Damian747 Opublikowano 25 Maja 2015 Zgłoś Udostępnij Opublikowano 25 Maja 2015 Po uruchomieniu dzisiaj komputera odpaliła się sama przeglądarka IE z ruska stroną.Nie można odpalić Ccleaner lub FRST. udało mi się tylko odpalić OTL oto logi: wklej.org/id/1720742/ wklej.org/id/1720743/ poniżej jest to co udało mi się wykryć... wklej.org/id/1720756/ ifotos.pl/z/wspasrn W trybie awaryjnym Win 8.1 również nie mogę odpalić FRST lub Ccleaner Proszę o pomoc Odnośnik do komentarza
Damian747 Opublikowano 25 Maja 2015 Autor Zgłoś Udostępnij Opublikowano 25 Maja 2015 Poszperałem trochę inni tez mają podobny problem.. wykonałem skrypt w OTL: :OTL O27:64bit: - HKLM IFEO\adwcleaner_4.204.exe: Debugger - C:\WINDOWS\SysNative\svchost.exe (Microsoft Corporation) O27:64bit: - HKLM IFEO\AnVir.exe: Debugger - C:\WINDOWS\SysNative\svchost.exe (Microsoft Corporation) O27:64bit: - HKLM IFEO\AutoLogger.exe: Debugger - C:\WINDOWS\SysNative\svchost.exe (Microsoft Corporation) O27:64bit: - HKLM IFEO\avz.exe: Debugger - C:\WINDOWS\SysNative\svchost.exe (Microsoft Corporation) O27:64bit: - HKLM IFEO\CCleaner.exe: Debugger - C:\WINDOWS\SysNative\svchost.exe (Microsoft Corporation) O27:64bit: - HKLM IFEO\CCleaner64.exe: Debugger - C:\WINDOWS\SysNative\svchost.exe (Microsoft Corporation) O27:64bit: - HKLM IFEO\FRST.exe: Debugger - C:\WINDOWS\SysNative\svchost.exe (Microsoft Corporation) O27:64bit: - HKLM IFEO\FRST64.exe: Debugger - C:\WINDOWS\SysNative\svchost.exe (Microsoft Corporation) O27:64bit: - HKLM IFEO\HiJackThis.exe: Debugger - C:\WINDOWS\SysNative\svchost.exe (Microsoft Corporation) O27:64bit: - HKLM IFEO\regedit.exe: Debugger - C:\WINDOWS\SysNative\svchost.exe (Microsoft Corporation) O27:64bit: - HKLM IFEO\RegWorks.exe: Debugger - C:\WINDOWS\SysNative\svchost.exe (Microsoft Corporation) O27:64bit: - HKLM IFEO\RSIT.exe: Debugger - C:\WINDOWS\SysNative\svchost.exe (Microsoft Corporation) O27:64bit: - HKLM IFEO\RSITx64.exe: Debugger - C:\WINDOWS\SysNative\svchost.exe (Microsoft Corporation) O27 - HKLM IFEO\adwcleaner_4.204.exe: Debugger - C:\WINDOWS\SysWow64\svchost.exe (Microsoft Corporation) O27 - HKLM IFEO\AnVir.exe: Debugger - C:\WINDOWS\SysWow64\svchost.exe (Microsoft Corporation) O27 - HKLM IFEO\AutoLogger.exe: Debugger - C:\WINDOWS\SysWow64\svchost.exe (Microsoft Corporation) O27 - HKLM IFEO\avz.exe: Debugger - C:\WINDOWS\SysWow64\svchost.exe (Microsoft Corporation) O27 - HKLM IFEO\CCleaner.exe: Debugger - C:\WINDOWS\SysWow64\svchost.exe (Microsoft Corporation) O27 - HKLM IFEO\CCleaner64.exe: Debugger - C:\WINDOWS\SysWow64\svchost.exe (Microsoft Corporation) O27 - HKLM IFEO\FRST.exe: Debugger - C:\WINDOWS\SysWow64\svchost.exe (Microsoft Corporation) O27 - HKLM IFEO\FRST64.exe: Debugger - C:\WINDOWS\SysWow64\svchost.exe (Microsoft Corporation) O27 - HKLM IFEO\HiJackThis.exe: Debugger - C:\WINDOWS\SysWow64\svchost.exe (Microsoft Corporation) O27 - HKLM IFEO\regedit.exe: Debugger - C:\WINDOWS\SysWow64\svchost.exe (Microsoft Corporation) O27 - HKLM IFEO\RegWorks.exe: Debugger - C:\WINDOWS\SysWow64\svchost.exe (Microsoft Corporation) O27 - HKLM IFEO\RSIT.exe: Debugger - C:\WINDOWS\SysWow64\svchost.exe (Microsoft Corporation) O27 - HKLM IFEO\RSITx64.exe: Debugger - C:\WINDOWS\SysWow64\svchost.exe (Microsoft Corporation) :Commands [emptytemp] CClenaer się odpala FRST też zaraz dam logi... http://wklej.org/id/1720885/ http://wklej.org/id/1720886/ Odnośnik do komentarza
