Mania995 Opublikowano 12 Października 2014 Zgłoś Udostępnij Opublikowano 12 Października 2014 Żaden z antywirusów mi nie działa (Avast, Microsoft security essentials, Norton) po kliknieciu wyskakuje powiadomienie "Enhanced protection mode. Attention. Avast (lub inny antywirus) operates under enhanced protection mode. This is a temporary measure necessary for immediate response to the treat from virus.No action is required from you." poza tym cały komputer jest zamulony bo nie działa zaden antywirus. OTL.Txt Extras.Txt Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 12 Października 2014 Zgłoś Udostępnij Opublikowano 12 Października 2014 Proszę dostosuj się do zasad działu i dostarcz brakujące obowiązkowe logi: FRST i GMER. EDIT: Widzę, że część raportów uzupełniona, tylko że te 3 pliki FRST nie dają się pobrać (błąd). Dołącz je ponownie. A log z FRST sugeruje wg nazwy, że wyciągasz go z folderu C:\FRST\Logs. Nie rób tego, to archiwum logów, bieżący log zawsze jest tam, skąd uruchamiano FRST. Odnośnik do komentarza
picasso Opublikowano 18 Października 2014 Zgłoś Udostępnij Opublikowano 18 Października 2014 Logi zostały podmienione, więc możemy przejść do dzieła. System jest zaśmiecony w sposób niewiarygodny! - mnóstwo infekcji i adware, m.in. ZeroAccess, liczne sterowniki nieudolnie odinstalowanych programów antywirusowych. Będzie tu dużo czyszczenia i zajmie to sporo czasu. Ponadto, owszem wyczyszczę system, ale tu się klaruje problem z dyskiem twardym - bad sectory: System errors: ============= Error: (10/18/2014 02:43:50 PM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Czyszczenie infekcji teoretycznie nie ma sensu, ale jest po to, by dało się cokolwiek wykonać z poziomu systemu i skopiować cenne dane w bezpieczne miejsce przed ewentualną reinstalacją systemu. Po czyszczeniu wyślę Cię na diagnostykę dysku do działu Hardware i może się okazać, że dysk do wymiany. Działania wstępne: 1. Pobierz poniższy plik i umieść obok narzędzia FRST: fixlist.txt Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. 2. Przejdź w Tryb awaryjny Windows i zastosuj specjalne narzędzia usuwające odpadki antywirusów: Avast Uninstall Utility, ESET Uninstaller, Norton Removal Tool 3. Nadal siedząc w Trybie awaryjnym Windows uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Przejdź do Trybu normalnego. Przez Panel sterowania odinstaluj adware i wątpliwe aplikacje: BabylonObjectInstaller, BasicScan 1.0 build 115, Breowsse2isavee, BrowserCompanion, BrowserProtect, BrowseToSave 1.74, Bundled software uninstaller, Complitly, Contextual Tool Sleekseek, DealPly, Deinstalator Strony V9, Dll-Files Fixer, DownVision, FLV Player (remove only), FoxTab PDF Converter, fst_pl_131, Genesis, GinyasBrowserCompanion, IB Updater Service, MagniPic, Mobogenie3, MyFreeCodec, Only-search, Oxy, Oxy version 2.0, PC Data App, PileFile downloader, Pirate Storm, Plus-HD-9.4, PrivitizeVPN, Protected Search 1.1, QuestBasic 1.0 build 117, Remote Desktop Access (VuuPC), Search Assistant WebSearch 1.74, Search-NewTAb, Softonic for Windows, Softonic-Polska Toolbar, Software Version Updater, SoftwareUpdater, SpeedUpMyPC, SupTab, TheTorntv V10, uTorrentControl_v6 Toolbar for IE, ValueApps, Windows iLivid Toolbar, WindowsProtectManger20.0.0.401, WinZipper, Yontoo 1.10.02 Dodatkowo stare wersje i zbędniki: Akamai NetSession Interface, HiJackThis, Java 6 Update 27, Java 7 Update 71, Microsoft Silverlight, OpenOffice.org 3.3, Opera 12.16, Windows Media Player Firefox Plugin Jeśli czegoś nie będzie widać lub deinstalacja zwróci błąd, nie szkodzi, kontynuuj. 