Spowolnienie komputera, samorzutne reklamy, samoinstalujące się programy

krzypop · 23 Marzec 2015 20:26

Dzień dobry,

proszę o pomoc w przywróceniu komputera do stanu sprzed zainstalowania jakiegoś programu. Ściągany z polskiej strony z programami różnymi, był chyba podpięto do audiograbbera albo jakiegoś innego programu do ripowania audioCD. Komputer został przejechany Malwarebytes i już nic nie znajduje, usunięta również kwarantanna. Przy instalacji audiograbbera chyba zezwoliłem w COMODO na uruchomienie procesu z losową nazwą z rozszerzeniem .tmp. Później mnożyły się te programy z rozszerzeniem .tmp za każdym razem pod inną nazwą. Zaczęły się pojawiać szemrane programy “usuwające” malware i inne badziewia. Jestem po kilku skanach malwarebytesem, comodo security i adw cleaner. Obecnie malwarebytes zżera masę pamięci (ok. 200mb).

FRST: http://www.wklej.org/id/1669876/

Addition: http://www.wklej.org/id/1669877/

Shortcut: http://www.wklej.org/id/1669878/

Log z AdwCleaner: http://wklej.org/id/1669976/

Z góry dziękuję

PS

Wszystko się zaczęło od ściągnięcia FREE CD RIPPER ze strony :

Atis · 23 Marzec 2015 22:10

Logi są nieaktualne, bo utworzone o 21:06:34, a później było usuwanie AdwCleaner o 22:18:34.

krzypop · 24 Marzec 2015 16:03

Dziękuję za odpowiedź,

AdwCleaner coś tam usunął, ale dalej komputer wyjątkowo zamula a np. mbamservice.exe (Malawarebytes) zajmuje 150-230mb pamięci, nie wiem czy mogę swobodnie korzystać z komputera (czy są jakieś keyloggery itp.) poniżej wklejam aktualne logi z FRST:

FRST: http://www.wklej.org/id/1670441/

Addition: http://www.wklej.org/id/1670443/

Shortcut: http://www.wklej.org/id/1670444/

Atis · 24 Marzec 2015 17:08

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

CloseProcesses:
HKU\S-1-5-21-789336058-1715567821-839522115-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" <======= ATTENTION
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-789336058-1715567821-839522115-1003 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
U2 gobupebo; C:\Documents and Settings\Korb\Ustawienia lokalne\Dane aplikacji\FF694502-1427029922-11DC-1190-66990E444D29\cnsvF1.tmp [70656 2015-03-22] () [File not signed]
U2 hypixyje; C:\Documents and Settings\Korb\Dane aplikacji\FF694502-1427026066-11DC-1190-66990E444D29\nsa394.tmp [232960 2015-03-22] () [File not signed]
U2 zytuvido; C:\Documents and Settings\Korb\Dane aplikacji\FF694502-1427026066-11DC-1190-66990E444D29\jnsdA9.tmp [271872 2015-03-22] () [File not signed]
U2 PowerSave; C:\Program Files\Packard Bell\Software Suite\PowerSave\PSPBSSS.exe [X]
U3 BlueletAudio; system32\DRIVERS\blueletaudio.sys [X]
U3 BlueletSCOAudio; system32\DRIVERS\BlueletSCOAudio.sys [X]
U3 BT; system32\DRIVERS\btnetdrv.sys [X]
U3 Btcsrusb; System32\Drivers\btcusb.sys [X]
U3 BTHidEnum; system32\DRIVERS\vbtenum.sys [X]
U0 BTHidMgr; System32\Drivers\BTHidMgr.sys [X]
U3 catchme; \??\C:\DOCUME~1\Korb\USTAWI~1\Temp\catchme.sys [X]
U4 IntelIde; No ImagePath
U3 PCANDIS5; \??\C:\WINDOWS\system32\PCANDIS5.SYS [X]
U3 VComm; system32\DRIVERS\VComm.sys [X]
U3 VcommMgr; System32\Drivers\VcommMgr.sys [X]
U3 ZDCndis5; \??\C:\WINDOWS\system32\ZDCndis5.SYS [X]
U3 ZDPSp50; System32\Drivers\ZDPSp50.sys [X]
2015-03-23 20:51 - 2015-03-23 22:19 - 00000000 ____ D () C:\AdwCleaner
2015-03-22 13:12 - 2015-03-23 15:51 - 00000000 ____ D () C:\Documents and Settings\Korb\Ustawienia lokalne\Dane aplikacji\FF694502-1427029949-11DC-1190-66990E444D29
2015-03-22 13:12 - 2015-03-22 13:12 - 00000000 ____ D () C:\Documents and Settings\Korb\Ustawienia lokalne\Dane aplikacji\FF694502-1427029922-11DC-1190-66990E444D29
2015-03-22 13:07 - 2015-03-22 15:10 - 00000000 ____ D () C:\Documents and Settings\Korb\Dane aplikacji\FF694502-1427026066-11DC-1190-66990E444D29
2015-03-22 13:54 - 2015-03-22 13:54 - 0260876 _____ (VuuPC Limited) C:\Documents and Settings\Korb\Ustawienia lokalne\Dane aplikacji\nsi258.tmp
2015-03-22 14:26 - 2015-03-22 14:26 - 0628688 _____ (CMI Limited) C:\Documents and Settings\Korb\Ustawienia lokalne\Dane aplikacji\nsv313.tmp
CustomCLSID: HKU\S-1-5-21-789336058-1715567821-839522115-1003_Classes\CLSID\{0000002F-0000-0000-C000-000000000046}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-789336058-1715567821-839522115-1003_Classes\CLSID\{00020420-0000-0000-C000-000000000046}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-789336058-1715567821-839522115-1003_Classes\CLSID\{00020421-0000-0000-C000-000000000046}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-789336058-1715567821-839522115-1003_Classes\CLSID\{00020422-0000-0000-C000-000000000046}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-789336058-1715567821-839522115-1003_Classes\CLSID\{00020423-0000-0000-C000-000000000046}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-789336058-1715567821-839522115-1003_Classes\CLSID\{00020424-0000-0000-C000-000000000046}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-789336058-1715567821-839522115-1003_Classes\CLSID\{00020425-0000-0000-C000-000000000046}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-789336058-1715567821-839522115-1003_Classes\CLSID\{0BE35203-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-789336058-1715567821-839522115-1003_Classes\CLSID\{0BE35204-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-789336058-1715567821-839522115-1003_Classes\CLSID\{46763EE0-CAB2-11CE-8C20-00AA0051E5D4}\InprocServer32 -> No File Path
CustomCLSID: HKU\S-1-5-21-789336058-1715567821-839522115-1003_Classes\CLSID\{B196B286-BAB4-101A-B69C-00AA00341D07}\InprocServer32 -> No File Path
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CLPSLS => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CLPSLS => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nm => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nm.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition.

