.

[Janas]

Chciałbym uzyskać jeszcze dzisiaj pomoc. Jestem zdeterminowany do każdej formy usunięcia "szkodników", nawet po przez odesłanie do specjalisty.
O to pliki bez dat

Addition.txt

FRST.txt

Shortcut.txt

[Miszel03]

Uwzględniam też bardzo ważne pliki oraz programy.

 

Wykonaj kopie zapasową ważnych danych. Możesz ją umieścić np. na pendrive lub w chmurze (np. Google Drive). 

 

---

 

Jak wspominałem wcześniej, system jest zainfekowany przez m.in. instalacje niepożądanych programów, fałszywy starter i profile Google Chrome, infekcje podszywającą się pod Microsoft ładowaną przez Harmonogram zadań. 

 

Przeprowadź następujące działania (zostanie wyczyszczony kosz): 

 

1. Przez Panel Sterownia odinstaluj adware / PUP: WinZip, CPUID CPU-Z 1.71.

 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Subway Surfers\Subway Surfers.lnk
C:\Users\Janas_\Documents\Euro Truck Simulator 2\readme.rtf.lnk
C:\Users\Janas_\Documents\Corel\CorelDRAW X5 Samples\target.lnk
C:\Users\User\Links\GG dysk.lnk
C:\Users\User\Favorites\GG dysk.lnk 
C:\Users\User\Documents\MAGIX\Music Maker 2016 Premium\_Demos.LNK
C:\Users\User\Documents\Euro Truck Simulator 2\readme.rtf.lnk
C:\Users\User\Documents\American Truck Simulator\readme.rtf.lnk
C:\Users\User\Desktop\ts3\Zombie Army Trilogy.lnk
C:\Users\User\Desktop\Nowy folder\Mozilla Firefox.lnk
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\IP Search.lnk
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live for Speed\LFS Manual.lnk
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Inkscape.lnk
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Camtasia Studio 8.lnk
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Need for Speed™ Payback.lnk
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} =>  -> Brak pliku
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Brak pliku
Task: {0C2FD3F5-3721-4B52-BE3F-65D269B6871C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {3C04666D-A99A-4A2C-9CD4-1F18098F497F} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku 
Task: {44E764A0-B1FF-49AE-9413-244CA8FDECCC} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {78835B2B-5402-4A98-802F-1B4415445613} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {8D0E5780-6C00-4FFF-A7FD-FE56E81EB92A} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {B86C2D32-78F1-42E8-81F5-B113C4B1DB11} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku 
Task: {BA2487FC-FDC3-48DB-A1B8-1D395267B401} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {22D836F7-6E36-411F-B0EB-24D7A8AC2C65} - \b2929b72a96a471893ecaa9c51368bae -> Brak pliku 
Task: {2570D44F-AE62-45BD-A42A-2533F593B4E4} - System32\Tasks\{AD77D1E3-BA40-ADAF-55F4-C3EB5D7616AA} => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" hxxp://cssnews.ru/cl/?guid=majpvha9gwud1b8hkey726r7ip3edefq&prid=1&pid=4_1324_0
Task: {565D36FC-8D14-45D1-AD42-5A665523300E} - System32\Tasks\{D19D6318-E7AF-9294-A596-9DD132550A1E} => C:\Users\User\AppData\Roaming\VAAoAUrvqc.exe [2018-04-12] (Microsoft Corporation) 
Task: {B4FBF0E8-6333-44F4-804A-6EE0DAA2F35B} - System32\Tasks\{9F79ED10-1D38-9719-13A9-149F65A1AAEA} => C:\WINDOWS\SysWOW64\OurOUbpue.exe [2018-04-12] (Microsoft Corporation)
C:\Users\User\AppData\Roaming\VAAoAUrvqc.exe
C:\WINDOWS\SysWOW64\OurOUbpue.exe
Task: {F8078C6B-60A8-48A4-AC1A-4BA4CA6E69F6} - System32\Tasks\Ghreringuwek Center => C:\Program Files (x86)\Isakphovey\stagle.exe
C:\Program Files (x86)\Isakphovey
Task: {1FFB7B82-58F5-4C2C-A880-F552374CD360} - System32\Tasks\{80B5C1C8-53D6-4584-9CE2-A32CF7CC5516} => C:\Windows\system32\pcalua.exe -a H:\Setup.EXE -d H:\
Task: {56806A6F-C252-4381-9B56-5B3CD99C516C} - System32\Tasks\{7932C7BC-13D0-4885-B95F-85A5DD106600} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\Adobe\Adobe Creative Cloud\Utils\Creative Cloud Uninstaller.exe"
Task: {6BA559FA-C556-4041-9A96-BF44E1FC2701} - System32\Tasks\{70E078F2-E1AC-4E3C-8A78-D838764D1339} => C:\Windows\system32\pcalua.exe -a H:\SETUP.EXE -d H:\
Task: {7D384A1F-782C-4237-B260-2C0A20557970} - System32\Tasks\{B8FB0B99-33AE-4530-873D-E4B50455B7CB} => C:\Windows\system32\pcalua.exe -a "E:\Program Files (x86)\Hi-Rez Studios\HiRezGamesDiagAndSupport.exe" -c uninstall=all
Task: {9DFBFB26-D2F0-46B2-8A4F-13A1DB9E58CC} - System32\Tasks\{AA423090-5942-4573-A187-ACE9724185D1} => C:\Windows\system32\pcalua.exe -a "E:\Official Heroes-Awaken Tutorial-Client\Uninstaller.exe" -d "E:\Official Heroes-Awaken Tutorial-Client"
Task: {B7FE48BC-D91F-4526-BF94-5491561B48C9} - System32\Tasks\{9D29C43C-A370-43A8-890D-E40A8DEA1E7C} => C:\Windows\system32\pcalua.exe -a H:\EasySetupAssistant\EasySetupAssistant.exe -d H:\EasySetupAssistant
Task: {CB03E46A-5C64-49BE-9173-B2CF080B288C} - System32\Tasks\{99477868-9BE1-4FBF-A185-059FD7510EED} => C:\Windows\system32\pcalua.exe -a "C:\Users\User\Downloads\Nero Free 9.4.12.3d [1].exe"
Task: {DCEA9343-AFC8-4E8D-AC2F-CBC53C182092} - System32\Tasks\{E68D69B7-2E4F-440A-A059-79FA28173E22} => C:\Windows\system32\pcalua.exe -a M:\Setup.EXE -d M:\
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Program uruchamiający aplikacje Chrome.lnk
C:\Users\User\AppData\Local\Google\Chrome\User Data\Program uruchamiający aplikacje Chrome.lnk
C:\Users\User\AppData\Local\vufshwpelyreemicult
C:\Users\User\AppData\Local\prevuchnirolyghucult
HKU\S-1-5-21-1149130239-293295334-1913617585-1000\Software\Classes\regfile: regedit.exe "%1" 
HKU\S-1-5-21-1149130239-293295334-1913617585-1000\...\Policies\Explorer: [NolowDiskSpaceChecks] 1
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
S3 mracsvc; C:\Windows\System32\mracsvc.exe [5444824 2017-10-22] (LLC Mail.Ru)
S3 mracdrv; C:\WINDOWS\System32\drivers\mracdrv.sys [4933888 2017-10-22] (LLC Mail.Ru)
C:\Windows\System32\mracsvc.exe
C:\WINDOWS\System32\drivers\mracdrv.sys
U3 idsvc; Brak ImagePath
CMD: netsh advfirewall reset 
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files"
CMD: dir /a "C:\Program Files (x86)\Common Files"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\User\AppData\Local
CMD: dir /a C:\Users\User\AppData\LocalLow
CMD: dir /a C:\Users\User\AppData\Roaming
DeleteKey: HKU\S-1-5-21\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt

