Elektroda.pl
Elektroda.pl
X

Wyszukiwarki naszych partnerów

Wyszukaj w ofercie 200 tys. produktów TME
Proszę, dodaj wyjątek elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

file:///C:/ProgramData/Quotena - dziwne zachowania przeglądarki

suchejro 03 Maj 2016 20:53 1059 19
  • #1 03 Maj 2016 20:53
    suchejro
    Poziom 13  

    Witam, mam jakiś problem z przeglądarką, zapewne jakiś wirus zaatakował, ostatnio antywirus mi kilka ich usunął, ale zdziwiło mnie to, bo znalazły się w miejscach gdzie skanował milion razy i są to jakieś foldery nie ruszane od lat. Po uruchomieniu Firefoxa na środku ekranu pojawia się duży napis "nie odnaleziono pliku" zamiast googlowego okienka a na pasku adresowym - file:///C:/ProgramData/Quotenamrons/ff.HP.. Wcześniej była podstawiona przeglądarka udająca googlową z wyglądu, usunąłem ją w panelu sterowania - programy, ale wciąż coś jest źle. Poza tm komputer dziwnie się przycina na dowolnym zadaniu, jakieś mikroprzycinki albo kilkusekundowe nawet. Używam antywirusa Comodo cały pakiet darmowy, do tego dwa razy w tygodniu skanuję Spybot Search and Destroy i Malwarebytes Anti-malware. Nie wiem czy to wystarczy, sądząc po ilości negatywnych zdarzeń to nie zapewnia bezpieczeństwa. Ściągnąłem też darmowy skaner Kaspersky ale teraz nie chce działać bo z czymś się kłóci i zawiesza kompakomputer po chwili działania. Więc go nie używam. Co robić żeby usunąć obecne robactwo i dobrze zabezpieczyć się na przyszłość?

  • #4 04 Maj 2016 16:57
    Acorus 20
    Spec od komputerów

    Odinstaluj GeekBuddy, Spybot - Search & Destroy, YTD Video Downloader 4.9.1. Otwórz notatnik systemowy i wklej:

    Cytat:
    Task: {0F81B0C0-ADFB-43E9-B4AD-0A1AA09796AE} - System32\Tasks\{BC4DC4F8-9C38-4588-8450-FF04B888B7D2} => Firefox.exe hxxp://ui.skype.com/ui/0/7.8.0.102/pl/abandon...l?source=lightinstaller&page=tsPlugin
    Task: {412483E8-12A2-4EBD-AEE0-030C1C8380E2} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Scan the system => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDScan.exe [2016-02-04] (Safer-Networking Ltd.)
    Task: {7C1DEE37-9F46-4DEE-A1BC-38A85BF7356E} - System32\Tasks\CIS_{15198508-521A-4D69-8E5B-B94A6CCFF805} => C:\ProgramData\cis4DB0.exe <==== UWAGA
    Task: {82CBC41F-14A7-45A9-B26B-4AEB6621FB89} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Refresh immunization => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDImmunize.exe [2016-02-04] (Safer-Networking Ltd.)
    Task: {E5FC5071-59E7-4B76-9872-00A7B5319483} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Check for updates => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdate.exe [2016-02-04] (Safer-Networking Ltd.)
    Hosts:
    HKLM-x32\...\Run: [SDTray] => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe [4101576 2016-02-04] (Safer-Networking Ltd.)
    HKLM-x32\...\Run: [] => [X]
    Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
    HKU\S-1-5-21-4109785277-1929513942-2290011822-1001\...\Run: [SpybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.)
    HKU\S-1-5-21-4109785277-1929513942-2290011822-1001\...\MountPoints2: {2f484bf9-0ab8-11e6-bf98-902b345468d0} - "L:\AutoRun.exe"
    HKU\S-1-5-21-4109785277-1929513942-2290011822-1001\...\MountPoints2: {35175519-36fe-11e5-be7c-902b345468d0} - "L:\AutoRun.exe"
    HKU\S-1-5-21-4109785277-1929513942-2290011822-1001\...\MountPoints2: {35175582-36fe-11e5-be7c-902b345468d0} - "L:\AutoRun.exe"
    HKU\S-1-5-21-4109785277-1929513942-2290011822-1001\...\MountPoints2: {6c605ea4-31ec-11e5-be67-902b345468d0} - "J:\AutoRun.exe"
    HKU\S-1-5-21-4109785277-1929513942-2290011822-1001\...\MountPoints2: {6c605eef-31ec-11e5-be67-902b345468d0} - "L:\AutoRun.exe"
    HKU\S-1-5-21-4109785277-1929513942-2290011822-1001\...\MountPoints2: {70eeb198-55ef-11e5-bedb-902b345468d0} - "L:\AutoRun.exe"
    HKU\S-1-5-21-4109785277-1929513942-2290011822-1001\...\MountPoints2: {7bf6bc5f-fac6-11e5-bf8d-902b345468d0} - "L:\AutoRun.exe"
    HKU\S-1-5-21-4109785277-1929513942-2290011822-1001\...\MountPoints2: {a8cbbfd9-3ab8-11e5-be84-902b345468d0} - "L:\AutoRun.exe"
    HKU\S-1-5-21-4109785277-1929513942-2290011822-1001\...\MountPoints2: {b8679a9d-421c-11e5-bea0-902b345468d0} - "L:\AutoRun.exe"




