Złapałem... Koparkę?

Fircyk · 17 Czerwca 2017

Panowie, czym to gówno odinstalować? Złapałem jakąś chorobę i za cholerę nie mogę się tego pozbyć. Jakieś rady?

17 Czerwca 2017

1. Pobierz i uruchom AdwCleaner. Najpierw kliknij na Skanuj, a po zakończeniu skanowania, jeśli narzędzie znajdzie jakiekolwiek wpisy, kliknij na Oczyść. Na zakończenie usuwania system zostanie zrestartowany.

2. Po restarcie zrób logi z FRST.

Przed skanowaniem zaznacz jak na zrzucie:

Fircyk · 18 Czerwca 2017

Przeskanowałem ADW i FRST, załączniki poniżej.

http://wklej.org/id/3203834/

Addition.txt

FRST.txt

Atak_Snajpera · 18 Czerwca 2017

.

18 Czerwca 2017

Uruchom FRST a następnie (poprzez skrót klawiszowy CTRL + Y) otwórz notatnik. Wklej w nim poniższe:

CustomCLSID: HKU\S-1-5-21-58684016-451740206-1492266724-1002_Classes\CLSID\{7DE1BE5C-CEBA-4F1D-ACBC-9CE11EE9A2A1}\localserver32 -> C:\Program Files\Autodesk\Autodesk AutoCAD Civil 3D 2014\acad.exe /Automation => Brak pliku
Shortcut: C:\Users\Piotr\AppData\Local\Microsoft\Windows\ConnectedSearch\History\site_857633829_pl.lnk -> hxxp://www.windowssearch.com:80/suggestions?qry=ipla&cc=PL&setlang=pl&inlang=pl-PL&adlt=moderate&scale=100&contrast=none&hw=1200%2C1920&CVID=2796C8C11FBA486C8956D2425A08F0A
FirewallRules: [TCP Query User{528EDFBB-2124-4617-91F8-9EF992A8B84C}C:\users\instalator\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\instalator\appdata\local\akamai\netsession_win.exe
FirewallRules: [uDP Query User{C042A6EB-ED44-4310-BAEA-D089CCD49095}C:\users\instalator\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\instalator\appdata\local\akamai\netsession_win.exe
FirewallRules: [TCP Query User{E56FCE06-12BA-4138-97F8-C7855E880D65}C:\users\instalator\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\instalator\appdata\local\akamai\netsession_win.exe
FirewallRules: [uDP Query User{A0D74F45-8E36-46D0-A97E-1C6D1294CC84}C:\users\instalator\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\instalator\appdata\local\akamai\netsession_win.exe
Reg: reg query HKLM\SYSTEM\CurrentControlSet\services\Winmgmt /s
HKLM-x32\...\Run: [] => [X]
HKLM-x32\...\RunOnce: [DeleteOnReboot] => C:\Users\INSTAL~1\AppData\Local\Temp\DeleteOnReboot.bat <===== UWAGA
C:\Users\INSTAL~1\AppData\Local\Temp\DeleteOnReboot.bat
Winlogon\Notify\igfxcui: igfxdev.dll [X]
HKU\S-1-5-21-58684016-451740206-1492266724-1002\...\Run: [{709454CF-C301-4DB3-B0B1-FD5231DC850E}] => powershell.exe -WindowStyle hidden -NoLogo -NonInteractive -ep bypass -nop iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\MSTOSHNIHII').bDsSsGFAB)))
HKU\S-1-5-21-58684016-451740206-1492266724-1002\...\Policies\Explorer: []
URLSearchHook: [s-1-5-80-2885764129-887777008-271615777-1616004480-2722851051] UWAGA => Brak domyślnego URLSearchHook
URLSearchHook: [s-1-5-80-3263513310-3392720605-1798839546-683002060-3227631582] UWAGA => Brak domyślnego URLSearchHook
URLSearchHook: [s-1-5-80-3880718306-3832830129-1677859214-2598158968-1052248003] UWAGA => Brak domyślnego URLSearchHook
URLSearchHook: [s-1-5-80-425977601-1203083412-1631309457-2457533047-3321749933] UWAGA => Brak domyślnego URLSearchHook
URLSearchHook: [s-1-5-80-997390408-2153310517-3119169589-2253446180-2226563786] UWAGA => Brak domyślnego URLSearchHook
CMD: sc config "PLAY ONLINE. RunOuc" start= demand
CMD: sc config "Mobile Partner. RunOuc" start= demand
EmptyTemp:

