Miszel03

Uwzględniam też bardzo ważne pliki oraz programy.

Wykonaj kopie zapasową ważnych danych. Możesz ją umieścić np. na pendrive lub w chmurze (np. Google Drive). 

Jak wspominałem wcześniej, system jest zainfekowany przez m.in. instalacje niepożądanych programów, fałszywy starter i profile Google Chrome, infekcje podszywającą się pod Microsoft ładowaną przez Harmonogram zadań. 

Przeprowadź następujące działania (zostanie wyczyszczony kosz): 

1. Przez Panel Sterownia odinstaluj adware / PUP: WinZip, CPUID CPU-Z 1.71.

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

CloseProcesses:
CreateRestorePoint:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Subway Surfers\Subway Surfers.lnk
C:\Users\Janas_\Documents\Euro Truck Simulator 2\readme.rtf.lnk
C:\Users\Janas_\Documents\Corel\CorelDRAW X5 Samples\target.lnk
C:\Users\User\Links\GG dysk.lnk
C:\Users\User\Favorites\GG dysk.lnk 
C:\Users\User\Documents\MAGIX\Music Maker 2016 Premium\_Demos.LNK
C:\Users\User\Documents\Euro Truck Simulator 2\readme.rtf.lnk
C:\Users\User\Documents\American Truck Simulator\readme.rtf.lnk
C:\Users\User\Desktop\ts3\Zombie Army Trilogy.lnk
C:\Users\User\Desktop\Nowy folder\Mozilla Firefox.lnk
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\IP Search.lnk
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live for Speed\LFS Manual.lnk
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Inkscape.lnk
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Camtasia Studio 8.lnk
C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Need for Speed™ Payback.lnk
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} =>  -> Brak pliku
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Brak pliku
Task: {0C2FD3F5-3721-4B52-BE3F-65D269B6871C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {3C04666D-A99A-4A2C-9CD4-1F18098F497F} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku 
Task: {44E764A0-B1FF-49AE-9413-244CA8FDECCC} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {78835B2B-5402-4A98-802F-1B4415445613} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {8D0E5780-6C00-4FFF-A7FD-FE56E81EB92A} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {B86C2D32-78F1-42E8-81F5-B113C4B1DB11} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku 
Task: {BA2487FC-FDC3-48DB-A1B8-1D395267B401} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {22D836F7-6E36-411F-B0EB-24D7A8AC2C65} - \b2929b72a96a471893ecaa9c51368bae -> Brak pliku 
Task: {2570D44F-AE62-45BD-A42A-2533F593B4E4} - System32\Tasks\{AD77D1E3-BA40-ADAF-55F4-C3EB5D7616AA} => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" hxxp://cssnews.ru/cl/?guid=majpvha9gwud1b8hkey726r7ip3edefq&prid=1&pid=4_1324_0
Task: {565D36FC-8D14-45D1-AD42-5A665523300E} - System32\Tasks\{D19D6318-E7AF-9294-A596-9DD132550A1E} => C:\Users\User\AppData\Roaming\VAAoAUrvqc.exe [2018-04-12] (Microsoft Corporation) 
Task: {B4FBF0E8-6333-44F4-804A-6EE0DAA2F35B} - System32\Tasks\{9F79ED10-1D38-9719-13A9-149F65A1AAEA} => C:\WINDOWS\SysWOW64\OurOUbpue.exe [2018-04-12] (Microsoft Corporation)
C:\Users\User\AppData\Roaming\VAAoAUrvqc.exe
C:\WINDOWS\SysWOW64\OurOUbpue.exe
Task: {F8078C6B-60A8-48A4-AC1A-4BA4CA6E69F6} - System32\Tasks\Ghreringuwek Center => C:\Program Files (x86)\Isakphovey\stagle.exe
C:\Program Files (x86)\Isakphovey
Task: {1FFB7B82-58F5-4C2C-A880-F552374CD360} - System32\Tasks\{80B5C1C8-53D6-4584-9CE2-A32CF7CC5516} => C:\Windows\system32\pcalua.exe -a H:\Setup.EXE -d H:\
Task: {56806A6F-C252-4381-9B56-5B3CD99C516C} - System32\Tasks\{7932C7BC-13D0-4885-B95F-85A5DD106600} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\Adobe\Adobe Creative Cloud\Utils\Creative Cloud Uninstaller.exe"
Task: {6BA559FA-C556-4041-9A96-BF44E1FC2701} - System32\Tasks\{70E078F2-E1AC-4E3C-8A78-D838764D1339} => C:\Windows\system32\pcalua.exe -a H:\SETUP.EXE -d H:\
Task: {7D384A1F-782C-4237-B260-2C0A20557970} - System32\Tasks\{B8FB0B99-33AE-4530-873D-E4B50455B7CB} => C:\Windows\system32\pcalua.exe -a "E:\Program Files (x86)\Hi-Rez Studios\HiRezGamesDiagAndSupport.exe" -c uninstall=all
Task: {9DFBFB26-D2F0-46B2-8A4F-13A1DB9E58CC} - System32\Tasks\{AA423090-5942-4573-A187-ACE9724185D1} => C:\Windows\system32\pcalua.exe -a "E:\Official Heroes-Awaken Tutorial-Client\Uninstaller.exe" -d "E:\Official Heroes-Awaken Tutorial-Client"
Task: {B7FE48BC-D91F-4526-BF94-5491561B48C9} - System32\Tasks\{9D29C43C-A370-43A8-890D-E40A8DEA1E7C} => C:\Windows\system32\pcalua.exe -a H:\EasySetupAssistant\EasySetupAssistant.exe -d H:\EasySetupAssistant
Task: {CB03E46A-5C64-49BE-9173-B2CF080B288C} - System32\Tasks\{99477868-9BE1-4FBF-A185-059FD7510EED} => C:\Windows\system32\pcalua.exe -a "C:\Users\User\Downloads\Nero Free 9.4.12.3d [1].exe"
Task: {DCEA9343-AFC8-4E8D-AC2F-CBC53C182092} - System32\Tasks\{E68D69B7-2E4F-440A-A059-79FA28173E22} => C:\Windows\system32\pcalua.exe -a M:\Setup.EXE -d M:\
C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Program uruchamiający aplikacje Chrome.lnk
C:\Users\User\AppData\Local\Google\Chrome\User Data\Program uruchamiający aplikacje Chrome.lnk
C:\Users\User\AppData\Local\vufshwpelyreemicult
C:\Users\User\AppData\Local\prevuchnirolyghucult
HKU\S-1-5-21-1149130239-293295334-1913617585-1000\Software\Classes\regfile: regedit.exe "%1" 
HKU\S-1-5-21-1149130239-293295334-1913617585-1000\...\Policies\Explorer: [NolowDiskSpaceChecks] 1
GroupPolicy: Ograniczenia - Chrome 
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
S3 mracsvc; C:\Windows\System32\mracsvc.exe [5444824 2017-10-22] (LLC Mail.Ru)
S3 mracdrv; C:\WINDOWS\System32\drivers\mracdrv.sys [4933888 2017-10-22] (LLC Mail.Ru)
C:\Windows\System32\mracsvc.exe
C:\WINDOWS\System32\drivers\mracdrv.sys
U3 idsvc; Brak ImagePath
CMD: netsh advfirewall reset 
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files"
CMD: dir /a "C:\Program Files (x86)\Common Files"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\User\AppData\Local
CMD: dir /a C:\Users\User\AppData\LocalLow
CMD: dir /a C:\Users\User\AppData\Roaming
DeleteKey: HKU\S-1-5-21\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt

3. Otwórz Google Chrome następnie: Ustawienia > Osoby > Zarządzaj innymi osobami > Dodaj Osobę > Załóż czysty profil > ponownie wejdź do sekcji Osoby i skasuj wszystkie stare profile. 

Utracisz wszystkie dane z tej przeglądarki, więc jeśli potrzebne wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.

4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware (masz zainstalowany, więc upewnij się, że program i baza danych jest aktualna). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Raporty mają być bez dat, tzn. nie z archiwalnego C:\FRST, a z miejsca, w którym FRST został uruchomiony. Brak dat jest potwierdzeniem dla mnie, że nie nowszych raportów.

P.S: Jutro rozpocznie się proces aktualizacji forum, który może potrwać nawet kilka dni. Teoretycznie gdybyśmy się sprężyli to może dzisiaj by się udało jeszcze Ci pomóc. Powiedz co o tym sądzisz (nie zagwarantuje, że dzisiaj się uda doprowadzić system do ładu), jeśli sprawa jest priorytetowa (po tych raportach już widzę, że system jest zainfekowany) mogę odesłać do innego specjalisty.

MediFire niestety zablokował paczkę, a szkoda, bo plan był taki, by próbki z kwarantanny przesłać firmom zajmującym się tworzeniem oprogramowania zabezpieczającego.

Nie będę już zajmował więcej czasu (jeśli paczka wciąż na dysku = skasować z ominięciem kosza). 

Pozdrowienia. 

Wszystko pomyślnie wykonane. Infekcja usunięta. Miło mi, że mogłem pomóc.

