adamMkk Opublikowano 20 Lutego 2015 Zgłoś Udostępnij Opublikowano 20 Lutego 2015 Witam!Chciałbym odświeżyć wątek i przedstawić swój problem. Wyświetlały mi się reklamy i samoczynnie otwierały strony z pornografią.Dodatki do Chrome - AdBlocker i BlockSite nie pomogły. Pokierowany opinią na jakimś forum postanowiłem użyć AwdCleaner'a.Pobrałem AwdCleaner 4.111, zainstalowałem go na moim laptopie pracującym na Windows 8 Pro. Wybrałem opcję skanowania, AwdCleaner znalazł dwa programy, których nazw dokładnie nie pamiętam. Wiem, że jeden miał coś z windows w nazwie. Sądząc, że powyższe programy są przyczyną moich problemów niewiele myśląc kliknąłem cleaning.Następnie pojawił się komunikat o konieczności restaru. Zgodziłem się i.... Standardowy czas uruchamiania się mojego laptopa to ok. 20 sekund. Tymczasem od naciśnięcia 'Power' do wyświetlenia okna z wpisaniem hasła upłynęło ok 1,5 minuty. Następnie po wprowadzeniu hasła pojawia się "welcome", kropeczki krążą w kółko i tak bez końca. System ani drgnie... Po twardym restarcie sytuacja się powtarza.Proszę o pomoc, co mogę zrobić w takiej sytuacji. Odnośnik do komentarza
picasso Opublikowano 20 Lutego 2015 Zgłoś Udostępnij Opublikowano 20 Lutego 2015 Skoro system się nie uruchamia, podaj raport z FRST zrobiony z poziomu środowiska zewnętrznego RE: KLIK. Odnośnik do komentarza
adamMkk Opublikowano 20 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 20 Lutego 2015 Z góry przepraszam za moje banalne pytania ale nigdy nie miałem do czynienia z "operacjami" typu praca w środowisku zewnętrznym Windows. Nie wiem czy dobrze zrozumiałem turtorial ale zrobiłem tak: - pobrałem FRST64, umieściłem plik na pendrivie i podpiąłem do USB laptopa - do napędu włożyłem płytę z Windows 8, który mam zainstalowany - ponownie uruchomiłem komputer Niestety system niechciał bootować, pojawia się okno wprowadzania hasła. Wybieram zamknięcie systemu, pojawia się napis "zamykanie" i krążące kropeczki, tak minuta, dwie.... twardy restart. Kolejne uruchamianie systemu, ponownie nie bootuje ale tym razem okno z hasem pojawiło się w standardowym czasie (7s). Wprowadzam hasło i system uruchamia się jak gdyby nigdy nic a na pulpicie pojawia się notatka z AwdCleaner o następującej treści: * załączam też raport w formie pliku # AdwCleaner v4.111 - Logfile created 20/02/2015 at 08:55:27 # Updated 18/02/2015 by Xplode # Database : 2015-02-18.3 [server] # Operating system : Windows 8 Pro (x64) # Username : Adam - ADAM-LAPTOP # Running from : C:\Users\Adam\Downloads\adwcleaner_4.111.exe # Option : Cleaning ***** [ Services ] ***** Service Deleted : WindowsMangerProtect Service Deleted : IHProtect Service ***** [ Files / Folders ] ***** Folder Deleted : C:\ProgramData\WindowsMangerProtect Folder Deleted : C:\ProgramData\IHProtectUpDate Folder Deleted : C:\Program Files (x86)\XTab Folder Deleted : C:\Users\Adam\AppData\Roaming\key-find Folder Deleted : C:\Users\Adam\AppData\Roaming\OpenCandy ***** [ Scheduled tasks ] ***** ***** [ Shortcuts ] ***** ***** [ Registry ] ***** Key Deleted : HKCU\Software\Google\Chrome\Extensions\fcfenmboojpjinhpgggodefccipikbpd Key Deleted : HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WindowsMangerProtect Key Deleted : HKLM\SOFTWARE\Classes\AppID\{9C81D00A-3DAA-48AB-90C7-8252119ABB93} Key Deleted : HKLM\SOFTWARE\Classes\AppID\{1DA17428-323D-48FF-857C-98CFEE48BFD5} Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} Key Deleted : HKLM\SOFTWARE\Classes\Interface\{917CAAE9-DD47-4025-936E-1414F07DF5B8} Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{968EDCE0-C10A-47BB-B3B6-FDF09F2A417D} Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} Key Deleted : [x64] HKLM\SOFTWARE\Classes\Interface\{917CAAE9-DD47-4025-936E-1414F07DF5B8} Key