Elektroda.pl
Elektroda.pl
X
Servizza
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Przeglądarka otwiera sama nowe zakładki z reklamami + svchost zabiera 50% CPU

Husaria2 17 Lip 2018 16:07 195 6
  • #1 17 Lip 2018 16:07
    Husaria2
    Poziom 9  

    Witam, wczoraj pobrałem torrenta z jak się okazuje wiruskiem, który otwiera mi sam nowe zakładki z reklamami w przeglądarce.
    Zabiera 50% zużycia procesora przez svchost
    Przeglądarka otwiera sama nowe zakładki z reklamami + svchost zabiera 50% CPU
    Dodatkowo przy każdej próbie pobrania FRST lub przy wpisywaniu fraz jak malware przeglądarka się crashuje. Znajomy próbował mi wstawiać to na różne hostingi pod różnymi nazwami każda próba pobrania kończyła się niepowodzeniem najpierw defender usuwał a po wyłączeniu po prostu był "błąd pobierania". W końcu ściągnąłem go na telefon i wrzuciłem na komputer. Znowu wyłączony defender go usuwał, ale dodałem plik do wyjątków. Udaje FRST odpalić na ułamek sekundy po czym dostaje crasha. Jakieś pomysły?

    Dodano po 13 [minuty]:

    Przy pomocy tego tematu https://www.elektroda.pl/rtvforum/topic3480958.html znalazłem u siebie bardzo podobne pliki Przeglądarka otwiera sama nowe zakładki z reklamami + svchost zabiera 50% CPU (3 pierwsze, jest też to dokładna data zapewne kiedy niechciany gość się u mnie zadomowił) Usunąłem je w nadziei, że mi też pomoże taki zabieg - niestety nic się nie zmieniło.

    Ciekawi mnie tez proces "Antimalware Service Executable" który widnieje na 1 screenie, ponieważ nigdy wcześniej go nie zauważyłem a dosyć często korzystam z menadżera.

    0 6
  • Servizza
  • Servizza
  • #3 17 Lip 2018 17:10
    Husaria2
    Poziom 9  

    Dziękuje krzychupar za wstawkę FRST ale tak jak wcześniej wspomniałem udało mi się go przeszmuglować na PC przez telefon tylko nie mogłem go odpalić bo dostawał instant crasha.

    Update sytuacji :
    - Znając dokładną date wprowadzki wirusa usunąłem każdy możliwy plik który powstał lub został zmodyfikowany o tej samej godzinie co pozwoliło mi się pozbyć svchosta który zżerał mi zasoby procesora. Więc pod tym względem już jest OK
    - Udało mi się w końcu odpalić FRST w safe modzie

    Logi w załączniku ponieważ ilość tekstu za duża aby zmieścić w poście

    0
  • #4 17 Lip 2018 17:32
    Husaria2
    Poziom 9  

    Z cyklu ciekawostek proces, który mnie wcześniej zaciekawił tj. "Antimalware Service Executable" jest też częścią wirusa lub kryje się pod nim ponieważ przy wpisywaniu tej frazy w google przeglądarka znowu dostaje crasha.

    0
  • Pomocny post
    #5 17 Lip 2018 18:38
    krzychupar
    Poziom 40  

    Otwórz notatnik systemowy i wklej:

    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku
    Task: {95A39F07-585A-4974-8CB5-7CE923F2FA38} - System32\Tasks\Opera scheduled Autoupdate 1531838638 => C:\Program Files\Opera\launcher.exe [2018-07-11] (Opera Software)
    Task: {A8B0A1A4-76CE-48F2-AAFE-D36EFDADAC19} - \{3B4BA4DE-8B2C-0455-6A19-23AAB31544E0} -> Brak pliku <==== UWAGA
    Task: {C2A409E1-B19C-4124-94EA-5E06F4AA0467} - \{DB6FD149-229F-DC96-5E52-8913C20E2A4F} -> Brak pliku <==== UWAGA
    Task: {FF0CCA46-2DD4-419C-B20F-321536F2309F} - \{E596D761-43B2-17FD-1009-A4201CAD0299} -> Brak pliku <==== UWAGA
    FirewallRules: [{0F5A549C-CDE4-4DFC-92A6-1BCE4D04F85F}] => (Allow) C:\Windows\SysWOW64\svchost.exe
    FirewallRules: [{5A275645-4732-40F4-A49D-358312F75331}] => (Allow) C:\Windows\SysWOW64\svchost.exe
    FirewallRules: [{5BD82384-63CF-4AA8-A9D3-37290991341C}] => (Allow) C:\Windows\SysWOW64\svchost.exe
    FirewallRules: [{F453A861-51AF-4749-8EE8-282D9A8749EF}] => (Allow) C:\Windows\SysWOW64\svchost.exe
    FirewallRules: [{89F97975-079E-4A1B-8AD4-E45B90FCF261}] => (Allow) C:\Windows\SysWOW64\svchost.exe
    FirewallRules: [{91505A9C-FAD4-4CDA-9303-27890F731159}] => (Allow) C:\Windows\SysWOW64\svchost.exe
    FirewallRules: [{0D9E10FB-F894-48B7-9D67-678FA5ADC19D}] => (Allow) C:\Windows\SysWOW64\rundll32.exe
    FirewallRules: [{1AE39A38-2562-41DD-8177-5F0E46AD979E}] => (Allow) C:\Windows\SysWOW64\svchost.exe
    FirewallRules: [{E5BBB4F3-D039-4B02-BB79-C8499E7CE5D5}] => (Allow) C:\Windows\SysWOW64\svchost.exe
    FirewallRules: [{77DBBF05-6484-49FB-8444-36BD973E6D75}] => (Allow) C:\Windows\SysWOW64\rundll32.exe
    FirewallRules: [{7962A126-1F39-489D-8055-653A3AE2E7DD}] => (Allow) C:\Windows\SysWOW64\svchost.exe
    FirewallRules: [{C23F6DD1-91EE-48E5-BE7E-5F2BFF93DE1A}] => (Allow) C:\Windows\SysWOW64\svchost.exe
    HKU\S-1-5-21-4055689081-536607644-1389942840-1001\...\MountPoints2: {2a386b05-89bd-11e8-819a-94de80c40fb5} - "I:\setup.exe"
    2018-04-12 01:34 - 2018-04-12 01:34 - 000059904 ____N (Microsoft Corporation) C:\Program Files (x86)\mOoeisySVR.exe
    2018-04-12 01:34 - 2018-04-12 01:34 - 000178688 ____N (Microsoft Corporation) C:\Program Files (x86)\Common Files\fehoi.exe
    2018-04-12 01:34 - 2018-04-12 01:34 - 000059904 ____N (Microsoft Corporation) C:\Users\Dawid\AppData\Roaming\oyFKCSOqbdu.exe
    EmptyTemp:

    Plik zapisz pod nazwą fixlist.txt i umieść w folderze, gdzie masz FRST.exe.
    Uruchom FRST i kliknij w Fix/Napraw.

    0
  • #6 17 Lip 2018 19:13
    Husaria2
    Poziom 9  

    Spoiler:
    Code:
    Rezultat naprawy Farbar Recovery Scan Tool (x64) Wersja: 15.07.2018
    
    Uruchomiony przez Dawid (17-07-2018 19:08:35) Run:1
    Uruchomiony z C:\Users\Dawid\Desktop
    Załadowane profile: Dawid (Dostępne profile: Dawid & Administrator)
    Tryb startu: Safe Mode (minimal)
    ==============================================

