gumek Opublikowano 13 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 13 Kwietnia 2015 Witam. Od niedawna komputer strasznie wolno chodzi i zacina się. Zaóważyłem również że w folderach pojawiły sie pliki o nazwie HELP_DECRYPT , zostały zablokowane zdjęcia i pliki tekstowe nie mozna ich odtworzyć. Pliki te pojawiły sie po tym jak z komputera został odinstalowany AVAST. Podejmowałem próbę usunięcia tego poprzez program SpyHunter , teraz go odinstalowałem. W załącznikach zamieszczam wszystkie pliki jakie udało mi się zrobic. Jestem totalnym laikiem , bardzo proszę o pomoc. FRST_13-04-2015_22-20-59.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 14 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 14 Kwietnia 2015 Podałeś niekompletny zestaw logów FRST - brak plików Addition i Shortcut. Nie można sprawdzić ani co jest zainstalowane, ani w pełni ocenić sytuacji. Poza tym, nazwa pliku FRST wskazuje, że wyciągasz log z folderu C:\FRST\Logs - to jest archiwum logów, bieżący log jest zawsze tam skąd uruchochamiano FRST, w tym przypadku: C:\Documents and Settings\q\Moje dokumenty\Downloads. Program SpyHunter to wątpliwy program, z daleka od niego. Niestety pliki HELP_DECRYPT* oznaczają infekcję CryptoWall, odszyfrowanie danych jest niemożliwe i moja ingerencja zostanie ograniczona tylko do usuwania infekcji per se oraz dodanych plików HELP_DECRYPT*. System jest ogólnie bardzo zainfekowany różnymi trojanami, a brak pliku Addition powoduje, że usuwanie może być niepełne podczas pierwszego podejścia. Wstępnie: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe HKLM\...\Run: [Generic Host Process] => [X] HKLM\...\Run: [jemaka] => C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\jemaka\jemaka.exe [425516 2015-04-06] (MercantileLegitimiseNeutralised) HKLM\...\Run: [NetworkInformer] => C:\Documents and Settings\q\Ustawienia lokalne\Temp\temp2934336138.exe [1575348 2015-04-10] () HKLM Group Policy restriction on software: C:\Program Files\Common Files\Symantec Shared Winlogon\Notify\dpasydb: C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\dpasydb.dll () Winlogon\Notify\dpasysq: C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\dpasysq.dll () Winlogon\Notify\hcxpipd: C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\hcxpipd.dll () Winlogon\Notify\hcxtgtd: C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\hcxtgtd.dll () Winlogon\Notify\hgacxpp: C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\hgacxpp.dll () Winlogon\Notify\sydpasq: C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\sydpasq.dll () Winlogon\Notify\tgtdyhn: C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\tgtdyhn.dll () Winlogon\Notify\ysfvvsq: C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\ysfvvsq.dll () Winlogon\Notify\ysvsqfv: C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\ysvsqfv.dll () HKLM\...\Policies\Explorer\Run: [jemaka] => C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\jemaka\jemaka.exe [425516 2015-04-06] ( (MercantileLegitimiseNeutralised)) HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] HKU\S-1-5-21-1085031214-2025429265-725345543-1003\...\Run: [hgacxpp] => rundll32 "C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\hgacxpp.dll",hgacxpp HKU\S-1-5-21-1085031214-2025429265-725345543-1003\...\Run: [hcxpipd] => rundll32 "C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\hcxpipd.dll",hcxpipd HKU\S-1-5-21-1085031214-2025429265-725345543-1003\...\Run: [hcxtgtd] => rundll32 "C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\hcxtgtd.dll",hcxtgtd HKU\S-1-5-21-1085031214-2025429265-725345543-1003\...\Run: [tgtdyhn] => rundll32 "C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\tgtdyhn.dll",tgtdyhn HKU\S-1-5-21-1085031214-2025429265-725345543-1003\...