fafik Opublikowano 16 Grudnia 2015 Zgłoś Udostępnij Opublikowano 16 Grudnia 2015 Witajcie Laptop HP g6-1371ea trafił do mnie ze zrywającym połączeniem wifi i niedziałającym wiatrakiem. Po wymianie wiatraka i przeskanowaniu systemu anti-malware, znaleziono i usunięto ponad 4 tysiące niepożądanych plików. Wifi dalej szwankuje ale wydaje mi się, że jest to wina włączania laptopa bez chłodzenia, czyli przegrzane elementy płyty głównej. Internet po kablu działa, a nowy odbiornik wifi tak jak stary odbiera sygnał tylko chwilę po włączeniu laptopa, kiedy ten jest jeszcze zimny. Mimo mojej diagnozy bardzo proszę o sprawdzenie logów. Log z GMERa musiałem robić dwa razy ze względu na bluescreen. Mam zdjęcie. Win7 x64 Pozdrawiam Addition.txt FRST.txt Shortcut.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 16 Grudnia 2015 Zgłoś Udostępnij Opublikowano 16 Grudnia 2015 Nie widzę tu żadnych oznak czynnej infekcji, za wyjątkiem kilku rozszerzeń adware w Google Chrome: - W aktywnym profilu zestaw EasyDocMerge, MergeDocsOnline, PConverter. Należą one do tej grupy: KLIK. Wszystkie odinstalować. - W nieużywanym profilu Google Chrome z kolei V-bates. W Ustawienia > Ustawienia > Osoby > usuń ten cały nieużywany profil, o ile widoczny. Do usunięcia byłyby też drobne puste wpisy, ale to nie takie ważne i potem to można wdrożyć. Po wymianie wiatraka i przeskanowaniu systemu anti-malware, znaleziono i usunięto ponad 4 tysiące niepożądanych plików. Jaką etykietę miały te zagrożenia (nazwa zagrożenia) oraz jakie konkretnie ścieżki dostępu (kierunek na pliki systemowe czy programów trzecich)? Internet po kablu działa, a nowy odbiornik wifi tak jak stary odbiera sygnał tylko chwilę po włączeniu laptopa, kiedy ten jest jeszcze zimny. "Chwilę po" czyli kiedy przestaje działać Wi-fi? I czy na pewno nie ma tu nic do rzeczy Norton Internet Security? Odnośnik do komentarza
fafik Opublikowano 16 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 16 Grudnia 2015 Profil widoczny w Chromie był tylko jeden. Usunąłem cały. Z zagrożeniami, jakie zostały znalezione, będzie problem. Nie mam dostępu do kwarantanny, bo wszystko co zainstalowałem, wyrzuciłem. Działanie ograniczyło oczekiwanie na wiatrak. To były same PUPapy, żadnych robaczków. Nic więcej nie pamiętam. Ponownie dostałem laptopa bo otrzymałem odbiornik wifi. Raczej Norton to nie jest. W trybie awaryjnym rozgrzane wifi działa podobnie. Odbiornik po około 10 minutach bezczynności traci moc sygnału, aż w końcu sygnał zanika. Sygnał ginie szybciej kiedy zaczynam odtwarzać, np. youtuba. Spód laptopa w miejscu gdzie znajduje się odbiornik strasznie się grzeje. Nie spotkałem się z tym wcześniej. Odnośnik do komentarza
picasso Opublikowano 16 Grudnia 2015 Zgłoś Udostępnij Opublikowano 16 Grudnia 2015 Ponownie dostałem laptopa bo otrzymałem odbiornik wifi. Raczej Norton to nie jest. W trybie awaryjnym rozgrzane wifi działa podobnie. Odbiornik po około 10 minutach bezczynności traci moc sygnału, aż w końcu sygnał zanika. Sygnał ginie szybciej kiedy zaczynam odtwarzać, np. youtuba. Spód laptopa w miejscu gdzie znajduje się odbiornik strasznie się grzeje. Nie spotkałem się z tym wcześniej. Infekcja na pewno nie jest przyczyną. Przegrzewanie = wątek do działu Hardware. Profil widoczny w Chromie był tylko jeden. Usunąłem cały. Na dysku były dwa (zakreślone kolorem to obiekty adware), usuń ręcznie ten folder który ciągle na dysku widzisz: Chrome: ======= CHR Profile: C:\Users\ewa marcin\AppData\Local\Google\Chrome\User Data\Default CHR Extension: (Dokumenty Google) - C:\Users\ewa marcin\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2015-02-07] CHR Extension: (Dysk Google) - C:\Users\ewa marcin\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-10-23] CHR Extension: (YouTube) - C:\Users\ewa marcin\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-09-28] CHR Extension: (Norton Security Toolbar) - C:\Users\ewa marcin\AppData\Local\Google\Chrome\User Data\Default\Extensions\cjabmdjcfcfdmffimndhafhblfmpjdpe [2015-12-08] CHR Extension: (Google Search) - C:\Users\ewa marcin\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-10-27] CHR Extension: (Dokumenty Google offline) - C:\Users\ewa marcin\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2015-11-30] CHR Extension: (AdBlock) - C:\Users\ewa marcin\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2015-12-06] CHR Extension: (Norton Identity Safe) - C:\Users\ewa marcin\AppData\Local\Google\Chrome\User Data\Default\Extensions\iikflkcanblccfahdhdonehdalibjnif [2015-12-08] CHR Extension: (EasyDocMerge) - C:\Users\ewa marcin\AppData\Local\Google\Chrome\User Data\Default\Extensions\mabloidgodmbnmnhoenmhlcjkfelomgp [2015-12-06] CHR Extension: (MergeDocsOnline) - C:\Users\ewa marcin\AppData\Local\Google\Chrome\User