ZielonyZoltodziob Opublikowano 28 Stycznia 2016 Zgłoś Udostępnij Opublikowano 28 Stycznia 2016 Witam, Mam jakiegoś wirusa... Zainstalowałem kilka antywirusów (w tym dllsuite) wykryły jakieś problemy, kilka trojanów. Przez 30 min było ok i nagle zaczęły wyskakiwać masowo errory. Pojawiają się procesy w dużych ilościach i ciągną dużo cpu, ram'u, sieci i dysku. Sąto procesy: Instalator systemu windows, host okna konsoli, Windows Presentation Foundation Host, Notatnik, Host usługi: system lokalny(do 20 naraz ale najmniej pobierają z wymienionych i mają trochę różniące się nazwy/ odmiany), Usługa Microsoft Distributed Transaction Coordinator, jest też kilka COM Surrogate i proces hosta dla systemu windows. Czasami te procesy znikają. Gdy je wyłączam wtedy pozostałe zwiększają pobierane zasoby lub się na tychmiast włącza nowy proces. Mam windows 8.1 Pro. Załączone screeny. Oraz logi FRST. ComboFix mi nie dziala. Gmer tez nie dziala, od razu się wyłącza. Edit Czasami blokuje wyłączenie systemu lub menadżer zadań. Zablokował Kasperski. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 6 Lutego 2016 Zgłoś Udostępnij Opublikowano 6 Lutego 2016 Temat sprzątam, usuwam logi z OTL. Ten przestarzały program nie jest tu w ogóle już brany pod uwagę. DLLSuite to program wątpliwej reputacji! Przy jego udziale można zaszkodzić jeszcze bardziej. Do takich napraw na systemach Vista i nowszych służy systemowe narzędzie SFC: KLIK. Na razie nie podejmuj czynności naprawczych tą metodą. W systemie widać adware oraz zainstalowane kolejne wątpliwe skanery SpyHunter i YAC. Działania wstępne: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware i wątpliwe programy: BrowserAir, DLL Suite 9.0, QuickSearch, SearchModule, SpyHunter 4, YAC(Yet Another Cleaner!) 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Odnośnik do komentarza
ZielonyZoltodziob Opublikowano 8 Lutego 2016 Autor Zgłoś Udostępnij Opublikowano 8 Lutego 2016 Nie mogłem odinstalować spy hunter'a (nawet to nie pomogło https://support.microsoft.com/pl-pl/mats/program_install_and_uninstall) nawet po wpisaniu 32 czy 36 znakowego kody nie znajduje. Nowe logi. FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 10 Lutego 2016 Zgłoś Udostępnij Opublikowano 10 Lutego 2016 To narzędzie Microsoftu służy tylko do usuwania rejestracji MSI produktu i nie jest dedykowane do usuwania SpyHunter. Działania do przeprowadzenia: 1. Nie odinstalowałeś adware QuickSearch. Jeśli pominąłeś to przez nieuwagę, to odinstaluj normalnie przez Panel sterowania. Jeśli natomiast był błąd deinstalacji, i tak zajmie się tym poniższy skrypt FRST. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 zcengine; C:\Program Files (x86)\QuickSearch\zcengine.exe [2435535 2016-01-28] (zcengine) [brak podpisu cyfrowego] R2 zcwfp; C:\Windows\system32\Drivers\zcwfp64.sys [46352 2016-01-11] (zcengine) S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-01-28] () S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S2 iSafeService; C:\Program Files (x86)\Elex-tech\YAC\iSafeSvc.exe [X] S2 SpyHunter 4 Service; C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe [X] CMD: netsh winsock reset CMD: type C:\Windows\System32\Tasks\IBUpd2 Task: {0B7D668B-9982-4AB1-8510-5835D835A866} - System32\Tasks\IBUpd2 => C:\Users\Piotr [2016-02-08] () Task: {AC198095-E297-4C08-B1DC-5E204A63B4E4} - \egw3017 -> Brak pliku Task: {B7B36AFD-1A17-43E1-A6CD-0F68904DEA49} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {F10DCBBA-CF96-4F43-AF64-0465735D7CE1} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\zcengine => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\zcwfp => ""="Driver" HKLM-x32\...