\Run: [dpasydb] => rundll32 "C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\dpasydb.dll",dpasydb HKU\S-1-5-21-1085031214-2025429265-725345543-1003\...\Run: [sydpasq] => rundll32 "C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\sydpasq.dll",sydpasq HKU\S-1-5-21-1085031214-2025429265-725345543-1003\...\Run: [dpasysq] => rundll32 "C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\dpasysq.dll",dpasysq HKU\S-1-5-21-1085031214-2025429265-725345543-1003\...\Run: [ysfvvsq] => rundll32 "C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\ysfvvsq.dll",ysfvvsq HKU\S-1-5-21-1085031214-2025429265-725345543-1003\...\Run: [ysvsqfv] => rundll32 "C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\ysvsqfv.dll",ysvsqfv HKU\S-1-5-21-1085031214-2025429265-725345543-1003\Control Panel\Desktop\\SCRNSAVE.EXE -> none ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll No File BootExecute: autocheck autochk * sdnclean.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HKU\S-1-5-21-1085031214-2025429265-725345543-1003\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?trackid=sp-006 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/search?trackid=sp-006&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-1085031214-2025429265-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-1085031214-2025429265-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.com/?trackid=sp-006 HKU\S-1-5-21-1085031214-2025429265-725345543-1003\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = https://www.google.com/?trackid=sp-006 HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "about:newtab" HKU\S-1-5-21-1085031214-2025429265-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "about:newtab" SearchScopes: HKLM -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-1085031214-2025429265-725345543-1003 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = SearchScopes: HKU\S-1-5-21-1085031214-2025429265-725345543-1003 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-1085031214-2025429265-725345543-1003 -> {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} BHO: AcroIEHlprObj Class -> {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -> C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx No File BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre6\bin\ssv.dll No File Toolbar: HKLM - No Name - {bd0c8f87-2da0-4449-a726-b978ae8db32c} - No File DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab FF DefaultSearchUrl: https://www.google.com/search/?trackid=sp-006 FF SearchEngineOrder.1: Google (avast) FF SelectedSearchEngine: Google (avast) FF Homepage: https://www.google.com/?trackid=sp-006 FF Keyword.URL: https://www.google.com/search/?trackid=sp-006 FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files\Microsoft Silverlight\5.0.61118.0\npctrl.dll No File FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CHR Extension: (Bflix extension) - C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\jlfihafpijfdgmojeeigcldgchhojpfp [2012-01-14] CHR HKLM\...\Chrome\Extension: [jlfihafpijfdgmojeeigcldgchhojpfp] - C:\Program Files\BFlix\BFlix.crx [2011-12-19] R1 avgtp; C:\WINDOWS\system32\drivers\avgtpx86.sys [42784 2014-08-12] (AVG Technologies) S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] S3 massfilter_lte; \??