Wirus/trojan? Prosze o analizę logu HijackThis

Witam,

od jakiegoś czasu mój komputer bardzo wolno działa. Co gorsza na dysku C: zaczeły pojawiac się katalogi o dziwnych nazwach np."21fd894936ff8bc32642", których oczywiście nie można usunąć.
Podejrzewam jakiegoś wirusa/trojana. Skan darmowymi Avast! oraz Kaspersky Scan nie zgłaszają żadnego zagrożenia.

Aktualny log HijackThis
http://wklej.eu/index.php?id=7ede73efe6

Proszę o pomoc i z góry serdecznie dziękuję!


Pozdrawiam
Asia

Ostatnio edytowany przez asiasz75, 12 Lut 2017, 17:55, edytowano w sumie 1 raz

Zapomniałam dodać, że jakiś tydzien temu przestał mi również działać dzwięk na tym zarażonym(?) kompie

FRST http://forum.instalki.pl/otl-gmer-i-inn ... ml#p164179
Gmer http://forum.instalki.pl/otl-gmer-silen ... tml#p88736
Proszę podać logi z tych narzędzi.

Logi:

FRST
Addition.txt http://wklej.eu/index.php?id=63b361bb5a
FRST.txt http://www.wklej.eu/index.php?id=6bbac73856
Shotcut.txt http://www.wklej.eu/index.php?id=7de206a4d2

GMER: http://www.wklej.eu/index.php?id=cb2ab89124

Z góry dziękuję!

Czysto, kosmetycznie wklej do notatnika:

HKLM\...\Run: [SunJavaUpdateSched] => C:\Program Files\Common Files\Java\Java Update\jusched.exe [248040 2010-02-18] (Sun Microsystems, Inc.)
HKLM\...\Run: [ISUSScheduler] => C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe [81920 2005-08-11] (Macrovision Corporation)
HKLM\...\Run: [Adobe Reader Speed Launcher] => C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe [41056 2013-05-08] (Adobe Systems Incorporated)
HKLM\...\Run: [Adobe ARM] => C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe [958576 2013-04-04] (Adobe Systems Incorporated)
HKLM\...\Run: [HP Software Update] => C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe [96056 2013-05-30] (Hewlett-Packard)
HKLM\...\Run: [] => [X]
HKU\S-1-5-21-1578622189-3963322001-3172674150-1000\...\Run: [ISUSPM Startup] => C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe [249856 2005-08-11] (Macrovision Corporation)
HKU\S-1-5-21-1578622189-3963322001-3172674150-1000\...\Run: [] => C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe [845168 2013-11-06] (Samsung)
HKU\S-1-5-21-1578622189-3963322001-3172674150-1000\...\Run: [WMPNSCFG] => C:\Program Files\Windows Media Player\WMPNSCFG.exe [202240 2008-01-19] (Microsoft Corporation)
HKU\S-1-5-21-1578622189-3963322001-3172674150-1000\...\Run: [Power2GoExpress8] => NA
BHO: No Name {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} No File
Toolbar: HKLM - No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File
S3 rpcapd; "%ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini" [X]
S4 blbdrive; \SystemRoot\system32\drivers\blbdrive.sys [X]
S2 DgiVecp; \??\C:\Windows\system32\Drivers\DgiVecp.sys [X]
U1 eabfiltr; no ImagePath
S3 IpInIp; system32\DRIVERS\ipinip.sys [X]
S3 NwlnkFlt; system32\DRIVERS\nwlnkflt.sys [X]
S3 NwlnkFwd; system32\DRIVERS\nwlnkfwd.sys [X]
S3 SymIM; system32\DRIVERS\SymIM.sys [X]
S3 SymIMMP; system32\DRIVERS\SymIM.sys [X]
EmptyTemp:

Plik zapisujesz pod nazwą fixlist.txt i umieszczasz obok FRST. Uruchom FRST i kliknij w nim Napraw. Powstanie plik fixlog.txt, który podajesz na forum.
Następnie podaj nowe logi z FRST.

Zrobiłam fixlist.txt i po nim fixlog.txt : http://wklej.eu/index.php?id=39bb62fb2d
Nastepnie komputer sam się zrestartował i bardzo długo uruchamiał.
Potem nowe logi FRST:
Addition.txt: http://www.wklej.eu/index.php?id=54917b4f17
FRST.txt: http://www.wklej.eu/index.php?id=9291d32a1d
Shortcut.txt: http://www.wklej.eu/index.php?id=9d8804aae7

Niestety nadal mam na dysku folder c:\21fd894936ff8bc32642, którego nie można skasować .
Czy jest jakiś sposób aby sprawdzić jaki proces zarządza tym folderem plików?

Z góry dziękuje za pomoc.

Wklej do notatnika:

C:\21fd894936ff8bc32642

Plik zapisujesz pod nazwą fixlist.txt i umieszczasz obok FRST. Uruchom FRST i kliknij w nim Napraw. Powstanie plik fixlog.txt, który podajesz na forum.

Folder usunięty, bardzo dziękuję!!!!

A tu log z FRST fixlog.txt: http://wklej.eu/index.php?id=7a2b18269d

Kroki końcowe, wklej do notatnika:

DeleteQuarantine:

Plik zapisujesz pod nazwą fixlist.txt i umieszczasz obok FRST. Uruchom FRST i kliknij w nim Napraw

Przeczyść dysk oraz rejestr CCleaner (zakładka Cleaner i Rejestr)

Komputer na którym dokonywane były te naprawy już działa ok. Natomiast widzę, że dokładnie te same problemy zaczęły się na moich dwóch pozostałych komputerach: w pracy oraz na nowym laptopie.
Oczywiście podejrzenie (99,9% pewności co do źródła problemu) pada na PenDrive.
Avast nie widzi problemu, ani na PenDrivie ani na żadnym z komputerów.
Proszę o podpowiedź jak zdiagnozować i usunąć problem z PenDrive'a.
A logi z obu komputerów też pozwolę sobie zaraz wrzucić.
Jeszcze raz dziękuję za pomoc.

