matti24a Opublikowano 23 Czerwca 2015 Zgłoś Udostępnij Opublikowano 23 Czerwca 2015 WitamJestem w trakcie pisania mgr i przyplątały mi sie jakie wirusy przez pendrive. Próbowałem różnych sposobów ale nie dąłem rady. Nie da sie zainstalować antywirusów, zainstalowane nie włączają się(avira i malwarebytes) a w trybie awaryjnym nic nie wykrywają. Nie da sie przywrócić sytemu do wcześniejszej wersji włączyć zapory ani nic co jest związane z ochroną komputera. Czyściłem kompa adwcleaner tez nie pomogło.Proszę o pomoc Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
jessica Opublikowano 24 Czerwca 2015 Zgłoś Udostępnij Opublikowano 24 Czerwca 2015 https://www.fixitpc.pl/topic/27096-nowy-moderator-w-dziale-malware/ Nie wiem, kiedy @Picasso lub @Naathim zacznie pomagać na forum. Otwórz Notatnik i wklej w nim: File: C:\Program Files\A09WD3KS.exe Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.Uruchom FRST i kliknij przycisk Fix.Powstanie plik fixlog.txt.Daj ten log. Uruchom FRST.W polu SEARCH wklej: A09WD3KS.exe kliknij na przycisk "Search Registry".Raport z tego będzie tam, gdzie jest FRST. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-2962128431-3766831332-2638231919-1000\...\CurrentVersion\Windows: [Load] C:\ProgramData\msbxucljo.exe <===== ATTENTIONC:\ProgramData\msbxucljo.exeC:\Program Files\A09WD3KS.exeReg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /fReg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /fReg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /fHKLM\...\Policies\Explorer: [TaskbarNoNotification] 1HKLM\...\Policies\Explorer: [HideSCAHealth] 1BHO-x32: No Name -> {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} -> No FileR3 KProcessHacker2; \??\C:\Program Files\kprocesshacker.sys [X]S3 usb6xxxk; \??\C:\Windows\system32\drivers\usb6xxxkl.sys [X]S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X]S3 vmci; \SystemRoot\system32\DRIVERS\vmci.sys [X]S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X]EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exeUruchom FRST i kliknij przycisk Fix.Powstanie plik fixlog.txt.Daj ten log. Zrób nowe logi FRST. Zrób log z Farbar Service Scanner >http://download.bleepingcomputer.com/farbar/FSS.exe (do skanowania zaznacz wszystko). Jeśli nie sformatowałeś jeszcze pendrive, to zrobisz log z USBFix z opcji LISTING https://www.fixitpc.pl/topic/8-dezynfekcja-zbi%C3%B3r-narz%C4%99dzi-usuwaj%C4%85cych/?do=findComment&comment=74 jessi Odnośnik do komentarza
matti24a Opublikowano 24 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 24 Czerwca 2015 Pendrive był wielokrotnie formatowany bo cały czas był mi potrzebny bo korzystałem cały czas z 1 komputera na uczelni który był zarażony( stąd te problemy) a musiałem przenosić na swojego badania bo posiadam stacjonarkę, nawet instalowałem na nim antywirusa u kolegi przez otworzenie go sformatowanego w chmurze i formatowaniu od nowa ale nic to nie dało i za każdym razem gdy podłączę go u siebie tworzy się Removable Drive dlatego wykonałem log Addition.txt Fixlog.txt Fixlog2.txt FRST.txt FSS.txt Search.txt Shortcut.txt UsbFix Listing 1 MATTI24APC.txt Odnośnik do komentarza
jessica Opublikowano 24 Czerwca 2015 Zgłoś Udostępnij Opublikowano 24 Czerwca 2015 ========================= File: C:\Program Files\A09WD3KS.exe ======================== MD5: CD5E5EB5EBF1524A258684D3EE2DF642 Creation and modification date: 2015-06-23 21:40 - 2015-06-23 21:40 Size: 1415680 Attributes: ----A Company Name: wj32 Internal Name: Process Hacker Original Name: ProcessHacker.exe Product Name: Process Hacker Description: Process Hacker File Version: 2.30.0.5267 Product Version: 2.30.0.5267 Copyright$creamod: Licensed under the GNU GPL, v3. + C:\Program Files\kprocesshacker.sys Kojarzy Ci to z czymś? To niby uznane jest za OK http://www.threatexpert.com/files/kprocesshacker.sys.html ------------------------------ Do Notatnika wklej: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0Z Menu Notatnika >> Plik >> Zapisz jako >> Ustaw rozszerzenie na Wszystkie pliki >> Zapisz jako> FIX.REG >> Z prawokliku plik Fix.REG wybierz opcję Scal Otwórz Notatnik i wklej w nim: HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1HKLM\...\Policies\Explorer: [HideSCAHealth] 1 R4 KProcessHacker2; \??\C:\Program Files\kprocesshacker.sys [X] C:\Program Files\kprocesshacker.sys C:\found.00* G:\*lnk CMD: attrib /d /s -s -h G:\* EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok FRST.exe Uruchom FRST i kliknij przycisk Fix. Powstanie plik fixlog.txt. Daj ten log. Wejdź na dysk G - na nim jest folder bez nazwy, do którego infekcja przeniosła Twoje pliki. Przenieś je o poziom wyżej, a folder bez nazwy usuń poprzez Shift+DEL. Użyj USBFix z opcji VACCINATE. Zrób nowy log USBFix LISTING. Zrób nowe logi FRST - już bez Shortcut. jessi Odnośnik do komentarza
