Wirus C:/Users/Nazwa użytkownika/AppData/Local/....

[Skrzacinou]

Ostatnio avast zaczął zablokowywać co jakieś 10 minut "wirusa" o lokalizacji podanej w temacie. Po lokalu nie jestem w stanie podać konkretnej nazwy, ale mam nadzieję, że C:/.../Local wystarczy. Zrobiłem log z OTL'u http://www.wklej.eu/index.php?id=a4ba814bd4 Domyślam się, że muszę coś "usunąć" ale kompletnie nie mam pojęcia co i jak. Jestem kompletnie zielony w tym temacie. Z góry dziękuję za pomoc i poświęcony czas. Pozdrawiam.

[mateo8898]

Podaj wymagane logi z FRST otl-gmer-i-inne-poradnik-t13967-15.html#p164179 i Gmer otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p88736

[Skrzacinou]

Skany z FRST:
Addition: http://www.wklej.eu/index.php?id=beaa96f6d5
FRST: http://www.wklej.eu/index.php?id=f13ea8ea9c
Shortcut: http://www.wklej.eu/index.php?id=33bf993946
SKany z gmer:
http://www.wklej.eu/index.php?id=c018696fe5
Zaznaczam, że nie wiem które miałem podać, więc podaję wszystkie.

[mateo8898]

I prawidłowo, miałeś podać wszystkie

1. Odinstaluj AnySend, CleanBrowser, MobilePCStarterKit, Setup, TSearch
2. Użyj AdwCleaner frst-otl-gmer-i-inne-poradnik-t13967-15.html#p139531 z opcji Usuń i podaj utworzony log.
3. Podaj nowe logi z FRST.

Kolejność jak podałem.

[Skrzacinou]

Do dezinstalacji podanych przez Ciebie programów użyłem po prostu "programy i fukcje" z panelu sterowania. Wszystko ładnie, ale nie mogłem znaleźć "Setup". Po za tym wszystko usunąłem i po uruchomieniu, usunięciu ADWCleaner'em miałem taki oto log:
http://www.wklej.eu/index.php?id=2bf0cca1c4

Następnie logi z FRST:
Addition: http://www.wklej.eu/index.php?id=a17a60ec64
FRST: http://www.wklej.eu/index.php?id=5ea9e62cbd
Shortcut: http://www.wklej.eu/index.php?id=13f12a2cb3

[mateo8898]

W AdwCleaner Odinstaluj

Wklej do notatnika:

HKLM-x32\...\Run: [mpck_en_005030299] => [X]
HKLM-x32\...\Run: [BCSSync] => D:\Programy\Office14\BCSSync.exe [91520 2010-01-21] (Microsoft Corporation)
GroupPolicy: Ograniczenia - Chrome <======= UWAGA
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
HKU\S-1-5-21-681492101-2902284270-3531814063-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA
CHR HomePage: Default hxxp://www.hohosearch.com/?mode=nnnb&ptid=isr&uid=F6DB18B58530815FCB9978AA02599349&v=20160415&ts=AHEqA3QtC3EtA0..
CHR StartupUrls: Default "hxxp://www.hohosearch.com/?mode=nnnb&ptid=isr&uid=F6DB18B58530815FCB9978AA02599349&v=20160415&ts=AHEqA3QtC3EtA0.."
R1 {7f21ea28-929b-4f19-b057-483d53f11b0d}Gw64; C:\Windows\System32\drivers\{7f21ea28-929b-4f19-b057-483d53f11b0d}Gw64.sys [48784 2015-03-06] (StdLib)
R1 {a55667f1-a319-4629-a8b6-a68d9d3313ee}Gw64; C:\Windows\System32\drivers\{a55667f1-a319-4629-a8b6-a68d9d3313ee}Gw64.sys [48784 2015-03-06] (StdLib)
S3 atidgllk; \??\C:\Program Files (x86)\Gigabyte\ET5Pro\atidgllk.sys [X]
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 MSICDSetup; \??\E:\CDriver64.sys [X]
S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
2016-04-16 20:04 - 2016-04-16 20:04 - 00020270 _____ C:\ComboFix.txt
2016-04-16 19:57 - 2016-04-16 20:04 - 00000000 ____D C:\Qoobox
2016-04-16 19:57 - 2016-04-16 20:03 - 00000000 ____D C:\Windows\erdnt
2016-04-16 19:57 - 2011-06-26 08:45 - 00256000 _____ C:\Windows\PEV.exe
2016-04-16 19:57 - 2010-11-07 19:20 - 00208896 _____ C:\Windows\MBR.exe
2016-04-16 19:57 - 2009-04-20 06:56 - 00060416 _____ (NirSoft) C:\Windows\NIRCMD.exe
2016-04-16 19:57 - 2000-08-31 02:00 - 00518144 _____ (SteelWerX) C:\Windows\SWREG.exe
2016-04-16 19:57 - 2000-08-31 02:00 - 00406528 _____ (SteelWerX) C:\Windows\SWSC.exe
2016-04-16 19:57 - 2000-08-31 02:00 - 00098816 _____ C:\Windows\sed.exe
2016-04-16 19:57 - 2000-08-31 02:00 - 00080412 _____ C:\Windows\grep.exe
2016-04-16 19:57 - 2000-08-31 02:00 - 00068096 _____ C:\Windows\zip.exe
2016-04-16 19:56 - 2016-04-16 19:57 - 05660069 ____R (Swearware) C:\Users\Damdan\Downloads\ComboFix.exe
2016-04-16 19:53 - 2016-04-16 19:53 - 00001184 _____ C:\Users\Damdan\Desktop\CFScript.txt
EmptyTemp:

Plik zapisujesz pod nazwą fixlist.txt i umieszczasz obok FRST. Uruchom FRST i kliknij w nim Napraw. Powstanie plik fixlog.txt, który podajesz na forum.
Następnie podaj nowe logi z FRST.

[Skrzacinou]

Obczaiłem, że mam odinstalować adwcleaner'a dopiero po wykonaniu tego manewru z fixlog. Odinstalowałem ten adwcleaner i teraz wrzucam wszystkie logi, które są potrzebne:
Fixlog: http://www.wklej.eu/index.php?id=41b95ca591

Addition: http://www.wklej.eu/index.php?id=8d552fe8f1
FRST: http://www.wklej.eu/index.php?id=29f877f28b
Shortcut:
http://www.wklej.eu/index.php?id=857abc5a3d

[Skrzacinou]

Końcowe logi wyszły prawidłowe? Chcę zaznaczyć, że avast przestał wykrywać tego dziwnego wirusa ( został pewnie usunięty ), ale chcę mieć stuprocentową pewność, że logi są w porządku. Jeżeli coś byłoby nie tak, to by tłumaczyło baardzo powolne działanie internetu ( ogólnie, filmiki youtube itd. ) Dlatego proszę o odpowiedź z tymi logami, bo jeżeli jest wszystko ok, to jest to wina usługodawcy. Dziękuję za poświęcony czas i chęć pomocy

[mateo8898]

Tak, to tyle. Kroki końcowe, wklej do notatnika:

DeleteQuarantine:

Plik zapisujesz pod nazwą fixlist.txt i umieszczasz obok FRST. Uruchom FRST i kliknij w nim Napraw

Przeczyść dysk oraz rejestr CCleaner (zakładka Cleaner i Rejestr)

[Skrzacinou]

Wielkie dzięki dla Ciebie za pomoc i poświęcony czas. Tak jak już pisałem, avast przestał wykrywać tego wirusa i wszystko jest w porządku. Temat do zamknięcia, pozdrawiam