patrykoss8857 Opublikowano 24 Czerwca 2015 Zgłoś Udostępnij Opublikowano 24 Czerwca 2015 Witam, mój laptop prawdopodobnie został zainfekowany. Antywirus został zablokowany i nie można uruchomić jego osłon. Uruchomiłem komputer w trybie awaryjnym i uruchomiłem skanowanie systemu malwarebytes, skanowanie dochodzi do pewnego momentu i komputer się restartuje. Przy próbie ponownego uruchomienia w ciągu 10 sekund komputer uruchamia się do czarnego ekranu z napisem windows (zaraz po ekranie z możliwością F2 DEL itp) i odrazu się wyłącza. Jeżeli odczekam 20 sekund mogę komputer uruchomić. Pobrałem ADWcleaner przeskanowałem w trybie awaryjnym, wykryło coś w kluczach. Usunąłem. Restart systemu w normalny tryb, skanowanie ADW nic nie wykryło ale klikam usuń, komputer znowu się wyłącza. Bardzo proszę o pomoc. Załączam logi, przy czym zaznaczam że w trakcie skanowania FRST, komputer się wyłączył. AdwCleanerS1.txt FRST.txt GMER.txt Odnośnik do komentarza
jessica Opublikowano 24 Czerwca 2015 Zgłoś Udostępnij Opublikowano 24 Czerwca 2015 https://www.fixitpc.pl/topic/27096-nowy-moderator-w-dziale-malware/ Nie wiem, kiedy @Picasso lub @Naathim zaczną pomagać na forum. Log FRST nie jest cały, poza tym FRST robi 3 logi - brak Additional.txt i Shortcut.txt. Być może nie zrobiły się z powodu restartu komputera. A te restarty sugerują, że komputer po prostu może być zepsuty. jessi Odnośnik do komentarza
patrykoss8857 Opublikowano 24 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 24 Czerwca 2015 Dzięki za odpowiedź. Dziś rano jak tylko uruchomiłem system, udało mi się zrobić pełny skan. Być może była to wina przegrzewającego się komputera. Załączam pełny log Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 24 Czerwca 2015 Zgłoś Udostępnij Opublikowano 24 Czerwca 2015 Log FRST nadal nie jest cały, obie dostarczone kopie FRST.txt są urwany w połowie. Poproszę o nowy log FRST.txt. Antywirus został zablokowany i nie można uruchomić jego osłon. Tak, system jest zainfekowany - usługa udająca "cieniowanie woluminu": S2 VSSS; C:\Users\Ola\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [105317504 2015-06-23] (Microsoft Corporation) [File not signed] ---- Processes - GMER 2.1 ---- Process C:\Users\Ola\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe (*** suspicious ***) @ C:\Users\Ola\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [2176] (Microsoft® Volume Shadow Copy Service/Microsoft Corporation)(2015-06-23 08:34:59) 0000000000400000 Przejdę do usuwania, gdy dostarczysz kompletny FRST.txt. Odnośnik do komentarza
patrykoss8857 Opublikowano 24 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 24 Czerwca 2015 ponownie dziękuję za odpowiedź, doceniam to że poświęcacie mi swój czas. dołączam logi mam nadzieje że tym razem pełne. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 24 Czerwca 2015 Zgłoś Udostępnij Opublikowano 24 Czerwca 2015 Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 VSSS; C:\Users\Ola\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [105317504 2015-06-23] (Microsoft Corporation) [File not signed] HKLM-x32\...\Run: [TaskTray] => [X] Task: {3B1039D2-C7C9-4E40-B837-4EC757365118} - System32\Tasks\{6A8B768F-F083-40B1-836F-C0593A6F7036} => pcalua.exe -a C:\Windows\SysWOW64\Samsung_USB_Drivers\2\SSM_Uninstall.exe Task: {64D5FEE5-226B-4BB7-8F84-6534E66AE29E} - System32\Tasks\{E187F430-7B35-4A1A-AE6D-046292D2C464} => pcalua.exe -a C:\Windows\SysWOW64\Samsung_USB_Drivers\5\SSSDUninstall.exe Task: {6E8B6CAF-3F8C-4102-BFC2-C8D272673125} - System32\Tasks\{CBF18997-2AED-4BBC-A0A7-BDE79C1709B4} => C:\Program Files (x86)\Skype\\Phone\Skype.exe Task: {A8FD0B9A-7BD2-477D-9B7D-02CDDB7F7E8D} - System32\Tasks\{6BAB1883-5FF8-43B6-980F-F1E0700EC112} => pcalua.exe -a