Proszę o pomoc z usługami Win 10 (64bit) Lenovo Y50

Wszystko co dotyczy bezpieczeństwa systemów oraz walki z malware, w szczególności analiza logów
Uther268

Użytkownik
Posty: 6
Rejestracja: 10 maja 2016, 10:52

Proszę o pomoc z usługami Win 10 (64bit) Lenovo Y50

Post10 maja 2016, 12:03

Witam wszystkich.

Zacznę od opisu tego co się stało aby każdy miał pogląd o co mi chodzi.

Pobierałem na komputer dla syna pewne DLC do jednej z jego gier…(zaznaczam ze owe DLC było darmowym DLC więc nie ma tutaj mowy o żadnym piractwie, wspominam o tym z racji na to ze na innym forum mój post poszedł ordynarnie do śmietnika jak się poźniej okazało niesłusznie) …okazało się ze owy plik miał w sobie dziesiątki złośliwych aplikacji które zainstalowały się bez mojej zgody. Stwierdziłem ze za dużo zachodu będzie z usuwaniem niektórych ponieważ ciągle same się włączały przez co uniemożliwiały usunięcie bo ciągle były używane. Stwierdziłem więc ze uruchomie Przywracanie systemu do stanu z przed tygodnia też tak zrobiłem system przywrócił się do stanu z przed tygodnia poprawnie, lecz zaraz po pierwszym uruchmieniu systemu po zakończonym pomyślnie przywracaniu zobaczyłem ze mój dysk jest używany w 100% wraz z pamięcią. Sądziłem ze to system sam musi sobie poindeksować pliki po tym wszystkim i zostawiłem kompa na pare godzin aby sobie sam to poukładał lecz nie wiele się zmieniło. Pamięc jest ciągle zuzywana do około 35% a dysk czasem skacze do 100% martwią mnie dziesiątki usług tak zwanych svchost.exe które ciągle sa uruchomione co jest powodem zamulenia oraz pare innych procesów których wczesniej nie było.

Oto dwa zdjęcia z menadżera zadań.

Dostępne tylko dla zarejestrowanych użytkowników [fotosik.pl]

Dostępne tylko dla zarejestrowanych użytkowników [fotosik.pl]



Jestem również w trakcie instalacji 30 dniowej wersji antywirusa Kaspersky w celu sprawdzenia czy to może nie jakieś wirusy dla pewności. Po dokończeniu skanowania znalazło 4 wirusy o wysokim zagrożeniu wszystkie zostały usunięte lecz to nie one były powodem tego zamulenia.



Dołączam również w razie potrzeby raporty z Farbar Recovery Scan Tool poniżej linki:


Rezultaty skanowania Farbar:
Dostępne tylko dla zarejestrowanych użytkowników [wklej.org]


Rezultaty skanu uzupełniającego:
Dostępne tylko dla zarejestrowanych użytkowników [wklej.org]


Rezultat skanowania skrótów użytkowników: Dostępne tylko dla zarejestrowanych użytkowników [wklej.org]

Z góry dziękuje za pomoc.
Ostatnio zmieniony 10 maja 2016, 12:03 przez XMan, łącznie zmieniany 1 raz.
Powód: wrzucone logi, przenoszę temat z działu Systemy operacyjne --> Bezpieczeństwo

Awatar użytkownika
XMan

Globalny Moderator
Posty: 13385
Rejestracja: 30 lis 2008, 00:40

Proszę o pomoc z usługami Win 10 (64bit) Lenovo Y50

Post10 maja 2016, 14:07

Piszesz że miałeś dziesiątki złośliwych aplikacji/wirusów tak więc przeniosłem temat do działu Bezpieczeństwo.
Czekaj cierpliwie za sprawdzeniem logów przez fachowca ;)
Kto pyta - nie błądzi, kto szuka - znajduje.
Obrazek
Dostępne tylko dla zarejestrowanych użytkowników

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

Proszę o pomoc z usługami Win 10 (64bit) Lenovo Y50

Post12 maja 2016, 08:13

1. Odinstaluj: DirectX Packages

2. Użyj >Dostępne tylko dla zarejestrowanych użytkowników
najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego.
Pokaż raport z niego C:\AdwCleaner\AdwCleaner[S].txt

3. Uruchom Dostępne tylko dla zarejestrowanych użytkowników. Wciśnij dowolny klawisz i czekaj, aż skończy się operacja. (UWAGA: podczas pobierania, programy mogą wskazywać, że to jest zagrożenie, proszę to zignorować). Pokaż raport.

