marta

2 godziny temu, jessica napisał(a):

Ten program nie ma już atrybutu "hidden" (ukryty) - więc go odinstaluj.

Wśród programów będzie miał nazwę "Windows Manager", albo "{C845414C-903C-4218-9DE7-132AB97FDF62}".

 

Kosmetyka:

Uruchom FRST. 
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowym

  Ukryj zawartość

START::
ShortcutTarget: KBDRO.lnk -> C:\Users\Pixel\Desktop\Setup.exe (Brak pliku)
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
Task: {CC923558-8746-4C36-9D3B-B8AADD9C298D} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA
C:\Users\Pixel\Downloads\Fixlog.txt
C:\WINDOWS\SysWOW64\tikilmz
END::

W FRST kliknij na Fix (NAPRAW).

(restartu tym razem nie będzie.)

 

jessi

wszystko zrobione.

dziękuję jeszcze raz za wszystko.

mogę się jakoś odwdzięczyć?

jestem trochę w szoku, że temat odgrzany po 3 latach

i dostałem jeszcze taką super pomoc

wyglada na to, ze mamy sukces - windows zastartowal ladnie, explorer tez, wszystko widac automatycznie.

zalaczam raporty ponaprawcze

Fixlog.txt FRST.txt Addition.txt

5 minut temu, jessica napisał(a):

OK.

Pamiętaj, by pokazać mi nowe logi FRST

Dobrze, podeślę po wszystkim.

Pozdrawiam

5 minut temu, jessica napisał(a):

Tak.

 

Dopiero teraz zauważyłam, że program ma atrybut "hidden" (ukryty) - zajmiemy się więc nim potem

Dobrze,

Dziękuję.

Muszę zostawić tą sprawę na później, coś mi wypadło.

Odezwę się wieczorem,

Co mi się udało zdziałać.

Jeszcze raz dziękuję z gory

1 minutę temu, jessica napisał(a):

Takiej komendy ja na pewno nie dawałam

czekaj, juz troche wiecej zrozumialem.

uruchomic program, skopiowac ukryta wiadomosc i kliknac napraw w programie,

a na koniec jeszcze raz przeskanowac i zobaczy czy pomoglo - potwierdzisz teraz?

a jesli program, ktory mam usunac nazywa sie WINDOWS MANAGER, to ja takiego nie mam na liscie

w Panelu Sterowania (Programy i funkcje)

6 minut temu, jessica napisał(a):

tak jak poprzednio: zrób nowe logi z FRST.

Czyli najpierw CTRL+Y i otworzy się notatnik i wkleić do niego ukrytą wiadomość i CTRL+S i NAPRAW?

Nowe logi to ponowne przeskanowanie programem po wszystkim?

Wybacz, ale nie jestem w tych sprawach zbyt biegly

Poprosiłbym całość bardziej krok po kroku

Byłbym bardzo wdzieczny

Aha, i jaki program mam usunąć, bo nie bardzo rozumiem?

Jak on się nazywa?

13 minut temu, jessica napisał(a):

1) Windows Manager (HKLM-x32\...\{C845414C-903C-4218-9DE7-132AB97FDF62}) (Version: 1.0.0 - AW Manager) Hidden <==== UWAGA

Jeśli nie znasz tego programu, to go odinstaluj.

 