C:\Users\Ola\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=cor Task: {C2006566-8FF7-42F7-A069-E8E67E9E088C} - System32\Tasks\{F3BEEA16-6920-434F-ACB3-2A5D46C76928} => E:\Install.exe Task: {C78DD98D-4740-41A4-BC17-6E583F2E07AF} - System32\Tasks\{D8A5CD5D-4746-408A-88B5-E79D10FB5B11} => pcalua.exe -a E:\Setup.exe -d E:\ Task: {D0BB8E73-0E0C-41E3-A4EF-9949CC60F046} - System32\Tasks\{A562F978-FCA7-4A48-9546-50874C9FEB78} => Firefox.exe http://ui.skype.com/ui/0/5.3.0.120.259/pl/abandoninstall?source=lightinstaller&page=tsDownload&installinfo=google-toolbar:notoffered;ienotdefaultbrowser2,google-chrome:notoffered;systemlevelpresent Task: {F310FE67-9D68-401D-8F9A-3015F9025055} - System32\Tasks\{62B8DF6A-F8D0-4B3E-893E-CB533BFF500C} => C:\Program Files (x86)\Skype\\Phone\Skype.exe HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-21-1365672938-4047589735-543654078-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com BHO-x32: Winamp Toolbar Loader -> {4accc990-3dc7-4456-a734-5cb4b610a7f5} -> C:\Program Files (x86)\Winamp Toolbar\winamppltb.dll No File Toolbar: HKLM-x32 - Winamp Toolbar - {a0b1221c-a3ff-4f7c-a393-dc63af5301e9} - C:\Program Files (x86)\Winamp Toolbar\winamppltb.dll No File FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-1365672938-4047589735-543654078-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 C:\Program Files (x86)\mozilla firefox\plugins C:\Program Files\*.exe C:\Users\Ola\*.exe C:\Users\Ola\AppData\Roaming\obthqktxba.exe C:\Users\Ola\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Ola\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut) + Farbar Service Scanner. Dołącz też plik fixlog.txt. Podsumuj czy jest jakaś poprawa. Odnośnik do komentarza
patrykoss8857 Opublikowano 24 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 24 Czerwca 2015 C:\Users\MichałOla\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Bez tego "Michał" w users? Odnośnik do komentarza
picasso Opublikowano 24 Czerwca 2015 Zgłoś Udostępnij Opublikowano 24 Czerwca 2015 Tak, już poprawiłam literówkę - źle zedytowałam wpis i zamiast mi zastąpić nazwy, skleiło je. Odnośnik do komentarza
patrykoss8857 Opublikowano 24 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 24 Czerwca 2015 po wciśnięciu fix nastąpił bluescreen. Nie utworzono pliku fixlog ---------- może Fixnąć w trybie awaryjnym? ------------ ponowny fix w trybie normalnym utworzono fixlog ale pusty - cztery linijki spacji Odnośnik do komentarza
picasso Opublikowano 24 Czerwca 2015 Zgłoś Udostępnij Opublikowano 24 Czerwca 2015 Pusty Fixlog oznacza, że Fixlist był także pusty (nie zapisałeś treści poprawnie w Notatniku)... Powtarzaj zadanie, tylko ze skryptu usuń pierwszą linię CloseProcesses:. Odnośnik do komentarza
patrykoss8857 Opublikowano 24 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 24 Czerwca 2015 fixlist dokładnie skopiowałem i wkleiłem do notatnika i jest w nim treść. skasowałem linię close processes, usunąłem plik fixlog i uruchomiłem ponownie fix. bluescreen i restart komputera, po uruchomieniu pojawia się stary fixlog pusty - spacje -------- po restarcie, usunąłem plik fixlog i kolejna próba, kolejny restart i po uruchomieniu nie pojawił się już fixlog Odnośnik do komentarza
picasso Opublikowano 24 Czerwca 2015 Zgłoś Udostępnij Opublikowano 24 Czerwca 2015 Spróbuj w Trybie awaryjnym wykonać zmodyfikowaną wersję skryptu: DisableService: VSSS HKLM-x32\...\Run: [TaskTray] => [X] Task: {3B1039D2-C7C9-4E40-B837-4EC757365118} - System32\Tasks\{6A8B768F-F083-40B1-836F-C0593A6F7036} => pcalua.exe -a C:\Windows\SysWOW64\Samsung_USB_Drivers\2\SSM_Uninstall.exe Task: {64D5FEE5-226B-4BB7-8F84-6534E66AE29E} - System32\Tasks\{E187F430-7B35-4A1A-AE6D-046292D2C464} => pcalua.exe -a C:\Windows\SysWOW64\Samsung_USB_Drivers\5\SSSDUninstall.exe Task: {6E8B6CAF-3F8C-4102-BFC2-C8D272673125} - System32\Tasks\{CBF18997-2AED-4BBC-A0A7-BDE79C1709B4} => C:\Program Files (x86)\Skype\\Phone\Skype.exe Task: {A8FD0B9A-7BD2-477D-9B7D-02CDDB7F7E8D} - System32\Tasks\{6BAB1883-5FF8-43B6-980F-F1E0700EC112} => pcalua.exe -a C:\Users\Ola\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=cor Task: {C2006566-8FF7-42F7-A069-E8E67E9E088C} - System32\Tasks\{F3BEEA16-6920-434F-ACB3-2A5D46C76928} => E:\Install.exe Task: {C78DD98D-4740-41A4-BC17-6E583F2E07AF} - System32\Tasks\{D8A5CD5D-4746-408A-88B5-E79D10FB5B11} => pcalua.exe -a E:\Setup.exe -d E:\ Task: {D0BB8E73-0E0C-41E3-A4EF-9949CC60F046} - System32\Tasks\{A562F978-FCA7-4A48-9546-50874C9FEB78} => Firefox.exe http://ui.skype.com/ui/0/5.3.0.120.259/pl/abandoninstall?source=lightinstaller&page=tsDownload&installinfo=google-toolbar:notoffered;ienotdefaultbrowser2,google-chrome:notoffered;systemlevelpresent Task: {F310FE67-9D68-401D-8F9A-3015F9025055} - System32\Tasks\{62B8DF6A-F8D0-4B3E-893E-CB533BFF500C} => C:\Program Files (x86)\Skype\\Phone\Skype.exe HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-21-1365672938-4047589735-543654078-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com BHO-x32: Winamp Toolbar Loader -> {4accc990-3dc7-4456-a734-5cb4b610a7f5} -> C:\Program Files (x86)\Winamp Toolbar\winamppltb.dll No File Toolbar: HKLM-x32 - Winamp Toolbar - {a0b1221c-a3ff-4f7c-a393-dc63af5301e9} - C:\Program Files (x86)\Winamp Toolbar\winamppltb.dll No File FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-1365672938-4047589735-543654078-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 C:\Program Files (x86)\mozilla firefox\plugins C:\Program Files\*.exe C:\Users\Ola\*.exe C:\Users\Ola\AppData\Roaming\obthqktxba.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reboot: Odnośnik do komentarza
patrykoss8857 Opublikowano 24 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 24 Czerwca 2015 poszło. załączam fixlog. czy wykonać dalsze kroki jak w poprzednim poście? z tym IE i FSS? Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 24 Czerwca 2015 Zgłoś Udostępnij Opublikowano 24 Czerwca 2015 Oczywiście, to nadal aktualne. I po tym będą poprawki, bo w zmodyfikowanej wersji skryptu usługa malware została wyłączona, ale nie usunięta. Odnośnik do komentarza
patrykoss8857 Opublikowano 24 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 24 Czerwca 2015 punkt drugi z IE wykonałem. wykonałem scan FRST oraz FSS załączam logi. --------- czy powinienem jeszcze uruchomić fix w trybie normalnym ze starym skryptem? -------- antywirus nadal ma wyłączoną osłonę i nie da się jej uruchomić FRST.txt FSS.txt Odnośnik do komentarza
picasso Opublikowano 25 Czerwca 2015 Zgłoś Udostępnij Opublikowano 25 Czerwca 2015 Skrypty są jednorazowe. Poprzednie są już nieaktualne. Nowe skrypty poprawkowe buduje się w oparciu o nowe raporty. Kolejna porcja zadań: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S4 VSSS; C:\Users\Ola\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [105317504 2015-06-23] (Microsoft Corporation) [File not signed] C:\Users\Ola\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Ma nastąpić restart. Powstanie kolejny fixlog.txt. 2. Infekcja skasowała usługę Windows Defender. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00 "Start"=dword:00000002 "Type"=dword:00000020 "Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\ 00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\ 74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\ 00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\ 69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\ 00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\ 6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\ 00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\ 72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\ 00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\ 69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\ 00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "DelayedAutoStart"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\ 00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\ 20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\ 00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security] "Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\ 05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\ 00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\ 84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\ 01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0] "Type"=dword:00000005 "Action"=dword:00000001 "GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. Zresetuj system. 3. Masz wyłączone Przywracanie systemu: ==================== Restore Points ========================= ATTENTION: System Restore is disabled Wejdź w Panelu sterowania do opcji Przywracania systemu i zaznacz Ochronę dla dysku C. 4. Przeinstaluj Avast: antywirus nadal ma wyłączoną osłonę i nie da się jej uruchomić 5. Na koniec zrób nowy log FRST z opcji Scan (z Addition, ale bez Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
patrykoss8857 Opublikowano 25 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 25 Czerwca 2015 wiem że to głupie pytanie ale gdzie znajdę te opcje przywracania systemu? Odnośnik do komentarza
picasso Opublikowano 25 Czerwca 2015 Zgłoś Udostępnij Opublikowano 25 Czerwca 2015 Instrukcja obrazkowa gdzie są opcje: KLIK. Tylko tu chodzi oczywioście o odwrotność, czyli włączenie funkcji a nie jej wyłączenie. Odnośnik do komentarza
patrykoss8857 Opublikowano 25 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 25 Czerwca 2015 czy ochronę dla partycji d też włączyć? Odnośnik do komentarza
picasso Opublikowano 25 Czerwca 2015 Zgłoś Udostępnij Opublikowano 25 Czerwca 2015 Zaznaczyłam, że chodzi mi tylko o dysk systemowy C (domyślne ustawienie systemu). Inne niesystemowe dyski wg uznania można lub i nie. Odnośnik do komentarza
patrykoss8857 Opublikowano 25 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 25 Czerwca 2015 jeszcze jedno pytanie. (z Addition, ale Shortcut) - zaznaczam addition oraz shortcut i klikam scan? czy tylko addition zaznaczam? Odnośnik do komentarza
picasso Opublikowano 26 Czerwca 2015 Zgłoś Udostępnij Opublikowano 26 Czerwca 2015 Tylko Addition, Shortcut nie jest mi już potrzebny ponownie. Odnośnik do komentarza
patrykoss8857 Opublikowano 26 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 26 Czerwca 2015 załączam odpowiednie logi. przeskanowałem system malwarebytes znalazło 5 zagrożeń usunąłem(mam zdjęcie jak byś chciała z ciekawości zobaczyć), przeskanowałem avastem znalazło 3 zagrożenia (frst, fss i coś tam jeszcze związanego z naprawą) nie usuwałem, zrobiłem defragmentację dysku. Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 26 Czerwca 2015 Zgłoś Udostępnij Opublikowano 26 Czerwca 2015 Przeklej raporty ze skanerów co wykryły - chodzi o dane tekstowe a nie zdjęcia. Odnośnik do komentarza
patrykoss8857 Opublikowano 26 Czerwca 2015 Autor Zgłoś Udostępnij Opublikowano 26 Czerwca 2015 Niestety nie mam pojęcia gdzie zapisują się raporty. Szukałem w program files(pliki programow) i szukałem w opcjach avasta i malwarebytes. Zauważyłem jeszcze w Komputer>dysk c>użytkownicy> Dodatkowego użytkownika, nie ma mnie przy kompie teraz ale pamiętam że to było związane coś z Chinami jakiś chuang czy coś takiego. Odnośnik do komentarza
Rekomendowane odpowiedzi