Zainfekowanie + zwolnienie komputera.

[Maciak Plock]

Cześć. Problem jest następujący, na systemie są jakieą wirusy i nie potrzebne dodatki do google chrome + komputer chodzi dość wolno, po usunięciu prosil bym jeszcze o ewentualną optymalizację jeśli obejdzie się to bez użycia narzedzia autoruns, jeśli nie, to wiem gdzie napisać.

Logi:
FRST:
Dostępne tylko dla zarejestrowanych użytkowników
OTL:
Dostępne tylko dla zarejestrowanych użytkowników
GMER:
Dostępne tylko dla zarejestrowanych użytkowników

Jak widać są jakieś syfy, ale sam do tego się dotykać nie chcę. Pozdrawiam!

[djarta]

W systemie są dwa Antywirusy - jeden do deinstalacji.

1. Otwórz notatnik i wklej:

CloseProcesses:
S3 cpuz134; \??\C:\Users\Natalia\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
S2 Update LinkSwift; "C:\Program Files (x86)\LinkSwift\updateLinkSwift.exe" [X]
S2 Util LinkSwift; "C:\Program Files (x86)\LinkSwift\bin\utilLinkSwift.exe" [X]
S2 vToolbarUpdater18.1.0; C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\18.1.0\ToolbarUpdater.exe [X]
CHR HKLM-x32\...\Chrome\Extension: [kidmhllhjmmmnpbiaihafgchacpmokof] - C:\Program Files (x86)\Lyrmix\133.crx [Not Found]
CHR HKLM-x32\...\Chrome\Extension: [odpccdgkmiicgocepijnaeihjnjnomca] - C:\Program Files (x86)\LinkSwift\odpccdgkmiicgocepijnaeihjnjnomca.crx [Not Found]
CHR Plugin: (Google Update) - C:\Program Files (x86)\Google\Update\1.3.21.145\npGoogleUpdate3.dll No File
CHR Plugin: (Native Client) - C:\Program Files (x86)\Google\Chrome\Application\39.0.2171.95\ppGoogleNaClPluginChrome.dll No File
FF Plugin: @microsoft.com/GENUINE -> disabled No File
FF Plugin-x32: @microsoft.com/GENUINE -> disabled No File
BHO-x32: Lyrmix -> {804efe7d-a8d7-4351-a6df-014d1ed7c6fc} -> C:\Program Files (x86)\Lyrmix\133.dll No File
SearchScopes: HKLM -> {375DF111-335D-6785-3A24-463770066229} URL = Dostępne tylko dla zarejestrowanych użytkowników
SearchScopes: HKLM-x32 -> DefaultScope value is missing.
SearchScopes: HKLM-x32 -> {71E4DEBD-4C8C-12A8-87F4-626B4363F3F7} URL = Dostępne tylko dla zarejestrowanych użytkowników
SearchScopes: HKU\.DEFAULT -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL =
SearchScopes: HKU\S-1-5-21-772547411-1556952386-1014445289-1000 -> DefaultScope D09EA81A4D814C42949261C0F597DB63 URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&babsrc=SP_ss&mntrId=4205B8763F17F233&affID=120700&tsp=5003
SearchScopes: HKU\S-1-5-21-772547411-1556952386-1014445289-1000 -> D09EA81A4D814C42949261C0F597DB63 URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&babsrc=SP_ss&mntrId=4205B8763F17F233&affID=120700&tsp=5003
SearchScopes: HKU\S-1-5-21-772547411-1556952386-1014445289-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-772547411-1556952386-1014445289-1000 -> {375DF111-335D-6785-3A24-463770066229} URL = Dostępne tylko dla zarejestrowanych użytkowników{searchTerms}&babsrc=SP_ss&mntrId=4205B8763F17F233&affID=120700&tsp=5003
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Users\Natalia\AppData\Local\EmieBrowserModeList
C:\Users\Natalia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\IMVU
C:\Windows\Tasks\*.job
C:\Program Files (x86)\Lyrmix
Task: {0E533DBA-FDEC-4ED3-8FEA-F19F2745774D} - System32\Tasks\{F8DC4D72-24EA-48BF-A09F-9F96418EA377} => pcalua.exe -a "C:\Users\Natalia\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\GZ2L0QDM\sp56680[1].exe" -d C:\Users\Natalia\Desktop
Task: {2A757379-D4F9-480D-A8AA-265381BDAC5B} - \DealPlyUpdate No Task File <==== ATTENTION
Task: {5152C26D-E833-4B44-B216-A4F905E8740E} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2013-05-08] (Google Inc.)
Task: {6691FAAE-E646-4E0D-8F73-FE56C8489ECD} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-772547411-1556952386-1014445289-1000Core => C:\Users\Natalia\AppData\Local\Facebook\Update\FacebookUpdate.exe [2014-02-23] (Facebook Inc.)
Task: {6CA5DC4D-3484-4190-AB51-2B11075708D8} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-772547411-1556952386-1014445289-1000UA => C:\Users\Natalia\AppData\Local\Facebook\Update\FacebookUpdate.exe [2014-02-23] (Facebook Inc.)
Task: {83E807D4-D82A-4058-A007-2A67DDAC8812} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2013-05-08] (Google Inc.)
Task: {85999D47-BFE6-4BC6-BD63-565AB36C0897} - \Lyrmix Update No Task File <==== ATTENTION
Task: {9AB8EBA9-F3C0-4425-B3C5-D2FF43727752} - \DealPly No Task File <==== ATTENTION
Task: {9B81E09D-E38F-45A7-B8BB-4161E1659116} - \Desk 365 RunAsStdUser No Task File <==== ATTENTION
Task: {B0391662-84DE-483C-A728-52E40E8708AC} - \EPUpdater No Task File <==== ATTENTION
Task: {E83F5F49-9B9C-4832-9149-F3D738781E71} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2015-01-14] (Adobe Systems Incorporated)
Task: {FD5F7915-41F4-4AA6-BE08-600554325A37} - \BitGuard No Task File <==== ATTENTION
Task: {FDA35512-C644-4018-94A5-7686FD4D662C} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe [2015-01-08] (AVAST Software)
Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-772547411-1556952386-1014445289-1000Core.job => C:\Users\Natalia\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-772547411-1556952386-1014445289-1000UA.job => C:\Users\Natalia\AppData\Local\Facebook\Update\FacebookUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\Lyrmix Update.job => C:\Program Files (x86)\Lyrmix\LymxUD.exe <==== ATTENTION
Google Toolbar for Internet Explorer (x32 Version: 1.0.0 - Google Inc.) Hidden
Emptytemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

