Win 7 - spowolnienie systemu, blokady działania w avast, bloatware w Operze


(Squizz) #1

Witam,
od jakiegoś tygodnia na komputerze zauważono znaczące spowolnienie działania komputera. Na odinstalowanej już Operze linki zmieniały adresy na chińskie strony. Avast co prawda blokuje pewne działania wirusa, aczkolwiek są one niewystarczające. Przy skanowaniu antywirusowym nic nie wykrywa. Poniżej logi:

FRST
http://wklej.to/SFYDv

Addition
http://wklej.to/RtBDi

z góry dzięki za pomoc


(Atis) #2

W panelu sterowania odinstaluj:
MaohaWiFi
McAfee WebAdvisor
Online.io Application
SafeFinder
Traffic Exchange

Otwórz folder: C:\Program Files (x86)\UCBrowser
Kliknij prawym na pliku Uninstall i wybierz Uruchom jako administrator

Pobierz i uruchom AdwCleaner Kliknij Skanuj (Scan) i później Oczyść (Clean).

Kliknij Skanuj (Scan) i pokaż nowy raport FRST i Addition.


(Acorus) #3

Odinstaluj Java 8 Update 66,MaohaWiFi,SafeFinder.Pobierz i uruchom jako administrator AdwCleaner https://toolslib.net/downloads/finish/1/ Kliknij Scan(Skanuj) i później Cleaning(Oczyść).
Pokaż nowe logi z FRST.


(Squizz) #4

Wykonano. Poniższych nie znalazłem w panelu sterowania:
Online.io Application
Traffic Exchange

adwcleaner usunął poniższe:
http://wklej.to/p41zE

Przy otwieraniu chrome otrzymuję poniższy komunikat:
http://imgur.com/ztEghWH

Avast blokuje działanie pliku update z tego folderu:
http://imgur.com/mWJ2Sxt
Niestety nie można odinstalować programu nawet w trybie diagnostycznym

Poniżej logi FRST i Addition

http://wklej.to/36jdj
http://wklej.to/BclpD

Jaki antywirus polecacie?


