jessica

Tym razem usuwanie się powiodło. Otwórz Notatnik i wklej w nim: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj go. Zrób nowe logi z FRST. W logu FRST: Napisane, by usunąć, ale nie jestem pewna, czy drukarka naprawdę tego nie potrzebuje: dlatego nie daję tego usuwania. Teraz czekaj na @Picasso (nie wiem, kiedy będzie w stanie znów normalnie pomagać na Forum). Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie. EDIT: TAK, wiem, że masz zainstalowaną drukarkę - widać to w logach. I dlatego wolę nie dawać do usuwania tych "At1.job" - bo widać, że to Zaplanowane Zadania drukarki. jessi

Ja nie widzę jakoś powodu, by usuwać te prawidłowe, legalne pliki. http://www.systemlookup.com/Startup/429-Adiras_exe.html to słowa @Picasso w temacie https://www.fixitpc.pl/topic/5979-wolny-start-albo-jego-brak/?hl=adiras.exe&do=findComment&comment=44972 ten sam modem ma plik autoclk.exe

W nowym logu USBFixa nie widzę już infekcji. Teraz czekaj na @Picasso (nie wiem, kiedy będzie w stanie znów normalnie pomagać na Forum). Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie. w międzyczasie możesz zrobić nowe logi z FRST i OTL, by @Picasso, jak tu zajrzy, miała do wglądu aktualne logi. jessi

Plik "autorun.inf"na pewno należy do infekcji. Natomiast nie wiem, co znaczą te: Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to: Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Zrób nowy log z USBFix. jessi

Na tym Forum obowiązuje zasada: masz problem - to czekaj nawet kilka tygodni czy miesięcy. To nie mój wymysł, nic na to nie poradzę, taka tu panuje od dawna praktyka. Pomagający mają swoje prywatne życie, a pomagają tylko wtedy, gdy znajdą na to czas. Może napisz Prywatną Wiadomość do https://www.fixitpc.pl/user/10978-arekavgpl/ jessi

Zrób log z OTL, ale na specjalnym ustawieniu: Procesy - brak Moduły - brak Usługi - brak Sterowniki - brak Rejestr-skan dodatkowy - brak zaznacz w okienku przy "Pomiń pliki Microsoftu" zaznacz w okienku przy "Pomiń znane dobre pliki" brak zaznaczenia przy "Infekcja LOP" brak zaznaczenia przy "Infekcja Purity". W pole Własne opcje skanowania/Scrypt wklej: i dopiero wtedy kliknij Skanuj. infekcja rozwija się dalej - zachodzi pytanie: skąd, skoro nie podpinasz pendrive'a? jessi

W czasie robienia logu z USBFix nie była podpięta przenośna pamięć (pendrive), z której infekcja przedostała się na dysk twardy. Usuwamy więc tylko z dysku twardego, pen pozostanie zarażony. Otwórz Notatnik i wklej w nim: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj go. Zrób nowe logi z USBFix i FRST. Znasz ten plik (z maja br)?

Nie wszystko się usunęło (podejrzewam, że lewy dolny róg Skryptu nie został wklejony do OTL). Usuniemy to inaczej: Do Notatnika wklej: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "bProtector Start Page"=- [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{B224AA02-F7C8-3A2B-859F-560B80767E4A}]Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >> plik uruchom (dwuklik i OK). jessi

