Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

COMsurrogate jak skutecznie usunąć wirusa?

rhimo 13 Kwi 2018 23:28 717 24
  • #1 13 Kwi 2018 23:28
    rhimo
    Poziom 4  

    Od kilku dni męczę się ze złośliwym wirusem. Zaczęło się od tego, że komputer zaczął sięwieszać przy byle otwarciu folderu, czy włączeniu trzeciej zakładki w przeglądarce. Nie było reguły na to co mogło spowodować wieszanie się komputera - raz było to zgranie zdjęcia z pendrive, raz wejście na pocztę, innym razem otwarcie folderu czy próba skopiowania pliku. Zaczął się wieszać i kompletnie przestał wtedy reagować. Trzeba było go po chamsku wyłączyć przytrzymując guzik zasilania. Zauważyłem, że w procesach narobiło mi się mnustwo nieznanych procesów, w tym comsurogate. Naszukałem się w internecie rozwiązań i prubowałem różnych sposobów żeby usunąć tego zlośliwca, ale nic nie pomaga. Antywirusy które mam nic nie wykrywają, a komp ciągle się wiesza. Nie umiem sobie z tym poradzić. Pomocy :/

    0 24
  • Pomocny post
    #2 13 Kwi 2018 23:30
    RADU23
    Moderator - Komputery Serwis

    Wykonaj skanowanie MBAM oraz ADWcleaner i usuń wszystko co wykryją
    https://www.malwarebytes.com/dl-confirm/
    http://www.bleepingcomputer.com/download/adwcleaner/

    Pobierz Farbar Recovery Scan Tool http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/ zgodny z wersją systemu 32-bit lub 64-bit.
    Uruchom FRST i kliknij "Scan". Wstaw raport FRST i Addition jako załączniki.

    0
  • #3 13 Kwi 2018 23:39
    rhimo
    Poziom 4  

    Zabieram siędo roboty. Na ile to będzie możliwe postaram się to zrobić w miarę szybko bo wirus uniemożliwia normalne korzystanie z komputera.

    0
  • Pomocny post
    #4 13 Kwi 2018 23:41
    RADU23
    Moderator - Komputery Serwis

    Gdyby nie było możliwości użycia MBAM oraz ADWcleaner'a, to zamieść jedynie logi z FRST.
    Co prawda ADWcleaner'a nie trzeba instalować a jedynie pobrać, więc może ci się uda wykonać skan.

    0
  • #5 14 Kwi 2018 14:37
    rhimo
    Poziom 4  

    Po wielkich trudach i walkach dopiero skanuję Malwarebytes'em. Dziękuję za pomoc. Niedługo postaram się wkleić logi.
    Ciągle skanuje. Chyba jednak jutro do tego wrócę, będę nieprzytomny w pracy...
    Zrobię jak mówisz i jutro (a właściwie dzisiaj) powklejam logi.

    Dodano po 14 [godziny] 25 [minuty]:

    Udało mi się przebrnąć przez skanowanie. Wklejam logi.

    EDIT
    Na chwilę sytuacja jakby się poprawiła, jednak komputer znowu zaczął się zawieszać... :/

    Scaliłem. RADU23

    0
  • Pomocny post
    #6 14 Kwi 2018 17:37
    safbot1st
    Poziom 43  

    Sprawdź obciążenie CPU podczas zacięć. Z moich doświadczeń z COM Surrogate wynika, że włącza się przez wyświetlenie miniatury pliku i obciąża CPU równo w 50%.
    Zaptaszkuj "Zawsze pokazuj ikony, nigdy miniatury" i uruchom ponownie PC.
    COMsurrogate jak skutecznie usunąć wirusa?
    Napisz, czy obciążenie CPU zniknęło.
    Wiadomo, może to być inny szczep wirusa, nie chcę Cię jednak martwić ale kiedyś walczyłem około 8 dni z taką infekcją... bezskutecznie. To było także na W7
    Finalnie PC został przywrócony za pomocą WinRe do stanu z dnia kupna.
    Mam dla Ciebie fixlist.txt, ale zakładam, że nic to nie da (zaraz zamieszczę).
    Zapisz jako fixlist.txt obok FRST.exe i w FRST wybierz "Napraw":

    Code:


    HKU\S-1-5-21-1555414959-3566746135-1843529842-1000\...\RunOnce: [FlashPlayerUpdate] => C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_29_0_0_113_pepper.exe [1362432 2018-03-18] (Adobe Systems Incorporated)
    HKU\S-1-5-21-1555414959-3566746135-1843529842-1000\...\MountPoints2: {c85c6f19-f6a0-11e3-83c8-ccaf7806b24a} - "I:\WD SmartWare.exe" autoplay=true
    Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\CodecPackUpdateChecker.lnk [2014-07-09]
    ShortcutTarget: CodecPackUpdateChecker.lnk -> C:\Windows\SysWOW64\C2MP\UpdateChecker.exe (Brak pliku)
    Toolbar: HKLM-x32 - PDF Architect 5 Toolbar - {84F23192-A475-4038-B5C0-8584777F2DF4} - C:\Program Files (x86)\PDF Architect 5\creator\plugins\IEAddin\creator-ie-plugin.dll Brak pliku
    C:\Program Files (x86)\PDF Architect 5\
    FF Homepage: Mozilla\Firefox\Profiles\2xky3gu2.default -> hxxp://www.darkorbit.pl/
    FF Extension: (Browsing Protection) - C:\Program Files (x86)\F-Secure\NRS\litmus-ff@f-secure.com [2015-08-01] [Przestarzałe] [Brak podpisu cyfrowego]
    FF Extension: (HP Smart Web Printing) - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 [2017-03-27] [Przestarzałe] [Brak podpisu cyfrowego]
    FF Plugin: @microsoft.com/GENUINE -> disabled [Brak pliku]
    FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Brak pliku]
    S2 PDF Architect 5 Manager; "C:\Program Files (x86)\PDF Architect 5 Manager\PDF Architect 5\Architect Manager.exe" [X]
    2014-06-28 11:08 - 2018-01-24 15:19 - 000039936 _____ () C:\Users\Garvi\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
    2014-06-20 17:52 - 2014-06-20 17:52 - 000004096 ____H () C:\Users\Garvi\AppData\Local\keyfile3.drm
    EmptyTemp:

    Znajduję dodatkowo info w logu:
    Event filter with query "SELECT * FROM __InstanceModificationEvent...
    Rozwiązanie:
    https://support.microsoft.com/pl-pl/help/2545...the-application-log-after-you-install-service

    Poza tym masz punkty przywracania. Próbowałeś ich użyć?

    0
  • #7 14 Kwi 2018 17:40
    rhimo
    Poziom 4  

    Z tym sprawdzaniem CPU może być ciężko - kiedy już mi się zawiesi komputer to włączenie menadżera nic nie daje ponieważ pojawia się wtedy tylko białe puste okienko bez żadnych procesów. Nic nie można zrobić. Sprubuję go włączyć zanim komp znowu się zatnie, może się uda...
    Najgorsze jest to, że jutro wyjeżdżam za granicę i akurat teraz trafiło mi się takie zgnite jabłko :/ w dodatku wydaje mi się że wirus przedostał się na inne urządzenia poprzez pena. Trochę się o nim naczytałem i niestety zdołowałem się jeszcze bardziej ponieważ często kończyło się to wszystko formatem całego komputera :/

    co do punktów przywracania - nie próbowałem ich użyć. Szczerze powiem, że nie wiem jak to zrobić żeby czegoś nie popsuć.

    0
  • #8 05 Maj 2018 18:35
    rhimo
    Poziom 4  

    Zpowodu wyjazdu musiałem odłożyć zajmowanie się naprawą komputera z win 7. Gdy przyjechałem na kilka dni do rodziców okazało się, że z ich komputerem też jest coś nie tak. Objawy są trochę inne niż u mnie bo nie wiesza się komputer. Może to dlatego że mają winXP? U nich jest tak, że w procesach pojawił się comsurogate i co jakiś czas, wyskakuje im niebieski ekran z jakimś komunikatem windowsowym, i pozostaje tylko wyłączyć i ponownie włączyć komputer bo nic się nie da zrobić. Boją się robić cokolwiek na komputerze, nie mówię już o sprawdzaniu kont bankowych itp. Zainstalowałem u nich mailware, który wykrywa jakieś zagrożenia w rejestrze. Usuwam je, ale po następnym uruchomieniu komputera mailware znowu wykrywa jakieś zagrożenia...
    Jeśli by mi ktoś pomógł byłbym na prawdę wdzięczy. Może na XP problem da się łatwiej usunąć?
    Wklejam logi.