matti24a Opublikowano 24 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 24 Czerwca 2015 pierwszy raz na oczy to widze Odnośnik do komentarza
jessica Opublikowano 24 Czerwca 2015 Zgłoś Udostępnij Opublikowano 24 Czerwca 2015 pierwszy raz na oczy to widze dopisałam jeszcze w swoim poprzednim poście Odnośnik do komentarza
matti24a Opublikowano 24 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 24 Czerwca 2015 Zrobione Addition.txt Fixlog.txt FRST.txt UsbFix Listing 2 MATTI24APC.txt Odnośnik do komentarza
jessica Opublikowano 24 Czerwca 2015 Zgłoś Udostępnij Opublikowano 24 Czerwca 2015 R4 KProcessHacker2; \??\C:\Program Files\kprocesshacker.sys [X]KProcessHacker2 => Service could not remove Tego się nie da usunąć, nie wiem, dlaczego. Pliku nie ma, ale to dalej działa. HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1HKLM\...\Policies\Explorer: [HideSCAHealth] 1 To zostało niby zmienione, ale w nowym logu jest dalej tak samo. ==================== Restore Points ========================= ATTENTION: System Restore is disabled To nie zgadza się z logiem FSS: System Restore:============ FSS nie wykrył tu nic podejrzanego. Ja już tu nic nie wymyślę, musisz czekać na @Picasso lu @Naathim. Nie wiem, kiedy tu zajrzą, i czy w ogóle zajrzą. jessi Odnośnik do komentarza
matti24a Opublikowano 24 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 24 Czerwca 2015 Bardzo dziękuje. Będę czekać.Pozdrawiam Odnośnik do komentarza
jessica Opublikowano 24 Czerwca 2015 Zgłoś Udostępnij Opublikowano 24 Czerwca 2015 Będę czekać. Na wszelki wypadek w międzyczasie zrób log z GMER https://www.fixitpc.pl/forum-38/announcement-3-wa%C5%BCne-zak%C5%82adanie-tematu-obowi%C4%85zkowe-logi/ bo @Picasso na pewno by tego wymagała R2 VSSS; C:\Users\Matti24a\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [98895424 2015-06-23] (Microsoft Corporation) [File not signed] Przy okazji sprawdź ten plik na --> JOTTI/ albo na VIRUSTOTAL Plik nie ma sygnatury Microsoftu. U mnie w tej lokalizacji nie ma takiego pliku. jessi Odnośnik do komentarza
matti24a Opublikowano 24 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 24 Czerwca 2015 Log z GMER wykonuje w trybie awaryjnym normalnie się nie da. Przy okazji sprawdziłem podany przez Ciebie plik i na Jotti nic nie wykryło natomiast na virustotal zgłosił 2 na 56: AegisLab Troj.Downloader.W32.Agent AhnLab-V3 Trojan/Win32.Injector tylko ze sprawdzenie wykonanie w trybie awaryjnym nie wiem czy ma to jakiś wpływnie jestem pewny czy czasmi sie nie włacza proces o nazwie VSSVC.exe w menadżerze zadań którego nie da się wyłączyć i jeszcze jakieś 2 inne. Jak przejdę na normalny tryb pracy to podam dokładne nazwy tych procesów. Odnośnik do komentarza
jessica Opublikowano 24 Czerwca 2015 Zgłoś Udostępnij Opublikowano 24 Czerwca 2015 virustotal zgłosił 2 na 56 to za mało, by uznać plik za "zły" Odnośnik do komentarza
matti24a Opublikowano 24 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 24 Czerwca 2015 procesu o nazwie VSSVC.exe nie ma w menadżerze.log GMER z trybu awaryjnego gmer.txt Odnośnik do komentarza
picasso Opublikowano 24 Czerwca 2015 Zgłoś Udostępnij Opublikowano 24 Czerwca 2015 To jest przecież jawna infekcja: R2 VSSS; C:\Users\Matti24a\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [98895424 2015-06-23] (Microsoft Corporation) [File not signed] Wiadome już po samej nazwie systemowej usługi "VSSS" i lokalizacji pliku - taki twór nie istnieje w systemach Microsoftu. Ta usługa w oczywisty sposób próbuje wprowadzić w błąd nazwą, opisem procesu oraz "producentem" upodabniając się do usługi systemowej "VSS". matti24a, zanim przejdę do usuwania poproszę o świeży log z FRST. Odnośnik do komentarza
