avasoft ad-aware anti-virus i zamulony komuter

[piksle]

Bardzo proszę o sprawdzenie loga, sam z tym nie mogę sobie poradzić

FRST.txt Addition.txt

[jessica]

1) Odinstaluj program

Spybot - Search & Destroy (HKLM-x32\...\{B4092C6D-E886-4CB2-BA68-FE5A99D31DE7}_is1) (Version: 2.8.68.0 - Safer-Networking Ltd.)

Pracuje na zbyt starym silniku, nie jest w stanie wykrywać nowocześniejszych infekcji.

 

2) Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google LLC) -> %SNP%
HKLM\...\RunOnce: [en4fcv5diqu] => C:\Program Files (x86)\Sbeh\240761161.exe [905216 2020-05-15] () [Brak podpisu cyfrowego]
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
RemoveDirectory: C:\Program Files (x86)\Sbeh
RemoveDirectory: C:\Users\Gracz\AppData\Roaming\Microsoft\Windows\jueiwhbr
Startup: C:\Users\Gracz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\jueiwhbr.lnk [2020-05-15]
ShortcutAndArgument: jueiwhbr.lnk -> C:\Windows\System32\cmd.exe => /c start "" "C:\Users\Gracz\AppData\Roaming\Microsoft\Windows\jueiwhbr\cagvhtfh.exe"
2020-05-15 10:13 - 2020-05-15 10:13 - 000001115 _____ C:\_readme.txt
2020-05-15 10:12 - 2020-05-15 22:47 - 000000000 ____D C:\Users\Gracz\AppData\Local\cf71ba6e-dc3c-4064-839a-e6a4386a006f
2020-05-15 10:12 - 2020-05-15 16:49 - 000000000 ____D C:\Users\Gracz\AppData\Roaming\Smart Clock
2020-05-15 10:12 - 2020-05-15 15:27 - 000000000 ____D C:\Users\Gracz\AppData\LocalLow\3098htrhpen8ifg0
2020-05-15 10:12 - 2020-05-15 10:28 - 000000000 ____D C:\Windows\SysWOW64\cfjvceyw
2020-05-15 10:12 - 2020-05-15 10:28 - 000000000 ____D C:\Users\Gracz\AppData\Local\8254bbdf-88cc-42ae-bd52-50b3d3b918ce
2020-05-15 10:12 - 2020-05-15 10:12 - 000000000 ____D C:\ProgramData\BUWLN5UMOWK1VELTMXB82JYFZ
2020-05-15 10:11 - 2020-05-15 22:42 - 000000000 ____D C:\Users\Gracz\AppData\Local\ScrSnap
2020-05-15 10:11 - 2020-05-15 22:41 - 000000000 ____D C:\Program Files\2LQ73QHKEI
2020-05-15 10:11 - 2020-05-15 16:49 - 000000000 ____D C:\Users\Gracz\AppData\Roaming\ql5lun3pgla
2020-05-15 10:11 - 2020-05-15 10:12 - 000000000 ____D C:\Program Files (x86)\Sbeh
2020-05-15 10:11 - 2020-05-15 10:11 - 002178828 _____ C:\Users\Gracz\AppData\Local\Kon-Warm.tst
2020-05-15 10:11 - 2020-05-15 10:11 - 000072576 _____ C:\Users\Gracz\AppData\Local\Config.xml
2020-05-15 10:11 - 2020-05-15 10:11 - 000068547 _____ C:\Users\Gracz\AppData\Local\Quadity.tst
2020-05-15 10:11 - 2020-05-15 10:11 - 000005568 _____ C:\Users\Gracz\AppData\Local\md.xml
FirewallRules: [{A9EA27F3-8D37-475D-9971-C0D85A1A03FF}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Brak pliku
FirewallRules: [{632C8C6A-10DD-4CD5-8C62-6B233F3E583D}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7\steamwebhelper.exe => Brak pliku
FirewallRules: [{DC51C818-8077-4BD4-8308-9A8BEA48C1A9}] => (Allow) D:\SteamLibrary\steamapps\common\Bus Simulator 18\BusSimulator18.exe => Brak pliku
FirewallRules: [{26909129-006A-4801-82BB-2B789D910F2F}] => (Allow) D:\SteamLibrary\steamapps\common\Bus Simulator 18\BusSimulator18.exe => Brak pliku
GroupPolicy: Ograniczenia ? <==== UWAGA
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
Task: {040CA65D-CEC6-4431-837A-B9036C9F553E} - \Microsoft\Windows\Windows Error Reporting\winrmsrv -> Brak pliku <==== UWAGA
Task: {C792E083-0EFD-4A14-976C-B24C848D786D} - \Microsoft\Windows\Application Experience\StartupCheckLibrary -> Brak pliku <==== UWAGA
Task: {C95B2FF9-7C07-4F66-BE5A-6F6E3C3F9555} - \Microsoft\Windows\Wininet\Winlogui -> Brak pliku <==== UWAGA
Task: {F45DC040-648E-42F6-96A6-B3F9959FD990} - \WindowsDriverSystemUpdater -> Brak pliku <==== UWAGA
C:\Users\Gracz\AppData\Local\bowsakkdestx.txt
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
2019-10-07 04:55 - 2019-10-07 04:55 - 000263680 ___SH () C:\Users\Gracz\AppData\Roaming\jtcagvh
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