\C:\WINDOWS\system32\drivers\massfilter_lte.sys [X] S3 zgdcat; system32\DRIVERS\zgdcat.sys [X] S3 zgdcdiag; system32\DRIVERS\zgdcdiag.sys [X] S3 zgdcmdm; system32\DRIVERS\zgdcmdm.sys [X] S3 zgdcnet; system32\DRIVERS\zgdcnet.sys [X] S3 zgdcnmea; system32\DRIVERS\zgdcnmea.sys [X] C:\WINDOWS\system32\drivers\avgtpx86.sys C:\Documents and Settings\All Users\Dane aplikacji\{7D14E36A-889F-4FDA-8B78-2423FB17A4D3} C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Documents and Settings\All Users\Dane aplikacji\Norton C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy C:\Documents and Settings\LocalService\Dane aplikacji\McAfee C:\Documents and Settings\NetworkService\Dane aplikacji\McAfee C:\Documents and Settings\q\Dane aplikacji\~uTorrentPartFile_4985C65.dat C:\Documents and Settings\q\Dane aplikacji\eXcEl3rator.txt C:\Documents and Settings\q\Dane aplikacji\Metric - Synthetica.log C:\Documents and Settings\q\Dane aplikacji\njyhik9iaa C:\Documents and Settings\q\Dane aplikacji\nyjuikoitg C:\Documents and Settings\q\Dane aplikacji\AVAST Software C:\Documents and Settings\q\Dane aplikacji\Ieie C:\Documents and Settings\q\Dane aplikacji\MsDtc C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\*.dll C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\setup.exe C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\jemaka C:\Program Files\DDownTango5aToolbar C:\Program Files\Mozilla Firefox\plugins C:\Program Files\Spybot - Search & Destroy 2 C:\WINDOWS\zyjcxd.hcr Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: attrib -r -h -s C:\HELP_DECRYPT.* /s CMD: del /q /s C:\HELP_DECRYPT.* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows (loguj się na swoje konto q, a nie wbudowanego Administratora). Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt. Odnośnik do komentarza
gumek Opublikowano 14 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 14 Kwietnia 2015 Wkleilem to co trzeba w notatnik. W uruchom zmienilem aby komputer wlaczyl sie w trybie awaryjnym , po ponownym uruchomieniu nie moge sie zalogowac do systemu windows gdyz myszka nie dziala , klawiatura prubowalem wciskajac enter i tez nic. Mam myszke na usb czy to moze by przyczyna ? Co teraz robic ? Kupic myszke z innym wejsciem , jak teraz uruchomic system normalnie ? Odnośnik do komentarza
picasso Opublikowano 14 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 14 Kwietnia 2015 W uruchom zmienilem aby komputer wlaczyl sie w trybie awaryjnym Miałam na myśli użycie klawisza F8 przy starcie, a nie konfigurację msconfig, gdyż w przypadku jakiejś awarii system ustawiony na awaryjny metodą msconfig nie wyjdzie z pętli startu do Trybu awaryjnego. W uruchom zmienilem aby komputer wlaczyl sie w trybie awaryjnym , po ponownym uruchomieniu nie moge sie zalogowac do systemu windows gdyz myszka nie dziala , klawiatura prubowalem wciskajac enter i tez nic. Mam myszke na usb czy to moze by przyczyna ? Wygląda na to, że owszem jest to problem USB, w awaryjnym nie ładują się wymagane sterowniki. Sprawdź czy jesteś w stanie wejść do BIOS i tam wyszukaj + aktywuj opcję brzmiącą podobnie do Enable USB Legacy Support. Odnośnik do komentarza
gumek Opublikowano 14 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 14 Kwietnia 2015 Weszedlem w Biosa i zmienilem na enabled ( zdjecie zamieszczam w zalaczniku ) ale i tak myszka nie dziala. Prubowalem wczesniej uruchomic tryb awaryjny za pomoca f8 ale wyskakiwalo jakies okienko wiec zrobilem to niestety tym drugim sposobem. Odnośnik do komentarza
picasso Opublikowano 14 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 14 Kwietnia 2015 Nie zostaje nic innego jak pożyczyć / kupić przejściówkę do PS2 lub klawiaturę tego typu. Odnośnik do komentarza
gumek Opublikowano 14 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 14 Kwietnia 2015 Kupilem myszke z wejsciem ps2 i ona tez nie dziala w trybie awaryjnym . Zalaczam zdjecie jak to logowanie wyglada , co mam teraz zrobic ? Da sie jeszcze to uratowac czy trzeba oddac komputer do naprawy ? Odnośnik do komentarza
picasso Opublikowano 15 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 15 Kwietnia 2015 Mowa tu o myszy, ale czy klawiatura jest też typu USB? No cóż, w sytuacji, gdy się zablokowano permanentnym startem do Trybu awaryjnego należy zedytować plik rozruchowy BOOT.INI systemu XP, by usunąć parametr startu do awaryjnego. Instrukcje tutaj: KLIK. Skorzystaj z płyty Paragon Rescue Kit Free Edition. Odnośnik do komentarza
