kefasso

Dziękuję za wszelkie wsparcie i przepraszam za wtopę. Przywróciłem system z ukrytej partycji ... Pozdrawiam wszystkich forumowiczów.

Zrobiłem tym prawidłowym fixlistem ... Fixlog załączony. Fixlog.txt

Zrobiłem tym prawidłowym fixlistem ... Fixlog załączony.

No to wtopa. Faktycznie to nie ten fixlist. Ponieważ kompa nie miałem, a były raporty z FRST zacząłem się bawić instrukcją tworzenia fixlist samemu, prawdopodobnie został na pulpicie albo pendrive, a ja nie zerknąłem na datę z kiedy plik albo przy wklejaniu treści od Miszel03 nie zapisałem zmian ... <double><facepalm>. Sprawdzę ten kod od Miszel03, jak nie będzie chciało działać to zacznę rozważać Recovery z jakiejś backupowej partycji Co wtopa. Za dużo na głowie, nie myślę a d... zawracają jakimiś prywatami zamiast zanieść kompa do serwisu, zapłacić 100 - 200 zł i byłoby z głowy. ech..

Witam ponownie. Otrzymałem komputer do rąk. puściłem fixlist. Wynik fixlog po naprawie: Rezultat naprawy Farbar Recovery Scan Tool (x64) Wersja: 17-08-2017 Uruchomiony przez Ania (29-08-2017 10:39:12) Run:1 Uruchomiony z C:\Users\Ania\Desktop Załadowane profile: Ania (Dostępne profile: Ania) Tryb startu: Normal ============================================== fixlist - zawartość: ***************** (ESET) C:\Program Files\ESET\ESET Endpoint Antivirus\x86\ekrn.exe (Copyright 2017.) C:\Program Files (x86)\Zemana AntiMalware\ZAM.exe (Malwarebytes) C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe (Malwarebytes) C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe (SUPERAntiSpyware) C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe (Piriform Ltd) C:\Program Files\CCleaner\CCleaner64.exe HKLM\...\Run: [Malwarebytes TrayApp] => C:\PROGRAM FILES\MALWAREBYTES\ANTI-MALWARE\mbamtray.exe [3146704 2017-05-09] (Malwarebytes) HKLM\...\Run: [ZAM] => C:\Program Files (x86)\Zemana AntiMalware\ZAM.exe [15546512 2017-06-19] (Copyright 2017.) HKU\S-1-5-21-3900642790-3964556960-2634687529-1001\...\Run: [CCleaner Monitoring] => C:\Program Files\CCleaner\CCleaner64.exe [9818328 2017-06-30] (Piriform Ltd) HKU\S-1-5-21-3900642790-3964556960-2634687529-1001\...\Run: [SUPERAntiSpyware] => C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe [7963552 2017-06-12] (SUPERAntiSpyware) HKU\S-1-5-21-3900642790-3964556960-2634687529-1001\...\MountPoints2: {4113b6b8-c13e-11e6-828e-346895463ac0} - "G:\AutoRun.exe" HKU\S-1-5-21-3900642790-3964556960-2634687529-1001\...\MountPoints2: {a0d9d8bf-569c-11e6-8284-346895463ac0} - "F:\AutoRun.exe" HKU\S-1-5-21-3900642790-3964556960-2634687529-1001\...\MountPoints2: {d91a80d7-123e-11e7-8298-5cb901b5566b} - "G:\AutoRun.exe" Tcpip\Parameters: [DhcpNameServer] 192.168.8.1 Tcpip\..\Interfaces\{0abfa0a8-97ee-4bab-9074-a087cc2fe2b8}: [DhcpNameServer] 192.168.8.1 Tcpip\..\Interfaces\{3fb41698-db9e-4497-84b5-cbd11adca352}: [DhcpNameServer] 192.168.8.1 R2 !SASCORE; C:\Program Files\SUPERAntiSpyware\SASCORE64.EXE [173472 2017-01-31] (SUPERAntiSpyware.com) R2 MBAMService; C:\Program Files\Malwarebytes\Anti-Malware\mbamservice.exe [4470736 2017-05-09] (Malwarebytes) R2 ZAMSvc; C:\Program Files (x86)\Zemana AntiMalware\ZAM.exe [15546512 2017-06-19] (Copyright 2017.) 2017-08-18 12:17 - 2017-08-18 12:17 - 000253856 _____ (Malwarebytes) C:\WINDOWS\system32\Drivers\MBAMSwissArmy.sys 2017-08-04 17:01 - 2017-08-04 17:01 - 000365264 _____ C:\WINDOWS\system32\FNTCACHE.DAT 2017-08-03 09:10 - 2017-08-03 09:10 - 000000000 ____D C:\3590F75ABA9E485486C100C1A9D4FF06Z..Z.ZZ.Z..ZZ..Z 2017-08-03 04:03 - 2017-08-03 04:03 - 000000000 ____D C:\3590F75ABA9E485486C100C1A9D4FF06Z..ZZ.ZZZ.Z..ZZZ 2017-08-03 02:40 - 2017-08-03 04:02 - 000000000 ____D C:\3590F75ABA9E485486C100C1A9D4FF06Z..Z.Z..ZZ.Z..ZZ 2017-08-03 01:16 - 2017-08-03 02:39 - 000000000 ____D C:\3590F75ABA9E485486C100C1A9D4FF06ZZZZ.Z.Z.Z.ZZZ.Z 2017-08-03 00:12 - 2017-08-03 00:12 - 000000000 ____D C:\ProgramData\AVAST Software 2017-08-02 23:40 - 2017-08-18 12:49 - 000051287 _____ C:\WINDOWS\ZAM.krnl.trace 2017-08-02 23:40 - 2017-08-18 12:49 - 000017654 _____ C:\WINDOWS\ZAM_Guard.krnl.trace 2017-08-02 23:40 - 2017-08-02 23:40 - 000203680 _____ (Zemana Ltd.) C:\WINDOWS\system32\Drivers\zamguard64.sys 2017-08-02 23:40 - 2017-08-02 23:40 - 000203680 _____ (Zemana Ltd.) C:\WINDOWS\system32\Drivers\zam64.sys 2017-08-02 23:40 - 2017-08-02 23:40 - 000001188 _____ C:\Users\Public\Desktop\Zemana AntiMalware.lnk 2017-08-02 23:40 - 2017-08-02 23:40 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Zemana AntiMalware 2017-08-02 23:40 - 2017-08-02 23:40 - 000000000 ____D C:\Program Files (x86)\Zemana AntiMalware 2017-08-02 23:39 - 2017-08-18 11:31 - 000000518 _____ C:\WINDOWS\Tasks\SUPERAntiSpyware Scheduled Task d18f29d6-098f-485b-a9f3-b4f1389fe6b3.job 2017-08-02 23:39 - 2017-08-18 11:31 - 000000518 _____ C:\WINDOWS\Tasks\SUPERAntiSpyware Scheduled Task 179c1b23-1c0e-4ebc-80b9-7d828d579914.job 2017-08-02 23:39 - 2017-08-02 23:39 - 000003734 _____ C:\WINDOWS\System32\Tasks\SUPERAntiSpyware Scheduled Task d18f29d6-098f-485b-a9f3-b4f1389fe6b3 2017-08-02 23:39 - 2017-08-02 23:39 - 000003652 _____ C:\WINDOWS\System32\Tasks\SUPERAntiSpyware Scheduled Task 179c1b23-1c0e-4ebc-80b9-7d828d579914 2017-08-02 23:39 - 2017-08-02 23:39 - 000000000 ____D C:\Users\Ania\AppData\Roaming\SUPERAntiSpyware.com 2017-08-02 23:39 - 2017-08-02 23:39 - 000000000 ____D C:\Users\Ania\AppData\Local\Zemana 2017-08-02 23:38 - 2017-08-02 23:39 - 000000000 ____D C:\Program Files\SUPERAntiSpyware 2017-08-02 23:38 - 2017-08-02 23:38 - 000001856 _____ C:\Users\Public\Desktop\SUPERAntiSpyware Free Edition.lnk 2017-08-02 23:38 - 2017-08-02 23:38 - 000000000 ____D C:\ProgramData\SUPERAntiSpyware.com 2017-08-02 23:38 - 2017-08-02 23:38 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SUPERAntiSpyware 2017-08-02 23:37 - 2017-08-02 23:37 - 000001919 _____ C:\Users\Public\Desktop\Malwarebytes.lnk 2017-08-02 23:37 - 2017-08-02 23:37 - 000000000 ____D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes 2017-08-02 23:37 - 2017-08-02 23:37 - 000000000 ____D C:\ProgramData\Malwarebytes 2017-08-02 23:37 - 2017-08-02 23:37 - 000000000 ____D C:\Program Files\Malwarebytes 2017-08-02 23:37 - 2017-06-27 12:06 - 000077376 _____ C:\WINDOWS\system32\Drivers\mbae64.sys ***************** C:\Program Files\ESET\ESET Endpoint Antivirus\x86\ekrn.exe => Nie można zamknąć procesu C:\Program Files (x86)\Zemana AntiMalware\ZAM.exe => Nie odnaleziono uruchomionego procesu C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe => Nie odnaleziono uruchomionego procesu C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe => Nie odnaleziono uruchomionego procesu C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe => Nie odnaleziono uruchomionego procesu [3480] C:\Program Files\CCleaner\CCleaner64.exe => proces pomyślnie zamknięty. HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\Malwarebytes TrayApp => Wartość nie znaleziono. HKLM\Software\Microsoft\Windows\CurrentVersion\Run\\ZAM => Wartość nie znaleziono. HKU\S-1-5-21-3900642790-3964556960-2634687529-1001\Software\Microsoft\Windows\CurrentVersion\Run\\CCleaner Monitoring => Wartość pomyślnie usunięto HKU\S-1-5-21-3900642790-3964556960-2634687529-1001\Software\Microsoft\Windows\CurrentVersion\Run\\SUPERAntiSpyware => Wartość nie znaleziono. HKU\S-1-5-21-3900642790-3964556960-2634687529-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4113b6b8-c13e-11e6-828e-346895463ac0} => klucz pomyślnie usunięto HKLM\Software\Classes\CLSID\{4113b6b8-c13e-11e6-828e-346895463ac0} => klucz nie znaleziono. HKU\S-1-5-21-3900642790-3964556960-2634687529-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{a0d9d8bf-569c-11e6-8284-346895463ac0} => klucz pomyślnie