-
Postów
2 329 -
Dołączył
-
Ostatnia wizyta
Treść opublikowana przez Miszel03
-
Dwa procesy bez nazwy spowalniające działanie komputera
Miszel03 odpowiedział(a) na Janas temat w Dział pomocy doraźnej
Wykonaj kopie zapasową ważnych danych. Możesz ją umieścić np. na pendrive lub w chmurze (np. Google Drive). Jak wspominałem wcześniej, system jest zainfekowany przez m.in. instalacje niepożądanych programów, fałszywy starter i profile Google Chrome, infekcje podszywającą się pod Microsoft ładowaną przez Harmonogram zadań. Przeprowadź następujące działania (zostanie wyczyszczony kosz): 1. Przez Panel Sterownia odinstaluj adware / PUP: WinZip, CPUID CPU-Z 1.71. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Subway Surfers\Subway Surfers.lnk C:\Users\Janas_\Documents\Euro Truck Simulator 2\readme.rtf.lnk C:\Users\Janas_\Documents\Corel\CorelDRAW X5 Samples\target.lnk C:\Users\User\Links\GG dysk.lnk C:\Users\User\Favorites\GG dysk.lnk C:\Users\User\Documents\MAGIX\Music Maker 2016 Premium\_Demos.LNK C:\Users\User\Documents\Euro Truck Simulator 2\readme.rtf.lnk C:\Users\User\Documents\American Truck Simulator\readme.rtf.lnk C:\Users\User\Desktop\ts3\Zombie Army Trilogy.lnk C:\Users\User\Desktop\Nowy folder\Mozilla Firefox.lnk C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\IP Search.lnk C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live for Speed\LFS Manual.lnk C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Inkscape.lnk C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Camtasia Studio 8.lnk C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Need for Speed™ Payback.lnk ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} => -> Brak pliku ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku Task: {0C2FD3F5-3721-4B52-BE3F-65D269B6871C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {3C04666D-A99A-4A2C-9CD4-1F18098F497F} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {44E764A0-B1FF-49AE-9413-244CA8FDECCC} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {78835B2B-5402-4A98-802F-1B4415445613} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {8D0E5780-6C00-4FFF-A7FD-FE56E81EB92A} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {B86C2D32-78F1-42E8-81F5-B113C4B1DB11} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {BA2487FC-FDC3-48DB-A1B8-1D395267B401} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {22D836F7-6E36-411F-B0EB-24D7A8AC2C65} - \b2929b72a96a471893ecaa9c51368bae -> Brak pliku Task: {2570D44F-AE62-45BD-A42A-2533F593B4E4} - System32\Tasks\{AD77D1E3-BA40-ADAF-55F4-C3EB5D7616AA} => "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" hxxp://cssnews.ru/cl/?guid=majpvha9gwud1b8hkey726r7ip3edefq&prid=1&pid=4_1324_0 Task: {565D36FC-8D14-45D1-AD42-5A665523300E} - System32\Tasks\{D19D6318-E7AF-9294-A596-9DD132550A1E} => C:\Users\User\AppData\Roaming\VAAoAUrvqc.exe [2018-04-12] (Microsoft Corporation) Task: {B4FBF0E8-6333-44F4-804A-6EE0DAA2F35B} - System32\Tasks\{9F79ED10-1D38-9719-13A9-149F65A1AAEA} => C:\WINDOWS\SysWOW64\OurOUbpue.exe [2018-04-12] (Microsoft Corporation) C:\Users\User\AppData\Roaming\VAAoAUrvqc.exe C:\WINDOWS\SysWOW64\OurOUbpue.exe Task: {F8078C6B-60A8-48A4-AC1A-4BA4CA6E69F6} - System32\Tasks\Ghreringuwek Center => C:\Program Files (x86)\Isakphovey\stagle.exe C:\Program Files (x86)\Isakphovey Task: {1FFB7B82-58F5-4C2C-A880-F552374CD360} - System32\Tasks\{80B5C1C8-53D6-4584-9CE2-A32CF7CC5516} => C:\Windows\system32\pcalua.exe -a H:\Setup.EXE -d H:\ Task: {56806A6F-C252-4381-9B56-5B3CD99C516C} - System32\Tasks\{7932C7BC-13D0-4885-B95F-85A5DD106600} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\Adobe\Adobe Creative Cloud\Utils\Creative Cloud Uninstaller.exe" Task: {6BA559FA-C556-4041-9A96-BF44E1FC2701} - System32\Tasks\{70E078F2-E1AC-4E3C-8A78-D838764D1339} => C:\Windows\system32\pcalua.exe -a H:\SETUP.EXE -d H:\ Task: {7D384A1F-782C-4237-B260-2C0A20557970} - System32\Tasks\{B8FB0B99-33AE-4530-873D-E4B50455B7CB} => C:\Windows\system32\pcalua.exe -a "E:\Program Files (x86)\Hi-Rez Studios\HiRezGamesDiagAndSupport.exe" -c uninstall=all Task: {9DFBFB26-D2F0-46B2-8A4F-13A1DB9E58CC} - System32\Tasks\{AA423090-5942-4573-A187-ACE9724185D1} => C:\Windows\system32\pcalua.exe -a "E:\Official Heroes-Awaken Tutorial-Client\Uninstaller.exe" -d "E:\Official Heroes-Awaken Tutorial-Client" Task: {B7FE48BC-D91F-4526-BF94-5491561B48C9} - System32\Tasks\{9D29C43C-A370-43A8-890D-E40A8DEA1E7C} => C:\Windows\system32\pcalua.exe -a H:\EasySetupAssistant\EasySetupAssistant.exe -d H:\EasySetupAssistant Task: {CB03E46A-5C64-49BE-9173-B2CF080B288C} - System32\Tasks\{99477868-9BE1-4FBF-A185-059FD7510EED} => C:\Windows\system32\pcalua.exe -a "C:\Users\User\Downloads\Nero Free 9.4.12.3d [1].exe" Task: {DCEA9343-AFC8-4E8D-AC2F-CBC53C182092} - System32\Tasks\{E68D69B7-2E4F-440A-A059-79FA28173E22} => C:\Windows\system32\pcalua.exe -a M:\Setup.EXE -d M:\ C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Program uruchamiający aplikacje Chrome.lnk C:\Users\User\AppData\Local\Google\Chrome\User Data\Program uruchamiający aplikacje Chrome.lnk C:\Users\User\AppData\Local\vufshwpelyreemicult C:\Users\User\AppData\Local\prevuchnirolyghucult HKU\S-1-5-21-1149130239-293295334-1913617585-1000\Software\Classes\regfile: regedit.exe "%1" HKU\S-1-5-21-1149130239-293295334-1913617585-1000\...\Policies\Explorer: [NolowDiskSpaceChecks] 1 GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = S3 mracsvc; C:\Windows\System32\mracsvc.exe [5444824 2017-10-22] (LLC Mail.Ru) S3 mracdrv; C:\WINDOWS\System32\drivers\mracdrv.sys [4933888 2017-10-22] (LLC Mail.Ru) C:\Windows\System32\mracsvc.exe C:\WINDOWS\System32\drivers\mracdrv.sys U3 idsvc; Brak ImagePath CMD: netsh advfirewall reset CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\User\AppData\Local CMD: dir /a C:\Users\User\AppData\LocalLow CMD: dir /a C:\Users\User\AppData\Roaming DeleteKey: HKU\S-1-5-21\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 3. Otwórz Google Chrome następnie: Ustawienia > Osoby > Zarządzaj innymi osobami > Dodaj Osobę > Załóż czysty profil > ponownie wejdź do sekcji Osoby i skasuj wszystkie stare profile. Utracisz wszystkie dane z tej przeglądarki, więc jeśli potrzebne wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. 4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware (masz zainstalowany, więc upewnij się, że program i baza danych jest aktualna). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. -
Dwa procesy bez nazwy spowalniające działanie komputera
Miszel03 odpowiedział(a) na Janas temat w Dział pomocy doraźnej
Raporty mają być bez dat, tzn. nie z archiwalnego C:\FRST, a z miejsca, w którym FRST został uruchomiony. Brak dat jest potwierdzeniem dla mnie, że nie nowszych raportów. P.S: Jutro rozpocznie się proces aktualizacji forum, który może potrwać nawet kilka dni. Teoretycznie gdybyśmy się sprężyli to może dzisiaj by się udało jeszcze Ci pomóc. Powiedz co o tym sądzisz (nie zagwarantuje, że dzisiaj się uda doprowadzić system do ładu), jeśli sprawa jest priorytetowa (po tych raportach już widzę, że system jest zainfekowany) mogę odesłać do innego specjalisty. -
MediFire niestety zablokował paczkę, a szkoda, bo plan był taki, by próbki z kwarantanny przesłać firmom zajmującym się tworzeniem oprogramowania zabezpieczającego. Nie będę już zajmował więcej czasu (jeśli paczka wciąż na dysku = skasować z ominięciem kosza). Pozdrowienia.