2) Uruchom FRST. 
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowym

  Pokaż ukrytą zawartość

START::
CreateRestorePoint:
HKU\S-1-5-21-3723253731-386050940-3204752601-1001\...\Winlogon: [Shell] %comspec% <==== UWAGA
HKU\S-1-5-21-3723253731-386050940-3204752601-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundModule.exe" 2>NUL | find /I /N "SoundModule.exe">NUL && exit & if exist ( start /MIN "" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) <==== UWAGA
StartupDir: C:\Users\Pixel\Pictures\Minor Policy\ <==== UWAGA
Startup: C:\Users\Pixel\Pictures\Minor Policy\01d8TF9fXOU1uXyalfHEwLJW.exe [2023-12-13] () [Brak podpisu cyfrowego]
Startup: C:\Users\Pixel\Pictures\Minor Policy\fGBbrh0_v6Hea9Q0qag6EOrm.exe [2023-12-13] () [Brak podpisu cyfrowego]
Startup: C:\Users\Pixel\Pictures\Minor Policy\LdzFxQDU9stJGtGp1M2_EaFF.exe [2023-12-13] () [Brak podpisu cyfrowego]
Startup: C:\Users\Pixel\Pictures\Minor Policy\P9hS98hhEx5oA8PLJ81MxXrF.exe [2023-12-13] () [Brak podpisu cyfrowego]
Startup: C:\Users\Pixel\Pictures\Minor Policy\QWMrb2nW01MZpI2DcHNSTHVy.exe [2023-12-13] () [Brak podpisu cyfrowego]
Startup: C:\Users\Pixel\Pictures\Minor Policy\SvEV2clfQyWNkrgk7Si8erkU.exe [2023-12-13] () [Brak podpisu cyfrowego]
Startup: C:\Users\Pixel\Pictures\Minor Policy\TFCdya0dGU4wxkLrlM9E4Nns.exe [2023-12-13] () [Brak podpisu cyfrowego]
GroupPolicy: Ograniczenia - Windows Defender <==== UWAGA
Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
FirewallRules: [{18E6E629-4FBD-4070-919A-6D339F9324D5}] => (Allow) C:\WINDOWS\rss\csrss.exe => Brak pliku
FirewallRules: [{8B36FF91-8548-4A1B-891B-E1BC725502BC}] => (Allow) C:\WINDOWS\rss\csrss.exe => Brak pliku
2023-12-13 19:01 - 2023-12-13 19:01 - 000000559 _____ () C:\Users\Pixel\AppData\Local\bowsakkdestx.txt
HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== UWAGA
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== UWAGA
HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== UWAGA
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ograniczenia <==== UWAGA
HKU\S-1-5-21-3723253731-386050940-3204752601-1001\...\Run: [ProductAuthenticationService] => C:\Users\Pixel\AppData\Roaming\ProductAuthenticationService\pas.exe [1003024 2019-12-02] (DVJ LIMITED -> DVJ LIMITED) <==== UWAGA
2023-12-16 12:07 - 2023-12-16 12:51 - 2771420617 _____ C:\Users\Pixel\Downloads\Niepotwierdzony 235627.crdownload
2023-12-16 12:07 - 2023-12-16 12:51 - 2765690054 _____ C:\Users\Pixel\Downloads\Niepotwierdzony 819814.crdownload
2023-12-16 12:07 - 2023-12-16 12:51 - 2762859958 _____ C:\Users\Pixel\Downloads\Niepotwierdzony 999844.crdownload
2023-12-16 12:06 - 2023-12-16 12:30 - 1738519517 _____ C:\Users\Pixel\Downloads\Niepotwierdzony 629430.crdownload
2023-12-13 19:01 - 2023-12-13 19:01 - 000000559 _____ C:\Users\Pixel\AppData\Local\bowsakkdestx.txt
2023-12-13 19:01 - 2023-12-13 19:01 - 000000000 ____D C:\Users\Pixel\AppData\Roaming\qZEQZX3gfK8
RemoveDirectory: C:\Users\Pixel\Downloads\FRST-OlderVersion
C:\Users\Pixel\AppData\Roaming\Microsoft\SoundModule
EmptyEventLogs: 
EmptyTemp:
END::

W FRST kliknij na Fix (NAPRAW).

 

Zrób nowe logi FRST.

 

jessi

8 minut temu, jessica napisał(a):

jest infekcja 

 

 

zaraz .....

Na spokojnie.

Czekam cierpliwie.

Jestem wdzięczny, że w ogóle masz chęć pomoc

3 minuty temu, jessica napisał(a):

raporty będą tam, gdzie masz FRST

 

jessi

dziękuję za odzew

załączam pliki

FRST.txt Addition.txt

Witam Jessica, widzialem, że dużo pomagałas w tym temacie na forum i to skutecznie. Pomożesz też mi? Mam czarny ekran po włączeniu windowsa i do tego jakby wluruchomiony okno wiersza polecen cmd. Pobrałem ten program frst i właśnie robi mi skanowanie. On jak skończy, to gdzieś wygeneruje i zapisze raporty automatycznie czy jak się to robi żeby Ci pokazać co jest u mnie grane?