Poprzez skrót klawiszowy CTRL + S zapisz zmiany w notatniku a następnie w FRST kliknij na Napraw. Na zakończenie naprawy system zostanie zrestartowany. Podaj wynikowy raport (Fixlog.txt).

Jeśli masz możliwość, zrób logi z FRST na koncie Instalator.

Fircyk · 18 Czerwca 2017

Załączam to, o co prosiłeś.

Tylko, mam teraz inny problem, a to pomimo wyłączenia ochrony rzeczywistej:

http://wklej.org/id/3204248/

EDIT: OK, poradziłem sobie z tym śmieciem zajmującym zasoby. Kuźwa, żeby 4 rdzeniowy Xeon przy SSD i 8GB RAMu klęknął, bo Defender twierdził, że musi skanować i poddać kwarantannie wybrany plik. I tak w koło Macieju, pomimo tego że zaznaczyłem mu kilkukrotnie iż plik poddany kwarantannie ma zostać usunięty. Kiepski, bardzo kiepski program.

FRST.txt

Addition.txt

Fixlog.txt

18 Czerwca 2017

Na koncie Instalator:

1. Przez Panel Sterowania odinstaluj zbędny:

Akamai NetSession Interface (HKU\S-1-5-21-58684016-451740206-1492266724-1001\...\Akamai) (Version: - Akamai Technologies, Inc)

2. Uruchom FRST a następnie (poprzez skrót klawiszowy CTRL + Y) otwórz notatnik. Wklej w nim poniższe:

CloseProcesses:
Task: {45AB8801-8A25-43B5-9204-1730D9FAE58E} - System32\Tasks\Apple\AppleSoftwareUpdate => C:\Program Files (x86)\Apple Software Update\SoftwareUpdate.exe [2017-02-14] (Apple Inc.)
FirewallRules: [TCP Query User{E56FCE06-12BA-4138-97F8-C7855E880D65}C:\users\instalator\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\instalator\appdata\local\akamai\netsession_win.exe
FirewallRules: [uDP Query User{A0D74F45-8E36-46D0-A97E-1C6D1294CC84}C:\users\instalator\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\instalator\appdata\local\akamai\netsession_win.exe
FirewallRules: [TCP Query User{528EDFBB-2124-4617-91F8-9EF992A8B84C}C:\users\instalator\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\instalator\appdata\local\akamai\netsession_win.exe
FirewallRules: [uDP Query User{C042A6EB-ED44-4310-BAEA-D089CCD49095}C:\users\instalator\appdata\local\akamai\netsession_win.exe] => (Allow) C:\users\instalator\appdata\local\akamai\netsession_win.exe
HKLM-x32\...\Run: [] => [X]
HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0
HKLM\...\Policies\Explorer: [HideSCAHealth] 0
HKU\S-1-5-21-58684016-451740206-1492266724-1001\...\Run: [Akamai NetSession Interface] => C:\Users\Instalator\AppData\Local\Akamai\netsession_win.exe [4490200 2017-01-03] (Akamai Technologies, Inc.)
HKU\S-1-5-21-58684016-451740206-1492266724-1001\...\Policies\Explorer: [] 
HKU\S-1-5-21-58684016-451740206-1492266724-1001\...\Policies\Explorer: [TaskbarNoNotification] 0
HKU\S-1-5-21-58684016-451740206-1492266724-1001\...\Policies\Explorer: [HideSCAHealth] 0
URLSearchHook: [s-1-5-80-2885764129-887777008-271615777-1616004480-2722851051] UWAGA => Brak domyślnego URLSearchHook
URLSearchHook: [s-1-5-80-3263513310-3392720605-1798839546-683002060-3227631582] UWAGA => Brak domyślnego URLSearchHook
URLSearchHook: [s-1-5-80-3880718306-3832830129-1677859214-2598158968-1052248003] UWAGA => Brak domyślnego URLSearchHook
URLSearchHook: [s-1-5-80-425977601-1203083412-1631309457-2457533047-3321749933] UWAGA => Brak domyślnego URLSearchHook
URLSearchHook: [s-1-5-80-997390408-2153310517-3119169589-2253446180-2226563786] UWAGA => Brak domyślnego URLSearchHook
CMD: sc config "PLAY ONLINE. RunOuc" start= demand
CMD: sc config "Mobile Partner. RunOuc" start= demand
EmptyTemp:

Poprzez skrót klawiszowy CTRL + S zapisz zmiany w notatniku a następnie w FRST kliknij na Napraw. Na zakończenie naprawy system zostanie zrestartowany. Podaj wynikowy raport (Fixlog.txt).

Następnie sprawdź i napisz czy nadal jest problem na koncie Piotr.

Fircyk · 18 Czerwca 2017

Przede wszystkim to masakrycznie zwolniła mi przeglądarka (IE11). Łapie kosmiczne zwiechy, widzę też, że ma spore problemy z renderowaniem stron. Kiedyś ładowały się płynnie, płynnie się przewijały. Cóż... no jest... nieciekawie.

Będę chyba zmuszony do postawienia od nowa systemu, dla pewności.

EDIT: W ogóle widzę, że posypało się renderowanie stron. Otomoto jest nieczytelne, zdjęcia przewijając się klatkują; zamiast punktorów mam znaki zapytania.

Coś się konkretnie wysypało.

Atak_Snajpera · 19 Czerwca 2017

Zobacz w process hackerze co ci zjada CPU/RAM/HDD. Domyślny Task Manager to zabawka dla dzieci.

Fircyk · 19 Czerwca 2017

OK, domniemywam że padła dopałka 3D dla Internet Explorera. Opera renderuje wszystko bardzo ładnie i płynnie.

@toska78, robiłeś coś tymi skryptami związanego z IE? Wcięło również "ulubione" strony czy też inaczej "najczęściej używane". Przeglądarka nie prowadzi historii, ani nie zapamiętuje wpisanych haseł czy zalogowanych profili. IE chyba najbardziej przeżył czyszczenie systemu.

19 Czerwca 2017

W skryptach nie było nic co by mogło ingerować w funkcjonalność IE, nie licząc czyszczenia cache, cookies i historii przeglądarki. Czyszczenie zadane w FRST (poprzez polecenie EmptyTemp:) nie usuwa np. stron dodanych do ulubionych czy listy popularnych witryn otwieranej poprzez Nową kartę (CTRL + T).

Polecenie EmptyTemp: (według poradnika do FRST) odpowiada za czyszczenie:

- Windows Temp

- Folderów Temp użytkowników

- Cache, magazynów HTML5, Cookies i Historii Edge, IE, FF, Chrome i Opera (wyjątek: Historia FF nie jest usuwana)

- Cache ostatnio otwieranych plików

- Cache Flash Player

- Cache Java

- Cache HTML Steam

- Cache ikon oraz miniatur Windows Explorer

- Kolejki transferu BITS (pliki qmgr*.dat)

- Kosza

Temat został przeniesiony do archiwum

Złapałem... Koparkę?

Rekomendowane odpowiedzi

Fircyk 0

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

Gość

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

Fircyk 0

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

Atak_Snajpera 63

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

Gość

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

Fircyk 0

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

Gość

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

Fircyk 0

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

Atak_Snajpera 63

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

Fircyk 0

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

Gość

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi

Udostępnij na innych stronach

Ostatnio przeglądający 0 użytkowników

Tematy

Odpowiedzi

Aktywni użytkownicy

Przeglądaj

Aktywność