Skocz do zawartości
Artistwolf

Prawdopodobna infekcja

Rekomendowane odpowiedzi

Witam,

 

kolega napisał do mnie z prośbą o pomoc. Prawdopodobnie ma jakąś infekcję/adware.

Objawy są następujące: problemy w przeglądarce - wyskakujące strony, zmieniające się adresy,

mocno lagujący Media Player (do tego stopnia, że wykrzacza cały system), od czasu do czasu bluescreeny.

Być może częściowo jest to wina sterowników, przypuszczam jednak, że jakaś infekcja jest ze względu na problemy z przeglądarką.

Przesyłam logi z FRST:

FRST

Addition

 

Będę wdzięczny za pomoc.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

1) Odinstaluj te programy:

Click Caption 1.10.0.2 (HKLM-x32\...\ClickCaption_1.10.0.2) (Version: 1.10.0.2 - ClickCaption) <==== ATTENTION

Dynamo Combo (HKLM\...\Dynamo Combo) (Version: 2015.01.14.152314 - Dynamo Combo) <==== ATTENTION!

PennyBee (HKLM-x32\...\PennyBee) (Version: 1.0.1.1 - PennyBee) <==== ATTENTION!

 

2) Użyj >Adw-cleaner

najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.

Pokaż raport z niego C:\AdwCleaner\AdwCleaner.txt

 

3) Otwórz Notatnik i wklej w nim:

2014-07-30 12:30 - 2014-07-30 12:30 - 00057856 _____ () C:\Program Files (x86)\PennyBee\PennyBee.exe

2014-07-30 12:33 - 2014-07-30 12:33 - 00074624 _____ () C:\Program Files (x86)\PennyBee\PennyBeeW.exe

2015-01-14 16:27 - 2015-02-01 14:27 - 00673008 _____ () C:\Program Files (x86)\Dynamo Combo\updateDynamoCombo.exe

2015-01-14 21:48 - 2015-02-01 14:28 - 00673008 _____ () C:\Program Files (x86)\Dynamo Combo\bin\utilDynamoCombo.exe

2015-01-28 09:35 - 2015-01-31 19:25 - 00353008 _____ () C:\Program Files (x86)\Dynamo Combo\bin\DynamoCombo.PurBrowse64.exe

2015-01-14 21:49 - 2015-02-01 04:24 - 00104176 _____ () C:\Program Files (x86)\Dynamo Combo\bin\DynamoCombo.BrowserAdapter.exe

2015-01-14 21:49 - 2015-02-01 04:24 - 00121584 _____ () C:\Program Files (x86)\Dynamo Combo\bin\DynamoCombo.BrowserAdapter64.exe

2015-01-14 21:49 - 2015-01-31 19:25 - 00101616 _____ () C:\Program Files (x86)\Dynamo Combo\bin\DynamoCombo.expext.exe

2015-01-14 21:49 - 2015-01-30 18:00 - 01649904 _____ () C:\Program Files (x86)\Dynamo Combo\bin\DynamoCombo.BOASHelper.exe

2014-07-30 12:33 - 2014-07-30 12:33 - 00157056 _____ () C:\Program Files (x86)\PennyBee\Smartbar.Resources.HistoryAndStatsWrapper.dll

2014-07-30 12:34 - 2014-07-30 12:34 - 00068480 _____ () C:\Program Files (x86)\PennyBee\srut.dll

2014-07-30 12:33 - 2014-07-30 12:33 - 00025472 _____ () C:\Program Files (x86)\PennyBee\ProxySettings.dll

2014-07-30 12:33 - 2014-07-30 12:33 - 00045440 _____ () C:\Program Files (x86)\PennyBee\Smartbar.Monetization.Proxy.ProxyService.dll

2014-07-30 12:33 - 2014-07-30 12:33 - 00051584 _____ () C:\Program Files (x86)\PennyBee\Proxy.Lib.dll

2015-01-14 21:49 - 2015-01-31 19:25 - 00082160 _____ () C:\Program Files (x86)\Dynamo Combo\bin\DynamoCombo.expextdll.dll