1. Przez SHIFT + DELETE (omijanie kosza) skasuj szczątkowy plik malware C:\Program Files (x86)\Common Files\yiRiTEvCdquXO.exe

Gdyby była możliwość miałbym prośbę: czy możesz spakować folder C:\FRST\Quarantine i wstawić go jako załącznik (lub na hosting, np. MediaFire)? 

2. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. 

W razie pytań pozostaje do dyspozycji.

Widoczna infekcja podszywająca się pod Microsoft i ładowana przez Harmonogram zadań oraz wykorzystująca wiersz poleceń. Dezynfekcja (zostanie również wyczyszczony kosz):

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

CloseProcesses:
CreateRestorePoint:
Task: {56CE1001-9564-4184-B592-720736739B74} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku 
Task: {809FC168-22B2-4F86-83A1-5250CC3A23B6} - System32\Tasks\{A80FE8B4-ECB0-4F36-6D66-169CBF405EF3} => C:\WINDOWS\SysWOW64\etUopUqNyomu.exe [1601-01-03] (Microsoft Corporation)
Task: {96BF1EFA-3FCB-48B0-B4D4-394F9E4E9D95} - System32\Tasks\{2A31C575-A808-A445-6127-08ECBF718AA3} => C:\Users\Paweł\AppData\Local\VjYoUCAysY.exe [1601-01-03] (Microsoft Corporation)
C:\WINDOWS\SysWOW64\etUopUqNyomu.exe
C:\Users\Paweł\AppData\Local\VjYoUCAysY.exe
HKU\S-1-5-21-364653239-3699781212-3866580074-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist "C:\Users\Paweł\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" ( start /MIN "" "C:\Users\Paweł\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) 
C:\Users\Paweł\AppData\Roaming\Microsoft\SoundMixer
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt

2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware (masz zainstalowany, więc upewnij się, że program i baza danych jest aktualna). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Raporty nie wykazują oznak infekcji. 

1. Zrób całościowy skan za pomocą Malwarebytes AntiMalware i pokaż wyniki. 

2. Obciążenie procesu SYSTEM może sugerować sterowniki. Nie jest tu wykluczony COMODO Antivirus i dobrze się upewnij, że nie ma nic do rzeczy. Tzn. wykonaj testową deinstalację.

3. Sprawdź czy problem występuje w stanie czystego rozruchu: KB331796. 

Raporty uzupełnione, ale niepoprawnie. Brakuje loga Shortcut. Po za tym:

Uruchomiony przez User (administrator) USER-KOMPUTER (31-07-2018 19:22:49)

Są sprzed 3 dni co czyni je kompletnie nieaktualnymi. 

Rezultaty skanowania Farbar Recovery Scan Tool (FRST) (x64) Wersja: 21.07.2018

Najnowsza wersja jest z pierwszego sierpnia (KLIK).

Ibiza, sterownik malware został już odnaleziony (picasso zadała go do usunięcia w swoim poście). To on jest przyczyną tego przekierunkowania.

HKLM Group Policy restriction on software: C:\Program Files\WinZip
HKLM Group Policy restriction on software: C:\Program Files (x86)\WinZip
HKLM Group Policy restriction on software: C:\Program Files (x86)\WinRAR
HKLM Group Policy restriction on software: C:\Program Files (x86)\CCleaner
HKLM Group Policy restriction on software: C:\Program Files\CCleaner

Czy powyższe polityki miały jakiś konkretny cel / uzasadnienie. używałeś ich do czegoś? Zostały skasowane. 

Wcześniej wspominałem o "drobnej diagnostyce grup polityk" - te zadania to standard systemów Windows 8 i nowszych, jeśli zostanie użyta funkcja Grup polityk, a służą one do odświeżania zasad. Nie ma się więc czym martwić. Przypuszczalnie były powiązane z przytoczonymi tu politykami. 

Cytat

Dzięki za poświęcony czas.

Miło mi, że mogłem pomóc. Jeśli nie masz więcej pytań przejdź do finalizacji: zastosuj DelFix oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. 

Cytat

Nie modyfikowałem i nie tworzyłem Debbugera.

 

Być może powoduje to dameware łącze się nim z komputerem.

Debugger ustawiony na svchost nie jest normalny, więc martwi mnie. To może być rezultat działania malware / adware, ale oczywiście nie wykluczone, że są jakieś wyjątki od reguły.

Proszę dostosować temat do zasad działu. 

Infekcja pomyślnie usunięta. Te poniższe blokady typu Debbuger to Twoja modyfikacja?

