jessica

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (https://www.fixitpc.pl/topic/20392-kolosalny-ba%C5%82agan/) W logach nie widzę żadnej infekcji, więc najprawdopodobniej miałeś najnowszą wersję tej infekcji - ta wersja, po zamknięciu okna, sama niszczy siebie. Kosmetyka: Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to: Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Czy to może laptop? @Picasso zajrzy tu pewnie dopiero za kilka tygodni. jessi

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (https://www.fixitpc.pl/topic/20392-kolosalny-ba%C5%82agan/) Nie napisałeś, gdzie Avast wykrywa infekcję. W tej lokalizacji nie powinno być żadnego pliku *exe - sam to tam wstawiłeś? Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to: Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij Skanuj. Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem. jessi.

No cóż, w takim razie temat będzie do zamknięcia.

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie > https://www.fixitpc.pl/topic/20392-kolosalny-ba%C5%82agan/ Podam Skrypt, ale zastanawiam się, czy warto, skoro Twój System właściwie już nie istnieje: Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to: Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Następnie uruchom OTL ponownie, tym razem kliknij Skanuj. Pokaż nowy log OTL.txt oraz raport z usuwania Skryptem. Do >SystemLook-64 wklej: Naciśnij Look i pokaż raport. jessi

Szkoda, że nie dadzą się uruchomić. Ja tu już nic nie wymyślę, więc musisz czekać, aż @Picasso wyzdrowieje (pewnie pod koniec miesiąca). RogueKiller - usuń ręcznie ESET Service Repair - usuń ręcznie. FSS, FRST, OTL - na razie niech zostaną - może @Picasso będzie je jeszcze zalecać? Myślę, że w takim stanie komputera możesz już spokojnie czekać. jessi

Otwórz Notatnik i wklej w nim: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Czy wykonałeś wszystkie moje zalecenia z poprzedniego postu odnośnie włączenia usług Systemowych? Pytam, bo Windows Update oraz Centrum Zabezpieczeń dalej nie są włączone. jessi

Jednym słowem: jest źle. Spróbujemy ten SpyHunter usunąć "na siłę". Otwórz Notatnik i wklej w nim: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Czy usunął się? >>START>>URUCHOM>>wybierz (lub wpisz): services.msc> w okienku po prawej znajdź Centrum Zabezpieczeń>>prawoklik >>Właściwości > w okienku Typ Uruchomienia wybierz: Automatycznie (opóźnione uruchomienie) >OK Kliknij na "Uruchom ponownie". Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk z Windows > Konfiguruj > zaznacz "Przywróć ustawienia systemu oraz poprzednie wersje plików" >OK. >>START>>URUCHOM>>wybierz (lub wpisz): services.msc> w okienku po prawej znajdź Windows Update>>prawoklik >>Właściwości > w okienku Typ Uruchomienia wybierz: Automatycznie (opóźnione uruchomienie) >OK Kliknij na "Uruchom ponownie". >>START>>URUCHOM>>wybierz (lub wpisz): services.msc> w okienku po prawej znajdź usługa inteligentnego transferu w tle>>prawoklik >>Właściwości > w okienku Typ Uruchomienia wybierz: Automatycznie (opóźnione uruchomienie) >OK Kliknij na "Uruchom ponownie". >>START>>URUCHOM>>wybierz (lub wpisz): services.msc> w okienku po prawej znajdź System Zdarzeń COM+>>prawoklik >>Właściwości > w okienku Typ Uruchomienia wybierz: Automatycznie >OK Kliknij na "Uruchom ponownie". jessi

Czy w dalszym ciągu Tryb Normalny nie działa? Sądząc po logach, to jest nieźle. Te usługi Systemowe nie są włączone. Może po przejściu na Tryb normalny włączą się? Sama nie wiem. Spróbuj Tryb Normalny. Zrób w nim nowy log z FSS. jessi