4. Po tych wszystkich operacjach nowy komplet logów z FRST do kontroli.


Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

Proszę o pomoc z usługami Win 10 (64bit) Lenovo Y50

Post14 maja 2016, 16:54

1. Otwórz notatnik i wklej:
CloseProcesses:
U4 klkbdflt2; \SystemRoot\system32\DRIVERS\klkbdflt2.sys [X]
S0 mfeelamk; system32\drivers\mfeelamk.sys [X]
S3 TESHelper; c:\Program Files\Common Files\Lenovo\Magic Transfer\x64\MagicTransferTESHelper.exe [X]
CHR HKLM\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/deta ... ihfajigkka
CHR HKLM-x32\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/deta ... ihfajigkka
StartMenuInternet: Google Chrome - chrome.exe
Edge HomeButtonPage: HKU\S-1-5-21-3962235734-109600963-623359416-1001 -> hxxp://www.google.com
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = Dostępne tylko dla zarejestrowanych użytkowników
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = Dostępne tylko dla zarejestrowanych użytkowników
HKU\S-1-5-21-3962235734-109600963-623359416-1001\...\MountPoints2: F - "F:\autorun.exe" autorun
HKU\S-1-5-21-3962235734-109600963-623359416-1001\...\MountPoints2: G - "G:\autorun.exe" autorun
HKU\S-1-5-21-3962235734-109600963-623359416-1001\...\MountPoints2: {67a64d36-a70e-11e5-826e-f0761ca42c2f} - "F:\autorun.exe" autorun
HKU\S-1-5-21-3962235734-109600963-623359416-1001\...\MountPoints2: {c434f34b-a46d-11e5-826d-f0761ca42c2f} - "E:\setup.exe"
HKU\S-1-5-21-3962235734-109600963-623359416-1001\...\MountPoints2: {dd9d4a76-b24a-11e5-826f-f0761ca42c2f} - "G:\autorun.exe" autorun
2016-05-09 11:17 - 2016-05-09 11:17 - 00005120 _____ C:\Users\Y50\AppData\Roaming\GiftBag.db
2016-05-09 11:15 - 2016-05-09 11:15 - 00413439 _____ C:\ProgramData\xdo.zip
2016-05-09 11:12 - 2016-05-09 12:08 - 00000000 ____D C:\ProgramData\Windows Update
2016-05-09 11:09 - 2016-05-09 12:08 - 00000000 ____D C:\WINDOWS\system32\voda
2016-05-09 10:56 - 2016-05-09 11:12 - 00002303 _____ C:\ProgramData\webad.xml
2016-05-09 10:54 - 2016-05-09 12:08 - 00000000 ____D C:\Users\Y50\AppData\Roaming\Gecaeogi
2016-05-09 10:54 - 2016-05-09 10:54 - 00000000 ____D C:\Users\Y50\AppData\Local\Tempfolder
2016-05-09 10:54 - 2016-05-09 10:54 - 00000000 ____D C:\uninst
2016-05-09 10:53 - 2016-05-09 12:08 - 00000000 ____D C:\Users\Y50\AppData\Roaming\UPUpdata
2016-05-09 10:53 - 2016-05-09 12:08 - 00000000 ____D C:\Program Files (x86)\Lorckphsary
2016-05-09 10:53 - 2016-05-09 12:08 - 00000000 ____D C:\Program Files (x86)\badu
2016-05-09 10:53 - 2016-05-09 10:53 - 00000000 ____D C:\Users\Public\Documents\dmp
Task: {2D8BAD31-84D4-49E1-A23F-F9F6BACAB104} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA
Task: {305CD030-0C0B-4748-A6E5-9E1969F602C3} - System32\Tasks\Microsoft\Windows\RemovalTools\MRT_HB => C:\WINDOWS\system32\MRT.exe [2016-05-12] (Microsoft Corporation)
Task: {330A428C-E708-49C3-AE51-B0CD4AC9AC5C} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA
Task: {45D679E7-A803-48C0-9B73-5F78B0084277} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [2015-12-08] (Piriform Ltd)
Task: {53EE7490-D290-4618-BD28-88CA4D19CD5F} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-11-21] (Lenovo)
Task: {54F9C8FA-1031-436B-9441-77BDE37B8473} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA
Task: {5646605D-E15C-4C56-B63E-BBA6A73D6DC6} - System32\Tasks\{9B7754AB-CC54-4983-B54A-B1BD688D2717} => pcalua.exe -a "C:\Program Files (x86)\Forged Alliance Forever\FAForever.exe" -d "C:\Program Files (x86)\Forged Alliance Forever\"
Task: {5911EC44-B50E-4E46-ACD1-FEE92F33E5B1} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku <==== UWAGA
Task: {5AE35677-550C-4898-B3D8-A39B24260E0C} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA
Task: {644DBD57-0D70-45FF-8BAF-3E2A9D1CF836} - System32\Tasks\Adobe Flash Player Updater => C:\WINDOWS\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2016-04-07] (Adobe Systems Incorporated)
Task: {6B51C889-D436-42A4-9350-0A74280EF78F} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2014-09-10] (Lenovo)
Task: {6D5DB2B8-F9DF-4F56-BEC2-4E9D33236E93} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA
Task: {71977011-9E5D-42CE-8809-0E154BC15361} - System32\Tasks\{F3F6DA80-5601-46C0-9BC0-9E99B0AF3657} => pcalua.exe -a "C:\Gry\Riot Games\League of Legends\lol.launcher.exe" -d "C:\Gry\Riot Games\League of Legends\"
Task: {78238495-2A65-46C4-B85F-EF82232927EC} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA
Task: {7BE921E7-10CB-454E-BDFB-80389B3BD6DD} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA
Task: {8C721D30-E782-4DC7-BD72-027298F73D6A} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA
Task: {92E59101-7FDF-4166-808D-C5060D5F6CD3} - \SmartWeb Upgrade Trigger Task -> Brak pliku <==== UWAGA
Task: {BD7AAC63-C305-4AA3-AED1-B9FCB420A422} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA
Task: {DA1D36DE-4933-40CB-ADBF-BCC509360ECE} - System32\Tasks\Lenovo\Dependency Package Auto Update => C:\Program Files\Lenovo\iMController\AutoUpdate.exe [2015-12-14] ()
Task: {E2E1BD6D-5883-4CC4-A114-83CC66F7DEF6} - System32\Tasks\DolbySelectorTask => C:\Program Files\Dolby Digital Plus\ddp.exe
Task: {EA977E29-B555-43CB-A8FF-BE4F55B82CDD} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA
Task: {F66BBE60-B264-4147-B65B-4844C42A0C89} - System32\Tasks\Synaptics TouchPad Enhancements => C:\Program Files\Synaptics\SynTP\SynTPEnh.exe [2015-10-13] (Synaptics Incorporated)
Task: C:\WINDOWS\Tasks\Adobe Flash Player Updater.job => C:\WINDOWS\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe
Shortcut: C:\Users\Y50\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\New Life of Heroes\Heroes Zone.lnk -> C:\Program Files (x86)\Ubisoft\Heroes of Might and Magic III - Zlota Edycja\h3zone.bat (Brak pliku)
Shortcut: C:\Users\Y50\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\New Life of Heroes\WoG Zone.lnk -> C:\Program Files (x86)\Ubisoft\Heroes of Might and Magic III - Zlota Edycja\wogzone.bat (Brak pliku)
Shortcut: C:\Users\Public\Desktop\Testy Liwona kategoria B.lnk -> C:\Program Files (x86)\Testy Liwona kategoria B\Start.bat (Brak pliku)
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Hamachi2Svc => ""="Service"
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