C:\Program Files (x86)\PennyBee

C:\Program Files (x86)\Dynamo Combo

C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe

C:\ProgramData\WindowsMangerProtect

C:\Program Files (x86)\ClickCaption_1.10.0.2\Service\ccsvc.exe

C:\Program Files (x86)\ClickCaption_1.10.0.2

GroupPolicy: Group Policy on Chrome detected <======= ATTENTION

CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION

HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1419616203&from=cor&uid=WDCXWD10JPVT-24A1YT0_WD-WX71E33YWV53YWV53&q={searchTerms}

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1419616203&from=cor&uid=WDCXWD10JPVT-24A1YT0_WD-WX71E33YWV53YWV53&q={searchTerms}

HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419616203&from=cor&uid=WDCXWD10JPVT-24A1YT0_WD-WX71E33YWV53YWV53&q={searchTerms}

HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419616203&from=cor&uid=WDCXWD10JPVT-24A1YT0_WD-WX71E33YWV53YWV53&q={searchTerms}

BHO: ClickCaption -> {A18EA34C-6D33-4298-8A54-7F16499904C0} -> C:\Program Files\ClickCaption_1.10.0.2\IE\ClickCaptionClientIE.dll (ClickCaption)

BHO-x32: Dynamo Combo 1.0.0.7 -> {986c37a1-7b65-476f-80dc-54f80bd4b0d6} -> C:\Program Files (x86)\Dynamo Combo\DynamoComboBHO.dll (Dynamo Combo)

BHO-x32: ClickCaption -> {A18EA34C-6D33-4298-8A54-7F16499904C0} -> C:\Program Files (x86)\ClickCaption_1.10.0.2\IE\ClickCaptionClientIE.dll (ClickCaption)

StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://isearch.omiga-plus.com/?type=sc&ts=1419616203&from=cor&uid=WDCXWD10JPVT-24A1YT0_WD-WX71E33YWV53YWV53

R2 PennyBee; C:\Program Files (x86)\PennyBee\PennyBee.exe [57856 2014-07-30] () [File not signed] <==== ATTENTION

R2 Update Dynamo Combo; C:\Program Files (x86)\Dynamo Combo\updateDynamoCombo.exe [673008 2015-02-01] ()

R2 Util Dynamo Combo; C:\Program Files (x86)\Dynamo Combo\bin\utilDynamoCombo.exe [673008 2015-02-01] ()

R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [485888 2014-12-26] (Fuyu LIMITED) [File not signed]

S2 Update Faster Light; "C:\Program Files (x86)\Faster Light\updateFasterLight.exe" [X]

S2 Util Faster Light; "C:\Program Files (x86)\Faster Light\bin\utilFasterLight.exe" [X]

R1 {16a92140-918d-4afb-9edb-46f22437bb10}w64; C:\Windows\System32\drivers\{16a92140-918d-4afb-9edb-46f22437bb10}w64.sys [48792 2015-01-26] (StdLib)

R1 {3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}w64; C:\Windows\System32\drivers\{3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}w64.sys [48784 2015-01-31] (StdLib)

R1 {ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}w64; C:\Windows\System32\drivers\{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}w64.sys [48792 2015-01-14] (StdLib)

R1 {ecd6aae4-019c-44b2-a0e5-570904275d66}w64; C:\Windows\System32\drivers\{ecd6aae4-019c-44b2-a0e5-570904275d66}w64.sys [48792 2015-01-16] (StdLib)

R1 {f17a6425-9752-4042-9063-36eef24d8b77}Gw64; C:\Windows\System32\drivers\{f17a6425-9752-4042-9063-36eef24d8b77}Gw64.sys [48792 2014-12-25] (StdLib)

C:\WINDOWS\system32\Drivers\{3bcf4f2c-0bbb-4d4c-bf1f-11bbe6d501ea}w64.sys

C:\WINDOWS\system32\Drivers\{16a92140-918d-4afb-9edb-46f22437bb10}w64.sys

C:\WINDOWS\Minidump\011715-26390-01.dmp

C:\WINDOWS\system32\Drivers\{ecd6aae4-019c-44b2-a0e5-570904275d66}w64.sys

C:\WINDOWS\system32\Drivers\{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}w64.sys

C:\WINDOWS\Minidump\011015-21359-01.dmp

C:\Program Files (x86)\Faster Light

EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij przycisk Fix.

Powstanie plik fixlog.txt.

Daj ten log.

 

4) Zrób nowe logi FRST.

 

5) Napisz, czy problem znikł?

 

F.