    HKU\S-1-5-21-4109785277-1929513942-2290011822-1001\...\MountPoints2: {c62fadaf-3e13-11e5-be8f-902b345468d0} - "L:\AutoRun.exe"
    HKU\S-1-5-21-4109785277-1929513942-2290011822-1001\...\MountPoints2: {c62fae24-3e13-11e5-be8f-902b345468d0} - "L:\AutoRun.exe"
    HKU\S-1-5-21-4109785277-1929513942-2290011822-1001\...\MountPoints2: {f8e1672f-32ca-11e5-be6f-902b345468d0} - "L:\AutoRun.exe"
    HKU\S-1-5-21-4109785277-1929513942-2290011822-1001\...\MountPoints2: {f99c96e9-bbd5-11e5-bf57-902b345468d0} - "L:\AutoRun.exe"
    HKU\S-1-5-21-4109785277-1929513942-2290011822-1001\...\MountPoints2: {f99ca668-bbd5-11e5-bf57-902b345468d0} - "L:\AutoRun.exe"
    BootExecute: autocheck autochk * sdnclean64.exe
    HKU\S-1-5-21-4109785277-1929513942-2290011822-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms}
    HKU\S-1-5-21-4109785277-1929513942-2290011822-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms}
    HKU\S-1-5-21-4109785277-1929513942-2290011822-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms}
    SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms}
    SearchScopes: HKU\S-1-5-21-4109785277-1929513942-2290011822-1001 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms}
    CHR HKLM-x32\...\Chrome\Extension: [jidkebcigjgheaahopdnlfaohgnocfai] - hxxps://clients2.google.com/service/update2/crx
    R2 SDScannerService; C:\Program Files (x86)\Spybot - Search & Destroy 2\SDFSSvc.exe [1738168 2016-02-04] (Safer-Networking Ltd.)
    R2 SDUpdateService; C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdSvc.exe [2088408 2016-02-04] (Safer-Networking Ltd.)
    R2 SDWSCService; C:\Program Files (x86)\Spybot - Search & Destroy 2\SDWSCSvc.exe [171928 2016-02-04] (Safer-Networking Ltd.)
    S2 NBSN12; C:\Users\ja\AppData\Local\Obiektdajcy\obiekt.exe" "/s [X]
    S4 NVHDA; \SystemRoot\system32\drivers\nvhda64v.sys [X]
    S4 nvlddmkm; \SystemRoot\system32\DRIVERS\nvlddmkm.sys [X]
    2016-04-30 17:43 - 2016-04-30 17:43 - 06494208 _____ C:\Users\ja\AppData\Roaming\agent.dat
    2016-04-30 17:43 - 2016-04-30 17:43 - 02279053 _____ C:\Users\ja\AppData\Roaming\QuoteStock.bin
    2016-04-30 17:43 - 2016-04-30 17:43 - 01626652 _____ C:\Users\ja\AppData\Roaming\Quadlight.tst
    2016-04-30 17:43 - 2016-04-30 17:43 - 00934400 _____ C:\Users\ja\AppData\Roaming\Quadlight.exe
    2016-04-30 17:43 - 2016-04-30 17:43 - 00018432 _____ C:\Users\ja\AppData\Roaming\Main.dat
    2016-04-30 17:43 - 2016-04-30 17:43 - 00000000 ____D C:\ProgramData\Logic Handler
    2016-04-30 17:42 - 2016-04-30 17:42 - 0127488 _____ () C:\Users\ja\AppData\Roaming\Installer.dat
    2016-04-30 17:43 - 2016-04-30 17:43 - 0018432 _____ () C:\Users\ja\AppData\Roaming\Main.dat
    2016-04-30 17:43 - 2016-04-30 17:43 - 0934400 _____ () C:\Users\ja\AppData\Roaming\Quadlight.exe
    2016-04-30 17:43 - 2016-04-30 17:43 - 1626652 _____ () C:\Users\ja\AppData\Roaming\Quadlight.tst
    2016-04-30 17:43 - 2016-04-30 17:43 - 2279053 _____ () C:\Users\ja\AppData\Roaming\QuoteStock.bin
    C:\ProgramData\hash.dat
    EmptyTemp:


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.
    Pobierz i uruchom jako administrator AdwCleaner https://toolslib.net/downloads/finish/1/ Kliknij Scan i później Cleaning.

