Sprawdzenie logów - zamulony komputer

Dla specjalistów Bezpieczeństwo
#1

Cześć.

Znajomy poprosił mnie o wrzucenie logów do sprawdzenia, bo on jest strasznym nieogarem jeśli chodzi o komputery. Twierdzi, że komputer trochę wolno mu chodzi więc istnieje podejrzenie, że załapał jakąś infekcję. Używa avasta i nic nie wykrył ale wiadomo, że laik zawsze coś może wpuścić na kompa pomimo antywirusa.

 

Linki do logów:

http://www.wklej.org/id/1751813/

http://www.wklej.org/id/1751815/

http://www.wklej.org/id/1751816/

 

proszę o sprawdzenie i ewentualne instrukcje co dalej robić

 

Pozdrawiam

#2

Pobierz i uruchom AdwCleaner Kliknij Skanuj i później Usuń.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.

#3

Zrobione. AdwCleaner usunął jakieś 5 plików

 

Log:

http://www.wklej.org/id/1751876/

#4

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File
ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File
ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File
ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll No File
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki
HKU\S-1-5-21-1918438106-658296652-325324658-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
FF Extension: Free Games 111 - C:\Users\Mateusz\AppData\Roaming\Mozilla\Extensions\freegames4357@BestOffers [2014-04-26]
FF HKU\S-1-5-21-1918438106-658296652-325324658-1001\...\Firefox\Extensions: [freegames4357@BestOffers] - C:\Users\Mateusz\AppData\Roaming\Mozilla\Extensions\freegames4357@BestOffers
S2 ADExchange; C:\Program Files\Common Files\ArcSoft\esinter\Bin\eservutil.exe [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
2015-06-16 21:10 - 2015-07-05 16:47 - 00000000 ____ D C:\AdwCleaner
2015-06-15 17:59 - 2015-06-15 18:00 - 00713312 _____ (Internet ) C:\Users\Mateusz\Downloads\Zoner-Photo-Studio-Free(18555)-dp (1).exe
2015-06-15 17:54 - 2015-06-15 17:54 - 00713312 _____ (Internet ) C:\Users\Mateusz\Downloads\Zoner-Photo-Studio-Free(18555)-dp.exe
2015-06-15 17:49 - 2015-06-15 17:50 - 00713312 _____ (Internet ) C:\Users\Mateusz\Downloads\Zoner-Photo-Studio(12338)-dp.exe
2015-06-15 16:55 - 2015-06-15 16:55 - 00713312 _____ (Internet ) C:\Users\Mateusz\Downloads\Perfect365(35479)-dp (1).exe
2015-06-15 16:53 - 2015-06-15 16:54 - 00713312 _____ (Internet ) C:\Users\Mateusz\Downloads\Perfect365(35479)-dp.exe
2013-06-24 19:01 - 2015-07-05 15:26 - 0462986 _____ () C:\Users\Mateusz\AppData\Roaming\MultiScreen_log.log
2014-08-14 00:33 - 2014-08-14 00:33 - 54474264 _____ () C:\Users\Mateusz\AppData\Local\TempFullTiltPokerEuSetup.exe
2014-05-02 23:41 - 2014-05-02 23:41 - 0005037 _____ () C:\ProgramData\flwjycbm.bab
CustomCLSID: HKU\S-1-5-21-1918438106-658296652-325324658-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Mateusz\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File
Task: {2FC5ED2D-50CB-43B7-8D00-000D269F6D9B} - System32\Tasks\{3140D94E-1DE1-417A-84A9-81EAC41D3CB4} => pcalua.exe -a C:\Users\Mateusz\Downloads\dotnetfx35.exe -d C:\Users\Mateusz\Downloads
Task: {649C46AC-19DB-41E1-807B-42F0CC567AE8} - System32\Tasks\{20BCFDEB-7103-403C-889C-D0E74A7109A7} => pcalua.exe -a I:\Instalacja.exe -d I:\
Task: {83C4F311-EF76-49EE-92A3-F94C9F8415AD} - System32\Tasks\{3C227949-8E58-42CD-B12D-E8DE080ECAAF} => pcalua.exe -a "C:\Users\Mateusz\Desktop\Nowy folder\WoG_Install\Install.exe" -d "C:\Users\Mateusz\Desktop\Nowy folder\WoG_Install"
Task: {BA347143-0DB4-4929-84A4-27C37E2F9CB0} - System32\Tasks\{09347491-33B6-4A90-A351-ACFFFADE6E7B} => Chrome.exe http://ui.skype.com/ui/0/6.3.0.105/pl/abandoninstall?source=lightinstaller&amp;page=tsInstall
Task: {CC48022F-5977-48BB-8EAD-4E2F2B29D6F3} - System32\Tasks\{7559B7CB-42B5-412D-B97A-9310A3D42C91} => pcalua.exe -a "C:\Users\Mateusz\Desktop\Nowy folder\Install.exe" -d "C:\Users\Mateusz\Desktop\Nowy folder"
Task: {FFAAD518-22EA-4466-B9C7-D3BFD565A307} - System32\Tasks\{27BA61B7-512C-4198-B963-8F17199249BA} => pcalua.exe -a "C:\Users\Mateusz\Desktop\Nowy folder\wog358f.part01.exe" -d "C:\Users\Mateusz\Desktop\Nowy folder"
AlternateDataStreams: C:\Windows:36B301A969F11CC5
EmptyTemp:

Uruchom FRST i kliknij Fix. Pokaż raport z usuwania Fixlog.

Kliknij Scan i pokaż nowy raport z FRST bez Addition i Shortcut.

#5

Fixlog: http://wklej.org/id/1753904/

FRST: http://wklej.org/id/1753905/

 

Pozdrawiam

#6

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist :

ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
OPR Extension: (Jungle Net) - C:\Users\Mateusz\AppData\Roaming\Opera Software\Opera Stable\Extensions\iffnkklnhcckdbakeemklgkangigdbbk [2015-06-15]
2015-06-16 21:51 - 2015-06-16 21:52 - 03109248 _____ (Enigma Software Group USA, LLC.) C:\Users\Mateusz\Downloads\SpyHunter-Installer.exe
2015-06-15 16:39 - 2015-06-15 16:39 - 00003237 _____ C:\Windows\system32\TmpPPPposMsg.html
2015-06-15 16:39 - 2002-07-31 19:55 - 00000094 ___SH C:\Windows\WSYS049.SYS
2015-06-15 16:39 - 2001-09-05 12:28 - 00000041 ____ H C:\Windows\trfntw32.cfg
2015-07-09 00:46 - 2015-07-09 00:46 - 0000678 _____ () C:\Users\Mateusz\AppData\Roaming\MultiScreen_log.log
DeleteQuarantine:

Uruchom FRST i kliknij Fix. Skasuj folder C:\FRST

Usuń stare punkty przywracania: Aby usunąć wszystkie punkty przywracania

Dysk przeskanuj Malwarebytes Anti-Malware

Podczas instalacji usuń zaznaczenie przy Uruchom okres testowy Malwarebytes Anti-Malware Premium.

http://wstaw.org/m/2014/03/25/2014-03-25_123039.png

Język PL > Settings > General Settings > Language > Polish

Przeczytaj w jaki sposób należy instalować programy: KLIK - KLIK - KLIK

Odinstaluj:

Adobe Flash Player 17 ActiveX

Adobe Flash Player 17 NPAPI

Zainstaluj:

Flash Player 18.0.0.203 ActiveX

Flash Player 18.0.0.203 NPAPI

#7

Dziękuję za pomoc w imieniu moim i kumpla.

 

Pozdrawiam