Ja w logach nie widzę już infekcji. Do Notatnika wklej: Windows Registry Editor Version 5.00 [HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache] "C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "TCP Query User{65246E6A-591B-45C4-B3D0-F9E03484CC2F}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "UDP Query User{3238FD1A-0F17-4258-BC51-2F4D29F13BFB}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "TCP Query User{BACB726B-8CF9-4B92-8438-41991DA76683}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "UDP Query User{0A7542AE-B3E5-4742-90FD-0079C580AD1A}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "TCP Query User{65246E6A-591B-45C4-B3D0-F9E03484CC2F}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "UDP Query User{3238FD1A-0F17-4258-BC51-2F4D29F13BFB}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "TCP Query User{BACB726B-8CF9-4B92-8438-41991DA76683}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "UDP Query User{0A7542AE-B3E5-4742-90FD-0079C580AD1A}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "TCP Query User{65246E6A-591B-45C4-B3D0-F9E03484CC2F}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "UDP Query User{3238FD1A-0F17-4258-BC51-2F4D29F13BFB}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "TCP Query User{BACB726B-8CF9-4B92-8438-41991DA76683}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules] "UDP Query User{0A7542AE-B3E5-4742-90FD-0079C580AD1A}C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_USERS\S-1-5-21-3742656717-3761440051-3153037642-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache] "C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- [HKEY_USERS\S-1-5-21-3742656717-3761440051-3153037642-1000_Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache] "C:\users\natalia\appdata\roaming\ciuh\lydac.exe"=- Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >> plik uruchom (dwuklik i OK). Nie wiem, dlaczego FRST to pokazuje - w logu FSS nie było żadnych zastrzeżeń do "Windows Defender" Chyba trzeba będzie użyć GrantPerms? Ale to musi być wyjaśnione. Teraz czekaj na @Picasso (nie wiem, kiedy będzie w stanie znów normalnie pomagać na Forum). Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie. jessi

Infekcji już nie widzę. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to: Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Zrób nowy log z OTL oraz wymagane tu logi z FRST https://www.fixitpc.pl/topic/61-diagnostyka-og%C3%B3lne-raporty-systemowe/?do=findComment&comment=119294 Potem czekaj na @Picasso (nie wiem, kiedy będzie w stanie znów normalnie pomagać na Forum). Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie. jessi

i dlatego powtórz wszystko z mojego poprzedniego postu jessi

Może trochę satysfakcji, jeśli uda mi sie komuś pomóc. :) W nowych logach nie widzę już niczego do usuwania. Teraz czekaj na @Picasso (nie wiem, kiedy będzie w stanie znów normalnie pomagać na Forum). Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie. W międzyczasie zrób wymagane tu logi z FRST https://www.fixitpc.pl/topic/61-diagnostyka-og%C3%B3lne-raporty-systemowe/?do=findComment&comment=119294 - bo i tak @Picasso się o nie upomni. jessi

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste) Ja w logach nie widzę niczego podejrzanego, więc musisz czekać na @Picasso. (nie wiem, kiedy będzie w stanie znów normalnie pomagać na Forum). Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie. Na jakimś innym forum widziałam, że w podobnym przypadku pomogło wyłączenie jakiegoś akceleratora video w Firefoxie (coś w tym rodzaju, dokładnie nie pamiętam, a nie używam Firefoxa). Kosmetyka: Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to: Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Czekając na @Picasso zrób wymagane tu logi z FRST https://www.fixitpc.pl/topic/61-diagnostyka-og%C3%B3lne-raporty-systemowe/?do=findComment&comment=119294 jessi

Z logu FSS wynika, że usługa BFE jest zainstalowana, i nie jest uszkodzona. Zapis erroru pochodzi z 4 listopada, a nie ma z 5 i z dzisiejszego dnia, więc uznaję tę sprawę za przeszłość. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to: Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Zrób nowe logi z OTL i FRST (za każdym razem upominam się nowe logi, bo nie wiem, kiedy @Picasso zacznie znów pomagać, a chcę, by od razu miała wgląd do aktualnych logów) Do >SystemLook-64 wklej: Naciśnij Look i pokaż raport. jessi

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste) 1) Użyj >USBFix Kliknij w nim na: DELETION. Daj raport z tego usuwania. 2) Zrób nowe logi z FRST. czy Tryb Awaryjny (F8 przed startem Systemu) da się u ciebie uruchomić. Pytam, bo zastanawia mnie ten wpis: nietypowy. gdyby po "AlternateShell" było : "cmd.exe", to w logu wcale by nie było tego wpisu (bo: whitelisted) jessi

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste) Znasz ten program? Nic więcej podejrzanego w logach nie widzę. Na pewno będzie jeszcze kosmetyka, ale to chyba dopiero, gdy logi dokładniej przejrzy @Picasso. ((nie wiem, kiedy będzie w stanie znów normalnie pomagać na Forum). Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie. W międzyczasie możesz zrobić wymagane tu logi z FRST. jessi