(Acorus) #5

Otwórz notatnik systemowy i wklej:
CloseProcesses:
Traffic Exchange (x32 Version: 2.1.0 - Microleaves) Hidden <==== UWAGA
Task: {0691A71E-77E1-462B-8F0A-C2CEFFEDA902} - System32\Tasks\Traffic Exchange v2 - 3 => C:\Program Files (x86)\Microleaves\Traffic Exchange\OnlineGuardian-v2.exe <==== UWAGA
Task: {14FAF850-29BD-4406-890B-A3D72E52092D} - System32\Tasks\Online Application v209 Guard => C:\Program Files (x86)\Microleaves\Online.io Application\Online-Guardian-v2.0.9.exe <==== UWAGA
Task: {949E5EB3-828F-456D-AB97-6C3442764C4C} - System32\Tasks\Traffic Exchange v209 - 1 => C:\Program Files (x86)\Microleaves\Traffic Exchange\Online-Guardian-v2.0.9.exe <==== UWAGA
Task: {9A06DCD2-31C3-47B3-839B-312D2E8BD99F} - System32\Tasks\Traffic Exchange v2 - 2 => C:\Program Files (x86)\Microleaves\Traffic Exchange\OnlineGuardian-v2.exe <==== UWAGA
Task: {9AC93E6E-195B-4C04-A25E-AE2FFC01385F} - System32\Tasks\Online Application v209 => C:\Program Files (x86)\Microleaves\Online.io Application\Online-Guardian-v2.0.9.exe <==== UWAGA
Task: {B152E9CE-0C12-4225-9D05-B1791E399A67} - System32\Tasks\Traffic Exchange v209 - 3 => C:\Program Files (x86)\Microleaves\Traffic Exchange\Online-Guardian-v2.0.9.exe <==== UWAGA
Task: {D40322C2-0259-4024-A4C5-CE45D3483F6B} - System32\Tasks\Traffic Exchange v2 - 1 => C:\Program Files (x86)\Microleaves\Traffic Exchange\OnlineGuardian-v2.exe <==== UWAGA
Task: {D8C609DB-A54C-4D7A-B2F1-CEDE5FF70129} - System32\Tasks\Online Application v209 Guardian => C:\Program Files (x86)\Microleaves\Online.io Application\Online-Guardian-v2.0.9.exe <==== UWAGA
Task: {FF32DB28-BF1C-465C-B497-49BF533F9D65} - System32\Tasks\Traffic Exchange v209 - 2 => C:\Program Files (x86)\Microleaves\Traffic Exchange\Online-Guardian-v2.0.9.exe <==== UWAGA
Task: C:\Windows\Tasks\Online Application v209 Guard.job => C:\Program Files (x86)\Microleaves\Online.io Application\Online-Guardian-v2.0.9.exe <==== UWAGA
Task: C:\Windows\Tasks\Online Application v209 Guardian.job => C:\Program Files (x86)\Microleaves\Online.io Application\Online-Guardian-v2.0.9.exe <==== UWAGA
Task: C:\Windows\Tasks\Online Application v209.job => C:\Program Files (x86)\Microleaves\Online.io Application\Online-Guardian-v2.0.9.exe <==== UWAGA
Task: C:\Windows\Tasks\Traffic Exchange v2 - 1.job => C:\Program Files (x86)\Microleaves\Traffic Exchange\OnlineGuardian-v2.exe <==== UWAGA
Task: C:\Windows\Tasks\Traffic Exchange v2 - 2.job => C:\Program Files (x86)\Microleaves\Traffic Exchange\OnlineGuardian-v2.exe <==== UWAGA
Task: C:\Windows\Tasks\Traffic Exchange v2 - 3.job => C:\Program Files (x86)\Microleaves\Traffic Exchange\OnlineGuardian-v2.exe <==== UWAGA
Task: C:\Windows\Tasks\Traffic Exchange v209 - 1.job => C:\Program Files (x86)\Microleaves\Traffic Exchange\Online-Guardian-v2.0.9.exe <==== UWAGA
Task: C:\Windows\Tasks\Traffic Exchange v209 - 2.job => C:\Program Files (x86)\Microleaves\Traffic Exchange\Online-Guardian-v2.0.9.exe <==== UWAGA
Task: C:\Windows\Tasks\Traffic Exchange v209 - 3.job => C:\Program Files (x86)\Microleaves\Traffic Exchange\Online-Guardian-v2.0.9.exe <==== UWAGA
WMI_ActiveScriptEventConsumer_ASEC: <===== UWAGA
ShortcutWithArgument: C:\Users\IntelPC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\IntelPC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension=“C:\Users\IntelPC\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk” hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\IntelPC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\IntelPC\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension=“C:\Users\IntelPC\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk” hxxp://qtipr.com/
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension=“C:\Users\IntelPC\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk” hxxp://qtipr.com/
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://qtipr.com/
ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension=“C:\Users\IntelPC\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk” hxxp://qtipr.com/
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2017-03-06] ()
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2017-03-06] ()
SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL =
SearchScopes: HKU\S-1-5-21-2616146373-916023835-2376624800-1000 -> DefaultScope {ielnksrch} URL =
FF NewTab: Mozilla\Firefox\Profiles\avr02ist.default -> C:\ProgramData\Hotfreshs\ff.NT
FF Homepage: Mozilla\Firefox\Profiles\avr02ist.default -> C:\ProgramData\Hotfreshs\ff.HP
CHR HKLM-x32…\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32…\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - hxxps://clients2.google.com/service/update2/crx
S3 MSICDSetup; ??\D:\CDriver64.sys [X]
S3 NTIOLib_1_0_C; ??\D:\NTIOLib_X64.sys [X]
2017-03-14 17:18 - 2017-03-14 17:18 - 00000000 ____D C:\Users\IntelPC\AppData\Roaming\KuaiZip
2017-03-14 17:10 - 2017-03-14 17:15 - 00000000 ____D C:\AdwCleaner
2017-03-06 13:36 - 2017-03-14 17:13 - 00000000 ____D C:\Program Files (x86)\UCBrowser
2017-03-06 13:36 - 2017-03-06 13:36 - 00000837 _____ C:\Users\IntelPC\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk
2017-03-06 13:36 - 2017-03-06 13:36 - 00000000 ____D C:\Users\IntelPC\AppData\Local\UCBrowser
2017-03-06 13:36 - 2017-03-06 13:36 - 00000000 ____D C:\Program Files\żěŃą
2017-03-06 13:34 - 2017-03-06 13:34 - 0054272 _____ () C:\Users\IntelPC\AppData\Roaming\ApplicationHosting.dat
2017-03-06 13:34 - 2017-03-06 13:34 - 0072787 _____ () C:\Users\IntelPC\AppData\Roaming\Goodtouch.tst
2017-03-06 13:34 - 2017-03-06 13:34 - 0126464 _____ () C:\Users\IntelPC\AppData\Roaming\lobby.dat
2017-03-06 13:34 - 2017-03-06 13:34 - 1892008 _____ () C:\Users\IntelPC\AppData\Roaming\Voltfax.tst
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
Uruchom jako administrator FRST i kliknij w Fix/Napraw.
Zapisując Fixlist kodowanie ustaw na UTF-8
Pokaż nowe logi z FRST .Odinstaluj Traffic Exchange.


(Acorus) #6

Wykonaj skrypt w trybie awaryjnym http://support.eset.pl/kb2268/?viewlocale=pl_PL


(Squizz) #7

Wykonano
FRST:
http://wklej.to/wAnys

Faktycznie już avast nie wywołuje monitów


(Acorus) #8

Otwórz notatnik systemowy i wklej:

HKU\S-1-5-21-2616146373-916023835-2376624800-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ8ot7D-XHFs-ZnO4yuzTQyMNkGjAZikQ0nSHy6UfU7w9EfYo5hLa6tkUzeO0OkUjTT2KTZXFYIkUiJsZtlOI6k-Q6JgY7qShf3VYvyfvA1t5aCFksLRvKOVQyHjD8zr9L2MMyPeNpZvC6Y3h4gEpDmt6U,&q={searchTerms}
HKU\S-1-5-21-2616146373-916023835-2376624800-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccZ8ot7D-XHFs-ZnO4yuzTQyMNkGjAZikQ0nSHy6UfU7w9EfYo5hLa6tkUzeO0OkUjTfoKrMloj_-8d4bN2zob_n2ezy6KJj2CLvliUTCXExgGEiTIXugxmOOD5TPLyVvtPB972ay-QQrY6j-9F1VB-Fu4U,

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
Uruchom jako administrator FRST i kliknij w Fix/Napraw.
Pobierz >>>DelFix<<< http://www.bleepingcomputer.com/download/delfix/dl/281/
Zaznacz opcje:
Remove disinfection tools
Kliknij przycisk Run.


(Squizz) #9

Bardzo dziękuję za pomoc i odpowiedzi. Wasza postawa i profesjonalizm jest godna podziwu i uznania :slight_smile: Powyższe wykonam nieco później, jak będę miał dostęp do komputera (nie jest mój, a krewnego). Może jutro, prędzej w niedzielę. Temat uznaję za rozwiązany