Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Windows 7, proces conhost.exe

CrisManUnited7 31 Sie 2017 08:27 462 8
  • #1 31 Sie 2017 08:27
    CrisManUnited7
    Poziom 9  

    Witam, od wczoraj mam problem z komputerem, a mianowicie po kilku minutach od uruchomienia komputera, strasznie zaczęło się wszystko ścinać, nawet Internet praktycznie nie chodził. Przeskanowałem go, wyskoczyły jakieś tam wirusy i je usunąłem, ale problem nie zniknął bo te wirusy po każdym uruchomieniu wracają i pojawia się parę procesów conhost.exe. W załącznikach screen ze skanowania i FRST. Proszę o pomoc jak się tego pozbyć.

    0 8
  • Pomocny post
    #2 31 Sie 2017 10:14
    Kolobos
    Spec od komputerów

    Nie uzywaj combofix.

    Wykonaj Fixlist.txt dla FRST:
    CloseProcesses:
    Task: {DA9085BC-E4A8-4B36-BCBF-BAE1590C76B5} - System32\Tasks\dyOuVfW8JqxX => dyouvfw8jqxx.exe
    () C:\Users\Basteek\AppData\Roaming\chrome store files\chrome.exe
    HKU\S-1-5-21-2942676074-2236801765-3754182959-1000\...\Run: [chromewn] => "%SystemRoot%\System32\WScript.exe" "C:\Users\Basteek\AppData\Roaming\chrome store files\start64.vbs" //B "%1" %*
    HKU\S-1-5-21-2942676074-2236801765-3754182959-1000\...\Run: [chromews] => "%SystemRoot%\System32\WScript.exe" "C:\Users\Basteek\AppData\Roaming\chrome local files\start.vbs" //B "%1" %*
    HKU\S-1-5-21-2942676074-2236801765-3754182959-1000\...\Run: [conhostst] => "%SystemRoot%\System32\WScript.exe" "C:\Users\Basteek\AppData\Roaming\conhost saved files\start.vbs" //B "%1" %*
    HKU\S-1-5-21-2942676074-2236801765-3754182959-1000\...\Run: [wscriptst] => "%SystemRoot%\System32\WScript.exe" "C:\Users\Basteek\AppData\Roaming\wscript saved files\start.vbs" //B "%1" %*
    HKU\S-1-5-21-2942676074-2236801765-3754182959-1000\...\MountPoints2: {0df34d74-77aa-11e7-bb3b-806e6f6e6963} - F:\Run.exe
    HKU\S-1-5-21-2942676074-2236801765-3754182959-1000\...\MountPoints2: {b5f661ec-8da6-11e7-9f71-94de80b95803} - G:\start.exe
    C:\Users\Basteek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\chromewn.vbs
    C:\Users\Basteek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\chromews.vbs
    C:\Users\Basteek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\conhostst.vbs
    C:\Users\Basteek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wscriptst.vbs
    GroupPolicy: Ograniczenia - Chrome <==== UWAGA
    SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
    CHR HomePage: Default -> hxxp://www.dosearches.com/?utm_source=b&u...0RKKA0_WD-WCC1S585856158561&ts=1383842535
    2017-08-31 07:45 - 2017-08-31 07:45 - 000000000 ____D C:\ComboFix
    2017-08-31 07:44 - 2017-08-31 07:45 - 000000332 _____ C:\Start_.cmd
    2017-08-31 07:43 - 2017-08-31 07:45 - 000000000 ___SD C:\32788R22FWJFW
    2017-08-30 21:42 - 2017-08-30 21:47 - 000000000 ____D C:\EEK
    2017-08-30 21:41 - 2017-08-30 21:46 - 000000000 ____D C:\Users\Basteek\AppData\Roaming\conhost saved files
    2017-08-30 20:42 - 2017-08-30 20:42 - 000688992 _____ (Swearware) C:\Users\Basteek\Desktop\dds.scr
    2017-08-30 17:29 - 2017-08-30 17:29 - 000000000 _____ C:\Windows\system32\SET5115.tmp
    2017-08-04 15:40 - 2017-08-30 21:46 - 000000000 ____D C:\Users\Basteek\AppData\Roaming\chrome store files
    2017-08-04 15:40 - 2017-08-04 15:40 - 000021546 _____ C:\Windows\System32\Tasks\dyOuVfW8JqxX
    2017-08-04 15:39 - 2017-08-04 15:39 - 000140800 _____ C:\Users\Basteek\AppData\Local\installer.dat
    2017-08-30 18:24 - 2015-09-10 15:17 - 000000000 ____D C:\AdwCleaner
    C:\Users\Basteek\AppData\Roaming\chrome store files\
    C:\Users\Basteek\AppData\Roaming\chrome local files\
    C:\Users\Basteek\AppData\Roaming\conhost saved files\
    C:\Users\Basteek\AppData\Roaming\wscript saved files\
    EmptyTemp:

    Po wykonaniu usun katalog C:\FRST.

    0
  • #3 31 Sie 2017 10:57
    CrisManUnited7
    Poziom 9  

    Chyba pomogło, skanowałem malware nic nie wykrył już, ale jeszcze jakby coś mi Internet spowalniało?

    0
  • Pomocny post
    #4 31 Sie 2017 10:59
    Kolobos
    Spec od komputerów

    Masz Comodo to sprawdz wykorzystanie lacza, zapora tego programu chyba ma taka opcje z tego co pamietam.

    0
  • #5 31 Sie 2017 11:15
    CrisManUnited7
    Poziom 9  

    Faktycznie jest taka opcja. Taki protokół jest svchost.exe i cmdagent.exe, ale to chyba nic niepokojącego?

    0
  • #6 31 Sie 2017 11:17
    Kolobos
    Spec od komputerów

    Czy aktualizacje z Windows Update sa zainstalowane i samo WU dziala poprawnie?

    Drugi proces to czesc comodo.

    0
  • #7 31 Sie 2017 11:22
    CrisManUnited7
    Poziom 9  

    Tak są zainstalowane i WU działa poprawnie.

    0
  • Pomocny post
    #8 31 Sie 2017 11:28
    Kolobos
    Spec od komputerów

    Mozesz uzyc np. Process Explorer (ze strony MS), zeby zobaczyc co dokladnie uruchomil svchost, ktory obciaza lacze.

    0
  • #9 31 Sie 2017 11:32
    CrisManUnited7
    Poziom 9  

    Dobra, dzięki za pomoc - zamykam.

    0