gumek Opublikowano 16 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 16 Kwietnia 2015 Udalo mi sie uruchomic komputer za pomoca plytki instalacyjnej windows. Po uruchomieniu systemu wyskakuje taki komunikat ( zamieszczam w zalaczniku ) jak to ustawic sby komputer juz uruchamial sie normalnie , abym mogl dalej zajac sie usowaniem wirusow ? Odnośnik do komentarza
picasso Opublikowano 16 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 16 Kwietnia 2015 Zaznacz "Uruchamianie normalne". Jeśli chodzi o podane wcześniej przeze mnie instrukcje, to w związku z tymi problemami z Trybem awaryjnym uruchom Fix FRST z poziomu Trybu normalnego a nie awaryjnego. Odnośnik do komentarza
gumek Opublikowano 16 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 16 Kwietnia 2015 zaznaczyłem uruchamianie normalne i zrestartowałem komputer. Teraz załączam wszystkie obowiązkowe logi oraz zdjecie komunikatów jakie wyskakują mi podczas gdy zamykam system windows, po to by mozna było dokładnie zdiagnozowac jakie infekcje posiada komputer. Addition.txt FRST.txt gmer.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 16 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 16 Kwietnia 2015 Ale przecież nie wykonałeś w ogóle punktu numer 1. Wykonaj to (z tą różnicą, że w Trybie normalnym a nie awaryjnym) i zrób nowe logi FRST (wszystkie trzy) oraz dostarcz fixlog.txt z wynikami usuwania. Odnośnik do komentarza
gumek Opublikowano 16 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 16 Kwietnia 2015 Wykonałem krok pierwszy ale nie wiem czy poprawnie ponieważ komputer sie nie zrestartował , wykonałem ponownie skan i zamieszczam pliki. Addition.txt Fixlog.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 16 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 16 Kwietnia 2015 Niestety Fix się nie wykonał w całości, stąd brak resetu, infekcja działa pełną parą. Ponowne podejście: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Run: [jemaka] => C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\jemaka\jemaka.exe [425516 2015-04-06] (MercantileLegitimiseNeutralised) HKLM\...\Policies\Explorer\Run: [jemaka] => C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\jemaka\jemaka.exe [425516 2015-04-06] ( (MercantileLegitimiseNeutralised)) HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k BootExecute: autocheck autochk * sdnclean.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HKU\S-1-5-21-1085031214-2025429265-725345543-1003\SOFTWARE\Policies\Google: Policy restriction CHR Extension: (Bflix extension) - C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\jlfihafpijfdgmojeeigcldgchhojpfp [2012-01-14] CHR HKLM\...\Chrome\Extension: [jlfihafpijfdgmojeeigcldgchhojpfp] - C:\Program Files\BFlix\BFlix.crx [2011-12-19] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?trackid=sp-006 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/search?trackid=sp-006&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-1085031214-2025429265-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-1085031214-2025429265-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.com/?trackid=sp-006 HKU\S-1-5-21-1085031214-2025429265-725345543-1003\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = https://www.google.com/?trackid=sp-006 HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "about:newtab" HKU\S-1-5-21-1085031214-2025429265-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "about:newtab" SearchScopes: HKLM -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-1085031214-2025429265-725345543-1003 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = SearchScopes: HKU\S-1-5-21-1085031214-2025429265-725345543-1003 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-1085031214-2025429265-725345543-1003 -> {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} BHO: AcroIEHlprObj Class -> {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -> C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx No File BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre6\bin\ssv.dll No File Toolbar: HKLM - No Name - {bd0c8f87-2da0-4449-a726-b978ae8db32c} - No File CustomCLSID: HKU\S-1-5-21-1085031214-2025429265-725345543-1003_Classes\CLSID\{D9F397C5-3053-4D1D-9DFD-4B3E08E570D8}\InprocServer32 -> C:\Documents and Settings\All Users\Dane aplikacji\{7D14E36A-889F-4FDA-8B78-2423FB17A4D3}\vfnws.dll (Microsoft Corporation) CustomCLSID: HKU\S-1-5-21-1085031214-2025429265-725345543-1003_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Documents and Settings\q\Dane aplikacji\GG\ggdrive\ggdrive-menu.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll No File DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab R1 avgtp; C:\WINDOWS\system32\drivers\avgtpx86.sys [42784 2014-08-12] (AVG Technologies) S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] S3 massfilter_lte; \??\C:\WINDOWS\system32\drivers\massfilter_lte.sys [X] S3 zgdcat; system32\DRIVERS\zgdcat.sys [X] S3 zgdcdiag; system32\DRIVERS\zgdcdiag.sys [X] S3 zgdcmdm; system32\DRIVERS\zgdcmdm.sys [X] S3 zgdcnet; system32\DRIVERS\zgdcnet.sys [X] S3 zgdcnmea; system32\DRIVERS\zgdcnmea.sys [X] C:\WINDOWS\system32\drivers\avgtpx86.sys C:\Documents and Settings\All Users\Dane aplikacji\{7D14E36A-889F-4FDA-8B78-2423FB17A4D3} C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Documents and Settings\All Users\Dane aplikacji\Norton C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\LocalService\Dane aplikacji\McAfee C:\Documents and Settings\NetworkService\Dane aplikacji\McAfee C:\Documents and Settings\q\Dane aplikacji\~uTorrentPartFile_4985C65.dat C:\Documents and Settings\q\Dane aplikacji\eXcEl3rator.txt C:\Documents and Settings\q\Dane aplikacji\Metric - Synthetica.log C:\Documents and Settings\q\Dane aplikacji\Mozilla C:\Documents and Settings\q\Dane aplikacji\njyhik9iaa C:\Documents and Settings\q\Dane aplikacji\nyjuikoitg C:\Documents and Settings\q\Dane aplikacji\AVAST Software C:\Documents and Settings\q\Dane aplikacji\Ieie C:\Documents and Settings\q\Dane aplikacji\MsDtc C:\Documents and Settings\q\Dane aplikacji\Opera Software C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\*.dll C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\setup.exe C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\jemaka C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Opera Software C:\Program Files\DDownTango5aToolbar C:\Program Files\BFlix C:\Program Files\Mozilla Firefox C:\Program Files\Spybot - Search & Destroy 2 C:\WINDOWS\zyjcxd.hcr C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\drivers\avgtpx86.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: attrib -r -h -s C:\HELP_DECRYPT.* /s CMD: del /q /s C:\HELP_DECRYPT.* CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files\Common Files" CMD: dir .a "C:\Documents and Settings\All Users\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\LocalService\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\LocalService\Ustawienia lokalne\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\NetworkService\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\NetworkService\Ustawienia lokalne\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\q\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Ma nastąpić restart i powstać kolejny plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan, zaznacz pole Addition, by powstały dwa logi (bez Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