Uther268

Użytkownik
Posty: 6
Rejestracja: 10 maja 2016, 10:52

Proszę o pomoc z usługami Win 10 (64bit) Lenovo Y50

Post15 maja 2016, 05:30

Naprawa wedle poleceń wykonana.

A oto raport z fixlog'a:
Dostępne tylko dla zarejestrowanych użytkowników

Jakieś dalsze instrukcje ?

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

Proszę o pomoc z usługami Win 10 (64bit) Lenovo Y50

Post15 maja 2016, 11:54

Wydaje sie być OK.

1. Wykonaj wszystko z tego tematu: Kroki kończące temat. Raport z wynikami skanowania z MBAM do wglądu.

2. Przeprowadź skanowanie za pomocą Dostępne tylko dla zarejestrowanych użytkowników. Jeśli coś znajdzie, nic nie usuwaj, tylko dostarcz raport z wynikami.

Uther268

Użytkownik
Posty: 6
Rejestracja: 10 maja 2016, 10:52

Proszę o pomoc z usługami Win 10 (64bit) Lenovo Y50

Post15 maja 2016, 19:53

Raport z Malware Bytes:
Dostępne tylko dla zarejestrowanych użytkowników

Raport z Hitman Pro:
Dostępne tylko dla zarejestrowanych użytkowników

Znalazło troszke tego, nic nie usuwałem.

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

Proszę o pomoc z usługami Win 10 (64bit) Lenovo Y50

Post16 maja 2016, 10:58

Wykrycia MBAM:
- do usunięcia jedynie ,,Klucze rejestru"
- te 3 pliki są instalkami ale zawierają w sobie pakiety Adware (możesz je usunąć ręcznie)

Wykrycia HitmanPro:
- wszystko to fałszywy alarm, te pliki są OK
- ciasteczka też możesz zostawić.

Uther268

Użytkownik
Posty: 6
Rejestracja: 10 maja 2016, 10:52

Proszę o pomoc z usługami Win 10 (64bit) Lenovo Y50

Post17 maja 2016, 18:31

No dobra zagrożenia usunięte, dziękuje za pomoc.
Ale pozostaje sprawa druga a mianowicie to co było zawarte w screenach z menadżera urządzeń a mówiąc konkretnie to zbyt duża ilość(jak na moje oko) aktywnych usług svchost.exe które zużywają sporo zasobów komputera oraz ciągle zjadający jeszcze więcej zasobów proces o nazwie "System i skompresowana pamięć"

Jeśli jesteś w stane pomóc rownież z tym to czekam na polecenia.
A jeśli to już nie twoja działka to proszę o przenieśienie tematu do odpowiedniego działu.

Z góry dziękuje.

Awatar użytkownika
djarta

Globalny Moderator
Posty: 5854
Rejestracja: 26 gru 2008, 17:15
Lokalizacja: Białystok
Kontaktowanie:

Proszę o pomoc z usługami Win 10 (64bit) Lenovo Y50

Post19 maja 2016, 18:21

Tyle procesów to norma.



  • Reklama

Wróć do „Bezpieczeństwo”



Kto jest online

Użytkownicy przeglądający to forum: Google [Bot] i 6 gości