1) Otwórz Notatnik i wklej w nim: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj ten log 2) Pobierz >>ESET ServicesRepair Kliknij prawym na pliku ServicesRepair i wybierz Uruchom jako administrator. 3) Pobierz poniższy plik. Zmień mu nazwę z TXT na REG, z prawokliku na plik Scal i potwierdź import do rejestru. https://www.fixitpc.pl/index.php?app=core&module=attach&section=attach&attach_id=48432 4) Pobierz narzędzie SetACL, (SetACL.3.06 z folderu Commandline version wypakuj wersję dopasowaną do systemu (x86 = 32-bit, x64 = 64-bit) i umieść w katalogu C:\Windows. 5) W Notatniku wklej poniższą treść i zapisz plik pod nazwą fix.txt. Plik umieść bezpośrednio na C:\. "machine\SYSTEM\CurrentControlSet\Services\PolicyAgent",4,"O:BA" "machine\SYSTEM\CurrentControlSet\Services\PolicyAgent\Parameters",4,"O:BA" "machine\SYSTEM\CurrentControlSet\Services\PolicyAgent\Parameters\Cache",4,"O:BAD:PAI(A;OICI;CCDCLCSWRPRC;;;S-1-5-80-3044542841-3639452079-4096941652-1606687743-1256249853)" "machine\SYSTEM\CurrentControlSet\Services\PolicyAgent\TriggerInfo",4,"O:BA" "machine\SYSTEM\CurrentControlSet\Services\PolicyAgent\TriggerInfo\0",4,"O:BA" START > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\PolicyAgent" -ot reg -actn restore -bckp C:\fix.txt >ENTER 6) Pobierz ten plik i umieść go bezposrednio na C:\ https://www.fixitpc.pl/index.php?app=core&module=attach&section=attach&attach_id=48434 START > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę: SetACL -on "HKLM\SYSTEM\CurrentControlSet\Services\RemoteAccess" -ot reg -actn restore -bckp C:\fix.txt >ENTER 7) Zrób nowy log z FSS 8)Zrób nowe logi z FRST. jessi

Zrób nowe logi z FRST, potem będę myślała, co dalej z tym bagnem robić .. jessi

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie -> https://www.fixitpc.pl/topic/20392-kolosalny-ba%C5%82agan/ 1) Użyj >>RogueKiller (aby pobrać kliknij na obrazek po Lien de téléchargement :) Kliknij w nim SCAN, a po wyszukaniu szkodliwych rzeczy kliknij DELETE. Pokaż oba raporty z niego. 2) Otwórz Notatnik i wklej w nim: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj go. 3) Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko). 4) Zrób nowe logi z FRST. jessi

nieaktualne

Pytałam się o to @Picasso - odpowiedziała, że @Landuss codziennie się loguje na Forum, ale pewnie nie ma czasu na pomaganie. Tylko że z tym logowaniem to też może być, że ma "fixitpc" ustawione jako stronę startową. jessi

@Picasso chyba mogła sama dawno założyć ten temat, przynajmniej Użytkownicy wiedzieli by że nie mogą na razie liczyć na pomoc. Ja wiedziałam o chorobie @Picasso już 27 października, ale nie zostałam upoważniona do napisania o tym na Forum, więc w tematach pisałam tylko enigmatyczne: "osobiste kłopoty". jessi

Spróbuj jessi

Tym razem usuwanie się powiodło. Otwórz Notatnik i wklej w nim: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj go. Zrób nowe logi z FRST. W logu FRST: Napisane, by usunąć, ale nie jestem pewna, czy drukarka naprawdę tego nie potrzebuje: dlatego nie daję tego usuwania. Teraz czekaj na @Picasso (nie wiem, kiedy będzie w stanie znów normalnie pomagać na Forum). Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie. EDIT: TAK, wiem, że masz zainstalowaną drukarkę - widać to w logach. I dlatego wolę nie dawać do usuwania tych "At1.job" - bo widać, że to Zaplanowane Zadania drukarki. jessi

Ja nie widzę jakoś powodu, by usuwać te prawidłowe, legalne pliki. http://www.systemlookup.com/Startup/429-Adiras_exe.html to słowa @Picasso w temacie https://www.fixitpc.pl/topic/5979-wolny-start-albo-jego-brak/?hl=adiras.exe&do=findComment&comment=44972 ten sam modem ma plik autoclk.exe

W nowym logu USBFixa nie widzę już infekcji. Teraz czekaj na @Picasso (nie wiem, kiedy będzie w stanie znów normalnie pomagać na Forum). Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie. w międzyczasie możesz zrobić nowe logi z FRST i OTL, by @Picasso, jak tu zajrzy, miała do wglądu aktualne logi. jessi