\Run: [DLLSuite2016] => C:\Program Files (x86)\DLL Suite\DLLSuite.exe HKU\S-1-5-18\...\Run: [ZoneAlarm Windows 10 Upgrader] => "C:\ProgramData\CheckPoint\ZoneAlarm\Data\Updates\unpacked==win10=update_win10.zip\upgrade.exe" /delay HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\QuickSearch C:\END C:\Program Files (x86)\DLL Suite C:\Program Files (x86)\QuickSearch C:\sh4ldr C:\Windows\system32\zcengine64.dll C:\Windows\system32\zcengineOff.ini C:\Windows\system32\log C:\Windows\system32\Drivers\*.tmp C:\Windows\system32\Drivers\EsgScanner.sys C:\Windows\system32\Drivers\sdfhgdf.sys C:\Windows\system32\Drivers\zcwfp64.sys C:\Windows\SysWOW64\zcengine.dll C:\Windows\SysWOW64\zcengineOff.ini E:\Users\Piotr\{3f38c82a-b751-460f-97f0-9a785e951b7e}.tmp E:\Users\Piotr Nalewajko\AppData\Local\svcxdcl32.dat E:\Users\Piotr.SadBanana\AppData\Local\Google E:\Users\Piotr.SadBanana\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk E:\Users\Piotr.SadBanana\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk E:\Users\SadB\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Do usunięcia SpyHunter wykorzystaj specjalizowane narzędzie SpyHunterCleaner. 4. Są tu aż trzy konta: ==================== Konta użytkowników: ============================= Piotr (S-1-5-21-2442656019-2658457348-799937204-1001 - Administrator - Enabled) => E:\Users\Piotr.SadBanana Piotr Nalewajko (S-1-5-21-2442656019-2658457348-799937204-1002 - Administrator - Enabled) => C:\Users\Piotr Nalewajko SadB (S-1-5-21-2442656019-2658457348-799937204-1003 - Limited - Enabled) => E:\Users\SadB Jeśli nie korzystasz z pozostałych, to je usuń przy udziale Panelu sterowania. Ale jeśli są używane, zaloguj się po kolei na każde z nich poprzez pełny restart komputera, a nie opcje Wyloguj / Przełącz użytkownika, i zrób na każdym po dwa nowe logi FRST z opcji Skanuj (Scan), wliczając Addition. Na koncie limitowanym FRST uruchom przez dwuklik a nie opcją "Uruchom jako Administrator", by nie zmienić kontekstu konta. Dołącz też plik fixlog.txt. Odnośnik do komentarza
ZielonyZoltodziob Opublikowano 10 Lutego 2016 Autor Zgłoś Udostępnij Opublikowano 10 Lutego 2016 Postąpiłem zgodnie z zalecaniami, bez problemowo. Konta usunięte. Addition.txt FRST.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 10 Lutego 2016 Zgłoś Udostępnij Opublikowano 10 Lutego 2016 Wszystko pomyślnie wykonane. Kolejna porcja czynności: 1. W Google Chrome: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Ustaw Google Chrome jako domyślną przeglądarkę. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 2. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-2442656019-2658457348-799937204-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www-searching.com/?pid=s&s=G1Szamobl15047,5760a648-8657-4332-9046-87f354fc5f2b,&vp=ch&prd=set_ie SearchScopes: HKU\S-1-5-21-2442656019-2658457348-799937204-1002 -> {D781B30C-5460-4760-84E6-8193ED359A44} URL = hxxp://www-searching.com/s.ashx?prd=opensearch&q={searchTerms}&s=G1Szamobl15047,5760a648-8657-4332-9046-87f354fc5f2b, CHR HKU\S-1-5-21-2442656019-2658457348-799937204-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [jlcgehabolcakkjhgmgpkagpolbjlhfa] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 C:\Users\Piotr Nalewajko\AppData\Local\svcxdcl32.dat RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: E:\Users\Piotr RemoveDirectory: E:\Users\Piotr.SadBanana RemoveDirectory: E:\Users\SadB Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu (ale nie jest wykluczony). Przedstaw wynikowy fixlog.txt. 3. Wykonaj polecenie sfc /scannow, przefiltruj CBS.log i przedstaw końcowy log: KLIK. Odnośnik do komentarza