  • #5 04 Maj 2016 20:01
    suchejro
    Poziom 13  

    Oj, czekając na odpowiedź wcześniej już uruchomiłem AdwCleaner i usunąłem to co pokazał.
    Po otrzymaniu wiadomości w Elektrodzie, zrobiłem jak polecono, do pliku txt i FRST napraw, na końcu AdwCleaner nic nie znalazł.
    Znowu uruchomiłem FRST i w załączniku jest ostatni log, coś jeszcze jest źle?
    A swoją drogą przy okazji, dlaczego Spybot S&D jest zły że miałem go odinstalować?

  • #6 04 Maj 2016 20:08
    Kolobos
    Spec od komputerów

    Po co Ci program, ktory niczego nie wykrywa, nie mowiac juz o usuwaniu?

    Nowy Fixlist.txt dla FRST:
    HKU\S-1-5-21-4109785277-1929513942-2290011822-1001\...\Run: [USmedia] => C:\Users\ja\AppData\Local\USmedia\Windows_Activaton.exe
    FF user.js: detected! => C:\Users\ja\AppData\Roaming\Mozilla\Firefox\Profiles\fgbdqn7k.default-1438214406434\user.js [2015-12-31]
    S2 backlh; C:\ProgramData\Logic Handler\set.exe [X]
    S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-02-02] ()
    2016-05-04 10:20 - 2016-05-04 19:54 - 00000000 ____D C:\AdwCleaner

    Po wykonaniu usun katalog C:\FRST.
    Lub uzyj: http://www.bleepingcomputer.com/download/delfix/ zaznacz Remove Disinfection Tools i nic wiecej.

  • #8 05 Maj 2016 16:10
    suchejro
    Poziom 13  

    Trochę się pogubiłem, mam wykonać polecenie dla FRST i póżniej usunąć kataolg w C lub użyć bleepingcomputer, czy ogólnie albo FRST i usunięcie z C - albo bleepingcomputer tylko?

  • #9 05 Maj 2016 16:16
    Kolobos
    Spec od komputerów

    DelFix usunie katalog FRST automatycznie, wiec to wystarczy.

  • #10 05 Maj 2016 16:19
    suchejro
    Poziom 13  

    Znowu sprawdzić FRST czy coś jeszcze jest źle?

  • Pomocny post
    #11 05 Maj 2016 16:21
    Kolobos
    Spec od komputerów

    Nie, to juz wszystko.

  • #12 05 Maj 2016 16:48
    suchejro
    Poziom 13  

    Nie wiem czy dobrze jest używać pakietu Comodo i Malwarebytes tylko, czy jeszcze czegoś albo zupełnie czegoś innego? Wydaje mi się mało szczelne to co mam tj komplet od Comodo FW+AV i Malwarebytes.
    Czasem czymś skanować dodatkowo, czy mieć coś na stałe? Wciąż się zastanawiam po czym poznać to, że coś złego siedzi po takim skanowaniu FRST?

    EDIT
    Trochę dziwnie komputer się zachowywał przez te dni po tej poprzedniej akcji, chyba sterowniki się "pogubiły". Karta graficzna nie daje obrazu jak powinna, jakby słabiej pracuje. Inne problemy są podobne.
    Podaję skanowanie które zrobiłem przed chwilą, czy jest coś podejrzanego?

    Posty scaliłem. RADU23

  • #14 02 Cze 2016 17:45
    suchejro
    Poziom 13  

    Napisałem tu jako kontynuacja, ponieważ w tym czasie odkąd były przeprowadzone tamte działania, wpadł jeden wirus który został usunięty i może nie do końca. Wciąż dziwnie działa Firefox, po tamtym czyszczeniu jakby są momenty zamrażania się komputera na chwilkę jak coś ma zrobić. Zasilacz ok, temperatury też, hdd idealny, sprawdzę jeszcze ram bo coś mi się nie podoba. Ale widzę, że memtest jest tylko dla x86 a x64 nie widzę.

  • #15 02 Cze 2016 17:48
    Kolobos
    Spec od komputerów

    Architektura procesora nie ma tutaj znaczenia, uzyj wersji, ktora jest na stronie.