Data\Default\Extensions\mkimopadcdhaagnolhlmcddokoaohnda [2015-12-08] CHR Extension: (PConverter) - C:\Users\ewa marcin\AppData\Local\Google\Chrome\User Data\Default\Extensions\mpkhmmacbjndakceaikggpnnnddijeen [2015-12-06] CHR Extension: (Płatności w sklepie Chrome Web Store) - C:\Users\ewa marcin\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2015-08-04] CHR Extension: (Gmail) - C:\Users\ewa marcin\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-03-28] CHR Profile: C:\Users\ewa marcin\AppData\Local\Google\Chrome\User Data\Profile 1 CHR Extension: (Docs) - C:\Users\ewa marcin\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\aohghmighlieiainnegkcijnfilokake [2013-05-15] CHR Extension: (Google Drive) - C:\Users\ewa marcin\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\apdfllckaahabafndbhieahigkjlhalf [2013-05-15] CHR Extension: (CoolPic) - C:\Users\ewa marcin\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\blcefchbfgmakifmejncnbognjoadloc [2013-11-01] CHR Extension: (YouTube) - C:\Users\ewa marcin\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2013-05-15] CHR Extension: (Google Search) - C:\Users\ewa marcin\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2013-05-15] CHR Extension: (V-bates) - C:\Users\ewa marcin\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\ljmibnagodajacnnbifpamhggcohblip [2013-11-01] CHR Extension: (Norton Identity Protection) - C:\Users\ewa marcin\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\mkfokfffehpeedafpekjeddnmnjhmcmk [2013-05-15] CHR Extension: (Gmail) - C:\Users\ewa marcin\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2013-03-15] Możesz jeszcze odinstalować zbędny HP Deskjet 3050A J611 series Product Improvement Study. I ten drobny skrypt czyszczący szczątkowe wpisy + puste skróty, w tym komponenty najwyraźniej odinstalowanego już Magic Desktop od EasyBits. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {A451C592-DFB4-4B75-8F86-4C543ECD0CBD} - \DGChrome13713 Watcher -> Brak pliku Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> Brak pliku R2 ezSharedSvc; C:\Windows\SysWOW64\ezSharedSvcHost.exe [514232 2010-04-23] (EasyBits Software AS) [brak podpisu cyfrowego] HKLM-x32\...\Run: [] => [X] HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKU\S-1-5-21-1887808651-3785465729-460270364-1001\...\Policies\system: [DisableLockWorkstation] 1 HKU\S-1-5-21-1887808651-3785465729-460270364-1001\...\Policies\system: [DisableChangePassword] 1 HKU\S-1-5-21-1887808651-3785465729-460270364-1001\...\Policies\Explorer: [NoLogoff] 1 HKU\S-1-5-21-1887808651-3785465729-460270364-1001\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Windows\system32\ezScrSvr.scr SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-1887808651-3785465729-460270364-1001 -> {e4a1ece8-ed94-4f93-80ea-75f978ceaf24} URL = BHO: HP Network Check Helper -> {E76FD755-C1BA-4DCB-9F13-99BD91223ADE} -> C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPNetworkCheck\HPNetworkCheckPluginx64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1887808651-3785465729-460270364-1001_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\ewa marcin\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku FirewallRules: [{6CB63768-49C8-46C1-96F2-2C545F728412}] => (Allow) C:\Windows\system32\ezSharedSvcHost.exe DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\ProgramData\Malwarebytes C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP Help and Support\HP Connection Manager.lnk C:\Users\ewa marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Norton\Norton Installation Files.lnk C:\Users\ewa marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Dropbox C:\Users\ewa marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Norton Internet Security.lnk C:\Users\ewa marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Norton Internet Security.lnk C:\Windows\SysWOW64\ezSharedSvcHost.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Przedstaw wynikowy fixlog.txt. Odnośnik do komentarza
fafik Opublikowano 17 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 17 Grudnia 2015 Katalogów żadnych na dysku nie znalazłem. Przypomniało mi się, że był jakiś dziwaczny profil za pierwszym razem ale zaraz poszedł do śmieci. Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 17 Grudnia 2015 Zgłoś Udostępnij Opublikowano 17 Grudnia 2015 Fix FRST wykonany. 1. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 2. Skasuj z folderu "a" na Pulpicie FRST i jego logi. Następnie zastosuj DelFix. I to tyle w zakresie czyszczenia systemu ze śmieci. Problem przegrzewania do działu Hardware. Odnośnik do komentarza
fafik Opublikowano 17 Grudnia 2015 Autor Zgłoś Udostępnij Opublikowano 17 Grudnia 2015 Wykonane. Pozdrawiam Odnośnik do komentarza
Rekomendowane odpowiedzi