-
Wszystko pomyślnie wykonane. Infekcja usunięta. Miło mi, że mogłem pomóc. 1. Przez SHIFT + DELETE (omijanie kosza) skasuj szczątkowy plik malware C:\Program Files (x86)\Common Files\yiRiTEvCdquXO.exe Gdyby była możliwość miałbym prośbę: czy możesz spakować folder C:\FRST\Quarantine i wstawić go jako załącznik (lub na hosting, np. MediaFire)? 2. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. W razie pytań pozostaje do dyspozycji.
-
Widoczna infekcja podszywająca się pod Microsoft i ładowana przez Harmonogram zadań oraz wykorzystująca wiersz poleceń. Dezynfekcja (zostanie również wyczyszczony kosz): 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Task: {56CE1001-9564-4184-B592-720736739B74} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku Task: {809FC168-22B2-4F86-83A1-5250CC3A23B6} - System32\Tasks\{A80FE8B4-ECB0-4F36-6D66-169CBF405EF3} => C:\WINDOWS\SysWOW64\etUopUqNyomu.exe [1601-01-03] (Microsoft Corporation) Task: {96BF1EFA-3FCB-48B0-B4D4-394F9E4E9D95} - System32\Tasks\{2A31C575-A808-A445-6127-08ECBF718AA3} => C:\Users\Paweł\AppData\Local\VjYoUCAysY.exe [1601-01-03] (Microsoft Corporation) C:\WINDOWS\SysWOW64\etUopUqNyomu.exe C:\Users\Paweł\AppData\Local\VjYoUCAysY.exe HKU\S-1-5-21-364653239-3699781212-3866580074-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundMixer.exe" 2>NUL | find /I /N "SoundMixer.exe">NUL && exit & if exist "C:\Users\Paweł\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" ( start /MIN "" "C:\Users\Paweł\AppData\Roaming\Microsoft\SoundMixer\SoundMixer.exe" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) C:\Users\Paweł\AppData\Roaming\Microsoft\SoundMixer Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware (masz zainstalowany, więc upewnij się, że program i baza danych jest aktualna). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.
-
Procesy "system" i "msinfo32.exe" - po 50% zużycia CPU
Miszel03 odpowiedział(a) na SwiezeWinogrono temat w Windows XP
Raporty nie wykazują oznak infekcji. 1. Zrób całościowy skan za pomocą Malwarebytes AntiMalware i pokaż wyniki. 2. Obciążenie procesu SYSTEM może sugerować sterowniki. Nie jest tu wykluczony COMODO Antivirus i dobrze się upewnij, że nie ma nic do rzeczy. Tzn. wykonaj testową deinstalację. 3. Sprawdź czy problem występuje w stanie czystego rozruchu: KB331796. -
Dwa procesy bez nazwy spowalniające działanie komputera
Miszel03 odpowiedział(a) na Janas temat w Dział pomocy doraźnej
Raporty uzupełnione, ale niepoprawnie. Brakuje loga Shortcut. Po za tym: Uruchomiony przez User (administrator) USER-KOMPUTER (31-07-2018 19:22:49) Są sprzed 3 dni co czyni je kompletnie nieaktualnymi. Rezultaty skanowania Farbar Recovery Scan Tool (FRST) (x64) Wersja: 21.07.2018 Najnowsza wersja jest z pierwszego sierpnia (KLIK). -
Ibiza, sterownik malware został już odnaleziony (picasso zadała go do usunięcia w swoim poście). To on jest przyczyną tego przekierunkowania.