ZielonyZoltodziob Opublikowano 11 Lutego 2016 Autor Zgłoś Udostępnij Opublikowano 11 Lutego 2016 Podczas naprawy komputer się zrestartował. Fixlog.txt sfc.txt Odnośnik do komentarza
picasso Opublikowano 11 Lutego 2016 Zgłoś Udostępnij Opublikowano 11 Lutego 2016 Skrypt FRST pomyślnie wykonany. Narzędzie SFC nie wykryło problemów. Teraz: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Odnośnik do komentarza
ZielonyZoltodziob Opublikowano 11 Lutego 2016 Autor Zgłoś Udostępnij Opublikowano 11 Lutego 2016 Na skanie widzę tylko pozostałości po adware, jeszcze nie usunąłem. Zrobić to? AdwCleanerS3.txt Odnośnik do komentarza
picasso Opublikowano 12 Lutego 2016 Zgłoś Udostępnij Opublikowano 12 Lutego 2016 Tak, uruchom ponownie AdwCleaner, zastosuj kombinację opcji Skanuj + Usuń i przedstaw log z wynikami usuwania. Odnośnik do komentarza
ZielonyZoltodziob Opublikowano 12 Lutego 2016 Autor Zgłoś Udostępnij Opublikowano 12 Lutego 2016 Zauważyłem że eksplorator windows często się resetuje (znika mi ekran), to było chyba od początku. AdwCleanerS4.txt Odnośnik do komentarza
ZielonyZoltodziob Opublikowano 17 Lutego 2016 Autor Zgłoś Udostępnij Opublikowano 17 Lutego 2016 Wszystko w porządku? Odnośnik do komentarza
picasso Opublikowano 24 Marca 2016 Zgłoś Udostępnij Opublikowano 24 Marca 2016 Podałeś po raz drugi log z szukania AdwCleaner, miałeś dostarczyć log z usuwania. Wróć do opisu AdwCleaner jakie oznaczenie w nazwie ma log z usuwania. Poza tym, upłynęło dużo czasu, więc dla pewności zrób jeszcze świeże logi z FRST. Odnośnik do komentarza
ZielonyZoltodziob Opublikowano 30 Marca 2016 Autor Zgłoś Udostępnij Opublikowano 30 Marca 2016 Chyba wcześniej popełniłem jakiś błąd gdyż nie było wykazu usuwania. Musiałem zrobić skan+usuń ponownie. AdwCleanerC1.txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 8 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 8 Kwietnia 2016 Wszystko wygląda OK. Ostatnie kroki: 1. Otwórz Notatnik i wklej w nim: Task: {AF8F6EC3-B974-4FF9-930F-C9EF339EAFE5} - System32\Tasks\{2E182BA4-250E-457F-A7E5-9A9879CF7FA2} => c:\users\piotr nalewajko\appdata\local\browserair\application\browserair.exe FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xdp -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [brak pliku] FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xfdf -> C:\Program Files (x86)\Foxit Software\Foxit Reader\plugins\npFoxitReaderPlugin.dll [brak pliku] S3 MSICDSetup; \??\D:\CDriver64.sys [X] S3 NTIOLib_1_0_4; \??\C:\Program Files (x86)\MSI\Live Update\NTIOLib_X64.sys [X] S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). {Przedstaw wynikowyfixlog.txt. Po jego pokazaniu: 2. Zastosuj DelFix. To tyle. Odnośnik do komentarza
ZielonyZoltodziob Opublikowano 10 Kwietnia 2016 Autor Zgłoś Udostępnij Opublikowano 10 Kwietnia 2016 Chyba wszystko ok. Fixlog.txt DelFix.txt Odnośnik do komentarza
picasso Opublikowano 11 Kwietnia 2016 Zgłoś Udostępnij Opublikowano 11 Kwietnia 2016 Tak, zadania wykonane. Skasuj z Pulpitu folder frst. Temat rozwiązany. Zamykam. Odnośnik do komentarza
Rekomendowane odpowiedzi