Komputer muli

[INEQ]

Witam mam problem z kompem,muli caly czas,sadze ze od momentu jak skasowałem wirusy na kwarantannie w programie microsoft security essentials.przegladarka  długo sie otwiera a przy kilku kartach ciezko wogule mowic o normalnym uzytkowaniu jak nie o zadnym.Gra tez tnie i dlugo sie włącza,ekran sie zawiesza,myszka mozna poruszac,komputer odpowiada dopiero po dluzszym czasie ogolnie rzeznia tylko włosy wyrywac.

bardzo prosze o pomoc z gory dzieki

Addition.txt FRST.txt

[picasso]

Log główny z FRST jest obcięty (brak nagłówka i listy procesów). Poproszę o zrobienie raportu ponownie i wtedy przejdę do usuwania. W systemie działa obiekt wyglądający na koparkę zasobów:

 

Task: {3716D836-C7EC-4976-A60B-7FF64FD01D07} - System32\Tasks\updater2 => C:\Program Files (x86)\WinXT\blog\updater.exe [593920 2021-06-26] (WinXT) [Brak podpisu cyfrowego] <==== UWAGA
Task: C:\Windows\Tasks\updater2.job => C:\Program Files (x86)\WinXT\blog\updater.exe <==== UWAGA
S3 updater; C:\Program Files (x86)\WinXT\blog\nssm.exe [368640 2017-04-26] (Iain Patterson) [Brak podpisu cyfrowego]
R2 WinLoading; C:\Program Files (x86)\WinXT\blog\nssm.exe [368640 2017-04-26] (Iain Patterson) [Brak podpisu cyfrowego]

 

[INEQ]

ok

Addition.txt FRST.txt

[picasso]

Do przeprowadzenia następujące działania:

 

1. Przez Panel sterowania odinstaluj stare nieaktualizowane programy: Adobe AIR, Adobe Flash Player 32 NPAPI, Apple Software Update, Microsoft Security Essentials, Obsługa programów Apple, Podstawowe programy Windows Live, QuickTime 7.

 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
S3 updater; C:\Program Files (x86)\WinXT\blog\nssm.exe [368640 2017-04-26] (Iain Patterson) [Brak podpisu cyfrowego]
R2 WinLoading; C:\Program Files (x86)\WinXT\blog\nssm.exe [368640 2017-04-26] (Iain Patterson) [Brak podpisu cyfrowego]
S2 Freemake Improver; C:\ProgramData\Freemake\FreemakeUtilsService\FreemakeUtilsService.exe [X]
S2 RealtekWlanU; C:\Program Files (x86)\Realtek\USB Wireless LAN Utility\RtlService.exe [X]
S2 RTLDHCPService; C:\Program Files (x86)\Realtek\USB Wireless LAN Utility\RTLDHCP.exe [X]
S2 tcsd_win32.exe; "C:\Program Files\Dell\Dell Data Protection\Drivers\TSS\bin\tcsd_win32.exe" [X]
U3 aswbdisk; Brak ImagePath
S3 MpKsl3090a9b1; \??\c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{DC7417DE-B453-406D-94AC-47B94F3D2947}\MpKslDrv.sys [X]
S3 MpKsla6fb2b65; \??\c:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{DC7417DE-B453-406D-94AC-47B94F3D2947}\MpKslDrv.sys [X]
S1 UimBus; system32\DRIVERS\uimbus.sys [X]
S1 Uim_DEVIM; system32\DRIVERS\uimdevim.sys [X]
HKU\S-1-5-21-3725637032-4102558920-3925882777-1003\...\Run: [CubeDesktop] => [X]
HKU\S-1-5-21-3725637032-4102558920-3925882777-1003\...\Run: [Web Companion] => C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe --minimize
HKU\S-1-5-21-3725637032-4102558920-3925882777-1003\...\MountPoints2: {acc5441f-464c-11eb-9cbd-4c809385d8b9} - E:\HiSuiteDownLoader.exe
HKU\S-1-5-18\...\Run: [] => [X]
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\$McRebootA5E6DEAA56$.lnk [2021-06-19]
GroupPolicy: Ograniczenia ? <==== UWAGA
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
Task: {09B572F6-0A13-43E8-BCD0-C330BF54BD1E} - System32\Tasks\{BF8082B2-2A07-43AD-86CF-94B15450E06B} => C:\Windows\system32\pcalua.exe -a C:\Users\Patryk\Downloads\xsplit_5fef816b62342_5fef816b62344\xsplit_5fef816e9d4bd\FileSetup-v36.21.43\FileSetup-v36.21.43.exe -d C:\Users\Patryk\Downloads\xsplit_5fef816b62342_5fef816b62344\xsplit_5fef816e9d4bd\FileSetup-v36.21.43
Task: {0AE17C69-41B9-428A-B974-AC91D326B19D} - System32\Tasks\{8C4C2114-2C65-4EC2-B2DC-81926C769511} => C:\Windows\system32\pcalua.exe -a "C:\Users\Patryk\Downloads\Festo FluidSim V3.6 Full\Festo FluidSim V3.6 Full\FluidSim.English.Pack.by.CHEOPE.exe" -d "C:\Users\Patryk\Downloads\Festo FluidSim V3.6 Full\Festo FluidSim V3.6 Full"
Task: {3716D836-C7EC-4976-A60B-7FF64FD01D07} - System32\Tasks\updater2 => C:\Program Files (x86)\WinXT\blog\updater.exe [593920 2021-06-26] (WinXT) [Brak podpisu cyfrowego] <==== UWAGA
Task: {4417B143-FDB0-44DE-8CBE-581389A7A029} - System32\Tasks\{6FA8C712-99F7-4BB3-B798-2D44B4956EBD} => C:\Windows\system32\pcalua.exe -a "C:\Users\Patryk\Downloads\MONKEY ISLAND THE SECRET.exe" -d C:\Users\Patryk\Downloads
Task: {745C632E-46C1-4637-B65E-B54E601CEC70} - System32\Tasks\{AA15F915-B94A-4A61-A962-60526CA625A6} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\SplitMediaLabs\XSplit\XSplit_Plugin_Installer.exe" -d "C:\Program Files (x86)\SplitMediaLabs\XSplit"
Task: {D871A0E0-05A5-4077-8DA6-E07E07B597DD} - System32\Tasks\{69FF0014-B755-47E8-95A7-ECE035E474CB} => C:\Windows\system32\pcalua.exe -a C:\Users\Patryk\Downloads\CubeDesktop\CubeDesktopTryOut.exe -d C:\Users\Patryk\Downloads\CubeDesktop
Task: C:\Windows\Tasks\updater2.job => C:\Program Files (x86)\WinXT\blog\updater.exe <==== UWAGA
2021-06-28 12:07 - 2021-06-28 12:07 - 000000000 ____D C:\ProgramData\WinXT
2021-06-26 22:20 - 2021-06-26 22:20 - 000000000 ____D C:\Users\Patryk\AppData\Roaming\WinXT
2021-06-26 22:20 - 2021-06-26 22:20 - 000000000 ____D C:\Program Files (x86)\WinXT
2021-06-19 11:37 - 2021-06-19 23:01 - 000000000 ____D C:\ProgramData\Avast Software
2021-06-19 12:19 - 2021-04-08 09:42 - 000000000 ____D C:\Program Files\McAfee
2021-02-11 12:47 - 2021-02-11 12:53 - 000000004 _____ () C:\ProgramData\lock.dat
2021-02-11 12:48 - 2021-02-11 12:53 - 000000004 _____ () C:\ProgramData\rc.dat
2021-02-11 12:47 - 2021-02-11 12:47 - 000000008 _____ () C:\ProgramData\ts.dat
FF NewTab: Mozilla\Firefox\Profiles\oqzqupfm.default -> hxxps://securesearch.org/homepage?hp=2&pId=BC180101&iDate=2021-02-10 12:07:21&iid=dd3fccea-c12b-4ab4-a0f7-3f3931a0d5f4&bName=
FF NewTab: Mozilla\Firefox\Profiles\bb786d85.default-release -> hxxps://securesearch.org/homepage?hp=2&pId=BC180101&iDate=2021-02-10 12:07:21&iid=dd3fccea-c12b-4ab4-a0f7-3f3931a0d5f4&bName=
CHR DefaultSearchURL: Default -> hxxps://pl.search.yahoo.com/search?fr=mcafee_uninternational&type=E210PL91105G0&p={searchTerms}
CHR HKLM-x32\...\Chrome\Extension: [ofoeigeaodhbjogdigckajfhjbonaofg]
HKU\S-1-5-21-3725637032-4102558920-3925882777-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://securesearch.org/homepage?hp=2&pId=BC180101&iDate=2021-02-10 12:07:21&iid=dd3fccea-c12b-4ab4-a0f7-3f3931a0d5f4&bName=
SearchScopes: HKU\S-1-5-21-3725637032-4102558920-3925882777-1003 -> {993F5746-4C15-42BC-99C1-064A1764271B} URL = hxxps://securesearch.org?q={searchTerms}
IE trusted site: HKU\S-1-5-21-3725637032-4102558920-3925882777-1003\...\webcompanion.com -> hxxp://webcompanion.com
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
cmd: netsh adfirewall reset
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan) włącznie z Addition. Dołącz też plik fixlog.txt. Wypowiedz się czy nastąpiła poprawa.

 

[INEQ]

odinstalowałem stare programy nieaktualizowane i juz jest lekka poprawa

kiedy chcialem zrobić naprawe to wyswietlał mi sie komunikat ze musze utworzyć fixlist wiec tak zrobiłem inaczej by mi nie naprawiło,system sie nie zresetował więc sam zresetowałem :/  a plik fixlog.txt mi sie nie utworzył :/

ponownie przesyłam nowy skan noi ten fixlist mam

FRST.txt fixlist.txt

Addition.txt

[picasso]

Niestety malware nie zostało usunięte wcale, a plik fixlist.txt jest pusty. Czy po otworzeniu notatnika przez CTRL+Y i wklejeniu treści do pliku na pewno zastosowałeś CTRL+S? Proszę ponów próbę wg wcześniej podanych kroków, ale dla pewności zapisz plik przy udziale opcji Notatnika Plik > Zapisz.

[INEQ]

Ok teraz wszystko ładnie poszło system sie zresetował

 

Addition.txt Fixlog.txt FRST.txt

[picasso]

Prawie wszystko wykonane, jedna z komend nie weszła, bo zrobiłam literówkę. Drobne poprawki na szczątki:

 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

 

S2 AvastWscReporter; "C:\Program Files\Avast Software\Avast\wsc_proxy.exe" /runassvc /rpcserver [X]
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
Task: {0E6E755C-3DC4-44B0-9631-BA03889AF8F2} - System32\Tasks\Opera scheduled assistant Autoupdate 1617867835 => C:\Users\Patryk\AppData\Local\Programs\Opera\launcher.exe -> --scheduledautoupdate --component-name=assistant --component-path="C:\Users\Patryk\AppData\Local\Programs\Opera\assistant" $(Arg0)
Task: {F576E1D0-412F-41AF-8B4E-8C4CBD23AE7E} - System32\Tasks\Opera scheduled Autoupdate 1617867827 => C:\Users\Patryk\AppData\Local\Programs\Opera\launcher.exe
FF NewTab: Mozilla\Firefox\Profiles\oqzqupfm.default -> hxxps://securesearch.org/homepage?hp=2&pId=BC180101&iDate=2021-02-10 12:07:21&iid=dd3fccea-c12b-4ab4-a0f7-3f3931a0d5f4&bName=
2021-07-04 02:47 - 2021-07-04 02:58 - 000000000 ____D C:\Users\Patryk\AppData\Local\Avast Software
2021-07-04 12:59 - 2020-12-30 15:45 - 000000000 ____D C:\Program Files (x86)\QuickTime
2021-07-04 12:58 - 2020-11-24 08:25 - 000000000 ____D C:\Users\Patryk\AppData\Local\Windows Live
DeleteQuarantine:
cmd: netsh advfirewall reset

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z menu Plik > Zapisz. Następnie w oknie FRST klik w Napraw. Tym razem nie będzie restartu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Wyczyść Google Chrome:

• Zresetuj synchronizację (o ile włączona). Otwórz Panel Google. Na dole kliknij Resetuj synchronizację. Nie loguj się na konto Google, dopóki nie zostanie ukończone czyszczenie komputera.
• W pasku adresów wpisz chrome://settings i ENTER. Zaawansowane > Resetowanie komputera i czyszczenie danych > Przywróć ustawienia do wartości domyślnych. Zakładki i hasła nie zostaną naruszone.

3. W systemie nagle pojawił się sterownik SPTD. Jeśli został omyłkowo zainstalowany, zastosuj dedykowany deinstalator tego sterownika dostępny w przyklejonym temacie: KLIK.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan). Dołącz też plik fixlog.txt. Podsumuj obecny stan systemu.

 

 

[INEQ]

Wszystko wróciło do normy bez porównania z tym co było poprzednio

FRST.txt Fixlog.txt

[picasso]

1. Jeden odpadkowy wpis od wyszukiwarki Adaware Secure Search jest oporny:

 

FF NewTab: Mozilla\Firefox\Profiles\oqzqupfm.default -> hxxps://securesearch.org/homepage?hp=2&pId=BC180101&iDate=2021-02-10 12:07:21&iid=dd3fccea-c12b-4ab4-a0f7-3f3931a0d5f4&bName=

 

W Firefox Ustawienia > Uruchamianie > przestaw Nową kartę na pustą stronę.

 

2. Wykonaj skan za pomocą Malwarebytes Anti-Malware i przedstaw wynikowy raport.