naekana Opublikowano 22 Maja 2015 Zgłoś Udostępnij Opublikowano 22 Maja 2015 Witam, 1. Przegrzewanie się i samoczynne wyłączanie komputera następuje zwykle przy uruchomionych grach przeglądarkowych oraz plikach flash, np. w serwisie youtube. 2. Dodatkowo dzisiaj po otworzeniu nowej karty w FF nastąpiło takie zjawisko: 3. Logi: FRST.txt Addition.txt Shortcut.txt gmer.txt Odnośnik do komentarza
Michal0z Opublikowano 23 Maja 2015 Zgłoś Udostępnij Opublikowano 23 Maja 2015 Ad. 2: "Krzywy" bo to jeden ze smaczków google. Wpisanie "Askew" (ang. przekrzywiony) powoduje właśnie taki bonus. Możesz też wpisać "do a barrel roll" lub "zerg rush" i kilka innych, by odnaleźć więcej niespodzianek. Ad. 1: Jestem samoukiem i umiem to i owo lecz nie jestem fachowcem. Czekaj na odpowiedź od kogoś mądrzejszego Odnośnik do komentarza
picasso Opublikowano 26 Maja 2015 Zgłoś Udostępnij Opublikowano 26 Maja 2015 Owszem, jest tu infekcja - wielokrotne wystąpienie system.exe w starcie, oraz adware Sale Charger. Adware dostało się do systemu przy udziale "Asystenta pobierania" dobrychprogramów.pl. Więcej na ten temat: KLIK. 2015-05-18 00:29 - 2015-05-18 00:29 - 00741672 _____ (Web software ) C:\Users\Ania\Downloads\PC-Inspector-File-Recovery(11565)-dp.exe Niemniej wyliczone obiekty mogą wcale nie mieć związku z opisywanymi objawami i przegrzewaniem. Na razie doczyść infekcję i zobaczymy: 1. Przez Panel sterowania odinstaluj adware: Bundled software uninstaller, Sale Charger. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [system.exe] => C:\Users\Ania\AppData\Local\Temp\system.exe [698843 2013-05-16] () HKU\S-1-5-21-3068530862-1638747248-2017865010-1000\...\Run: [system.exe] => C:\Users\Ania\AppData\Local\Temp\system.exe [698843 2013-05-16] () Startup: C:\Users\Ania\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\system.exe [2015-01-29] () R2 Service Mgr SaleCharger; C:\ProgramData\322cb724-1680-423d-8862-1b52ca5027ad\plugincontainer.exe [556304 2015-05-22] () R2 Update Mgr SaleCharger; C:\Program Files (x86)\Common Files\322cb724-1680-423d-8862-1b52ca5027ad\updater.exe [478992 2015-05-22] () S3 massfilter; system32\DRIVERS\massfilter.sys [X] S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X] S3 ZTEusbnet; system32\DRIVERS\ZTEusbnet.sys [X] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X] S3 ZTEusbser6k; system32\DRIVERS\ZTEusbser6k.sys [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction SearchScopes: HKU\S-1-5-21-3068530862-1638747248-2017865010-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3068530862-1638747248-2017865010-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\Sale Charger C:\Program Files (x86)\Common Files\322cb724-1680-423d-8862-1b52ca5027ad C:\ProgramData\322cb724-1680-423d-8862-1b52ca5027ad C:\Users\Ania\Desktop\Continue PC Inspector File Recovery installation.lnk C:\Users\Ania\Downloads\*(*)-dp*.exe C:\Users\Ania\Downloads\jxpiinstall(*).exe DisableService: Mobile Partner. RunOuc CMD: netsh advfirewall reset Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. menu Historia > Wyczyść historię przeglądania 4. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Sale Charger Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się jakie problemy nadal są w systemie. Odnośnik do komentarza