2. Odinstaluj: ConvertAd / Lyrmix / Google Toolbar for Internet Explorer

3. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

4. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.

5. Wykonaj i wklej nowe logi z FRST.

[robiwielki]

Spoko, zawsze coś wyłączyć a "AutoRuns" -ie , jak co to zapraszam. Wysłać nam "save" a my coś poradzimy.

[Maciak Plock]

AdwCleaner:
Dostępne tylko dla zarejestrowanych użytkowników
JRT
Dostępne tylko dla zarejestrowanych użytkowników
FRST (3 pliki)
Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

Dalej widzę dwa Antywirusy.

[Maciak Plock]

Usunąłem go ale nie zrestartowalem od razu systemu byc moze z tego powodu, i tez widze ze jest w trayu, zaraz od instaluje go znowu

-- 16 sty 2015, 21:35 --

A co po za tym antywirusem ?

[djarta]

Nowe logi z FRST.

[Maciak Plock]

FRST:
Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

1. Otwórz notatnik i wklej:

CloseProcesses:
R1 avgtp; C:\Windows\system32\drivers\avgtpx64.sys [50464 2014-04-27] (AVG Technologies)
C:\Windows\system32\drivers\avgtpx64.sys
BHO-x32: No Name -> {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} -> No File
BHO: No Name -> {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} -> No File
C:\Users\Natalia\AppData\Local\EmieBrowserModeList
C:\ProgramData\AVG2014

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix.

2. Wykonaj wszystko z tego tematu: Kroki kończące temat.
Końcowo pokazujesz: raport z DelFix oraz raport z pełnego skanowania Malwarebytes

[Maciak Plock]

Dostępne tylko dla zarejestrowanych użytkowników

Myślę że wszystko jest już ok

[djarta]

Do kasacji ten folder: C:\Users\Natalia\AppData\Local\TB

I powinno być OK!

[XMan]

Teraz oprócz sprawdzenia Autoruns sprawdź jeszcze:

1. Wyłącz aero oraz zbędne kompozycje:
Dostępne tylko dla zarejestrowanych użytkowników

2. Oczyść wszystkie punkty przywracania systemu oprócz najnowszego/ostatniego.

Usuwanie punktów przywracania systemu na Windows 7 oraz innych:
Dostępne tylko dla zarejestrowanych użytkowników

kliknij aby powiększyć:
Dostępne tylko dla zarejestrowanych użytkowników Dostępne tylko dla zarejestrowanych użytkowników Dostępne tylko dla zarejestrowanych użytkowników

3. Przeczyść komputer programem CCleaner.
U góry po lewej "Cleaner" na dole Analiza - Uruchom Cleaner
później "Rejestr" Skanuj by znaleźć problemy - Napraw zaznaczone problemy.
CCleanera używaj po częstym surfowaniu po internecie oraz po każdej deinstalacji programów i sterowników.

Dostępne tylko dla zarejestrowanych użytkowników Dostępne tylko dla zarejestrowanych użytkowników

4. Przeczyść komputer programem Eusing Free Registry Cleaner.
(dokładniej czyści rejestr)
Wybierasz język / language / Polish.
Przewiń --> Skanuj rejestr --> Napraw rejestr.

Dostępne tylko dla zarejestrowanych użytkowników Dostępne tylko dla zarejestrowanych użytkowników Dostępne tylko dla zarejestrowanych użytkowników

5. Wykonaj scandisk :

Dostępne tylko dla zarejestrowanych użytkowników

PPM (prawym przyciskiem myszki) na dysk C --> Właściwości --> Narzędzia ->- Sprawdzanie błędów --> Sprawdź
zaznacz wszystko tak jak na screenie --> Rozpocznij --> Tak.
Restart komputera - czekaj...
Trwa b. długo, nie przerywaj aż do pojawienia się pulpitu.

6. Defragmentacja:
http://www.hotfix.pl/darmowe-programy-d ... h-a129.htm
np. za pomocą Auslogics Disk Defrag lub Defraggler.

Po defragmentacji utwórz/zapisz nowy punkt przywracania systemu.

Tworzenie punktu przywracania systemu:
Dostępne tylko dla zarejestrowanych użytkowników

Dostępne tylko dla zarejestrowanych użytkowników Dostępne tylko dla zarejestrowanych użytkowników

Wszystko wykonujesz wg. podanej kolejności.