 

3)

Cytat

S3 wuauserv; C:\Windows\system32\svchost.exe [53744 2019-03-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== UWAGA (Brak ServiceDLL)
S3 wuauserv; C:\Windows\SysWOW64\svchost.exe [45448 2019-03-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== UWAGA (Brak ServiceDLL)

Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko).

 

4) Zrób nowe logi FRST.

 

5)

Cytat

avasoft ad-aware anti-virus

Nie widzę tego programu na liście Twoich programów.

 

jessi

[piksle]

lavasoft ad-aware anti-virus  usunąłem sam wcześniej ale i tak otwiera mi ciągle nowe strony w przeglądarce, gdy wpisuję coś do wyszukania otwiera mi lavasoft + mnóstwo stron z reklamami. W grach fpsy szaleją, youtube przycina w dziwny sposów,. Nie wie, skąd to dziadostwo się wzięło bo mam swoje standardy w internetowym skakaniu po stronach.

 

Addition.txt FRST.txt FSS.txt

[piksle]

dalej to coś mi siedzi w komputerze, wpisuję w przeglądarce do wyszukania hasło: rambo i otwiera mi to w tym całym lavasoft

w screnach widać

[piksle]

źle wstawiłem, poniżej załącznik

[piksle]

[jessica]

nie wiem, o co Ci chodzi, obrazki niczego ciekawego nie pokazują

[piksle]

na 100 % mam jakiegoś trojana bąrdzo proszę jeszcze raz o sprawdzenie loga. Mam otwartą tylko waszą stronę forum a ublock zablokował mi juz 50 stron z reklamami ( 10 min) i ciągle rośnie

Addition.txt FRST.txt

 

do tego fpsy w grach skaczą jak szalone od 50 do 150 co kilka sekund,, a na speed test pokazuje 90 mb/s i ping 5 ms (mam świadłowód  orange) nigdy tak nie miałem

[jessica]

Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y.
Otworzy się Notatnik - wklej do niego:

Spoiler

Unlock: HKLM\SYSTEM\ControlSet001\Services\{45487F67-EC9F-4449-A6F2-2D0970F9B80B}
DeleteKey: HKLM\SYSTEM\ControlSet001\Services\{45487F67-EC9F-4449-A6F2-2D0970F9B80B}
VirusTotal: C:\Windows\System32\drivers\Wdf62161.sys
S3 wuauserv; C:\Windows\system32\svchost.exe [53744 2019-03-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== UWAGA (Brak ServiceDLL)
S3 wuauserv; C:\Windows\SysWOW64\svchost.exe [45448 2019-03-19] (Microsoft Windows Publisher -> Microsoft Corporation) <==== UWAGA (Brak ServiceDLL)
S2 cfjvceyw; C:\Windows\SysWOW64\cfjvceyw\twcwlwhn.exe [X]
RemoveDirectory: C:\Windows\SysWOW64\cfjvceyw
C:\Users\Gracz\Desktop\jbihcduluwxq.txt
HKLM\...\StartupApproved\Run32: => "en4fcv5diqu"
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S.
W FRST kliknij na Fix (NAPRAW).

Daj z tego raport.

 

2) Przeinstaluj Firefoxa.

 

3) Przeskanuj komputer przy pomocy MBAM https://www.fixitpc.pl/topic/8-dezynfekcja-zbiór-narzędzi-usuwających/?tab=comments#comment-173217

 

 

4) Zrób nowe logi FRST.

 

jessi

[piksle]

proszę zobaczyć logi

Addition.txt FRST.txt log z malwarebytes.txt

[jessica]

MBAM - wszystko, co wykrył, do usunięcia.

 

Cytat

FF NewTab: Mozilla\Firefox\Profiles\dpeqq15d.default -> hxxps://securesearch.org/homepage?hp=2&pId=BC180101&iDate=2020-05-15 08:11:50&bName=

W Firefoxie dalej jest widoczne ustawienie z Lavasoft

 

jessi