zawirusowany laptop

[aneczka04]

Witam. Comodo często wyświetla, że jakaś aplikacja chce uzyskać dostęp np.:

Obawiam się, że to jakaś infekcja. Proszę o pomoc.
Logi FRST
FRST:
Dostępne tylko dla zarejestrowanych użytkowników
Addition:
Dostępne tylko dla zarejestrowanych użytkowników
Shortcut:
Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

1. Otwórz notatnik i wklej:

CloseProcesses:
HKU\S-1-5-21-1583651219-610060727-1782357241-1001\...\Run: [{3BCB09C5-AFDB-402F-ACAD-1258E3326175}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\tDGjEkslc').QQCJKI)));
HKU\S-1-5-21-1583651219-610060727-1782357241-1001\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
HKU\S-1-5-21-1583651219-610060727-1782357241-1001\...\MountPoints2: {496ac480-5366-11e6-8274-34e6add77fbb} - "F:\AutoRun.exe"
HKU\S-1-5-21-1583651219-610060727-1782357241-1001\...\MountPoints2: {ca2c8a32-1dac-11e6-8263-34e6add77fbb} - "F:\AutoRun.exe"
HKU\S-1-5-21-1583651219-610060727-1782357241-1001\...\MountPoints2: {ca2c8a86-1dac-11e6-8263-34e6add77fbb} - "F:\AutoRun.exe"
HKU\S-1-5-21-1583651219-610060727-1782357241-1001\...\MountPoints2: {ca2c8b10-1dac-11e6-8263-34e6add77fbb} - "F:\AutoRun.exe"
Tcpip\..\Interfaces\{656D2BEE-6A39-4E29-B703-32F6359A1444}: [DhcpNameServer] 169.254.54.64
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKU\S-1-5-21-1583651219-610060727-1782357241-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=175
HKU\S-1-5-21-1583651219-610060727-1782357241-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://lenovo13.msn.com/?pc=LCJB
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKU\S-1-5-21-1583651219-610060727-1782357241-1001 -> DefaultScope {3FD6A8FF-03FB-42DD-B475-42073CF35F74} URL =
SearchScopes: HKU\S-1-5-21-1583651219-610060727-1782357241-1001 -> {3FD6A8FF-03FB-42DD-B475-42073CF35F74} URL =
CHR StartupUrls: Default -> "hxxp://do-search.com/?type=hp&ts=1433789736&z=893bc3931ffae953c824343g6z6c3cem4b1t8mdc9b&from=cor&uid=ST9320325AS_6VDASAEWXXXX6VDASAEW","hxxp://do-search.com/?type=hppp&ts=1433789758&z=e75b1e077e05abe6fc538cagbz4c4cam7bdt4mfq2e&from=cor&uid=ST9320325AS_6VDASAEWXXXX6VDASAEW"
CHR Session Restore: Default -> [funkcja włączona]
S3 mfeavfk01; \Device\mfeavfk01.sys [X]
C:\Users\User\mjvqpdxkas.exe
C:\Users\User\qguww.exe
C:\Users\User\rtqoyvkz.exe
C:\Users\User\usw.exe
AlternateDataStreams: C:\ProgramData\Temp:BEE0DC88 [125]
AlternateDataStreams: C:\Users\User\mjvqpdxkas.exe:$CmdTcID [64]
AlternateDataStreams: C:\Users\User\qgmdimboo.exe:$CmdTcID [64]
AlternateDataStreams: C:\Users\User\qguww.exe:$CmdTcID [64]
AlternateDataStreams: C:\Users\User\rtqoyvkz.exe:$CmdTcID [0]
AlternateDataStreams: C:\Users\User\usw.exe:$CmdTcID [0]
CMD: netsh firewall reset
EmptyTemp:

Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

3. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.

4. Po tych wszystkich operacjach nowy komplet logów z FRST do kontroli. Podczas uruchamiania FRST ustaw żeby ponownie wykonały się Addition.txt oraz Shourtcupy.

[aneczka04]

Ok zrobione.
Fixlog:
Dostępne tylko dla zarejestrowanych użytkowników
AdwCleaner:
Dostępne tylko dla zarejestrowanych użytkowników
JRT:
Dostępne tylko dla zarejestrowanych użytkowników
FRST:
Dostępne tylko dla zarejestrowanych użytkowników
Addition:
Dostępne tylko dla zarejestrowanych użytkowników
Shortcut:
Dostępne tylko dla zarejestrowanych użytkowników
Mogę jeszcze prosić o optymalizację autostartu? Części programów nie używam i nie mam potrzeby by mi się ładowały ze startem systemu.

[XMan]

Mogę jeszcze prosić o optymalizację autostartu? Części programów nie używam i nie mam potrzeby by mi się ładowały ze startem systemu.

Optymalizacja autostartu z wykorzystaniem narzędzia Autoruns

[djarta]

Coś jest nie tak.

1. Otwórz notatnik i wklej:

CloseProcesses:
C:\Users\User\bvtetpov.exe
C:\Users\User\pcpuzff.exe
C:\Users\User\qgmdimboo.exe
C:\Users\User\*.exe
EmptyTemp:

Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

Wykonaj nowy komplet logów z FRST i wstaw.

[aneczka04]

Fixlog:
Dostępne tylko dla zarejestrowanych użytkowników
FRST:
Dostępne tylko dla zarejestrowanych użytkowników
Addition:
Dostępne tylko dla zarejestrowanych użytkowników
Shortcut:
Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

Jest OK.

1. Wykonaj wszystko z tego tematu: Kroki kończące temat. Raport z wynikami skanowania z MBAM do wglądu.

2. Przeprowadź skanowanie za pomocą Dostępne tylko dla zarejestrowanych użytkowników. Jeśli coś znajdzie, nic nie usuwaj, tylko dostarcz raport z wynikami.

[aneczka04]

MBAM:
Dostępne tylko dla zarejestrowanych użytkowników
Hitman:
Dostępne tylko dla zarejestrowanych użytkowników

[djarta]

System czysty.
Comodo coś wykrywa ?

[aneczka04]

Ok. Dzięki.
Zrobię pełny skan comodo i dam znać.

-- 14 sie 2016, 11:48 --

Comodo nic nie wykrywa. Dzięki wielkie za pomoc