5. W systemie są dwa czynne konta: ========================= Accounts: ========================== bbbb (S-1-5-21-1495774856-1328017135-2697362928-1020 - Limited - Enabled) => C:\Users\bbbb Nowa Era (S-1-5-21-1495774856-1328017135-2697362928-1019 - Administrator - Enabled) => C:\Users\Nowa Era Logi FRST pochodzą z konta Nowa Era, a potrzebne ze wszystkich kont. Po kolei zaloguj się na każde z nich i zrób nowy log FRST z opcji Scan, przy czym: - Na koncie administracyjnym Nowa Era trzy logi (FRST.txt, Addition.txt i Shortcut.txt), na limitowanym bbbb dwa (FRST.txt i Addition.txt) - Loguj się przez pełny restart komputera a nie opcję Przełącz użytkowników lub Wyloguj, a na koncie limitowanym nie startuj FRST opcją "Uruchom jako Administrator", gdyż to zmieni kontekst konta. Zrób także dodatkowe logi: zaległy GMER oraz Farbar Service Scanner. Dołącz też plik fixlog.txt. . Odnośnik do komentarza
Mania995 Opublikowano 19 Października 2014 Autor Zgłoś Udostępnij Opublikowano 19 Października 2014 Nie mogę dodać logów z gmer ponieważ plik jest za duży. Addition.txt FRST.txt FSS.txt FRST.txt Shortcut.txt Addition.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 19 Października 2014 Zgłoś Udostępnij Opublikowano 19 Października 2014 Większość przetworzona, ale: - Wystąpił nowy problem, wszystkie usługi Microsoftu przestały być sygnowane (adnotacje File not signed). Nie wiem co się stało. - Infekcja nie została usunięta do końca. - Nie ma oznak zastosowania Norton Removal Tool. - Nie wszystkie programy zostały odinstalowane: ==================== Installed Programs ====================== BabylonObjectInstaller (HKLM\...\{83AA2913-C123-4146-85BD-AD8F93971D39}) (Version: 2.0.0.3 - Babylon Ltd) Bundled software uninstaller (HKLM\...\bi_uninstaller) (Version: - ) Deinstalator Strony V9 (HKLM\...\V9Software) (Version: - ELEX Technology) FLV Player (remove only) (HKLM\...\FLVM Player) (Version: - ) HiJackThis (HKLM\...\{45A66726-69BC-466B-A7A4-12FCBA4883D7}) (Version: 1.0.0 - Trend Micro) Java 7 Update 71 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83217051FF}) (Version: 7.0.710 - Oracle) Java 6 Update 27 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83216024FF}) (Version: 6.0.270 - Oracle) Microsoft Silverlight (HKLM\...\{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}) (Version: 4.0.60831.0 - Microsoft Corporation) OpenOffice.org 3.3 (HKLM\...\{EB87675F-5281-4767-A54B-31931794C23D}) (Version: 3.3.9567 - OpenOffice.org) Softonic-Polska Toolbar (HKLM\...\Softonic-Polska Toolbar) (Version: 6.8.5.1 - Softonic-Polska) Kolejna porcja czynności, odmiennych na każdym zalogowanym koncie: NA KONCIE "Nowa Era": 1. Na początek spróbuj odinstalować co zakreśliłam powyżej. W przypadku braku widoczności wejścia czy błędów zanotuj które z nich i podaj wraz z informacjami w punkcie 5. 2. Pobierz poniższy plik i połóż obok FRST: fixlist.txt Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny plik fixlog.txt. 3. Przejdź w Tryb awaryjny Windows. Zastosuj Norton Removal Tool. 4. Przejdź w Tryb normalny Windows. Zastosuj ServicesRepair i zresetuj system. 5. Zastosuj Fix It 50202 z zaznaczoną opcją Run aggressive options. 6. Zrób nowe logi: FRST z opcji Scan (pola Addition + Shortcut zaznaczone) + Farbar Service Scanner. Sprawdź także czy przypadkiem nowy skan GMER nie jest znacznie krótszy. Dodatkowo, na dysku jest odpadkowy folder C:\Users\Hasło!! nie powiązany już z żadnym kontem. Czy można go usunąć w całości? NA KONCIE "bbbb": 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1495774856-1328017135-2697362928-1020\...