PS: Jaki anty-wir stosować aby uniknąć takich problemów. Jak widać Avast nie chroni dostatecznie niestety

Logi z dodatkowych komputerów z problemem:
1. Komputer stacjonarny:
FRST:
Addition.txt: http://wklej.eu/index.php?id=48b9b220c1
Shotcut.txt: http://wklej.eu/index.php?id=00e2610e7d
FRST.txt: http://wklej.eu/index.php?id=1a19e78284

Odinstaluj Windows Searchqu Toolbar

Z podłączonym pendrive`m użyj UsbFix z opcji Clean i podaj utworzony log.

Ok, usuniecie Windows Searchqu Toolbar umożliwiło usuniecie tego dziwnego foleru.
UsbFix uruchamiałam 2 razy, log za pierwszym uruchomieniem: http://wklej.eu/index.php?id=f458768776
Po kolejnym powstał tak duży log, że nie nie mieści się w formularzu wklej.eu. : http://kpisk.am.gdynia.pl/asiasz/priv/UsbFix2.txt

Pendrive jest w porządku.

Wklej do notatnika:

HKLM-x32\...\Run: [Adobe ARM] => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [959904 2013-11-21] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [BCSSync] => C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe [89184 2012-11-05] (Microsoft Corporation)
HKLM-x32\...\Run: [ISUSScheduler] => C:\Program Files (x86)\Common Files\InstallShield\UpdateService\issch.exe [81920 2005-08-11] (Macrovision Corporation)
HKLM-x32\...\Run: [SunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe [254336 2013-07-02] (Oracle Corporation)
HKLM-x32\...\Run: [HP Software Update] => C:\Program Files (x86)\Hp\HP Software Update\HPWuSchd2.exe [96056 2013-05-30] (Hewlett-Packard)
HKLM-x32\...\Run: [] => [X]
SearchScopes: HKLM DefaultScope {9BB47C17-9C68-4BB3-B188-DD9AF0FD2421} URL = hxxp://www.searchqu.com/web?src=ieb&appid=0&systemid=421&sr=0&q={searchTerms}
SearchScopes: HKLM {9BB47C17-9C68-4BB3-B188-DD9AF0FD2421} URL = hxxp://www.searchqu.com/web?src=ieb&appid=0&systemid=421&sr=0&q={searchTerms}
SearchScopes: HKLM-x32 DefaultScope {9BB47C17-9C68-4BB3-B188-DD9AF0FD2421} URL = hxxp://www.searchqu.com/web?src=ieb&appid=0&systemid=421&sr=0&q={searchTerms}
SearchScopes: HKLM-x32 {9BB47C17-9C68-4BB3-B188-DD9AF0FD2421} URL = hxxp://www.searchqu.com/web?src=ieb&appid=0&systemid=421&sr=0&q={searchTerms}
Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
FF DefaultSearchEngine: Mozilla\Firefox\Profiles\g5lrkm65.default Searchqu Web Search
FF SearchEngineOrder.1: Mozilla\Firefox\Profiles\g5lrkm65.default Searchqu Web Search
FF SelectedSearchEngine: Mozilla\Firefox\Profiles\g5lrkm65.default Searchqu Web Search
FF Keyword.URL: Mozilla\Firefox\Profiles\g5lrkm65.default hxxp://www.searchqu.com/web?src=ffb&appid=0&systemid=421&sr=0&q=
CHR Plugin: (Widevine Content Decryption Module) - C:\Users\JSz\AppData\Local\Google\Chrome\User Data\WidevineCDM\1.4.2.464\_platform_specific\win_x86\widevinecdmadapter.dll => No File
CHR Plugin: (Shockwave Flash) - C:\Program Files (x86)\Google\Chrome\Application\56.0.2924.87\PepperFlash\pepflashplayer.dll => No File
CHR Plugin: (Native Client) - C:\Program Files (x86)\Google\Chrome\Application\56.0.2924.87\ppGoogleNaClPluginChrome.dll => No File
CHR Plugin: (Chrome PDF Viewer) - C:\Program Files (x86)\Google\Chrome\Application\56.0.2924.87\pdf.dll => No File
CHR Plugin: (Google Earth Plugin) - C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll => No File
CHR Plugin: (Google Update) - C:\Program Files (x86)\Google\Update\1.3.24.7\npGoogleUpdate3.dll => No File
CHR Plugin: (Shockwave Flash) - C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_13_0_0_206.dll => No File
CHR Plugin: (Java Deployment Toolkit 7.0.90.5) - C:\Windows\SysWOW64\npDeployJava1.dll => No File
CHR Plugin: (Silverlight Plug-In) - c:\Program Files (x86)\Microsoft Silverlight\5.1.20913.0\npctrl.dll => No File
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx <not found>
EmptyTemp:

Plik zapisujesz pod nazwą fixlist.txt i umieszczasz obok FRST. Uruchom FRST i kliknij w nim Napraw. Powstanie plik fixlog.txt, który podajesz na forum.
Następnie podaj nowe logi z FRST.

Zrobione.
Log Fixlog.txt: http://wklej.eu/index.php?id=6f1f597a89