gumek Opublikowano 16 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 16 Kwietnia 2015 Teraz komputer się zresetował. zamieszczam pliki. FRST.txt Addition.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 16 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 16 Kwietnia 2015 Udało się ubić infekcję i nie jest już czynna, ale jeszcze kupa roboty przed nami. Zastopowało usuwanie plików HELP_DECRYPT.* (w użyciu), są też inne problemy do rozwiązania (w tym usuwanie szczątków po odinstalowanych programach). Kolejna porcja zadań: 1. Był uruchamiany GMER. Sprawdź Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Przez Dodaj/Usuń programy odinstaluj: - Stare wersje: Adobe Acrobat 5.0, Adobe AIR, Adobe Flash Player 16 ActiveX, Adobe Flash Player 16 NPAPI, Java 6 Update 30. - Adware/PUP: Foxtab, FoxTab PDF Creator, FoxTab PDF Reader, Media Player Classic Packages, Update for Foxtab, Update for PriceFountain Jeśli coś zwróci błąd lub nie będzie widoczne, kontynuuj do dalszej części instrukcji. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: DisableService: Mobile Partner. RunOuc DisableService: Pdm27 DisableService: sptd S3 NPF; C:\WINDOWS\System32\drivers\NPF.sys [50704 2015-04-11] (CACE Technologies, Inc.) S3 pwdrvio; C:\WINDOWS\system32\pwdrvio.sys [15576 2013-03-07] () S3 pwdspio; C:\WINDOWS\system32\pwdspio.sys [10200 2013-03-07] () S3 stdpms; C:\WINDOWS\System32\DRIVERS\stdpms.sys [23272 2015-03-04] (Splashtop Inc.) HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Pdm27.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Pdm27.sys => ""="Driver" HKLM\...\Run: [jemaka] => "C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\jemaka\jemaka.exe" HKLM\...\Policies\Explorer\Run: [jemaka] => "C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\jemaka\jemaka.exe" No File AlternateDataStreams: C:\Documents and Settings\q\Local Settings:init CMD: attrib -r -h -s C:\HELP_DECRYPT.* /s CMD: del /q /s C:\HELP_DECRYPT.* C:\SSUUpdater.log C:\Documents and Settings\All Users\Dane aplikacji\Adobe C:\Documents and Settings\All Users\Dane aplikacji\Apple Computer C:\Documents and Settings\All Users\Dane aplikacji\AVG C:\Documents and Settings\All Users\Dane aplikacji\Avg_Update_0814tb C:\Documents and Settings\All Users\Dane aplikacji\AVS4YOU C:\Documents and Settings\All Users\Dane aplikacji\boost_interprocess C:\Documents and Settings\All Users\Dane aplikacji\DAEMON Tools Lite C:\Documents and Settings\All Users\Dane aplikacji\Gadu-Gadu 10 C:\Documents and Settings\All Users\Dane aplikacji\GG C:\Documents and Settings\All Users\Dane aplikacji\McAfee C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{0919D19D-6E14-4E74-9619-F4E0F239D82D} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{3558F1A9-8630-47F8-8ECC-D945F1D27ADB} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{59C415FA-C74E-46FA-871D-5695E4BB2291} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{679F6E9F-5241-437E-A1B8-550C2D652F09} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{88878162-08D5-4262-A0EC-6235762863E2} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{902292F5-FA7D-4C8D-81FA-C9C28E43DD1E} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{A1141E5C-71B2-4522-A04C-2884EB50B563} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{B7956033-6D53-45E6-BDAA-A95FEBC9C2E2} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{DE88B8F4-19BB-4180-9BBE-F4EB2E169774} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{E714F3B4-43C2-45BA-9FCD-F4AA59DB6444} C:\Documents and Settings\All Users\Dane aplikacji\Mozilla C:\Documents and Settings\All Users\Dane aplikacji\NortonInstaller C:\Documents and Settings\All Users\Dane aplikacji\OpenFM C:\Documents and Settings\All Users\Dane aplikacji\Origin C:\Documents and Settings\All Users\Dane aplikacji\Screentime C:\Documents and Settings\All Users\Dane aplikacji\Sun C:\Documents and Settings\All Users\Dokumenty\Baidu