-
HKLM Group Policy restriction on software: C:\Program Files\WinZip HKLM Group Policy restriction on software: C:\Program Files (x86)\WinZip HKLM Group Policy restriction on software: C:\Program Files (x86)\WinRAR HKLM Group Policy restriction on software: C:\Program Files (x86)\CCleaner HKLM Group Policy restriction on software: C:\Program Files\CCleaner Czy powyższe polityki miały jakiś konkretny cel / uzasadnienie. używałeś ich do czegoś? Zostały skasowane. Wcześniej wspominałem o "drobnej diagnostyce grup polityk" - te zadania to standard systemów Windows 8 i nowszych, jeśli zostanie użyta funkcja Grup polityk, a służą one do odświeżania zasad. Nie ma się więc czym martwić. Przypuszczalnie były powiązane z przytoczonymi tu politykami. Miło mi, że mogłem pomóc. Jeśli nie masz więcej pytań przejdź do finalizacji: zastosuj DelFix oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. Debugger ustawiony na svchost nie jest normalny, więc martwi mnie. To może być rezultat działania malware / adware, ale oczywiście nie wykluczone, że są jakieś wyjątki od reguły.
-
Dwa procesy bez nazwy spowalniające działanie komputera
Miszel03 odpowiedział(a) na Janas temat w Dział pomocy doraźnej
Proszę dostosować temat do zasad działu. -
Infekcja pomyślnie usunięta. Te poniższe blokady typu Debbuger to Twoja modyfikacja? IFEO\psexec.exe: [Debugger] svchost.exe IFEO\psexesvc.exe: [Debugger] svchost.exe IFEO\wmic.exe: [Debugger] svchost.exe Pytam, bo coś je odtwarza. Usunę je jeszcze raz. Poprawki + drobna diagnostyka grup polityk: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\GPL License.lnk IFEO\psexec.exe: [Debugger] svchost.exe IFEO\psexesvc.exe: [Debugger] svchost.exe IFEO\wmic.exe: [Debugger] svchost.exe CMD: type C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{A7719E0F-10DB-4640-AD8C-490CC6AD5202} CMD: type C:\Windows\System32\Tasks\Microsoft\Windows\GroupPolicy\{3E0A038B-D834-4930-9981-E89C9BFF83AA} Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 2. Przedstaw plik Fixlog i zrób nowy log FRST w celu oceny.
-
PROCESY W TLE, KOPIOWANIE WOLUMINÓW I NASŁUCHUJĄCE PORTY
Miszel03 odpowiedział(a) na malaga2206 temat w Dział pomocy doraźnej
Plik Hosts został pomyślnie przywrócony. Proszę również zabezpieczyć system, przy wyborze sugeruję skorzystać z Lista darmowych i komercyjnych programów zabezpieczających. Z mojej strony to by było na tyle. Czy w czymś jeszcze mogę pomóc? Szkoda jednak, że nie odpowiedziałeś mi konkretnie na zadane pytanie. -
System jest zainfekowany przez Trojan:Win32/Fuery.B!cl. Detekcja ta została zarejestrowana przez Windows Defender, ale raporty wciąż wskazują na to, że jest aktywna usługa Trojana (w lokalizacji C:\ProgramData\D1C36853). Przypuszczalnie została usunięta tylko biblioteka / moduł C:\ProgramData\D1C36853\D1C36832.dll bez usługi, która teraz próbując załadować skasowany komponent zwraca błąd. Przeprowadź następujące działania celem usunięcia infekcji (zostanie wyczyszczony również kosz): 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\AFPL License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\FairPlay License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\GPL License.lnk C:\Users\awojtysiak\Desktop\Aktualizacja Fertigung.lnk C:\Users\awojtysiak\Desktop\Skrót do KSIĘGOWOŚĆ NIP, REGON, KRS.lnk C:\Users\awojtysiak\Desktop\Nieużywane