    0
  • #9 05 Maj 2018 19:44
    krzychupar
    Poziom 40  

    Odinstaluj jednego antywirusa.
    Otwórz notatnik systemowy i wklej:

    Hosts:
    HKU\S-1-5-21-2052111302-725345543-682003330-1004\...\MountPoints2: {169f3d68-b7bc-11e5-832f-00166f916797} - "F:\WD SmartWare.exe" autoplay=true
    SearchScopes: HKU\S-1-5-21-2052111302-725345543-682003330-1004 -> DefaultScope {1480179B-516B-46DD-899D-2CFC9277FA58} URL = hxxp://szukaj.onet.pl/prox_query.html?qfor=szukaj&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-2052111302-725345543-682003330-1004 -> {04D31104-CC83-4452-A4D1-64FEFFCC1A2C} URL = hxxp://szukaj.onet.pl/prox_query.html?qfor=szukaj_onet&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-2052111302-725345543-682003330-1004 -> {1480179B-516B-46DD-899D-2CFC9277FA58} URL = hxxp://szukaj.onet.pl/prox_query.html?qfor=szukaj&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-2052111302-725345543-682003330-1004 -> {2F236517-4599-4DC9-873B-616B8E1EB766} URL = hxxp://szukaj.onet.pl/prox_query.html?qfor=slownik&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-2052111302-725345543-682003330-1004 -> {323C7475-8535-4188-8FC4-D092174F74DB} URL = hxxp://szukaj.onet.pl/addons/prox_query.html?qfor=ludzie&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-2052111302-725345543-682003330-1004 -> {628D7BD7-D315-4ED3-A4F7-76E0AE75DD79} URL = hxxp://szukaj.onet.pl/prox_query.html?qfor=encyklopedia&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-2052111302-725345543-682003330-1004 -> {973932D1-76AD-4452-BEEB-745AAC72ACF6} URL = hxxp://szukaj.onet.pl/prox_query.html?qfor=zakupy&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-2052111302-725345543-682003330-1004 -> {D4FF8E47-F77B-46BD-B12B-A449CC3C45D2} URL = hxxp://szukaj.onet.pl/prox_query.html?qfor=zumi&q={searchTerms}
    FF Extension: (Browsing Protection) - C:\Program Files\F-Secure\NRS\litmus-ff@f-secure.com [2015-12-20] [Przestarzałe] [Brak podpisu cyfrowego]
    CHR HKLM\...\Chrome\Extension: [ofoeigeaodhbjogdigckajfhjbonaofg] - hxxps://clients2.google.com/service/update2/crx
    S3 MEMSWEEP2; \??\C:\WINDOWS\system32\22.tmp [X]
    S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X]
    U1 WS2IFSL; Brak ImagePath
    2018-05-05 18:09 - 2018-05-05 18:15 - 000000000 ____D C:\AdwCleaner
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze, gdzie masz FRST.exe.
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • Pomocny post
    #11 05 Maj 2018 22:40
    RADU23
    Moderator - Komputery Serwis

    Otwórz notatnik i wklej zawartość:

    Cytat:
    HKU\S-1-5-21-2052111302-725345543-682003330-1004\...\MountPoints2: {169f3d68-b7bc-11e5-832f-00166f916797} - "F:\WD SmartWare.exe" autoplay=true
    HKU\S-1-5-21-2052111302-725345543-682003330-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=190
    HKU\S-1-5-21-2052111302-725345543-682003330-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKU\S-1-5-21-2052111302-725345543-682003330-1004\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.onet.pl/
    SearchScopes: HKU\S-1-5-21-2052111302-725345543-682003330-1004 -> DefaultScope {1480179B-516B-46DD-899D-2CFC9277FA58} URL = hxxp://szukaj.onet.pl/prox_query.html?qfor=szukaj&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-2052111302-725345543-682003330-1004 -> {04D31104-CC83-4452-A4D1-64FEFFCC1A2C} URL = hxxp://szukaj.onet.pl/prox_query.html?qfor=szukaj_onet&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-2052111302-725345543-682003330-1004 -> {1480179B-516B-46DD-899D-2CFC9277FA58} URL = hxxp://szukaj.onet.pl/prox_query.html?qfor=szukaj&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-2052111302-725345543-682003330-1004 -> {2F236517-4599-4DC9-873B-616B8E1EB766} URL = hxxp://szukaj.onet.pl/prox_query.html?qfor=slownik&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-2052111302-725345543-682003330-1004 -> {323C7475-8535-4188-8FC4-D092174F74DB} URL = hxxp://szukaj.onet.pl/addons/prox_query.html?qfor=ludzie&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-2052111302-725345543-682003330-1004 -> {628D7BD7-D315-4ED3-A4F7-76E0AE75DD79} URL = hxxp://szukaj.onet.pl/prox_query.html?qfor=encyklopedia&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-2052111302-725345543-682003330-1004 -> {973932D1-76AD-4452-BEEB-745AAC72ACF6} URL = hxxp://szukaj.onet.pl/prox_query.html?qfor=zakupy&q={searchTerms}
    SearchScopes: HKU\S-1-5-21-2052111302-725345543-682003330-1004 -> {D4FF8E47-F77B-46BD-B12B-A449CC3C45D2} URL = hxxp://szukaj.onet.pl/prox_query.html?qfor=zumi&q={searchTerms}
    CHR HKLM\...\Chrome\Extension: [ofoeigeaodhbjogdigckajfhjbonaofg] - hxxps://clients2.google.com/service/update2/crx
    S3 MEMSWEEP2; \??\C:\WINDOWS\system32\22.tmp [X]
    S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X]
    U1 WS2IFSL; Brak ImagePath
    2018-05-05 18:09 - 2018-05-05 18:15 - 000000000 ____D C:\AdwCleaner