C:\Documents and Settings\All Users\Dokumenty\Norton C:\Documents and Settings\All Users\Menu Start\Programy\BFlix C:\Documents and Settings\q\E C:\Documents and Settings\q\.cache C:\Documents and Settings\q\.yawcam C:\Documents and Settings\q\Dane aplikacji\PnkBstrK.sys C:\Documents and Settings\q\Dane aplikacji\WB.CFG C:\Documents and Settings\q\Dane aplikacji\0D1F1S1C1P0P1C1F1N1C1T1H2UtF1E1I C:\Documents and Settings\q\Dane aplikacji\A6C9AC6C C:\Documents and Settings\q\Dane aplikacji\Adobe C:\Documents and Settings\q\Dane aplikacji\Audacity C:\Documents and Settings\q\Dane aplikacji\AVG C:\Documents and Settings\q\Dane aplikacji\AVS4YOU C:\Documents and Settings\q\Dane aplikacji\BANDISOFT C:\Documents and Settings\q\Dane aplikacji\DAEMON Tools Lite C:\Documents and Settings\q\Dane aplikacji\dlg C:\Documents and Settings\q\Dane aplikacji\Gadu-Gadu 10 C:\Documents and Settings\q\Dane aplikacji\GanymedeNet C:\Documents and Settings\q\Dane aplikacji\GG C:\Documents and Settings\q\Dane aplikacji\GrabIt C:\Documents and Settings\q\Dane aplikacji\gtk-2.0 C:\Documents and Settings\q\Dane aplikacji\Image Zone Express C:\Documents and Settings\q\Dane aplikacji\Macromedia C:\Documents and Settings\q\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Documents and Settings\q\Dane aplikacji\Need for Speed World C:\Documents and Settings\q\Dane aplikacji\OpenFM C:\Documents and Settings\q\Dane aplikacji\Origin C:\Documents and Settings\q\Dane aplikacji\SumatraPDF C:\Documents and Settings\q\Dane aplikacji\Sun C:\Documents and Settings\q\Dane aplikacji\Unity C:\Documents and Settings\q\Dane aplikacji\WinRAR C:\Documents and Settings\q\Dane aplikacji\WorldofTanks C:\Documents and Settings\q\Menu Start\FoxTab PDF Reader C:\Documents and Settings\q\Menu Start\Programy\Offroad C:\Documents and Settings\q\Menu Start\Programy\WorldofTanks C:\Documents and Settings\q\Pulpit\gry android\Skrót do bandicam 2014-12-22 14-18-02-937.lnk C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Adobe C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Ares C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\AVG C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Apple Computer C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\ChomikBox C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Downloaded Installations C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Electronic_Arts_Inc C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\GG C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\gegl-0.2 C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\gtk-2.0 C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Mozilla C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\NPE C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\PC C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Relmtech C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Screentime C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Unity C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Wheelman C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\WorldofTanks C:\Documents and Settings\UpdatusUser\Dane aplikacji\Mozilla C:\Documents and Settings\UpdatusUser\Ustawienia lokalne\Dane aplikacji\Mozilla C:\Program Files\Adobe C:\Program Files\Ares C:\Program Files\Common Files\Adobe C:\Program Files\Common Files\Adobe AIR C:\Program Files\Common Files\AVSMedia C:\Program Files\Common Files\EAInstaller C:\Program Files\Common Files\Java C:\Program Files\Common Files\Symantec Shared C:\Program Files\EA Sports C:\Program Files\Edgard Multimedia C:\Program Files\Extra Screen Capture Free C:\Program Files\FoxTabPDFConverter C:\Program Files\FoxTabPDFReader C:\Program Files\FreeTime C:\Program Files\Ganymede C:\Program Files\GUME6.tmp C:\Program Files\Java C:\Program Files\Midway