 

3. Otwórz Google Chrome następnie: Ustawienia > Osoby > Zarządzaj innymi osobami > Dodaj Osobę > Załóż czysty profil > ponownie wejdź do sekcji Osoby i skasuj wszystkie stare profile. 

 

Utracisz wszystkie dane z tej przeglądarki, więc jeśli potrzebne wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.

 

4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware (masz zainstalowany, więc upewnij się, że program i baza danych jest aktualna). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

 

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

[Janas]

Te dwa procesy bez nazwy już się nie pojawiają i już widać poprawę wydajności i to wielką.
Malwarebytes coś znalazł (a nawet więcej niż coś). Raporty w załączniku.

Addition.txt

Fixlog.txt

FRST.txt

Malwarebytes.txt

[Miszel03]

Część infekcji pomyślnie usunięta, ale wciąż wymagane dalsze działania.
 

Malwarebytes coś znalazł (a nawet więcej niż coś). Raporty w załączniku.

 
Proszę się absolutnie nie sugerować liczbą wykrytych zagrożeń, gdyż detekcje liczone są rekursywnie.
 
1. Zagrożenia wykryte przez Malwarebytes możesz dać do kasacji, ale:
 

Adware.Elex, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\{7195E93F-714C-404B-A164-8F080121C1E6}, Brak akcji, [630], [432898],1.0.6193

 
To jest klucz powiązany z wpisem deinstalcyjnym programu UvConverter (to rzeczywiście Adware.Elex) i należy ten program po prostu odinstalować (chyba, że ten wpis jest tylko szczątkowy).
 

Adware.CrossRider.Generic

 
Usuwanie przez Malwarebytes nie jest do końca zgodne z mechanizmami przeglądarki, pozwól mimo to Malwarebytes przeprowadzić dezynfekcję według własnego mechanizmu, ale koniecznie po tej akcji powtórz pkt. 3 z mojego poprzedniego posta. 
 
2. Po tych operacjach powtórz całościowy skan i pokaż wyniki. Zrób też nowy zestaw raportów FRST + Addition + Shortcut w celu oceny i końcowych doczyszczeń.