\Run: [backgroundContainerV2] => "C:\Windows\system32\Rundll32.exe" "C:\Users\bbbb\AppData\Local\Conduit\BackgroundContainer\BackgroundContainer.dll",DllRun HKU\S-1-5-21-1495774856-1328017135-2697362928-1020\...\Run: [Akamai NetSession Interface] => C:\Users\bbbb\AppData\Local\Akamai\netsession_win.exe [4672920 2014-04-17] (Akamai Technologies, Inc.) HKU\S-1-5-21-1495774856-1328017135-2697362928-1020\...\Winlogon: [shell] C:\Users\bbbb\AppData\Local\5e981d0d\X HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.search.ask.com/?o=APN11459&gct=hp&d=488-210&v=a13277-348&t=4 SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=210&systemid=488&v=a13277-348&apn_uid=2090850645444295&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKCU - {A52ED6BC-F38F-445B-8CCF-90B9AD78FE19} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3289075&CUI=UN40803136227522240&UM=1 SearchScopes: HKCU - {AFDBDDAA-5D3F-42EE-B79C-185A7020515B} URL = SearchScopes: HKCU - {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = http://mystart.incredibar.com/?a=6OzNkFGMva&loc=skw&search={searchTerms}&i=26 Toolbar: HKCU - No Name - {96F454EA-9D38-474F-B504-56193E00C1A5} - No File DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj Akamai NetSession Interface. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. . Odnośnik do komentarza
Mania995 Opublikowano 20 Października 2014 Autor Zgłoś Udostępnij Opublikowano 20 Października 2014 Pojawił się nowy problem " Nie można uzyskać dostępu do usługi Instalator Windows. Może mieć to miejsce, jeśli instalator Windows jest niepoprawnie zainstalowany" Przez co nie moge odinstalować zaznaczonych przez panią programów, ani otworzyc plików microsoftu (excel, wordpad itp.) Nie mogę otworzyć pliku norton removal tools wyskakuje mi " This file is not signed so it won't run" I nie moge otworzyć pliku MicrosoftFixit50202 nic sie nie dzieje jak klikam na niego Nie mogę usunąć konta Hasło!! pisze uzyskaj 'uprawnienia od S-1-5-21-1495774856-1328017135-2697362928-1004 ' Fixlog.txt FRST.txt Addition.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 20 Października 2014 Zgłoś Udostępnij Opublikowano 20 Października 2014 Mania995, na początek: rozkładam ręce, tak starannie tu czyszczę system, a Ty .... znów załadowałeś nowe adware! AppsHat Mobile Apps, ShopperPro, YouTube Accelerator. Zanim w ogóle przejdziesz dalej proszę przeczytaj na co uważać, skąd nie pobierać: KLIK. Adware trzeba będzie czyścić, ale mamy grubszy problem do rozwiązania teraz: Pojawił się nowy problem " Nie można uzyskać dostępu do usługi Instalator Windows. Może mieć to miejsce, jeśli instalator Windows jest niepoprawnie zainstalowany" Przez co nie moge odinstalować zaznaczonych przez panią programów, ani otworzyc plików microsoftu (excel, wordpad itp.) Nie mogę otworzyć pliku norton removal tools wyskakuje mi " This file is not signed so it won't run" I nie moge otworzyć pliku MicrosoftFixit50202 nic sie nie dzieje jak klikam na niego Niestety to skutek uboczny tego: Wystąpił nowy problem, wszystkie usługi Microsoftu przestały być sygnowane (adnotacje File not signed). Nie wiem co się stało. Efekt w logu wygląda tak jakby uległa uszkodzeniu baza Usług kryptograficzych. Nie mogę usunąć konta Hasło!! pisze uzyskaj 'uprawnienia od S-1-5-21-1495774856-1328017135-2697362928-1004 ' Tylko pytałam czy można to usunąć, usuwaniem folderu zajmę się ja. To potem. Obecnie musimy naprawić bazę certyfikatów. Wstępne działania pod kątem Usług kryptograficznych. Otwórz Notatnik i wklej w nim: CMD: net stop cryptsvc CMD: ren C:\Windows\system32\catroot2 catroot2.old CMD: net start cryptsvc Folder: C:\Windows\System32\catroot Folder: C:\Windows\System32\catroot2 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. . Odnośnik do komentarza
