Zpomalený počítač - Ruský virus

[Psychedelic]

Ahoj všem,

dělal jsem úklid v PC a našel jsem nějaké ISO, zajímalo mě co to je to zač, tak jsem to otevřel a do PC se mi nainstalovala nějaká neplecha...

Okamžitě po otevření se mi do prohlížeče nainstalovali nějaké ruské doplňky, nenačítají se mi některé stránky nebo části stránek, pokud chci uložit nebo nahrát obrázek, tak po kliknutí na "uložit" čekám asi 5 minut než se zobrazí okénko kam to chci uložit, PDFka, tabulky se otevírají neuvěřitelně dlouho... Každopádně vše jsem odebral, udělal kompletní scan Avastem a AdwCleanerem, bohužel bez výsledku, Adw vždy najde ty rozšíření a odebere, nicméně když zavřu prohlížeč a znovu otevřu, tak se je tam snaží instalovat znovu a chrome mi napíše že externí program nainstaloval doplňky, jestli s tím souhlasím, když nesouhlasím tak mi nefunguje skoro žádný web... Už jsem z toho zoufalej a prosím o pomoc.

FRST:
https://pastebin.com/c6h6mTei

Addition:
https://pastebin.com/ZyhSAnQQ

[Rudy]

Zdravím!
OK. Poprosím ještě o log z ADW.

[Psychedelic]

Děkuji za bleskovou reakci, přikládám log z Adw: https://pastebin.com/s96qeHZL.

[Rudy]

OK. Otevřte poznámkový blok a zkopírujte do něj:

Start

CloseProcesses:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
"C:\Windows\System32\Tasks\Microsoft\Windows\Google" could not be unlocked Error: 5. <==== ATTENTION
"C:\Windows\System32\Tasks\Microsoft\Windows\Google\GoogleUpdateTaskMachineUP" was unlocked. <==== ATTENTION
Task: {210488FA-27BF-4B81-93AD-F25F8FCCD4B0} - System32\Tasks\Microsoft\Windows\Google\GoogleUpdateTaskMachineUP => C:\WINDOWS\SysWOW64\Microsoft\Protect\S-1-38-83\RB_1.4.17.79.exe <==== ATTENTION
Task: {8747AF3A-CC69-492E-9593-C6FC7BC1353D} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [153168 2018-10-19] (Google Inc -> Google Inc.)
Task: {ADB1862A-1326-42EE-8FAB-06C0B64E4505} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [153168 2018-10-19] (Google Inc -> Google Inc.)
SearchScopes: HKU\S-1-5-21-3672608946-264485882-3936219515-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL =
SearchScopes: HKU\S-1-5-21-3672608946-264485882-3936219515-1001 -> {797A0E60-85C1-430A-B74A-96DE03F51695} URL = hxxp://tv.seznam.cz/hledej?w={searchTerms}&sourceid=QuickSearch_29530
FF HKLM\...\Firefox\Extensions: [light_plugin_F88CEF8523DE460F9FA1D6E48BF8D340@kaspersky.com] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 19.0.0\FFExt\light_plugin_firefox\addon.xpi
FF Extension: (Ochrana Kaspersky) - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 19.0.0\FFExt\light_plugin_firefox\addon.xpi [2019-06-12]
FF HKLM-x32\...\Firefox\Extensions: [light_plugin_F88CEF8523DE460F9FA1D6E48BF8D340@kaspersky.com] - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 19.0.0\FFExt\light_plugin_firefox\addon.xpi
CHR HomePage: Profile 1 -> inline.go.mail.ru
CHR DefaultSearchURL: Profile 1 -> hxxps://inline.go.mail.ru/search?inline_comp=chxtnhp15.1.4.3&q={searchTerms}&fr=chxtnhp15.1.4.3
CHR DefaultSearchKeyword: Profile 1 -> inline.go.mail.ru
CHR DefaultSuggestURL: Profile 1 -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
C:\ProgramData\DP45977C.lfl
C:\ProgramData\Mail.Ru
C:\ProgramData\PFCRQNS5XWD1UE8GSEJI1HJ8Y
C:\WINDOWS\System32\Tasks\GoogleUpdateTaskMachineUA
C:\WINDOWS\System32\Tasks\GoogleUpdateTaskMachineCore
AlternateDataStreams: C:\ProgramData\TEMP:9341E0C6 [310]
AlternateDataStreams: C:\Users\vrten\Data aplikací:00e481b5e22dbe1f649fcddd505d3eb7 [0]
AlternateDataStreams: C:\Users\vrten\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [0]
N:\SKIDROW\SKIDROW.exe

EmptyTemp:
End

Uložte do C:\Users\vrten\Downloads jako fixlist.txt. Spusťte znovu FRST a klikněte na >Fix<. Po skončení akce se objeví log, který sem zkopírujte.

[Psychedelic]

Omlouvám se, ale hned po fixu si to vyžádalo restart počítače a log mi to nezobrazilo, dá se někde najít? V těch stažených souborech ho nemám, každopádně se mi do chromu přidal i Kaspersky, který byl asi původně blokovaný tím virem.

Doplním tedy alespoň klasický test, nevím jestli byl tamten nějak specifický:

FRST:
https://pastebin.com/rq4fHjjg

Addition:
https://pastebin.com/bnmKg1ex

Ale zdá se, že problémy alespoň pro zatím zmizely, akorát WMI Provider host si furt baští 80% CPU (i5 - 8600K OC 5.0 GHz). Každopádně to mi dělalo i před zavirováním PC, vždy pomůže CCleaner a Adw a je pár dní klid.

[Rudy]

Log najdete v souboru C:\Users\vrten\Downloads\fixlog.txt. Rád bych ho viděl.

[Psychedelic]

Aha, pardon, myslel jsem, že je to ten soubor, který jsem tam měl vytvořit.

https://pastebin.com/fQ4mxjSR

[Rudy]

OK. Nastala nějaká změna?

[Psychedelic]

Včera se zdálo být v pořádku, ale dneska to zase dělá neplechu, alespoň při ukládání obrázků, sice nečekám 5 minut, ale furt čekám na to okno asi 30s.

[Rudy]

OK. Udělejte ještě sken AVPtool: http://www.viry.cz/forum/viewtopic.php?f=29&t=58179 . Utilitu stáhněte, spusťte, nechte pracovat a po ukončení akce smažte vše, co najde.

[Psychedelic]

Dobrý den,

omlouvám se za delší odezvu, bohužel jsem se k tomu dříve nedostal. Nicméně Kaspersky nic nenašel a doplňky do prohlížeče se mi instalují neustále.

[Rudy]

O který prohlížeč jde?

[Psychedelic]

Google chrome

[Rudy]

Zkusíme přeinstalovat. Chrome zazálohujte pomocí ChromeBackup: https://www.stahuj.cz/internet_a_site/p ... me-backup/ . Pak Chrome kompletně odinstalujte vč. jeho profilu (podadresáře Chrome v c:\users\vrten\appdata\local, c:\users\vrten\appdata\roaming, c:\users\vrten\data aplikací, c:\users\vrten\local settings a v c:\program data musí být smazány). Potom znovu Chrome nainstaujte a zpět ze zálohy nakopírujte pouze záložky a hesla.