    Zamiesc tez screen z Crystal Disk Info.

    Wczesniej w ogole nie wykonales podanego Fixlist.txt:
    HKU\S-1-5-21-4109785277-1929513942-2290011822-1001\...\Run: [USmedia] => C:\Users\ja\AppData\Local\USmedia\Windows_Activaton.exe
    FF user.js: detected! => C:\Users\ja\AppData\Roaming\Mozilla\Firefox\Profiles\fgbdqn7k.default-1438214406434\user.js [2015-12-31]
    S2 backlh; C:\ProgramData\Logic Handler\set.exe [X]
    S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-02-02] ()
    2016-05-04 10:20 - 2016-05-04 19:54 - 00000000 ____D C:\AdwCleaner

    Firefox zawsze mozesz zresetowac lub nawet odinstalowac, lacznie z kasacja profilu przegladarki. Wczesniej zgraj zakladki itp.

  • #16 02 Cze 2016 18:09
    suchejro
    Poziom 13  

    Dałbym sobie głowę uciąć, że wykonałem wszystkie polecenia i jeśli to było , to powinno to być wykonane. A swoją drogą to co to jest?

    Memtest niczego nie znalazł, 0 błędów.

    CDI jest jak widać ok.

    file:///C:/ProgramData/Quotena - dziwne zachowania przeglądarki

  • Pomocny post
    #17 02 Cze 2016 18:21
    Kolobos
    Spec od komputerów

    Nie wykonales tego Fixlist.txt, wykonaj teraz.

  • Pomocny post
    #18 02 Cze 2016 19:47
    Acorus 20
    Spec od komputerów

    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.

  • #19 02 Cze 2016 20:31
    suchejro
    Poziom 13  

    No tak, nie myślę dzisiaj, jestem chory i walczę z potwornym bólem. Sorry.
    Poniżej fixlog. Już jest ok? I wciąż nie wiem jak poznać, że coś jest nie tak. Chyba musicie być specami od komputerów?

    EDIT
    Wciąż coś jest nie tak, z powodu problemów z obrazem musiałem odinstalować i zainstalować sterowniki do GPU. Podczas ich instalacji, wyskakiwały okienka : "Instalator programu Windows został zamknięty." Kilka razy to się pojawiało. Później kilkanaście razy wyskoczyło okienko " Program Adobe Flash Player przestał działać". Kolejna sprawa, po uśpieniu komputera i jego wzbudzeniu, komputer robi restart i pojawia się komunikat " System napotkał błąd" i okienka do wysłania info do MS lub nie. Czy mam podjąć jeszcze jakieś kroki, bo może coś siedzi jeszcze, a może spustoszenia po infekcji wymagają napraw? Jeśli tak, to co mam zrobić?

    Moderowany przez RADU23:

    Posty scaliłem.
    Proszę byś w przypadku dodawania informacji, gdy nikt jeszcze nie zamieścił odpowiedzi, używał przycisku "zmień".



    EDIT
    Chętnie bym zmienił, ale nie mogę po wpisie admina. Sorry, zawsze edytuję, widocznie zbyt roztargniony byłem.

    Wciąż mam problem, zwiechy, zamrożenia, itp. Do tego jak zamykam kompa to zaczęła pojawiać się informacja ostrzegająca o zamknięciu systemu i informująca o tm, że osoby zalogowane mogą stracić dane itp. Więc jakby ktoś mi się włamywał do kompa. Po tych wszystkich manewrach z FRST i całym tym zamieszaniu w Windowsie to się zaczęło pojawiać. Dzisiaj odpaliłem FRST i efekt jest w załączniku, nie było dwóch a jeden nie wiem dlaczego.

    Scaliłem.

  • #20 22 Sie 2017 21:56
    Kusep
    Poziom 9  

    Rozwiązanie jest proste:
    wklej w pasku adresu strony internetowej Mozilli :
    about:config
    Następnie wklej:
    browser.newtab.url
    Kliknij na Wartość 2 razy
    Usuń to co jest.
    Kliknij OK.

    Teraz nowa karta będzie się otwierać jako pusta.
    A jak wpiszesz tam adres jakiejś strony (zamiast tego co usunąłeś), to będzie Ci otwierać tę stronę.

    Mi np. wyświetlało w pasku adresu:
    file:///C:/ProgramData/Quoteexs/ff.NT

    Zastosowałem jak wyżej i jest OK.
    Oczywiście wcześniej usunąłem złośliwe oprogramowanie, które to zrobiło.

 Szukaj w ofercie
Zamknij 
Wyszukaj w ofercie 200 tys. produktów TME