Mania995 Opublikowano 21 Października 2014 Autor Zgłoś Udostępnij Opublikowano 21 Października 2014 reszta logów. Nie mogę też otworzyć niektórych stron internetowych np. google " strona internetowa jest niedostępna" Fixlog.txt Fixlog.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 21 Października 2014 Zgłoś Udostępnij Opublikowano 21 Października 2014 Problem z siecią może wynikać z następujących przyczyn: nowe adware, nieusunięte szczątki Nortona oraz problem niesygnowanych plików. Ale nie możemy jeszcze przejść do czyszczenia, gdyż jest nadal problem z odczytami na temat sygnowanych plików. Zresetowałam folder catroot2 z ceryfikatami, ale jeszcze się nie odtworzył. Proszę zresetuj system i daj mu popracować z godzinę na "wolnym biegu", ale nic na nim nie wykonuj. Następnie, po godzinie otwórz Notatnik i wklej w nim: ListPermissions: C:\Windows\System32\catroot ListPermissions: C:\Windows\System32\catroot\{127D0A1D-4EF2-11D1-8608-00C04FC295EE} ListPermissions: C:\Windows\System32\catroot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE} ListPermissions: C:\Windows\System32\catroot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Hyper-V-Common-Drivers-Package~31bf3856ad364e35~x86~~6.1.7601.17514.cat ListPermissions: C:\Windows\System32\catroot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\windows-legacy-whql.cat Folder: C:\Windows\System32\catroot2 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Na razie nie proszę o nowy skan FRST. . Odnośnik do komentarza
Mania995 Opublikowano 22 Października 2014 Autor Zgłoś Udostępnij Opublikowano 22 Października 2014 zrobione, ale dalej jest tak samo Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 22 Października 2014 Zgłoś Udostępnij Opublikowano 22 Października 2014 Oczywiście, że dalej jest to samo, ostatni Fix nic nie naprawiał tylko pobierał dane w trybie "Tylko do odczytu". Będzie ciężko naprawić "File not signed". To jest naprawialne tylko poprzez Przywracanie systemu, a tu bardzo nie chcę tego robić, gdyż system był tak potwornie zainfekowany, iż powrót do stanu wcześniejszego wszystko odwróci i stworzy dodatkowe problemy. Spróbuję zrobić selektywne "przywracanie" ograniczone tylko do folderu C:Windows\system32\catroot. I dopóki nie naprawimy odczytu "File not signed", nie możemy przejść do dalszego czyszczenia systemu z adware i innych rzeczy. Akcja: 1. Pobierz Shadow Explorer (portable). Uruchom program. Z menu rozwijanego wybierz najstarszą datę z dnia 17.10.2014. Następnie z boku w eksploratorze wyszukaj folder C:\Windows\system32\catroot (nie catroot2). Z prawokliku na ten folder opcja Export i wskaż jako miejsce docelowe Pulpit. Na Pulpicie pojawi się folder catroot. Zamknij program. 