SafeGroup
Bardzo Spowolniony Komputer !!! - Wersja do druku

+- SafeGroup (https://safegroup.pl)
+-- Dział: Bezpieczeństwo (https://safegroup.pl/forum-10.html)
+--- Dział: Pomoc po zainfekowaniu (https://safegroup.pl/forum-5.html)
+--- Wątek: Bardzo Spowolniony Komputer !!! (/thread-11083.html)



Bardzo Spowolniony Komputer !!! - Vicek - 27.05.2017

Prosze o Pomoc,dzisiaj internet zaczął spowalniać,komputer bardzo zamula prosze i sprawdzenie loga !!!

FRST - 

[Aby zobaczyć linki, zarejestruj się tutaj]


Addition - 

[Aby zobaczyć linki, zarejestruj się tutaj]


Shortcut - 

[Aby zobaczyć linki, zarejestruj się tutaj]




RE: Bardzo Spowolniony Komputer !!! - tachion - 28.05.2017

Programy zabezpieczające niepoprawnie odinstalowane, widoczne aktywne sterowniki. Za dużo działań niepotrzebnych np. użycie combofixa, przyczynowość później może być różna. TS 360 w trybie nieaktywnym, Defender w aktywnym ?

IOBit . Firma o niskim morale, znana z podejrzanych związków partnerskich, notorycznie umieszczająca adware w instalatorach wersji free, a w przeszłości złapana na kradzieży bazy MBAM (podróbna wstawiona do ich programu anty-malware).

Do notatnika wklej i zapisz jako fixlist.txt

Kod:
CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-21-3617163825-2791382154-2552401661-1000\...\Policies\Explorer: [NolowDiskSpaceChecks] 1
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
BootExecute: autocheck autochk * PCloudBroom64.exe \systemroot\system32\BroomData.bit
GroupPolicy: Ograniczenia - Chrome <======= UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
ProxyServer: [S-1-5-21-3617163825-2791382154-2552401661-1000] => localhost:8080
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
HKU\S-1-5-21-3617163825-2791382154-2552401661-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = 
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=msnhome
HKU\S-1-5-21-3617163825-2791382154-2552401661-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKU\S-1-5-21-3617163825-2791382154-2552401661-1000\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
Handler: vipresg - Brak wartości CLSID
FF Extension: (IObit Surfing Protection & Ads Removal) - C:\Users\Grzechu-PC\AppData\Roaming\Mozilla\Firefox\Profiles\1SFSFDwI.default\Extensions\[email protected] [2016-10-18]
FF Extension: (Brak nazwy) - C:\Users\Grzechu-PC\AppData\Roaming\Mozilla\Firefox\Profiles\1SFSFDwI.default\extensions\[email protected] [nie znaleziono]
FF Extension: (Brak nazwy) - C:\Program Files (x86)\IObit Apps Toolbar\FF [nie znaleziono]
FF Plugin: @microsoft.com/GENUINE -> disabled [Brak pliku]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Brak pliku]
U4 CmdAgent; Brak ImagePath
S2 CronService; C:\Windows\Prey\wpxsvc.exe [X]
R0 cmdccav; C:\Windows\System32\DRIVERS\CmdCCAV.sys [116808 2016-02-01] (COMODO)
R1 cmderd; C:\Windows\System32\DRIVERS\cmderd.sys [21184 2015-11-18] (COMODO)
R1 cmdGuard; C:\Windows\System32\DRIVERS\cmdguard.sys [806032 2015-11-18] (COMODO)
R1 cmdHlp; C:\Windows\System32\DRIVERS\cmdhlp.sys [45856 2015-08-05] (COMODO)
S1 inspect; C:\Windows\System32\DRIVERS\inspect.sys [105096 2015-08-05] (COMODO)
R1 SBRE; C:\Windows\system32\drivers\SBREdrv.sys [45656 2010-01-20] (Sunbelt Software)
S0 osskrpv; Brak ImagePath
S3 PSKMAD; C:\Windows\System32\DRIVERS\PSKMAD.sys [50320 2015-01-29] (Panda Security, S.L.)
U0 aswVmm; Brak ImagePath
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
U3 iswSvc; Brak ImagePath
C:\Users\Grzechu-PC\AppData\Roaming\ZHP
C:\Users\Grzechu-PC\AppData\Local\ZHP
C:\Users\Grzechu-PC\AppData\Roaming\netstat.bat
Task: {2973258B-FA18-4581-BC2B-9207651F4A0F} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2017-04-25] (Adobe Systems Incorporated)
Task: {D9BD7491-FD19-4597-AB6C-A5C869B8FBE2} - System32\Tasks\ASC10_SkipUac_Grzechu-PC => C:\Program Files (x86)\IObit\Advanced SystemCare\ASC.exe 
AlternateDataStreams: C:\ProgramData\TEMP:5C321E34 [127]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Hamachi2Svc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WebExaminer => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WebProxy => ""="service"
DisableService: NvTelemetryContainer
RemoveDirectory: C:\AdwCleaner
CMD: C:\Users\Grzechu-PC\Desktop\ComboFix.exe /uninstall
EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST 
Następnie w programie kliknij Napraw. Po wykonaniu pokaż raport z tego działania.

Uruchom 

[Aby zobaczyć linki, zarejestruj się tutaj]

  i za jego pomocą usuń ukryty wpis NvTelemetry.

Zrób nowe logi i przedstaw z FRST.txt > Addition.txt > Shortcut.txt


RE: Bardzo Spowolniony Komputer !!! - Vicek - 29.05.2017

Raport z Dzialania -

[Aby zobaczyć linki, zarejestruj się tutaj]


Nowe Logi FRST :

Addition -

[Aby zobaczyć linki, zarejestruj się tutaj]

Shortcut -

[Aby zobaczyć linki, zarejestruj się tutaj]

FRST -

[Aby zobaczyć linki, zarejestruj się tutaj]


tego NVtelemetry nie ma na liscie w tym programie wogóle (Microsoft Troubleshooter)


RE: Bardzo Spowolniony Komputer !!! - tachion - 30.05.2017

Do notatnika wklej i zapisz jako fixlist.txt

Kod:
CloseProcesses:
C:\ComboFix.txt
C:\Users\Grzechu-PC\Desktop\ComboFix.exe
NvTelemetry (Version: 2.4.10.0 - NVIDIA Corporation) Hidden
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Napraw. Po wykonaniu pokaż raport z tego działania.