    fixlist - zawartość:
    *****************
    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku
    Task: {95A39F07-585A-4974-8CB5-7CE923F2FA38} - System32\Tasks\Opera scheduled Autoupdate 1531838638 => C:\Program Files\Opera\launcher.exe [2018-07-11] (Opera Software)
    Task: {A8B0A1A4-76CE-48F2-AAFE-D36EFDADAC19} - \{3B4BA4DE-8B2C-0455-6A19-23AAB31544E0} -> Brak pliku <==== UWAGA
    Task: {C2A409E1-B19C-4124-94EA-5E06F4AA0467} - \{DB6FD149-229F-DC96-5E52-8913C20E2A4F} -> Brak pliku <==== UWAGA
    Task: {FF0CCA46-2DD4-419C-B20F-321536F2309F} - \{E596D761-43B2-17FD-1009-A4201CAD0299} -> Brak pliku <==== UWAGA
    FirewallRules: [{0F5A549C-CDE4-4DFC-92A6-1BCE4D04F85F}] => (Allow) C:\Windows\SysWOW64\svchost.exe
    FirewallRules: [{5A275645-4732-40F4-A49D-358312F75331}] => (Allow) C:\Windows\SysWOW64\svchost.exe
    FirewallRules: [{5BD82384-63CF-4AA8-A9D3-37290991341C}] => (Allow) C:\Windows\SysWOW64\svchost.exe
    FirewallRules: [{F453A861-51AF-4749-8EE8-282D9A8749EF}] => (Allow) C:\Windows\SysWOW64\svchost.exe
    FirewallRules: [{89F97975-079E-4A1B-8AD4-E45B90FCF261}] => (Allow) C:\Windows\SysWOW64\svchost.exe
    FirewallRules: [{91505A9C-FAD4-4CDA-9303-27890F731159}] => (Allow) C:\Windows\SysWOW64\svchost.exe
    FirewallRules: [{0D9E10FB-F894-48B7-9D67-678FA5ADC19D}] => (Allow) C:\Windows\SysWOW64\rundll32.exe
    FirewallRules: [{1AE39A38-2562-41DD-8177-5F0E46AD979E}] => (Allow) C:\Windows\SysWOW64\svchost.exe
    FirewallRules: [{E5BBB4F3-D039-4B02-BB79-C8499E7CE5D5}] => (Allow) C:\Windows\SysWOW64\svchost.exe
    FirewallRules: [{77DBBF05-6484-49FB-8444-36BD973E6D75}] => (Allow) C:\Windows\SysWOW64\rundll32.exe
    FirewallRules: [{7962A126-1F39-489D-8055-653A3AE2E7DD}] => (Allow) C:\Windows\SysWOW64\svchost.exe




    FirewallRules: [{C23F6DD1-91EE-48E5-BE7E-5F2BFF93DE1A}] => (Allow) C:\Windows\SysWOW64\svchost.exe
    HKU\S-1-5-21-4055689081-536607644-1389942840-1001\...\MountPoints2: {2a386b05-89bd-11e8-819a-94de80c40fb5} - "I:\setup.exe"
    2018-04-12 01:34 - 2018-04-12 01:34 - 000059904 ____N (Microsoft Corporation) C:\Program Files (x86)\mOoeisySVR.exe
    2018-04-12 01:34 - 2018-04-12 01:34 - 000178688 ____N (Microsoft Corporation) C:\Program Files (x86)\Common Files\fehoi.exe
    2018-04-12 01:34 - 2018-04-12 01:34 - 000059904 ____N (Microsoft Corporation) C:\Users\Dawid\AppData\Roaming\oyFKCSOqbdu.exe
    EmptyTemp:
    *****************