Deleted : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86} Key Deleted : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{71F84983-896C-43B6-BF16-F35423164393} Key Deleted : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{E733165D-CBCF-4FDA-883E-ADEF965B476C} Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86} Key Deleted : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86} Key Deleted : HKLM\SOFTWARE\SupDp Key Deleted : HKLM\SOFTWARE\SupTab Key Deleted : HKLM\SOFTWARE\supWindowsMangerProtect Key Deleted : HKLM\SOFTWARE\IHProtect Key Deleted : HKLM\SOFTWARE\PositiveFinds ***** [ Web browsers ] ***** -\\ Internet Explorer v10.0.9200.16384 Setting Restored : HKCU\Software\Microsoft\Internet Explorer\Main [Default_Page_URL] Setting Restored : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL] Setting Restored : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Page_URL] Setting Restored : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [start Page] Setting Restored : HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [search Page] Setting Restored : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Search_URL] Setting Restored : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [Default_Page_URL] Setting Restored : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [start Page] Setting Restored : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\Main [search Page] -\\ Google Chrome v40.0.2214.115 ************************* AdwCleaner[R0].txt - [4719 bytes] - [20/02/2015 08:53:12] AdwCleaner[s0].txt - [3337 bytes] - [20/02/2015 08:55:27] ########## EOF - C:\AdwCleaner\AdwCleaner[s0].txt - [3396 bytes] ########## Proszę o wyjaśnienie o co w tym chodzi. AdwCleanerS0.txt Odnośnik do komentarza
picasso Opublikowano 20 Lutego 2015 Zgłoś Udostępnij Opublikowano 20 Lutego 2015 Skoro system nagle się uruchomił, to dostarcz raporty FRST zrobione spod Windows: KLIK. Te trzy pliki (FRST.txt, Addition.txt i Shortcut.txt) mają być podane jako załączniki a nie wklejane w poście. Odnośnik do komentarza
adamMkk Opublikowano 20 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 20 Lutego 2015 wrzucam raporty ze skanowania Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 20 Lutego 2015 Zgłoś Udostępnij Opublikowano 20 Lutego 2015 Nie wiem z jakiego powodu AdwCleaner tak wpłynął na start Windows i nawet po ponownym resecie był problem. AdwCleaner nie usuwał nic szczególnego - drobne szczątki adware. W podanych raportach brak oznak czynnej infekcji. Możesz wykonać jeszcze kosmetykę (usunięcie odpadka adware key-find, innych pustych wpisów i czyszczenie Tempów): Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 ewusbnet; \SystemRoot\system32\DRIVERS\ewusbnet.sys [X] S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X] S3 hwdatacard; \SystemRoot\system32\DRIVERS\ewusbmdm.sys [X] U4 klkbdflt2; \SystemRoot\system32\DRIVERS\klkbdflt2.sys [X] HKU\S-1-5-21-101574327-4162847114-3858594938-1001\...\Run: [ViStart] => C:\Users\Adam\AppData\Roaming\ViStart\ViStart.exe HKU\S-1-5-21-101574327-4162847114-3858594938-1001\...\Run: [NukeMetro] => "C:\Users\Adam\AppData\Roaming\ViStart\ViStart.exe" /nuke_metro HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com SearchScopes: HKU\S-1-5-21-101574327-4162847114-3858594938-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mount&Blade Warband C:\Users\Adam\AppData\Roaming\ViStart Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\key-find uninstall" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query HKLM\SOFTWARE\Google\Chrome\Extensions /s Reg: reg query HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /s C:\Windows\system32\netcfg-*.txt EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się