    Zapisz jako fixlist.txt obok FRST.exe i w FRST kliknij "FIX" "Napraw".

    0
  • Pomocny post
    #12 06 Maj 2018 00:35
    krzychupar
    Poziom 40  

    Problem ustąpił czy nie ? Jeżeli nie to zamieść nowe logi z FRST.

    0
  • #13 06 Maj 2018 09:50
    rhimo
    Poziom 4  

    Na razie trudno mi powiedzieć czy problem ustąpił. Rodzice nie zauważyli czy jest jakaś reguła kiedy komputer się wyłącza. W ciągu dnia spróbuję do tego dojść. Niestety sam nie znam się na tyle, żeby stwierdzić czy wszystko już w porządku. Wklejam log fixlog.

    0
  • Pomocny post
    #14 06 Maj 2018 10:37
    krzychupar
    Poziom 40  

    Miałeś zamieścić nowe logi z FRST.

    0
  • Pomocny post
    #16 06 Maj 2018 19:06
    krzychupar
    Poziom 40  

    W logach infekcji nie widać. Powinno być ok.

    0
  • #17 06 Maj 2018 20:08
    rhimo
    Poziom 4  

    Dziękuję za pomoc. Sam bym sobie nie poradził. Pewnie jeszcze raz tutaj napiszę w związku z wirusem na moim win7 ale to na spokojnie jak wrócę do kraju. Powiedzcie mi jeszcze, bo ja nie potrafię rodzicom odpowiedzieć na to pytanie, czy muszą pozmieniać hasła (do poczty, banku itp.), czy nie jest to konieczne?

    0
  • #18 07 Maj 2018 19:18
    RADU23
    Moderator - Komputery Serwis

    rhimo napisał:
    czy muszą pozmieniać hasła (do poczty, banku itp.), czy nie jest to konieczne?

    Nie ma takiej konieczności.

    0
  • #19 07 Maj 2018 21:27
    rhimo
    Poziom 4  

    Dziękuję wam za pomoc.

    0
  • #20 25 Maj 2018 22:03
    RADU23
    Moderator - Komputery Serwis

    Temat odblokowany na prośbę autora.

    0
  • #21 25 Maj 2018 22:08
    rhimo
    Poziom 4  

    Dziękuję za odblokowanie tematu :)
    Wróciłem i w końcu mogę zająć się komputerem na którym jest win7. Nie wiesza się tak często jak na początku tematu, wiesza się co jakiś czas.. w procesach nadal jest masa procesów co mnie martwi bo komputer bardzo się grzeje mimo, że nic nie zużywa procesora. Wklejam logi, jakby mógł na ie spojrzeć ktoś mądry byłbym na prawdę wdzięczny.

    0
  • #22 25 Maj 2018 22:12
    RADU23
    Moderator - Komputery Serwis

    Otwórz notatnik i wklej zawartość:

    Cytat:
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://acer.msn.com
    HKU\S-1-5-21-1555414959-3566746135-1843529842-1000\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    HKU\S-1-5-21-1555414959-3566746135-1843529842-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://acer.msn.com
    BHO-x32: PDF Architect 5 Helper -> {AEA429F3-D2D4-4BD7-A03E-5357DA017733} -> C:\Program Files (x86)\PDF Architect 5\creator\plugins\IEAddin\creator-ie-helper.dll => Brak pliku
    FF HKLM-x32\...\Firefox\Extensions: [litmus-ff@f-secure.com] - C:\Program Files (x86)\F-Secure\NRS\litmus-ff@f-secure.com => nie znaleziono
    FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 => nie znaleziono
    FF HKU\S-1-5-21-1555414959-3566746135-1843529842-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 => nie znaleziono


    Zapisz jako fixlist.txt obok FRST.exe i w FRST kliknij "FIX" "Napraw".

    0
  • #24 25 Maj 2018 22:50
    RADU23
    Moderator - Komputery Serwis

    W logach już czysto.

    0