jessica Opublikowano 16 Grudnia 2023 Zgłoś Udostępnij Opublikowano 16 Grudnia 2023 jest infekcja zaraz ..... Odnośnik do komentarza
marta Opublikowano 16 Grudnia 2023 Zgłoś Udostępnij Opublikowano 16 Grudnia 2023 8 minut temu, jessica napisał(a): jest infekcja zaraz ..... Na spokojnie. Czekam cierpliwie. Jestem wdzięczny, że w ogóle masz chęć pomoc Odnośnik do komentarza
jessica Opublikowano 16 Grudnia 2023 Zgłoś Udostępnij Opublikowano 16 Grudnia 2023 1) Windows Manager (HKLM-x32\...\{C845414C-903C-4218-9DE7-132AB97FDF62}) (Version: 1.0.0 - AW Manager) Hidden <==== UWAGA Jeśli nie znasz tego programu, to go odinstaluj. 2) Uruchom FRST. Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowym Spoiler START:: CreateRestorePoint: HKU\S-1-5-21-3723253731-386050940-3204752601-1001\...\Winlogon: [Shell] %comspec% <==== UWAGA HKU\S-1-5-21-3723253731-386050940-3204752601-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundModule.exe" 2>NUL | find /I /N "SoundModule.exe">NUL && exit & if exist ( start /MIN "" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) <==== UWAGA StartupDir: C:\Users\Pixel\Pictures\Minor Policy\ <==== UWAGA Startup: C:\Users\Pixel\Pictures\Minor Policy\01d8TF9fXOU1uXyalfHEwLJW.exe [2023-12-13] () [Brak podpisu cyfrowego] Startup: C:\Users\Pixel\Pictures\Minor Policy\fGBbrh0_v6Hea9Q0qag6EOrm.exe [2023-12-13] () [Brak podpisu cyfrowego] Windows Manager (HKLM-x32\...\{C845414C-903C-4218-9DE7-132AB97FDF62}) (Version: 1.0.0 - AW Manager) Hidden <==== UWAGA Startup: C:\Users\Pixel\Pictures\Minor Policy\LdzFxQDU9stJGtGp1M2_EaFF.exe [2023-12-13] () [Brak podpisu cyfrowego] Startup: C:\Users\Pixel\Pictures\Minor Policy\P9hS98hhEx5oA8PLJ81MxXrF.exe [2023-12-13] () [Brak podpisu cyfrowego] Startup: C:\Users\Pixel\Pictures\Minor Policy\QWMrb2nW01MZpI2DcHNSTHVy.exe [2023-12-13] () [Brak podpisu cyfrowego] Startup: C:\Users\Pixel\Pictures\Minor Policy\SvEV2clfQyWNkrgk7Si8erkU.exe [2023-12-13] () [Brak podpisu cyfrowego] Startup: C:\Users\Pixel\Pictures\Minor Policy\TFCdya0dGU4wxkLrlM9E4Nns.exe [2023-12-13] () [Brak podpisu cyfrowego] GroupPolicy: Ograniczenia - Windows Defender <==== UWAGA Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA FirewallRules: [{18E6E629-4FBD-4070-919A-6D339F9324D5}] => (Allow) C:\WINDOWS\rss\csrss.exe => Brak pliku FirewallRules: [{8B36FF91-8548-4A1B-891B-E1BC725502BC}] => (Allow) C:\WINDOWS\rss\csrss.exe => Brak pliku 2023-12-13 19:01 - 2023-12-13 19:01 - 000000559 _____ () C:\Users\Pixel\AppData\Local\bowsakkdestx.txt HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== UWAGA HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== UWAGA HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== UWAGA HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ograniczenia <==== UWAGA HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ograniczenia <==== UWAGA HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ograniczenia <==== UWAGA HKU\S-1-5-21-3723253731-386050940-3204752601-1001\...\Run: [ProductAuthenticationService] => C:\Users\Pixel\AppData\Roaming\ProductAuthenticationService\pas.exe [1003024 2019-12-02] (DVJ LIMITED -> DVJ LIMITED) <==== UWAGA 2023-12-16 12:07 - 2023-12-16 12:51 - 2771420617 _____ C:\Users\Pixel\Downloads\Niepotwierdzony 235627.crdownload 2023-12-16 12:07 - 2023-12-16 12:51 - 2765690054 _____ C:\Users\Pixel\Downloads\Niepotwierdzony 819814.crdownload 2023-12-16 12:07 - 2023-12-16 12:51 - 2762859958 _____ C:\Users\Pixel\Downloads\Niepotwierdzony 999844.crdownload 2023-12-16 12:06 - 2023-12-16 12:30 - 1738519517 _____ C:\Users\Pixel\Downloads\Niepotwierdzony 629430.crdownload 2023-12-13 19:01 - 2023-12-13 19:01 - 000000559 _____ C:\Users\Pixel\AppData\Local\bowsakkdestx.txt 2023-12-13 19:01 - 2023-12-13 19:01 - 000000000 ____D C:\Users\Pixel\AppData\Roaming\qZEQZX3gfK8 RemoveDirectory: C:\Users\Pixel\Downloads\FRST-OlderVersion C:\Users\Pixel\AppData\Roaming\Microsoft\SoundModule EmptyEventLogs: EmptyTemp: END:: W FRST kliknij na Fix (NAPRAW). Zrób nowe logi FRST. jessi Odnośnik do komentarza