naekana Opublikowano 26 Maja 2015 Autor Zgłoś Udostępnij Opublikowano 26 Maja 2015 1. Logi w załączeniu. 2. Przy próbie deinstalacji tego badziewia - Bundled software uninstaller - z poziomu panelu sterowania, wyskakiwały takie kwiatki Ostatecznie poszło za pomocą Revo w trybie zaawansowanym. 3. Po zastosowaniu fixlist w FRST i resecie systemu wyskoczył komunikat 4. Póki co komp chodzi zastanawiająco cicho i jest chłodny Ale sprawdzę go jeszcze przy dłuższym graniu. Btw, jestem w szoku, że poniekąd uznany portal pozwala sobie na takie zagrania, jak w przypadku tego asystenta pobierania. Do tej pory zawsze zaopatrywałam się w soft jedynie tam, mając pełne przeświadczenie o tym, że źródło to jest wiarygodne i bezpieczne... @Michal0z Dzięki za tą informację, naprawdę się porządnie wystraszyłam co to za dziwy z mą machiną się dzieją Fajne te triki. Fixlog.txt FRST_2.txt Addition_2.txt Shortcut_2.txt Odnośnik do komentarza
picasso Opublikowano 27 Maja 2015 Zgłoś Udostępnij Opublikowano 27 Maja 2015 Przy próbie deinstalacji tego badziewia - Bundled software uninstaller - z poziomu panelu sterowania, wyskakiwały takie kwiatki "Niekompatybilny program". Skutkiem tych operacji deinstalacyjnych jest pojawienie się nowego zadania w Harmonogramie. Zajmę się jego usuwaniem potem. Task: {2B249E86-CACC-4AFD-A696-5D10CD1937BA} - System32\Tasks\{50EE199C-3573-475E-9D58-842C71A1309C} => pcalua.exe -a "C:\Users\Ania\Local Settings\Application Data\Bundled software uninstaller\bi_client.exe" -c /initurl hxxp://bi.bisrv.com/:affid:/:sid:/:uid:? /affid uninstall /id uninstall /name "Bundled software uninstaller" Po zastosowaniu fixlist w FRST i resecie systemu wyskoczył komunikat Tak, gdyż w skrypie FRST została załączona komenda "netsh advfirewall reset" = reset reguł Zapory systemu Windows. W związku z tym programy wymagające dostępu do sieci muszą być ponownie autoryzowane. Ogólnie zadania pomyślnie wykonane. Od adware "Sale Charger" ostał się jeszcze jeden pusty wpis. Teraz uruchom AdwCleaner, na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log z folderu C:\AdwCleaner. Odnośnik do komentarza
naekana Opublikowano 27 Maja 2015 Autor Zgłoś Udostępnij Opublikowano 27 Maja 2015 Log z AdwCleaner AdwCleanerR0.txt Odnośnik do komentarza
picasso Opublikowano 27 Maja 2015 Zgłoś Udostępnij Opublikowano 27 Maja 2015 1. Uruchom AdwCleaner ponownie, lecz tym razem zastosuj sekwencję opcji Szukaj + Usuń. Gdy program ukończy czyszczenie: 2. Otwórz Notatnik i wklej w nim: Task: {2B249E86-CACC-4AFD-A696-5D10CD1937BA} - System32\Tasks\{50EE199C-3573-475E-9D58-842C71A1309C} => pcalua.exe -a "C:\Users\Ania\Local Settings\Application Data\Bundled software uninstaller\bi_client.exe" -c /initurl http://bi.bisrv.com/:affid:/:sid:/:uid:? /affid uninstall /id uninstall /name "Bundled software uninstaller" RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Ania\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Ania\Downloads\FRST-OlderVersion CMD: del /q C:\Users\Ania\Downloads\gm.zip Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Odnośnik do komentarza
naekana Opublikowano 27 Maja 2015 Autor Zgłoś Udostępnij Opublikowano 27 Maja 2015 fixlog w załączeniu Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 27 Maja 2015 Zgłoś Udostępnij Opublikowano 27 Maja 2015 Wszystko zrobione. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
naekana Opublikowano 27 Maja 2015 Autor Zgłoś Udostępnij Opublikowano 27 Maja 2015 Zrobione. Ślicznie dziękuję za pomoc Od czasu wyleczenia infekcji nie było samoczynnych wyłączeń, niemniej wciąż lapek się dosyć mocno nagrzewa i hałasuje. Udam się jeszcze do działu Hardware celem diagnostyki do strony sprzętowej. Odnośnik do komentarza
picasso Opublikowano 27 Maja 2015 Zgłoś Udostępnij Opublikowano 27 Maja 2015 Od czasu wyleczenia infekcji nie było samoczynnych wyłączeń, niemniej wciąż lapek się dosyć mocno nagrzewa i hałasuje. Udam się jeszcze do działu Hardware celem diagnostyki do strony sprzętowej. Tak, to dobry kierunek działań. Tutaj sprawy infekcyjne rozwiązane, więc ten temat zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi