Min lärare har fått in RegClean Pro & PC Speed Up

[cybertears]

Nu vet jag inte hur mycket vi kan göra eftersom att det är en domänansluten dator.

It-avdelningen säger att hon inte har något virus och hittar därmed inte anledningen till varför den går slött och varför datorn visar konstant popup meddelande och reklam om "dålig prestanda" i webbläsaren.

 

Jag körde upp med FRST och kunde se tydliga tecken på varför hennes dator är så seg.

Men jag behöver fortfarande hjälp med virus rensningen för det klarar jag inte ensam.

 

Program som ska avinstalleras:
Java 7 Update 25 (gammal version som ska uppdateras)
Norton Security Scan ska avinstalleras

(Hon har System Center 2012 Endpoint Protection som virus-skydd)

PC Speed Up ska tas bort (i det mån som det går.)

RegClean-Pro ska tas bort (i det mån som det går.)

SweetPacks Updater Service ska tas bort ( i det mån som det går)

 

Kollade lite på FRST loggen och hittade detta som jag tror är skadligt (är dock inte helt säker på att allt som visas här nedan är skadligt och det är inte säkert att jag hittat allt som är skadligt heller:

HKU\S-1-5-21-24973804-2479470108-2323228787-96297\...\Run: [PCSpeedUp] => C:\Program Files (x86)\PC Speed Up\PCSUNotifier.exe [300840 2014-08-08] ()

CHR Extension: (SweetPacks Chrome Extension) - C:\Users\rejo3\AppData\Local\Google\Chrome\User Data\Default\Extensions\ogccgbmabaphcakpiclgcnmcnimhokcj [2013-10-16]

CHR HKLM-x32\...\Chrome\Extension: [ogccgbmabaphcakpiclgcnmcnimhokcj] - C:\Windows\SysWOW64\jmdp\SweetNT.crx [2014-04-24]
R2 PCSUService; C:\Program Files (x86)\PC Speed Up\PCSUService.exe
C:\Program Files (x86)\PC Speed Up
C:\Windows\System32\Tasks\RegClean Pro
C:\Windows\Tasks\RegClean Pro_UPDATES.job
C:\Windows\Tasks\RegClean Pro_DEFAULT.job
C:\Windows\System32\Tasks\RegClean Pro_UPDATES
C:\Windows\System32\Tasks\RegClean Pro_DEFAULT
C:\Windows\System32\Tasks\PC SpeedUp Service Deactivator
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RegClean Pro
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PC Speed Up
C:\Windows\system32\roboot64.exe
C:\Windows\System32\dmwu.exe
(SolarWinds) C:\Windows\dwrcs\DWRCST.EXE <-- resultat från systemlookup
C:\Program Files (x86)\PC Speed Up\PCSUService.exe

Jag bifogar FRST loggarna

 

FRST.txt

Addition.txt

[Cecilia]

Vet inte varför du tycker detta ska bort?

(SolarWinds) C:\Windows\dwrcs\DWRCST.EXE <-- resultat från systemlookup

http://www.systemlookup.com/Startup/19273-DWRCST_exe.html

http://www.dameware.com/downloads.aspx

Kan vara något som skolan vill ha där.

 

De fyra "Group Policy restriction on software" kan också vara inlagda av skolan.

 

Börja med avinstallationerna så får vi se vad som finns kvar efter det. Det är möjligt att skolan har synpunkter på att lägga upp loggar från datorer som visar en del interna saker.

[cybertears]

Vet inte varför du tycker detta ska bort?

(SolarWinds) C:\Windows\dwrcs\DWRCST.EXE <-- resultat från systemlookup

http://www.systemlookup.com/Startup/19273-DWRCST_exe.html

http://www.dameware.com/downloads.aspx

Kan vara något som skolan vill ha där.

 

De fyra "Group Policy restriction on software" kan också vara inlagda av skolan.

 

Börja med avinstallationerna så får vi se vad som finns kvar efter det. Det är möjligt att skolan har synpunkter på att lägga upp loggar från datorer som visar en del interna saker.

Nu förstår jag lite bättre  

 

Ska jag skicka nya FRST loggar efter det eller?  

[cybertears]

Jag har avinstallerat det som jag skrev att jag skulle göra.

 

Java ska uppdateras ytterligare.

 

Bifogar en ny FRST logg.

 

.Trovi search kan inte tas bort i Internet Explorer.

Den står som sökleverantör, den kan bara inaktiveras, är det något man kan fixa till med FRST?

 

För övrigt så vägrar den att köra Adwcleaner, den kommer en bit men sen fastnar den, efter att den stått och stampat på samma ställe i 50 minuter så valde jag att tvångsdöda processen.
 

det spelade ingen roll att Adwcleaner kördes som administratör.

 

FRST.txt

[Cecilia]

Det kan vara antivirusprogrammet som blockerar AdwCleaner så se om det går bättre om du inaktiverar det.

 

Det kan vara de där "policy" som stoppar ändringar i IE:

Starta Anteckningar.

Kopiera alla rader i rutan:

HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-24973804-2479470108-2323228787-96297\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
2014-11-07 11:00 - 2014-11-27 09:54 - 00000000 ____D () C:\Users\rejo3\AppData\Roaming\Systweak
2014-11-07 11:00 - 2014-08-29 17:02 - 00020296 _____ () C:\Windows\system32\roboot64.exe
2014-11-07 10:58 - 2014-11-07 10:58 - 00371040 _____ () C:\Users\rejo3\Downloads\SoftonicDownloader_for_microsoft-photo-story.exe

och klistra in i Anteckningar. Kontrollera att inga filer har delats upp på två rader.

Spara filen på skrivbordet med namnet fixlist.txt.

 

Starta FRST som finns på skrivbordet.

Klicka på knappen Fix.

Vänta tills programmet är klart.

 

Ser du något mer i loggarna som du tror ska bort?

[cybertears]

Det kan vara antivirusprogrammet som blockerar AdwCleaner så se om det går bättre om du inaktiverar det.

 

Det kan vara de där "policy" som stoppar ändringar i IE:

 

Ser du något mer i loggarna som du tror ska bort?

 

1. Det gick tyvärr inte att inaktivera antivirusprogrammet. 

2. När vi tog bort den policyn så gick det iallafall att ändra tillbaka till googles hemsida.

dock så kan jag fortfarande bara inaktivera .Trovi search i IE, tror du det är något som man kan göra något åt eller är det problem att din ligger där som inaktiv?

 

3. Jag ser inget mer som är skadligt nu Gör du det?  

 

Fixloggen:

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 26-11-2014 01
Ran by rejo3 at 2014-11-28 08:35:37 Run:1
Running from \\utbfs01\rejo3$\Skrivbord
Loaded Profile: rejo3 (Available profiles: peen2 & rejo3 & Åbyskolan & a)
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKU\S-1-5-21-24973804-2479470108-2323228787-96297\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
2014-11-07 11:00 - 2014-11-27 09:54 - 00000000 ____D () C:\Users\rejo3\AppData\Roaming\Systweak
2014-11-07 11:00 - 2014-08-29 17:02 - 00020296 _____ () C:\Windows\system32\roboot64.exe
2014-11-07 10:58 - 2014-11-07 10:58 - 00371040 _____ () C:\Users\rejo3\Downloads\SoftonicDownloader_for_microsoft-photo-story.exe
*****************

"HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" => Key deleted successfully.
"HKU\S-1-5-21-24973804-2479470108-2323228787-96297\SOFTWARE\Policies\Microsoft\Internet Explorer" => Key deleted successfully.
C:\Users\rejo3\AppData\Roaming\Systweak => Moved successfully.
C:\Windows\system32\roboot64.exe => Moved successfully.
C:\Users\rejo3\Downloads\SoftonicDownloader_for_microsoft-photo-story.exe => Moved successfully.

==== End of Fixlog ====

[cybertears]

dock så kan jag fortfarande bara inaktivera .Trovi search i IE, tror du det är något som man kan göra något åt eller är det problem att din ligger där som inaktiv?

Jag tog bort Trovi search med FRST

 

Tack för all hjälp Cecilia  

[Cecilia]

Utmärkt!

 

Det var så lite så