usunięto HKLM\Software\Classes\CLSID\{a0d9d8bf-569c-11e6-8284-346895463ac0} => klucz nie znaleziono. HKU\S-1-5-21-3900642790-3964556960-2634687529-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d91a80d7-123e-11e7-8298-5cb901b5566b} => klucz pomyślnie usunięto HKLM\Software\Classes\CLSID\{d91a80d7-123e-11e7-8298-5cb901b5566b} => klucz nie znaleziono. HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\\DhcpNameServer => Wartość pomyślnie usunięto HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{0abfa0a8-97ee-4bab-9074-a087cc2fe2b8}\\DhcpNameServer => Wartość pomyślnie usunięto HKLM\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{3fb41698-db9e-4497-84b5-cbd11adca352}\\DhcpNameServer => Wartość pomyślnie usunięto !SASCORE => serwis nie znaleziono. MBAMService => serwis nie znaleziono. ZAMSvc => serwis nie znaleziono. "C:\WINDOWS\system32\Drivers\MBAMSwissArmy.sys" => nie znaleziono. C:\WINDOWS\system32\FNTCACHE.DAT => pomyślnie przeniesiono C:\3590F75ABA9E485486C100C1A9D4FF06Z..Z.ZZ.Z..ZZ..Z => pomyślnie przeniesiono C:\3590F75ABA9E485486C100C1A9D4FF06Z..ZZ.ZZZ.Z..ZZZ => pomyślnie przeniesiono C:\3590F75ABA9E485486C100C1A9D4FF06Z..Z.Z..ZZ.Z..ZZ => pomyślnie przeniesiono C:\3590F75ABA9E485486C100C1A9D4FF06ZZZZ.Z.Z.Z.ZZZ.Z => pomyślnie przeniesiono C:\ProgramData\AVAST Software => pomyślnie przeniesiono C:\WINDOWS\ZAM.krnl.trace => pomyślnie przeniesiono C:\WINDOWS\ZAM_Guard.krnl.trace => pomyślnie przeniesiono C:\WINDOWS\system32\Drivers\zamguard64.sys => pomyślnie przeniesiono "C:\WINDOWS\system32\Drivers\zam64.sys" => nie znaleziono. "C:\Users\Public\Desktop\Zemana AntiMalware.lnk" => nie znaleziono. "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Zemana AntiMalware" => nie znaleziono. C:\Program Files (x86)\Zemana AntiMalware => pomyślnie przeniesiono "C:\WINDOWS\Tasks\SUPERAntiSpyware Scheduled Task d18f29d6-098f-485b-a9f3-b4f1389fe6b3.job" => nie znaleziono. "C:\WINDOWS\Tasks\SUPERAntiSpyware Scheduled Task 179c1b23-1c0e-4ebc-80b9-7d828d579914.job" => nie znaleziono. "C:\WINDOWS\System32\Tasks\SUPERAntiSpyware Scheduled Task d18f29d6-098f-485b-a9f3-b4f1389fe6b3" => nie znaleziono. "C:\WINDOWS\System32\Tasks\SUPERAntiSpyware Scheduled Task 179c1b23-1c0e-4ebc-80b9-7d828d579914" => nie znaleziono. "C:\Users\Ania\AppData\Roaming\SUPERAntiSpyware.com" => nie znaleziono. C:\Users\Ania\AppData\Local\Zemana => pomyślnie przeniesiono "C:\Program Files\SUPERAntiSpyware" => nie znaleziono. "C:\Users\Public\Desktop\SUPERAntiSpyware Free Edition.lnk" => nie znaleziono. "C:\ProgramData\SUPERAntiSpyware.com" => nie znaleziono. "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SUPERAntiSpyware" => nie znaleziono. "C:\Users\Public\Desktop\Malwarebytes.lnk" => nie znaleziono. "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes" => nie znaleziono. "C:\ProgramData\Malwarebytes" => nie znaleziono. "C:\Program Files\Malwarebytes" => nie znaleziono. "C:\WINDOWS\system32\Drivers\mbae64.sys" => nie znaleziono. ==== Koniec Fixlog 10:39:33 ==== Z tego co zauważyłem to w międzyczasie (w ciągu ostatniego tygodnia) przed puszczeniem fixlist odinstalowane programy typu SuperAntiSpyware czy Malwarebytes. Poza tym raczej nic. Dziwna rzecz jest jeszcze taka, że jak się uruchamia komputer to nie uruchamia się podświetlenie ekranu. Zawartość się wyświetla, bo zauważyłem przy mocnym świetle i nawet udało mi się dojrzeć myszkę i kliknąć uruchom ponownie. Po ponownym uruchomieniu uruchamia się normalnie z podświetleniem ekranu, co wskazywałoby że to nie jest sprzętowe. Sterownik karty graficznej ? Chipsetu, bo karta zintegrowana ? No i nadal nie działają karty sieciowe. W menadżerze urządzeń je widać, ale w centrum sieci już nie. Ale to chyba wynika nadal z nieuruchomionych usług typu Zabezpieczenie i konserwacja, bo to powoduje, że Zapora systemu Windows nie działa itd.