Czy to ważne? Nazwy zresztą nie pamiętam, ale kojarzy mi się jako spółka z infekcją ZeroAcces lub Weelsof. Najważniejsze, że to jest infekcja. Oczywiście wcale nie musisz wykonywać moich zaleceń, możesz czekać na @Picasso. Na pewno się nie obrażę. :) Ale mogłbyś przynajmnie zrobić log z FSS, chciałabym zobaczyć, czy faktycznie usługa BFE (Postawowy Aparat Filtrowania) jest zniszona, np. przez ZeroAcces'a. jessi

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste) Jeszcze jest infekcja: 1) Do Notatnika wklej: Windows Registry Editor Version 5.00 [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"=- [HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"=- [HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"=- [HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"=-Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >> plik uruchom (dwuklik i OK). 2) Otwórz Notatnik i wklej w nim: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. Daj go. 3) Zrób nowe logi z FRST i OTL. 4) Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko). jessi

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste) Infekcja jest widoczna. 1) Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to: Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera - do Trybu Normalnego. Zapisz raport, który pokaże się po restarcie. 2) Odinstaluj: relevantknowledge "{069B290F-5398-4629-A009-85B4BCB4B1B9}" = Claro Chrome Toolbar "{83AA2913-C123-4146-85BD-AD8F93971D39}" = BabylonObjectInstaller "claro" = Claro LTD toolbar "StartNow Toolbar" = StartNow Toolbar "V9Software" = V9 Homepage Uninstaller 3) Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej). najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego. Pokaż raport z niego C:\AdwCleaner[s1].txt 4) Zrób nowy log z OTL. jessi

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste) Gdzie go wykrył? W logu GMER jest tylko widoczny "rootkit Avast": oraz: czy to laptop? Poza tym w logach nie widzę niczego podejrzanego. Ale oczywiście to musi przejrzeć @Picasso. (nie wiem, kiedy będzie w stanie znów normalnie pomagać na Forum). Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie. jessi

To nie wygląda na infekcję - zostawiamy ten plik w spokoju. Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to: Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Zrób nowe logi z FRST i OTL. Potem czekaj na @Picasso (nie wiem, kiedy będzie w stanie znów normalnie pomagać na Forum). Po prostu zaglądaj raz dziennie do swego tematu, by zobaczyć, czy @Picasso już odpowiedziała, czy nie. to też dla @Picasso jessi

ale wykonaj to, co napisałam w swoim poprzednim poście jessi

Nie napisałeś, gdzie AVG wykrywa Trojana. Kosmetyka: Uruchom OTL i w oknie Własne opcje skanowania/Skrypt wklej to: Kliknij w Wykonaj Skrypt. Zatwierdź restart komputera. Zapisz raport, który pokaże się po restarcie. Zrób nowe logi z OTL i FRST https://www.fixitpc.pl/forum-38/announcement-3-wa%C5%BCne-zak%C5%82adanie-tematu-obowi%C4%85zkowe-logi/ Potem możesz spokojnie czekać na @Picasso (nie wiem, kiedy będzie w stanie normalnie pomagać na Forum) jessi

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste) W logach nie widzę żadnej infekcji. Będzie kosmetyczne usuwanie, ale to dopiero po dokładniejszym przejrzeniu logów przez @Picasso (nie wiem, kiedy będzie w stanie znów normalnie pomagać na Forum) może spróbuj wg tego: http://www.pliki.info/plik-shfolder-dll/ tu masz link do mojego pliku (też Win7 x86) http://www.mediafire.com/?pmos283ab234h32 jessi

Źle trafiłeś, bo @Picasso nie ma teraz możliwości zbyt dużo czasu poświęcać na pomaganie (długotrwałe kłopoty osobiste) 1) odinstaluj "WinZipper" = WinZipper Qtrax Player (Version: 1.00.0001) - jeśli go nie używasz 2) Użyj >Adw-cleaner (aby pobrać kliknij na dużą zieloną strzałkę po prawej). najpierw kliknij na SZUKAJ, a dopiero po zakończeniu skanowania, gdy uaktywni się przycisk USUŃ, to kliknij na niego. Pokaż raport z niego C:\AdwCleaner[s0].txt 3) Zrób nowy log z OTL. Ale oprócz normalnych ustawień, dodaj jeszcze jedno: W pole Własne opcje skanowania/Scrypt wklej: i dopiero wtedy kliknij Skanuj. jessi