IFEO\psexec.exe: [Debugger] svchost.exe
IFEO\psexesvc.exe: [Debugger] svchost.exe
IFEO\wmic.exe: [Debugger] svchost.exe

Pytam, bo coś je odtwarza. Usunę je jeszcze raz. Poprawki + drobna diagnostyka grup polityk: 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\GPL License.lnk
IFEO\psexec.exe: [Debugger] svchost.exe
IFEO\psexesvc.exe: [Debugger] svchost.exe
IFEO\wmic.exe: [Debugger] svchost.exe
CMD: type C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{A7719E0F-10DB-4640-AD8C-490CC6AD5202}
CMD: type C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{3E0A038B-D834-4930-9981-E89C9BFF83AA}
Reboot:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt

2. Przedstaw plik Fixlog i zrób nowy log FRST w celu oceny.

Plik Hosts został pomyślnie przywrócony. Proszę również zabezpieczyć system, przy wyborze sugeruję skorzystać z Lista darmowych i komercyjnych programów zabezpieczających. 

Z mojej strony to by było na tyle. Czy w czymś jeszcze mogę pomóc?

No najwyraźniej po prostu mi się coś uroiło 

Szkoda jednak, że nie odpowiedziałeś mi konkretnie na zadane pytanie.

System jest zainfekowany przez Trojan:Win32/Fuery.B!cl. Detekcja ta została zarejestrowana przez Windows Defender, ale raporty wciąż wskazują na to, że jest aktywna usługa Trojana (w lokalizacji C:\ProgramData\D1C36853). Przypuszczalnie została usunięta tylko biblioteka / moduł C:\ProgramData\D1C36853\D1C36832.dll bez usługi, która teraz próbując załadować skasowany komponent zwraca błąd. 

Przeprowadź następujące działania celem usunięcia infekcji (zostanie wyczyszczony również kosz):

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

CloseProcesses:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\AFPL License.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\FairPlay License.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\GPL License.lnk
C:\Users\awojtysiak\Desktop\Aktualizacja Fertigung.lnk
C:\Users\awojtysiak\Desktop\Skrót do KSIĘGOWOŚĆ NIP, REGON, KRS.lnk
C:\Users\awojtysiak\Desktop\Nieużywane skróty pulpitu\Adobe Reader 7.0.lnk 
C:\Users\awojtysiak\Desktop\Nieużywane skróty pulpitu\Brava! Reader.lnk
C:\Users\awojtysiak\Desktop\Nieużywane skróty pulpitu\Exact Globe 2003 Enterprise.lnk
C:\Users\awojtysiak\Desktop\Nieużywane skróty pulpitu\Fertigung 2005a.lnk 
C:\Users\awojtysiak\Desktop\Nieużywane skróty pulpitu\Mozilla Firefox.lnk
C:\Users\awojtysiak\Desktop\Nieużywane skróty pulpitu\Reorganisation.lnk 
C:\Users\awojtysiak\Desktop\Nieużywane skróty pulpitu\Skrót do kooperacja.lnk
C:\Users\awojtysiak\Desktop\Nieużywane skróty pulpitu\Skype.lnk
C:\Users\awojtysiak\Desktop\Nieużywane skróty pulpitu\TimoCom TRUCK & CARGO.lnk
C:\Users\awojtysiak\Desktop\Nieużywane skróty pulpitu\zlecenie transportowe.lnk 
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dropbox\Dropbox Website.URL
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Brak pliku
R2 D1C36853; C:\ProgramData\D1C36853\D1C36864.dll [2871824 2018-07-19] () [brak podpisu cyfrowego]
Folder: C:\ProgramData\D1C36853
C:\ProgramData\D1C36853
S3 dbx; system32\DRIVERS\dbx.sys [X]
HKLM Group Policy restriction on software: C:\Program Files\WinZip 
HKLM Group Policy restriction on software: C:\Program Files (x86)\WinZip 
HKLM Group Policy restriction on software: C:\Program Files (x86)\WinRAR 
HKLM Group Policy restriction on software: C:\Program Files (x86)\CCleaner 
HKLM Group Policy restriction on software: C:\Program Files\CCleaner 
IFEO\psexec.exe: [Debugger] svchost.exe
IFEO\psexesvc.exe: [Debugger] svchost.exe
IFEO\wmic.exe: [Debugger] svchost.exe
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt

2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

W razie pytań pozostaje do dyspozycji.

Po odinstalowaniu tej przeglądarki faktycznie proces już nie był tak zasobożerny, ale nie do końca mogę sobie pozwolić na pozbycie się Firefoxa, bo to chyba ostatnia przeglądarka, która wspiera Windows XP.