Dziękuję za skrypt. Odpalę go dopiero 28-ego. Znajomy się wyurlopował. Swoją drogą ciekawe, że widzę Twój post jest z 14:47 w piątek, a ja może 14:55 sprawdzałem czy ktoś nie odpisał ... i niczego nie zauważyłem Może byłoby po sprawie. Jak wróci i jeszcze przyniesie komputer to odpalę i poinformuję logami co się dzieje. Póki co dziękuję.

Witam. Dotyczy Windows 10 Home w wersji 64bit Otrzymałem kompa "bo się znam". Generalnie jako przysługę chcę pomóc, a nie mam wielkiego doświadczenia w odsyfianiu kompów, zwłaszcza jak ogranicza mnie czas. To co zdążyłem się zorientować to w temacie. Komputer podczas uruchamiania się pierwszy raz zatrzymuje się na czarnym ekranie, tak że trzeba go hardresetem potraktować. Po drugim i kolejnych "ponownych uruchomieniach" uruchamia się w miarę szybko. Nie działa dziennik zdarzeń, spakowałem LOGI do paczek ale i tak mi ich nie powysyłało, bo przekraczało wielkości, nawet jak podzieliłem na mniejsze. Ostatnie są z maja 2017... więc nie wiem czy były coś warte w sierpniu. Proszę o pomoc w analizie i jakimś skrypcie fixlist. Z góry dziękuję. Addition.txt FRST.txt Shortcut.txt

Nie było katalogu C:\_OTL :/ Wczoraj przyznaję trochę w pośpiechu czyściłem tym AdwCleanerem i uruchamiałem skrypt w OTL. Dzisiaj zrobiłem to jeszcze raz powoli i zauważyłem, że przy przeklejaniu kodu skryptu ze strony forum do OTL-a "zjadło" wszystkie "entery" stąd pewnie nie wykonał poprawnie tego skryptu wczoraj. Jeszcze raz zrobiłem skrypt z tym, że przekleiłem najpierw do notatnika, ułożyłem tekst tak jak na stronie i potem wkleiłem to do OTL-a. Skrypt się wykonał, pokazał raport po resecie i potem jeszcze raz zrobiłem skan. Wyniki pracy w załączonych plikach. 06052013_101709.txt OTL.Txt