Edytowane przez filutka78

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Przesyłam część logów - trochę powoli to idzie ze względu na to, że nie mam fizycznego dostępu do komputera.

 

Brak mi jeszcze ostatniego loga z FRST, postaram się go dodać jutro.

 

AdwCleanerS1

 

FRST fixlog

 

Zarówno po usuwaniu w Adw-cleanerze i po fixie z FRST komputer się restartował strasznie długo - zawieszenie na czarnym ekranie.

Edytowane przez Artistwolf

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach
# AdwCleaner v3.301 - Log utworzony 29/07/2014 o 22:54:58

ten log niepotrzebny

 

teraz jeszcze nowe logi z FRST

 

F.

Edytowane przez filutka78

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

W nowych logach nie ma niczego podejrzanego, więc powinno już być OK.

 

Kończymy:

 

W Adw-Cleaner kliknij na przycisk Odinstaluj (UNINSTALL).

 

Otwórz Notatnik i wklej w nim:

DeleteQuarantine:

Plik zapisz pod nazwą fixlist.txt i umieść obok FRST. Uruchom FRST i kliknij w Fix.

przez SHIFT+DEL usuń pozostały folder C:\FRST

 

F.

Udostępnij tę odpowiedź


Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

  • Tematy

  • Odpowiedzi

    • no jaki piękny bezgłośny piekarniczek  100'C z ukrytymi voltami na wykresie , z celowo pominiętymi i utytymi zegarami pamiątek na wykresie  , z 1317mhz skręconymi na 1272mhz,  , byle się nie ugotowały. https://www.3dmark.com/3dm/78525824?  tu było 1317mhz na pamiątkach , ale rozumiem wstydzisz się 100'C + /1650rpm, czy może karcioszka się wysypywała ? 1650rpm do snu uśpi i wrzątek na kawkę poranną zapewni MEEEEGAAA COOOOMBO !!!!!  YOU WIN ONE AFRICAN DOLLAR !!!! 🎇 a wracając do tematu , gdzie te pętle w PR z bajki o 250W , 1100rpm , dobrych temperaturach i zero strat FPS ? ach nic z bajki nie zostało , ani 250W - "wyjszedło" jednak 300W , ani 1100rpm , zostało 96'C  na pamiątkach zdławionych do 1272@1650rpm i na testach 300W w PR 7% straty FPS, teraz trzeba preparować testy  ze skręconymi zegarami , pochowanymi napięciami , byle pamiątki na 100'C nie wchodziły przy bezgłośnych 1650rpm do Pana również leci nagroda Darwina za samozaoranie 🤜 obawiam się jednak że związek bajkopisarzy i mitomanów zielonych , odbierze nagrodę Rumcajsa za nieobronienie bajki o bezstratnym uv na zielonych kartach
    • No teoretycznie tak, tylko w praktyce chyba żadna prywatna instytucja nie weryfikuje statusu dokumentu w bazie.
    • Oryginalny Pad 189 : https://allegro.pl/oferta/kontroler-bezprzewodowy-xbox-series-x-s-czarny-12503351679 Oryginalny Akumulator 89:  https://allegro.pl/oferta/ladowarka-microsoft-play-charge-xbox-series-x-12503361083
    • Forum jest od tego, by dyskutować. Pozwolę zatem sobie samemu zadecydować, o czym napiszę.   Tak więc w kwestii komunikacji -  Przed pandemią u mnie do roboty większość docierała rowerami, hulajnogami i komunikacją miejską. Często ludzie z zarobkami po kilkanaście k miesięcznie na rękę i w górę, którzy mają dobre samochody, a jednak im korona z głowy nie spadła, gdy korzystali z innych środków transportu. Młodzi nie mogą? Uwierz, że w dojazd do centrum dużego miasta komunikacją miejską to często mniejsze zło. No chyba że ktoś woli godzinkę postać w korku. Ja wolę kwadrans w tramwaju, nawet jeśli będzie mniej komfortowo. Do tego przez ten kwadrans mogę zacząć pracować na telefonie (ogarnięcie, maili, komunikatora, itp), więc w sumie cała godzina do przodu.
    • Jest mniej wykastrowanym dyskiem, kosztuje mniej bo to jednak ich budżetowa linia oraz zapewne mają niższe marże niż Samsung który lubi się wysoko cenić.
  • Aktywni użytkownicy

×
×
  • Dodaj nową pozycję...