2. Następnie otwórz normalny eksplorator Windows i otwórz folder C:\Windows\system32\catroot. W folderze tym są dwa podfoldery: {127D0A1D-4EF2-11D1-8608-00C04FC295EE} {F750E6C3-38EE-11D1-85E5-00C04FC295EE} Z prawokliku zmień im nazwy dopisując przedrostek OLD (przy pytaniu o podnoszenie uprawnień zatwierdź): OLD{127D0A1D-4EF2-11D1-8608-00C04FC295EE} OLD{F750E6C3-38EE-11D1-85E5-00C04FC295EE} Następnie z folderu catroot na Pulpicie przekopiuj foldery {127D0A1D-4EF2-11D1-8608-00C04FC295EE} + {F750E6C3-38EE-11D1-85E5-00C04FC295EE} do C:\Windows\system32\catroot (przy pytaniu o podnoszenie uprawnień zatwierdź). Upewnij się, że oba foldery się wstawiły, bez nich katastrofa przy restarcie nastąpi. Jeśli pojawią się jakiekolwiek błędy przy kopiowaniu, STOP i nie resetuj komputera, zgłaszasz się na forum i opisujesz dokładnie gdzie jest błąd. Natomiast jeśli nie będzie żadnego błędu, możesz przejść dalej: 3. Wejdź do folderu C:\Windows\system32\CodeIntegrity i zmień nazwę pliku bootcat.cache dopisując mu OLD. 4. Zresetuj system i zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). . Odnośnik do komentarza
Mania995 Opublikowano 23 Października 2014 Autor Zgłoś Udostępnij Opublikowano 23 Października 2014 Nie mogę otworzyć Shadow Explorer (portable) - "Instalator napotkał błąd instalacji, i wycofa instalację. Szczegółowy komunikat o błędzie: Błąd krytyczny podczas instalacji" Odnośnik do komentarza
picasso Opublikowano 23 Października 2014 Zgłoś Udostępnij Opublikowano 23 Października 2014 Co Ty właścwie próbowałeś instalować? Przecież podałam wyraźnie, że masz pobrać wersję portable - to paczka zip, rozpakowujesz i od razu uruchamiasz program, nie ma żadnej instalacji ... W podanym przeze mnie linku jest: Latest Version: ShadowExplorer 0.9 Installer (exe) - Portable (zip) Wersja "Installer" Cię nie interesuje, klikasz na "Portable"... Odnośnik do komentarza
Mania995 Opublikowano 24 Października 2014 Autor Zgłoś Udostępnij Opublikowano 24 Października 2014 zrobiłam tak jak napisałaś ale jak uruchamiam to sie otwierana 1sek i jest ,że program przestał działać trwa wyszukiwanie problemow i to znika i nic sie nie dzieje Odnośnik do komentarza
picasso Opublikowano 24 Października 2014 Zgłoś Udostępnij Opublikowano 24 Października 2014 Skoro program się wykłada, zamiast programu: w eksploratorze Windows otwórz folder C:\Windows\system32\catroot. Prawoklik na tło folderu > Właściwości > Poprzednie wersje > zaznacz na liście kopię z dnia 17.10.2014 i za pomocą opcji Kopiuj skopiuj ją na Pulpit. A dalej to jak w punktach 2 do 4 poprzedniej instrukcji. Odnośnik do komentarza
Mania995 Opublikowano 25 Października 2014 Autor Zgłoś Udostępnij Opublikowano 25 Października 2014 na liście jest tylko kopia z 2014.10.20 co mam zrobić? Odnośnik do komentarza
picasso Opublikowano 27 Października 2014 Zgłoś Udostępnij Opublikowano 27 Października 2014 Na początku były punkty Przywracania systemu z dnia 17 października. Niestety wybór tylko jednej daty i to już po usuwaniu oznacza zanik poprzednich punktów i niemożność naprawy defektu. Bez punktów Przywracania systemu nie jestem w stanie nic więcej zrobić, a dalsze usuwanie nie ma sensu. Windows należy przeinstalować, by naprawić wadę niesygnowanych plików. Tylko, że tu jeszcze jest problem sprzętowy: tu się klaruje problem z dyskiem twardym - bad sectory: System errors: ============= Error: (10/18/2014 02:43:50 PM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. 1. Zabezpiecz / skopiuj cenne dane z tego dysku. 2. Przed formatem i reinstalacją Windows należy zdiagnozować stan dysku. Załóż temat w dziale Hardware. Zlinkuj do tego tematu, by wiedzieli jaka jest geneza oraz podaj dane wymagane działem: KLIK. Może być problem z uruchomieniem niektórych narzędzi spod Windows ze względu na usterkę sygnowania plików. . Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się