skróty pulpitu\Adobe Reader 7.0.lnk C:\Users\awojtysiak\Desktop\Nieużywane skróty pulpitu\Brava! Reader.lnk C:\Users\awojtysiak\Desktop\Nieużywane skróty pulpitu\Exact Globe 2003 Enterprise.lnk C:\Users\awojtysiak\Desktop\Nieużywane skróty pulpitu\Fertigung 2005a.lnk C:\Users\awojtysiak\Desktop\Nieużywane skróty pulpitu\Mozilla Firefox.lnk C:\Users\awojtysiak\Desktop\Nieużywane skróty pulpitu\Reorganisation.lnk C:\Users\awojtysiak\Desktop\Nieużywane skróty pulpitu\Skrót do kooperacja.lnk C:\Users\awojtysiak\Desktop\Nieużywane skróty pulpitu\Skype.lnk C:\Users\awojtysiak\Desktop\Nieużywane skróty pulpitu\TimoCom TRUCK & CARGO.lnk C:\Users\awojtysiak\Desktop\Nieużywane skróty pulpitu\zlecenie transportowe.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dropbox\Dropbox Website.URL ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku R2 D1C36853; C:\ProgramData\D1C36853\D1C36864.dll [2871824 2018-07-19] () [brak podpisu cyfrowego] Folder: C:\ProgramData\D1C36853 C:\ProgramData\D1C36853 S3 dbx; system32\DRIVERS\dbx.sys [X] HKLM Group Policy restriction on software: C:\Program Files\WinZip HKLM Group Policy restriction on software: C:\Program Files (x86)\WinZip HKLM Group Policy restriction on software: C:\Program Files (x86)\WinRAR HKLM Group Policy restriction on software: C:\Program Files (x86)\CCleaner HKLM Group Policy restriction on software: C:\Program Files\CCleaner IFEO\psexec.exe: [Debugger] svchost.exe IFEO\psexesvc.exe: [Debugger] svchost.exe IFEO\wmic.exe: [Debugger] svchost.exe Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. W razie pytań pozostaje do dyspozycji.
-
Procesy "system" i "msinfo32.exe" - po 50% zużycia CPU
Miszel03 odpowiedział(a) na SwiezeWinogrono temat w Windows XP
Faktyczne proces już nie był tak zasobożerny = czy to oznacza, że można normalnie użytkować system jak przed wystąpieniem problemu? Z tym, że nie wiadomo czy to rzeczywiście sama przeglądarka powodowała obciążenie, a być może doinstalowane rozszerzenie. Spróbuj zainstalować Mozilla FireFox i pozostawić ją w stanie surowym (tj. bez żadnych modyfikacji z Twojej strony). Powiedz czy owe obciążenie podczas przeglądania Internetu też ma miejsce. Wykonaj też i przedstaw raporty FRST, by wykluczyć infekcję i konflikty oprogramowania. -
PROCESY W TLE, KOPIOWANIE WOLUMINÓW I NASŁUCHUJĄCE PORTY
Miszel03 odpowiedział(a) na malaga2206 temat w Dział pomocy doraźnej
Raporty nie wykazują oznak infekcji, zresztą system został przeinstalowany, więc szczerze wątpię by cokolwiek było w systemie. Jest widoczna tylko jedna nieprawidłowość - brak pliku Hosts w domyślnym katalogu. Odtwórz go: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku Hosts: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Komentując zaś treść reszty tematu: Co masz na myśli? Rucek już o to pytał - proszę o odpowiedź. Nie widzę niczego niepokojącego, ale powiedz skąd pomysł zamieszczania tych danych? Zastanawia Cię coś konkretnie tutaj? -
73. Rocznica Powstania Warszawskiego | 74. Rocznica Powstania Warszawskiego
Miszel03 odpowiedział(a) na Miszel03 temat w "Relaxation Room"
Dziś obchodzimy 74 już rocznice wybuchu Powstania Warszawskiego. Pamiętajmy! SPOT Fundacja_PFN -
Wirusy i trojany wolna praca przeglądarki
Miszel03 odpowiedział(a) na leliwka temat w Dział pomocy doraźnej