marta Opublikowano 16 Grudnia 2023 Zgłoś Udostępnij Opublikowano 16 Grudnia 2023 13 minut temu, jessica napisał(a): 1) Windows Manager (HKLM-x32\...\{C845414C-903C-4218-9DE7-132AB97FDF62}) (Version: 1.0.0 - AW Manager) Hidden <==== UWAGA Jeśli nie znasz tego programu, to go odinstaluj. 2) Uruchom FRST. Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowym Pokaż ukrytą zawartość START:: CreateRestorePoint: HKU\S-1-5-21-3723253731-386050940-3204752601-1001\...\Winlogon: [Shell] %comspec% <==== UWAGA HKU\S-1-5-21-3723253731-386050940-3204752601-1001\...\Command Processor: @mode 20,5 & tasklist /FI "IMAGENAME eq SoundModule.exe" 2>NUL | find /I /N "SoundModule.exe">NUL && exit & if exist ( start /MIN "" & tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) else ( tasklist /FI "IMAGENAME eq explorer.exe" 2>NUL | find /I /N "explorer.exe">NUL && exit & explorer.exe & exit ) <==== UWAGA StartupDir: C:\Users\Pixel\Pictures\Minor Policy\ <==== UWAGA Startup: C:\Users\Pixel\Pictures\Minor Policy\01d8TF9fXOU1uXyalfHEwLJW.exe [2023-12-13] () [Brak podpisu cyfrowego] Startup: C:\Users\Pixel\Pictures\Minor Policy\fGBbrh0_v6Hea9Q0qag6EOrm.exe [2023-12-13] () [Brak podpisu cyfrowego] Startup: C:\Users\Pixel\Pictures\Minor Policy\LdzFxQDU9stJGtGp1M2_EaFF.exe [2023-12-13] () [Brak podpisu cyfrowego] Startup: C:\Users\Pixel\Pictures\Minor Policy\P9hS98hhEx5oA8PLJ81MxXrF.exe [2023-12-13] () [Brak podpisu cyfrowego] Startup: C:\Users\Pixel\Pictures\Minor Policy\QWMrb2nW01MZpI2DcHNSTHVy.exe [2023-12-13] () [Brak podpisu cyfrowego] Startup: C:\Users\Pixel\Pictures\Minor Policy\SvEV2clfQyWNkrgk7Si8erkU.exe [2023-12-13] () [Brak podpisu cyfrowego] Startup: C:\Users\Pixel\Pictures\Minor Policy\TFCdya0dGU4wxkLrlM9E4Nns.exe [2023-12-13] () [Brak podpisu cyfrowego] GroupPolicy: Ograniczenia - Windows Defender <==== UWAGA Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA FirewallRules: [{18E6E629-4FBD-4070-919A-6D339F9324D5}] => (Allow) C:\WINDOWS\rss\csrss.exe => Brak pliku FirewallRules: [{8B36FF91-8548-4A1B-891B-E1BC725502BC}] => (Allow) C:\WINDOWS\rss\csrss.exe => Brak pliku 2023-12-13 19:01 - 2023-12-13 19:01 - 000000559 _____ () C:\Users\Pixel\AppData\Local\bowsakkdestx.txt HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== UWAGA HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% <==== UWAGA HKLM Group Policy restriction on software: %HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% <==== UWAGA HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiSpyware] Ograniczenia <==== UWAGA HKLM\SOFTWARE\Microsoft\Windows Defender: [DisableAntiVirus] Ograniczenia <==== UWAGA HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ograniczenia <==== UWAGA HKU\S-1-5-21-3723253731-386050940-3204752601-1001\...