picasso Opublikowano 26 Maja 2015 Zgłoś Udostępnij Opublikowano 26 Maja 2015 Brakuje trzeciego raportu FRST, czyli Shortcut. FRST i CCleaner owszem były blokowane przez szkodliwe wpisy typu Debugger, które usunąłeś. Do przeprowadzenia jeszcze kosmetyczne działania na szczątki / puste wpisy: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-18\...A8F59079A8D5}\localserver32: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-4263293795-372819126-2868305949-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=MSE1 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=MSE1 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\41371262.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\41371262.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\BasementDuster => ""="service" CustomCLSID: HKU\S-1-5-21-4263293795-372819126-2868305949-1001_Classes\CLSID\{6BD7997B-1A81-3AAB-94B8-FFAC3FC7A9B4}\InprocServer32 -> No File path Task: {EBADDD0A-C6DC-4663-8AC5-D0E741DE483B} - System32\Tasks\{10CA96F0-5693-4304-8C6B-A1DC2E7BDFCB} => Iexplore.exe http://ui.skype.com/ui/0/7.0.0.102/pl/abandoninstall?page=tsMain S3 sthid; C:\Windows\System32\drivers\sthid.sys [21216 2015-01-06] (Splashtop Inc.) U3 TrueSight; C:\Windows\System32\drivers\TrueSight.sys [37624 2015-05-25] () C:\Windows\System32\drivers\sthid.sys C:\Windows\System32\drivers\TrueSight.sys DisableService: Mobile Partner. RunOuc CMD: netsh advfirewall reset Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan, zaznacz pole Shortcut, by powstał brakujący log. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Damian747 Opublikowano 26 Maja 2015 Autor Zgłoś Udostępnij Opublikowano 26 Maja 2015 Dziękuję Bardzo.Istnieje jakiś poradnik żeby się samemu tego nauczyć? Addition.txt FRST.txt Shortcut.txt Fixlog.txt Odnośnik do komentarza
Zappa Opublikowano 26 Maja 2015 Zgłoś Udostępnij Opublikowano 26 Maja 2015 Istnieje jakiś poradnik żeby się samemu tego nauczyć? Istnieje. Ale do tego poradnika potrzeba lat praktyki. Cwiczenie czyni mistrza https://www.fixitpc.pl/topic/23904-frst-tutorial-obsługi-farbar-recovery-scan-tool/?view=getnewpost Odnośnik do komentarza
picasso Opublikowano 27 Maja 2015 Zgłoś Udostępnij Opublikowano 27 Maja 2015 Wszystko wykonane i możemy kończyć: 1. Dokasuj ręcznie te puste skróty z dysku: Shortcut: C:\Users\.NET v4.5\AppData\Roaming\Microsoft\Windows\SendTo\TeamViewer.lnk -> C:\Program Files (x86)\TeamViewer\TeamViewer.exe (No File) Shortcut: C:\Users\.NET v4.5 Classic\AppData\Roaming\Microsoft\Windows\SendTo\TeamViewer.lnk -> C:\Program Files (x86)\TeamViewer\TeamViewer.exe (No File) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Switch Sound File Converter.lnk -> C:\Program Files (x86)\NCH Software\Switch\switch.exe (No File) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Star Trek New Worlds\Play Klingon Academy Video.lnk -> H:\MOVIES\KAPROMO.EXE (No File) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Star Trek New Worlds\Play Starfleet Command Volume 2 Video.lnk -> H:\MOVIES\BINKPLAY.EXE (No File) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\QMAT\QMAT.lnk -> C:\Program Files (x86)\QMAT\qmat.exe (No File) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\QMAT\Uninstall.lnk -> C:\Program Files (x86)\QMAT\uninstall.exe (No File) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Id\Quake III Arena\Help HTML.lnk -> F:\Program Files.1\Quake3\Extras\Help\Index.htm (No File) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Id\Quake III Arena\Quake III Arena (English).lnk -> F:\Program Files.1\Quake3\Quakee.exe (No File) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Id\Quake III Arena\Quake III Arena(Polish).lnk -> F:\Program Files.1\Quake3\Quakep.exe (No File) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Id\Quake III Arena\Uninstall Quake III Arena.lnk -> F:\Program Files.1\Quake3\Unwise.exe (No File) Shortcut: C:\Users\Witold\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GuildFTPd\GuildFTPd - FTP server deamon.lnk -> C:\Program Files (x86)\GuildFTPd\GuildFTPd.exe (No File) Shortcut: C:\Users\Witold\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GuildFTPd\GuildFTPd help.lnk -> C:\Program Files (x86)\GuildFTPd\guildftpd.chm (No File) Shortcut: C:\Users\Witold\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GuildFTPd\Un-install GuildFTPd.lnk -> C:\Program Files (x86)\GuildFTPd\UNINSTALL.exe (No File) Shortcut: C:\Users\Witold\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\GuildFTPd.lnk -> C:\Program Files (x86)\GuildFTPd\GuildFTPd.exe (No File) Shortcut: C:\Users\Witold\AppData\Local\Microsoft\Windows\GameExplorer\{BD3D1DF6-4081-4C30-ADFE-796812B105B7}\PlayTasks\0\Zagraj.lnk -> C:\Program Files (x86)\GOG.com\Unreal Tournament 2004\System\UT2004.exe (No File) Shortcut: C:\Users\Witold\AppData\Local\Microsoft\Windows\GameExplorer\{8D64A05D-85CA-4F74-84A4-839F39E05E06}\PlayTasks\0\Zagraj.lnk -> C:\Users\Witold\Desktop\blood2\BLOOD2.EXE (No File) Shortcut: C:\Users\Witold\AppData\Local\Microsoft\Windows\GameExplorer\{401CDFA4-17DD-4975-8FD2-DC0F494437CC}\PlayTasks\0\Zagraj.lnk -> F:\Program Files.1\DeadLock2\DEADLOCK.EXE (No File) 2. Usuń folder C:\Users\Witold\Desktop\cleanery\FRST. Po tym jeszcze zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Istnieje jakiś poradnik żeby się samemu tego nauczyć? Do analizy raportów nie ma poradników, bo tego nie da się nauczyć w oparciu o "opis". Jest po prostu wymagana określona wiedza o systemie operacyjnym oraz infekcjach, potrzebne też lata praktyki, by prawidłowo definiować szkodliwość wpisów. Temat był dyskutowany np. tu: KLIK, KLIK (post Naathim). Jedyne co istnieje, to tutoriale obsługi narzędzi (np. ten linkowany FRST), ale to inny gatunek: to tylko opis możliwości programu, ten tutorial koncentruje się na tym co umie FRST a nie użytkownik i już zakłada że wiele rzeczy delikwent wie i nie objaśnia określonych aspektów które już należy wiedzieć przystępując do pracy z FRST (np. budowa rejestru i kont, sekwencja startowa systemu, metody ładowania, zestaw domyślnych usług Windows, budowa przeglądarek, uprawnienia, linki symboliczne, etc, etc.). I nie należy się uczyć "pod narzędzie", bo co gdy FRST zostanie zastąpiony czymś innym. Narzędzia się zmieniają, pewna wiedza musi być stała, by móc analizować niezależnie od formatowania narzędzi. Odnośnik do komentarza
Damian747 Opublikowano 27 Maja 2015 Autor Zgłoś Udostępnij Opublikowano 27 Maja 2015 Ok zrobione wszystko jest ok Wielkie Dzięki za wsparcie. Odnośnik do komentarza
Rekomendowane odpowiedzi