    "HKLM\Software\Classes\Directory\Background\ShellEx\ContextMenuHandlers\igfxcui" => pomyślnie usunięto
    HKLM\Software\Classes\CLSID\{3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => nie znaleziono
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{95A39F07-585A-4974-8CB5-7CE923F2FA38}" => pomyślnie usunięto
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{95A39F07-585A-4974-8CB5-7CE923F2FA38}" => pomyślnie usunięto
    C:\Windows\System32\Tasks\Opera scheduled Autoupdate 1531838638 => pomyślnie przeniesiono
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Opera scheduled Autoupdate 1531838638" => pomyślnie usunięto
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{A8B0A1A4-76CE-48F2-AAFE-D36EFDADAC19}" => pomyślnie usunięto
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A8B0A1A4-76CE-48F2-AAFE-D36EFDADAC19}" => pomyślnie usunięto
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{3B4BA4DE-8B2C-0455-6A19-23AAB31544E0}" => pomyślnie usunięto
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{C2A409E1-B19C-4124-94EA-5E06F4AA0467}" => pomyślnie usunięto
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C2A409E1-B19C-4124-94EA-5E06F4AA0467}" => pomyślnie usunięto
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{DB6FD149-229F-DC96-5E52-8913C20E2A4F}" => pomyślnie usunięto
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Logon\{FF0CCA46-2DD4-419C-B20F-321536F2309F}" => pomyślnie usunięto
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{FF0CCA46-2DD4-419C-B20F-321536F2309F}" => pomyślnie usunięto
    "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{E596D761-43B2-17FD-1009-A4201CAD0299}" => pomyślnie usunięto
    "HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{0F5A549C-CDE4-4DFC-92A6-1BCE4D04F85F}" => pomyślnie usunięto
    "HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{5A275645-4732-40F4-A49D-358312F75331}" => pomyślnie usunięto
    "HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{5BD82384-63CF-4AA8-A9D3-37290991341C}" => pomyślnie usunięto
    "HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{F453A861-51AF-4749-8EE8-282D9A8749EF}" => pomyślnie usunięto
    "HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{89F97975-079E-4A1B-8AD4-E45B90FCF261}" => pomyślnie usunięto
    "HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{91505A9C-FAD4-4CDA-9303-27890F731159}" => pomyślnie usunięto
    "HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{0D9E10FB-F894-48B7-9D67-678FA5ADC19D}" => pomyślnie usunięto
    "HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{1AE39A38-2562-41DD-8177-5F0E46AD979E}" => pomyślnie usunięto
    "HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{E5BBB4F3-D039-4B02-BB79-C8499E7CE5D5}" => pomyślnie usunięto
    "HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{77DBBF05-6484-49FB-8444-36BD973E6D75}" => pomyślnie usunięto
    "HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{7962A126-1F39-489D-8055-653A3AE2E7DD}" => pomyślnie usunięto
    "HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\\{C23F6DD1-91EE-48E5-BE7E-5F2BFF93DE1A}" => pomyślnie usunięto
    "HKU\S-1-5-21-4055689081-536607644-1389942840-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{2a386b05-89bd-11e8-819a-94de80c40fb5}" => pomyślnie usunięto
    HKLM\Software\Classes\CLSID\{2a386b05-89bd-11e8-819a-94de80c40fb5} => nie znaleziono
    C:\Program Files (x86)\mOoeisySVR.exe => pomyślnie przeniesiono
    C:\Program Files (x86)\Common Files\fehoi.exe => pomyślnie przeniesiono
    C:\Users\Dawid\AppData\Roaming\oyFKCSOqbdu.exe => pomyślnie przeniesiono

    =========== EmptyTemp: ==========

    BITS transfer queue => 9199616 B
    DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 53496021 B
    Java, Flash, Steam htmlcache => 72154727 B
    Windows/system/drivers => 194226 B
    Edge => 15957655 B
    Chrome => 728263500 B
    Firefox => 0 B
    Opera => 371735420 B

    Temp, IE cache, history, cookies, recent:
    Default => 0 B
    Users => 0 B
    ProgramData => 0 B
    Public => 0 B
    systemprofile => 0 B
    systemprofile32 => 0 B
    LocalService => 0 B
    LocalService => 0 B
    NetworkService => 131520 B
    NetworkService => 0 B
    Dawid => 294108842 B
    Administrator => 27015704 B

    RecycleBin => 0 B
    EmptyTemp: => 1.5 GB danych tymczasowych Usunięto.

    ================================


    System wymagał restartu.

    ==== Koniec  Fixlog 19:08:47 ====


    Przeglądarki już nie crashuje przy wyszukiwaniu w/w fraz. FRST już też mogę włączać w normalnym trybie systemu. Wielkie wielkie dzięki za pomoc, sam bym tego nie ogarnął.

    0
  • #7 17 Lip 2018 20:49
    krzychupar
    Poziom 40  

    Usuń C:\FRST i zamknij temat.

    0