Zbyt mało informacji o tym co robiłaś przed wystąpieniem problemu, by powiedzieć dlaczego tak się stało. Podam instrukcję przywrócenia: Start > Panel Sterowania > Zegar, język i region > Region i język > zakładka Klawiatury i języki > kliknij przycisk Zmień klawiatury > przejdź do zakładki Pasek języka > zaznacz Dokowany na pasku zadań > kliknij Zastosuj i OK. Zmiany powinny być widoczne od razu, sugeruję jednak uruchomić komputer ponownie by sprawdzić czy problem został rozwiązany. W razie pytań pozostaję do dyspozycji. -
Problem Google ( Custom Search)
Miszel03 odpowiedział(a) na Glados1233 temat w Dział pomocy doraźnej
Zgłosił się kolejny użytkownik - Custom Search Engine Google. Jestem w trakcie analizy jego raportów, muszę dodatkowo wykonać tzw. analizę porównawczą i znaleźć punkt wspólny, by móc ustalić przyczynę. -
Wirusy i trojany wolna praca przeglądarki
Miszel03 odpowiedział(a) na leliwka temat w Dział pomocy doraźnej
Microsoft Security Essentials odnalazł zagrożenia w kwarantannie AdwCleaner. Nie ma się czym przejmować. -
Problem Google ( Custom Search)
Miszel03 odpowiedział(a) na Glados1233 temat w Dział pomocy doraźnej
Kolejnym podejrzanym może być µTorrent - ma zintegrowane adware preaktywowane po określonym czasie. Odinstaluj go na próbę, ponów reset synchronizacji i reinstalacje. W zamian możesz zainstalować qBitTorrent. -
Problem Google ( Custom Search)
Miszel03 odpowiedział(a) na Glados1233 temat w Dział pomocy doraźnej
Walczymy dalej. Naszym problemem jest to by wykryć co odtwarza tą wyszukiwarkę. Po ponownej analizie raportów wraz z picasso doszliśmy do tego, że największe podejrzenia budzi aktywny Tencent: Tencent Gaming Buddy (HKLM-x32\...\MobileGamePC) (Version: 1.0.0.1 - Tencent Technology Company) R2 QMEmulatorService; C:\Program Files\TxGameAssistant\AppMarket\QMEmulatorService.exe [342776 2018-05-24] (Tencent) R2 aow_drv; C:\Program Files\TxGameAssistant\UI\aow_drv_x64.sys [785456 2018-05-25] (Tencent) Tencent to marka nieciesząca się dobrą reputacją, bardzo często tu na forum zgłaszana przez użytkowników jako "złośliwe oprogramowanie ładowane do systemu metodą nachalnych reklam / instalatorów". Przeprowadź deinstalacje: Tencent Gaming Buddy, następnie zresetuj synchronizacje i przeinstaluj Google Chrome. Napisz czy to coś dało. -
Problem Google ( Custom Search)
Miszel03 odpowiedział(a) na Glados1233 temat w Dział pomocy doraźnej
Ustawienia > Osoby > Synchronizacja > Ustaw opcje tak jak na załączonym zrzucie ekranu: ...następnie poniżej odnajdź zakładkę Zarządzaj synchronizowanymi danymi w Panelu Google i przejdź tam, zjedź na sam spód i kliknij Resetuj synchronizację. Ponownie przystąp do reinstalacji Google Chrome wg wcześniej podanej insturkcji. Napisz jak ma się sprawa po tej akcji. Zrób też nowy zestaw raportów FRST (wg opcji w tym temacie). -
Problem Google ( Custom Search)
Miszel03 odpowiedział(a) na Glados1233 temat w Dział pomocy doraźnej
Jesteś pewny, że wcześniej zresetowałeś synchronizacje przyciskiem Resetuj synchronizacje? -
Problem Google ( Custom Search)
Miszel03 odpowiedział(a) na Glados1233 temat w Dział pomocy doraźnej
Został tylko ten problem (reszta infekcji usunięta), więc podejdziemy do niego ogólnikowo - wymagana kompleksowa reinstalacja przeglądarki: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. Po tej akcji sprawdź rezultat.