matti24a Opublikowano 24 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 24 Czerwca 2015 Proszę bardzo nowe logi Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 25 Czerwca 2015 Zgłoś Udostępnij Opublikowano 25 Czerwca 2015 Działania do wdrożenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 VSSS; C:\Users\Matti24a\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [98895424 2015-06-23] (Microsoft Corporation) [File not signed] S2 AntiVirMailService; C:\Program Files (x86)\Avira\AntiVir Desktop\avmailc7.exe [X] S2 AntiVirSchedulerService; "C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe" [X] S2 AntiVirService; "C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe" [X] S2 AntiVirWebService; C:\Program Files (x86)\Avira\AntiVir Desktop\avwebg7.exe [X] HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKLM\...\Run: [installerLauncher] => "C:\Program Files\Common Files\Bitdefender\SetupInformation\{6F57816A-791A-4159-A75F-CFD0C7EA4FBF}\setuplauncher.exe" /run:"C:\Program Files\Common Files\Bitdefender\SetupInformation\{6F57816A-791A-41 (the data entry has 36 more characters). Task: {9A92D790-85D6-4EFF-A127-581114CE4915} - System32\Tasks\{520B5D5F-55BF-4452-B9CF-66CED3C82534} => pcalua.exe -a "D:\download\CH341SER Windows.EXE" -d D:\download Task: {A7B013D9-5B9A-4BFC-921C-135DB504EF5B} - System32\Tasks\{F826BDDD-2A1A-410E-BA01-78E673AF0A34} => pcalua.exe -a F:\download\plugins\ts3overlay\InstallHook.exe -d F:\download\plugins\ts3overlay HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = C:\Program Files\*.exe C:\Program Files\kprocesshacker.sys C:\Program Files\Common Files\Bitdefender C:\Program Files (x86)\mozilla firefox\plugins C:\ProgramData\1434299707.bdinstall.bin C:\ProgramData\bdch C:\ProgramData\BDLogging C:\Users\Matti24a\AppData\Local\Avg2015 C:\Users\Matti24a\AppData\Local\bdch C:\Users\Matti24a\AppData\Local\MFAData C:\Users\Matti24a\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe C:\Users\Matti24a\AppData\Roaming\QuickScan C:\Windows\SysWOW64\bdsandboxuiskin32.dll C:\Windows\system32\bdsandboxuiskin32.dll C:\Windows\system32\BDSandBoxUISkin.dll C:\Windows\system32\BDSandBoxUH.dll Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut) oraz Farbar Service Scanner. Dołącz też plik fixlog.txt. Odnośnik do komentarza
matti24a Opublikowano 25 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 25 Czerwca 2015 podczas próby Fix wyskakuje bluescrean ale pokazuje mi ze na dysku C jest 17gb więcej wolnego miejsca zaraz spróbuje zrobić pozostałe logi FRST.txt FSS.txt Odnośnik do komentarza
matti24a Opublikowano 25 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 25 Czerwca 2015 Udało się przeprowadzić operacje fix w trybie awaryjnym. Wolne miejsce na dysku C znowu jest 9GB Fixlog.txt FRST.txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 26 Czerwca 2015 Zgłoś Udostępnij Opublikowano 26 Czerwca 2015 Infekcja pomyślnie usunięta, teraz naprawa szkód z jej powodu: 1. Przywracanie systemu jest wyłączone: ==================== Restore Points ========================= ATTENTION: System Restore is disabled Wejdź w Panelu sterowania do opcji Przywracania systemu i zaznacz Ochronę dla dysku C. 2. Ponowna odbudowa skasowanej usługi Windows Defender. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Zresetuj system. Następnie zrób nowy log z Farbar Service Scanner. Odnośnik do komentarza
matti24a Opublikowano 27 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 27 Czerwca 2015 Ochrona dla dysku C włączona.Niestety podczas scalania pliku FIX.REG wyskakuje komunikat " Nie można zaimportować d;\download\FIX.REG: Określony plik nie jest skryptem rejestru. Można importować tylko binarne pliki rejestru z wewnątrz Edytora rejestru. Odnośnik do komentarza
Zappa Opublikowano 27 Czerwca 2015 Zgłoś Udostępnij Opublikowano 27 Czerwca 2015 Nie można zaimportować d;\download\FIX.REG: Określony plik nie jest skryptem rejestru. Najwyraźniej pominąłeś linijkę Windows Registry Editor Version 5.00 skopiuj dokładnie lub edytuj plik Fix.reg w notatniku i dopisz brakujący nagłowek Odnośnik do komentarza
matti24a Opublikowano 27 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 27 Czerwca 2015 Skopiowana jest właśnie cała zawartość co podała picasso. 2 razy sprawdzałem i dalej to samo. Odnośnik do komentarza
Zappa Opublikowano 27 Czerwca 2015 Zgłoś Udostępnij Opublikowano 27 Czerwca 2015 Pobierz ten plik i zaimportuj do rejestru http://speedy.sh/AxsQ7/fix.reg Odnośnik do komentarza
matti24a Opublikowano 27 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 27 Czerwca 2015 Udało się. DziękujeLog FSS FSS.txt Odnośnik do komentarza
Zappa Opublikowano 27 Czerwca 2015 Zgłoś Udostępnij Opublikowano 27 Czerwca 2015 Uruchom ponownie system i wykonaj Następnie zrób nowy log z Farbar Service Scanner. W logu FSS wszystko wygląda prawidłowo. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się