Games C:\Program Files\mp3DirectCut C:\Program Files\Opera C:\Program Files\Photo Pos Pro C:\Program Files\Program4Pc C:\Program Files\Splashtop C:\Program Files\Windows Sidebar C:\Program Files\WinRAR C:\Program Files\Yawcam C:\WINDOWS\system32\Packet.dll C:\WINDOWS\system32\pwdrvio.sys C:\WINDOWS\system32\pwdspio.sys C:\WINDOWS\system32\wpcap.dll C:\WINDOWS\system32\drivers\NPF.sys C:\WINDOWS\system32\drivers\stdpms.sys Folder: C:\temp CMD: dir /a "C:\Documents and Settings\UpdatusUser\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\UpdatusUser\Ustawienia lokalne\Dane aplikacji" EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Ma nastąpić restart i powstać kolejny plik fixlog.txt. 4. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Bflix extension, MSN Homepage oraz co tam jeszcze podejrzanego zobaczysz. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan, zaznacz pole Addition, by powstały dwa logi (bez Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się jak działa system. Odnośnik do komentarza
gumek Opublikowano 16 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 16 Kwietnia 2015 Wykonałem wszystko zgodnie z instrukcją. Posiadam na komputerze program do blokowania reklam Adblock ( zdjęcie zamieszcza w załączniku) usunąc go czy może on pozostać? System ogólnie działa szybciej i sprawniej niz na początku , nie zacina się ani nie zawiesza. Fixlog.txt FRST.txt Addition.txt Odnośnik do komentarza
picasso Opublikowano 16 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 16 Kwietnia 2015 Zadania wykonane. A jednak infekcja miała kolejne ukryte komponenty. Przetwarzałam podejrzany folder "A6C9AC6C" i się okazało, że po jego usunięciu ujawnił się wpis startowy (obecnie pusty), z którego ładował się dziad. Dodatkowo, jest tu mocno podejrzany świeży sterownik Pdm27, który stawia opór (nie pozwolił się wyłączyć ani usunąć rozruchu w awaryjnym). Poproszę o odczyt z programu Kaspersky TDSSKiller. Jeśli program coś wykryje, przyznaj akcję Skip i tylko dostarcz log wynikowy. Posiadam na komputerze program do blokowania reklam Adblock ( zdjęcie zamieszcza w załączniku) usunąc go czy może on pozostać? Możesz zostawić, choć aktualnie są aż dwa Adblocki i jeden z nich należy wyłączyć. Odnośnik do komentarza
gumek Opublikowano 16 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 16 Kwietnia 2015 zrobiłem skanowanie. zamieszczam loga TDSSKiller.3.0.0.44_16.04.2015_21.10.11_log.txt Odnośnik do komentarza
picasso Opublikowano 17 Kwietnia 2015 Zgłoś Udostępnij Opublikowano 17 Kwietnia 2015 TDSSKiller wykrywa ten sterownik. Przeprowadź kolejne działania: 1. Uruchom TDSKiller ponownie, tym razem dla wyniku UDS:DangerousObject.Multi.Generic dobierz akcję Delete i zresetuj system. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-1085031214-2025429265-725345543-1003\...\Run: [A6C9AC6C] => C:\Documents and Settings\q\Dane aplikacji\A6C9AC6C\bin.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Pdm27.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Pdm27.sys => ""="Driver" S4 sptd; C:\WINDOWS\System32\Drivers\sptd.sys [320120 2014-05-28] (Duplex Secure Ltd.) C:\Documents and Settings\UpdatusUser\Dane aplikacji\Adobe C:\Documents and Settings\UpdatusUser\Dane aplikacji\AVG C:\Documents and Settings\UpdatusUser\Dane aplikacji\Macromedia C:\Documents and Settings\UpdatusUser\Ustawienia lokalne\Dane aplikacji\AVG C:\WINDOWS\System32\Drivers\sptd.sys EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz log TDSSKiller. Dołącz też fixlog.txt. Odnośnik do komentarza
gumek Opublikowano 17 Kwietnia 2015 Autor Zgłoś Udostępnij Opublikowano 17 Kwietnia 2015 zamieszczam logi. TDSSKiller.3.0.0.44_17.04.2015_12.26.38_log.txt TDSSKiller.3.0.0.44_17.04.2015_12.26.08_log.txt FRST.txt Fixlog.txt Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się