Faktyczne proces już nie był tak zasobożerny = czy to oznacza, że można normalnie użytkować system jak przed wystąpieniem problemu? Z tym, że nie wiadomo czy to rzeczywiście sama przeglądarka powodowała obciążenie, a być może doinstalowane rozszerzenie. Spróbuj zainstalować Mozilla FireFox i pozostawić ją w stanie surowym (tj. bez żadnych modyfikacji z Twojej strony). Powiedz czy owe obciążenie podczas przeglądania Internetu też ma miejsce. 

Wykonaj też i przedstaw raporty FRST, by wykluczyć infekcję i konflikty oprogramowania.

Raporty nie wykazują oznak infekcji, zresztą system został przeinstalowany, więc szczerze wątpię by cokolwiek było w systemie. Jest widoczna tylko jedna nieprawidłowość - brak pliku Hosts w domyślnym katalogu. Odtwórz go:

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Brak pliku
Hosts:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania.  W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

2. Komentując zaś treść reszty tematu: 

KOPIOWANIE WOLUMINÓW I NASŁUCHUJĄCE PORTY

(...) od jakiegoś czasu komputer zaczął udostępniać ciągle jakieś pliki (...)

Co masz na myśli? Rucek już o to pytał - proszę o odpowiedź. 

Dodaje resztę screenów.

Nie widzę niczego niepokojącego, ale powiedz skąd pomysł zamieszczania tych danych? Zastanawia Cię coś konkretnie tutaj?

Zbyt mało informacji o tym co robiłaś przed wystąpieniem problemu, by powiedzieć dlaczego tak się stało. Podam instrukcję przywrócenia:

• Start > Panel Sterowania > Zegar, język i region > Region i język > zakładka Klawiatury i języki > kliknij przycisk Zmień klawiatury > przejdź do zakładki Pasek języka > zaznacz Dokowany na pasku zadań > kliknij Zastosuj i OK.
• Zmiany powinny być widoczne od razu, sugeruję jednak uruchomić komputer ponownie by sprawdzić czy problem został rozwiązany.

Zgłosił się kolejny użytkownik - Custom Search Engine Google. Jestem w trakcie analizy jego raportów, muszę dodatkowo wykonać tzw. analizę porównawczą i znaleźć punkt wspólny, by móc ustalić przyczynę. 

Microsoft Security Essentials odnalazł zagrożenia w kwarantannie AdwCleaner. Nie ma się czym przejmować. 

Proszę dostosować temat do zasad działu. 

Kolejnym podejrzanym może być µTorrent - ma zintegrowane adware preaktywowane po określonym czasie. Odinstaluj go na próbę, ponów reset synchronizacji i reinstalacje. W zamian możesz zainstalować qBitTorrent.

Walczymy dalej. Naszym problemem jest to by wykryć co odtwarza tą wyszukiwarkę. Po ponownej analizie raportów wraz z picasso doszliśmy do tego, że największe podejrzenia budzi aktywny Tencent:

Tencent Gaming Buddy (HKLM-x32\...\MobileGamePC) (Version: 1.0.0.1 - Tencent Technology Company)
 
R2 QMEmulatorService; C:\Program Files\TxGameAssistant\AppMarket\QMEmulatorService.exe [342776 2018-05-24] (Tencent)
R2 aow_drv; C:\Program Files\TxGameAssistant\UI\aow_drv_x64.sys [785456 2018-05-25] (Tencent)

Tencent to marka nieciesząca się dobrą reputacją, bardzo często tu na forum zgłaszana przez użytkowników jako "złośliwe oprogramowanie ładowane do systemu metodą nachalnych reklam / instalatorów". Przeprowadź deinstalacje: Tencent Gaming Buddy, następnie zresetuj synchronizacje i przeinstaluj Google Chrome. Napisz czy to coś dało.

• Ustawienia > Osoby > Synchronizacja > Ustaw opcje tak jak na załączonym zrzucie ekranu:

• ...następnie poniżej odnajdź zakładkę Zarządzaj synchronizowanymi danymi w Panelu Google i przejdź tam, zjedź na sam spód i kliknij Resetuj synchronizację. 
• Ponownie przystąp do reinstalacji Google Chrome wg wcześniej podanej insturkcji. 

Napisz jak ma się sprawa po tej akcji. Zrób też nowy zestaw raportów FRST (wg opcji w tym temacie).

Jesteś pewny, że wcześniej zresetowałeś synchronizacje przyciskiem Resetuj synchronizacje? 

Został tylko ten problem (reszta infekcji usunięta), więc podejdziemy do niego ogólnikowo - wymagana kompleksowa reinstalacja przeglądarki:

• Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK.
• Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
• Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.
• Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.