Dzięki. W załączeniu logi. AdwCleanerS1.txt OTL.Txt

Witam. Użytkownik zainstalował sobie podany w temacie syf. Komputer zabezpieczony jest ESET Endpoint Security 5. Działanie wirusa polegało na tym, że nie pozwolił uruchomić żadnego OTL, GMER itp, zarówno exeków jaki comów, po zmianach nazw itd. Ogólnie nie pozwalał uruchomić czegokolwiek z wyjątkiem Windows Explorer. Każda próba odpalenie IE, cmd powodowało albo pojawienie się okna na pół sekundy, albo od razu komunikat przy ikonie "Internet Security Pro 2013" w systray-u o treści "Warning: cmd.exe is infected" i okno było zamykane. Po którymś z kolei resecie uruchomił się automatyczny skaner ESETa i zabił wykrył wirusa, zabił proces i wrzucił plik do kwarantanny. Poniższy wpis pochodzi z dziennika ESET-a: 2013-06-03 13:42:09 Skaner przy uruchamianiu plik C:\Documents and Settings\All Users\Dane aplikacji\indefender.exe odmiana zagrożenia Win32/Kryptik.BCOC koń trojański wyleczony przez usunięcie - poddany kwarantannie Po wyłączeniu Przywracania systemu na wszystkich dyskach uruchomiłem OTL i GMERa. Proszę o sprawdzenie czy nic nie zostało co należałoby jeszcze usunąć. Extras.Txt OTL.Txt gmer.txt

Dziękuję za pomoc.

Wiem, że mogłem edytować post, ale nie mógłbym chyba dołączyć plików znowu. Na własną (oczywiście) odpowiedzialność pogmerałem sam i wykonałem OTL-em taki oto skrypt: :Files C:\Documents and Settings\Ewa\Menu Start\Programy\System Progressive Protection C:\Documents and Settings\Ewa\Pulpit\System Progressive Protection.lnk C:\Documents and Settings\All Users\Dane aplikacji\59617A7C19AC0871000059617A2310E2 :OTL O4 - HKU\S-1-5-21-1409082233-562591055-725345543-1003..\RunOnce: [59617A7C19AC0871000059617A2310E2] C:\Documents and Settings\All Users\Dane aplikacji\59617A7C19AC0871000059617A2310E2\59617A7C19AC0871000059617A2310E2.exe () O4 - HKU\S-1-5-21-1409082233-562591055-725345543-1003..\Run: [iVONA Reader] "C:\Program Files\IVONA\IVONA Reader\IVONA Reader.exe.exe" -t -nosplash File not found O8 - Extra context menu item: E&ksport do programu Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 File not found O8 - Extra context menu item: E&ksportuj do programu Microsoft Excel - C:\Program Files\Microsoft Office\Office14\EXCEL.EXE IE - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990} IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?} IE - HKU\S-1-5-21-1409082233-562591055-725345543-1003\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990} IE - HKU\S-1-5-21-1409082233-562591055-725345543-1003\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}&src=IE-SearchBox&FORM=IE8SRC IE - HKU\S-1-5-21-1409082233-562591055-725345543-1003\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7SUNC_plPL386 O33 - MountPoints2\{1ecde2dc-c87e-11de-a825-00265e06686e}\Shell\AutoRun\command - "" = G:\0qw6vege.exe O33 - MountPoints2\{1ecde2dc-c87e-11de-a825-00265e06686e}\Shell\open\Command - "" = G:\0qw6vege.exe O33 - MountPoints2\{49722829-d5ae-11de-a827-00265e06686e}\Shell\AutoRun\command - "" = G:\0qw6vege.exe O33 - MountPoints2\{49722829-d5ae-11de-a827-00265e06686e}\Shell\open\Command - "" = G:\0qw6vege.exe :Commands [emptytemp] W załączniku wynik wykonania. Zainstalowałem ESET Endpoint Security. Zainstalowałem mbam-a, i kompletnie niczego nie znalazł. Wyczyściłem Punkty przywracania systemu. Powinienem coś jeszcze zrobić ? Pozdrawiam Kefasso Wynik_skryptu.txt

Witam. Prośba o analizę logów i pomoc w usunięciu tego "antywirusa". Z gmera chciałem zrobić skan, ale nie pozwala go w ogóle odpalić. Pozdrawiam Kefasso Extras.Txt OTL.Txt