Plik "autorun.inf"na pewno należy do infekcji. Natomiast nie wiem, co znaczą te: Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to: Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Zrób nowy log z USBFix. jessi

Na tym Forum obowiązuje zasada: masz problem - to czekaj nawet kilka tygodni czy miesięcy. To nie mój wymysł, nic na to nie poradzę, taka tu panuje od dawna praktyka. Pomagający mają swoje prywatne życie, a pomagają tylko wtedy, gdy znajdą na to czas. Może napisz Prywatną Wiadomość do https://www.fixitpc.pl/user/10978-arekavgpl/ jessi

Zrób log z OTL, ale na specjalnym ustawieniu: Procesy - brak Moduły - brak Usługi - brak Sterowniki - brak Rejestr-skan dodatkowy - brak zaznacz w okienku przy "Pomiń pliki Microsoftu" zaznacz w okienku przy "Pomiń znane dobre pliki" brak zaznaczenia przy "Infekcja LOP" brak zaznaczenia przy "Infekcja Purity". W pole Własne opcje skanowania/Scrypt wklej: i dopiero wtedy kliknij Skanuj. infekcja rozwija się dalej - zachodzi pytanie: skąd, skoro nie podpinasz pendrive'a? jessi

W czasie robienia logu z USBFix nie była podpięta przenośna pamięć (pendrive), z której infekcja przedostała się na dysk twardy. Usuwamy więc tylko z dysku twardego, pen pozostanie zarażony. Otwórz Notatnik i wklej w nim: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj go. Zrób nowe logi z USBFix i FRST. Znasz ten plik (z maja br)?

Nie wszystko się usunęło (podejrzewam, że lewy dolny róg Skryptu nie został wklejony do OTL). Usuniemy to inaczej: Do Notatnika wklej: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "bProtector Start Page"=- [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{B224AA02-F7C8-3A2B-859F-560B80767E4A}]Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >> plik uruchom (dwuklik i OK). jessi

Ja w logach nie widzę już infekcji. Do Notatnika wklej: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache] "C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "TCP Query User{65246E6A-591B-45C4-B3D0-F9E03484CC2F}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "UDP Query User{3238FD1A-0F17-4258-BC51-2F4D29F13BFB}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "TCP Query User{BACB726B-8CF9-4B92-8438-41991DA76683}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "UDP Query User{0A7542AE-B3E5-4742-90FD-0079C580AD1A}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "TCP Query User{65246E6A-591B-45C4-B3D0-F9E03484CC2F}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "UDP Query User{3238FD1A-0F17-4258-BC51-2F4D29F13BFB}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "TCP Query User{BACB726B-8CF9-4B92-8438-41991DA76683}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "UDP Query User{0A7542AE-B3E5-4742-90FD-0079C580AD1A}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "TCP Query User{65246E6A-591B-45C4-B3D0-F9E03484CC2F}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "UDP Query User{3238FD1A-0F17-4258-BC51-2F4D29F13BFB}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "TCP Query User{BACB726B-8CF9-4B92-8438-41991DA76683}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "UDP Query User{0A7542AE-B3E5-4742-90FD-0079C580AD1A}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_USERS\S-1-5-21-3742656717-3761440051-3153037642-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache] "C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_USERS\S-1-5-21-3742656717-3761440051-3153037642-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache] "C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >> plik uruchom (dwuklik i OK). Nie wiem, dlaczego FRST to pokazuje - w logu FSS nie było żadnych zastrzeżeń do "Windows Defender" Chyba trzeba będzie użyć GrantPerms? Ale to musi być wyjaśnione. Teraz czekaj na @Picasso (nie wiem, kiedy będzie w stanie znów normalnie pomagać na Forum). Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie. jessi

Infekcji już nie widzę. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to: Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Zrób nowy log z OTL oraz wymagane tu logi z FRST https://www.fixitpc.pl/topic/61-diagnostyka-og%C3%B3lne-raporty-systemowe/?do=findComment&comment=119294 Potem czekaj na @Picasso (nie wiem, kiedy będzie w stanie znów normalnie pomagać na Forum). Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie. jessi