krzypop · 24 Marzec 2015 17:49

Uruchomiłem FRST i zrobiłem FIX tym plikiem, mielił ok. 5 minut po czym system się zamknął (bez żadnego loga), po samoistnym ponownym uruchomieniu systemu nie pojawił się log, nie ma loga FIXLOG w folderze z FRST, co więcej nie mogę drugi raz uruchomić FIX, bo podobno nie ma go w folderze z FRST.

Aktualny log z FRST: http://wklej.org/id/1670578/

EDIT

Przeniosłem do innej lokalizacja FRST i fixlist.txt, uruchomiłem, FIX, po reboocie:

FIXLOG: http://wklej.org/id/1670601/

FRST: http://wklej.org/id/1670608/

EDIT2:

po wielu zabiegach udało się zrobić fix z logiem i nowy skan:

FIXLOG: http://wklej.org/id/1670639/

FRST: http://wklej.org/id/1670638/

przy reboocie po FIXie Comodo sygnalizuje, że program imapi próbował utworzyć jakiś plik z losową nazwą .tmp, zablokowałem.

Atis · 24 Marzec 2015 23:32

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

2015-03-23 20:19 - 2015-03-23 20:15 - 00518144 _____ (SteelWerX) C:\WINDOWS\SWREG.exe
2015-03-23 20:19 - 2015-03-23 20:15 - 00406528 _____ (SteelWerX) C:\WINDOWS\SWSC.exe
2015-03-23 20:19 - 2015-03-23 20:15 - 00256000 _____ () C:\WINDOWS\PEV.exe
2015-03-23 20:19 - 2015-03-23 20:15 - 00212480 _____ (SteelWerX) C:\WINDOWS\SWXCACLS.exe
2015-03-23 20:19 - 2015-03-23 20:15 - 00208896 _____ () C:\WINDOWS\MBR.exe
2015-03-23 20:19 - 2015-03-23 20:15 - 00098816 _____ () C:\WINDOWS\sed.exe
2015-03-23 20:19 - 2015-03-23 20:15 - 00080412 _____ () C:\WINDOWS\grep.exe
2015-03-23 20:19 - 2015-03-23 20:15 - 00068096 _____ () C:\WINDOWS\zip.exe
2015-03-23 20:19 - 2015-03-23 20:15 - 00060416 _____ (NirSoft) C:\WINDOWS\NIRCMD.exe
2015-03-23 20:18 - 2015-03-23 20:40 - 00000000 ___SD () C:\ComboFix
RemoveDirectory: C:\Qoobox
DeleteQuarantine:

Uruchom FRST i kliknij Fix. Skasuj folder C:\FRST

Wyłącz i ponownie włącz przywracanie systemu: http://support.microsoft.com/kb/310405/pl

Odinstaluj:

Adobe Flash Player 10 ActiveX

Adobe Flash Player 11 Plugin

Adobe Flash Player 9 ActiveX

Java 6 Update 20

Microsoft Silverlight

Zainstaluj:

Flash Player 17.0.0.134 Plugin

Flash Player 17.0.0.134 ActiveX

Java 8 Update 40

Silverlight 5.1.30514.0

Internet Explorer 8

krzypop · 25 Marzec 2015 17:27

Zrobione, log z FRST: http://wklej.org/id/1671464/

Czy nastała czystość i mogę usunąć malwarebytes? Uruchamia się razem z systemem i zajmuje od 230mb pamięci wzwyż

Atis · 25 Marzec 2015 17:30

Odinstraluj Mlawarebytes, bo wystarczyło zainstalować darmowy skaner bez ochrony w czasie rzeczywistym.

https://helpdesk.malwarebytes.org/hc/en-us/articles/201861636-How-do-I-uninstall-Malwarebytes-Anti-Malware-

krzypop · 25 Marzec 2015 17:38

Frapuje mnie tylko czy te zajęcie dużej ilości pamięci wynika z aktywności jakiegoś adwaru, czy Malwarebytes standardowo zajmuje tyle pamięci?