\Run: [ProductAuthenticationService] => C:\Users\Pixel\AppData\Roaming\ProductAuthenticationService\pas.exe [1003024 2019-12-02] (DVJ LIMITED -> DVJ LIMITED) <==== UWAGA 2023-12-16 12:07 - 2023-12-16 12:51 - 2771420617 _____ C:\Users\Pixel\Downloads\Niepotwierdzony 235627.crdownload 2023-12-16 12:07 - 2023-12-16 12:51 - 2765690054 _____ C:\Users\Pixel\Downloads\Niepotwierdzony 819814.crdownload 2023-12-16 12:07 - 2023-12-16 12:51 - 2762859958 _____ C:\Users\Pixel\Downloads\Niepotwierdzony 999844.crdownload 2023-12-16 12:06 - 2023-12-16 12:30 - 1738519517 _____ C:\Users\Pixel\Downloads\Niepotwierdzony 629430.crdownload 2023-12-13 19:01 - 2023-12-13 19:01 - 000000559 _____ C:\Users\Pixel\AppData\Local\bowsakkdestx.txt 2023-12-13 19:01 - 2023-12-13 19:01 - 000000000 ____D C:\Users\Pixel\AppData\Roaming\qZEQZX3gfK8 RemoveDirectory: C:\Users\Pixel\Downloads\FRST-OlderVersion C:\Users\Pixel\AppData\Roaming\Microsoft\SoundModule EmptyEventLogs: EmptyTemp: END:: W FRST kliknij na Fix (NAPRAW). Zrób nowe logi FRST. jessi Odnośnik do komentarza
jessica Opublikowano 16 Grudnia 2023 Zgłoś Udostępnij Opublikowano 16 Grudnia 2023 tak jak poprzednio: zrób nowe logi z FRST. Odnośnik do komentarza
marta Opublikowano 16 Grudnia 2023 Zgłoś Udostępnij Opublikowano 16 Grudnia 2023 6 minut temu, jessica napisał(a): tak jak poprzednio: zrób nowe logi z FRST. Czyli najpierw CTRL+Y i otworzy się notatnik i wkleić do niego ukrytą wiadomość i CTRL+S i NAPRAW? Nowe logi to ponowne przeskanowanie programem po wszystkim? Wybacz, ale nie jestem w tych sprawach zbyt biegly Poprosiłbym całość bardziej krok po kroku Byłbym bardzo wdzieczny Aha, i jaki program mam usunąć, bo nie bardzo rozumiem? Jak on się nazywa? Odnośnik do komentarza
jessica Opublikowano 16 Grudnia 2023 Zgłoś Udostępnij Opublikowano 16 Grudnia 2023 Cytat Czyli najpierw CTRL+Y i otworzy się notatnik i wkleić do niego ukrytą wiadomość i CTRL+S i NAPRAW? Takiej komendy ja na pewno nie dawałam Odnośnik do komentarza
jessica Opublikowano 16 Grudnia 2023 Zgłoś Udostępnij Opublikowano 16 Grudnia 2023 nazwa programu jest pogrubiona Odnośnik do komentarza
marta Opublikowano 16 Grudnia 2023 Zgłoś Udostępnij Opublikowano 16 Grudnia 2023 1 minutę temu, jessica napisał(a): Takiej komendy ja na pewno nie dawałam czekaj, juz troche wiecej zrozumialem. uruchomic program, skopiowac ukryta wiadomosc i kliknac napraw w programie, a na koniec jeszcze raz przeskanowac i zobaczy czy pomoglo - potwierdzisz teraz? a jesli program, ktory mam usunac nazywa sie WINDOWS MANAGER, to ja takiego nie mam na liscie w Panelu Sterowania (Programy i funkcje) Odnośnik do komentarza
jessica Opublikowano 16 Grudnia 2023 Zgłoś Udostępnij Opublikowano 16 Grudnia 2023 Cytat potwierdzisz teraz? Tak. Dopiero teraz zauważyłam, że program ma atrybut "hidden" (ukryty) - zajmiemy się więc nim potem Odnośnik do komentarza
marta Opublikowano 16 Grudnia 2023 Zgłoś Udostępnij Opublikowano 16 Grudnia 2023 5 minut temu, jessica napisał(a): Tak. Dopiero teraz zauważyłam, że program ma atrybut "hidden" (ukryty) - zajmiemy się więc nim potem Dobrze, Dziękuję. Muszę zostawić tą sprawę na później, coś mi wypadło. Odezwę się wieczorem, Co mi się udało zdziałać. Jeszcze raz dziękuję z gory Odnośnik do komentarza
jessica Opublikowano 16 Grudnia 2023 Zgłoś Udostępnij Opublikowano 16 Grudnia 2023 OK. Pamiętaj, by pokazać mi nowe logi FRST Odnośnik do komentarza
marta Opublikowano 16 Grudnia 2023 Zgłoś Udostępnij Opublikowano 16 Grudnia 2023 5 minut temu, jessica napisał(a): OK. Pamiętaj, by pokazać mi nowe logi FRST Dobrze, podeślę po wszystkim. Pozdrawiam Odnośnik do komentarza
marta Opublikowano 17 Grudnia 2023 Zgłoś Udostępnij Opublikowano 17 Grudnia 2023 wyglada na to, ze mamy sukces - windows zastartowal ladnie, explorer tez, wszystko widac automatycznie. zalaczam raporty ponaprawcze Fixlog.txt FRST.txt Addition.txt Odnośnik do komentarza
jessica Opublikowano 17 Grudnia 2023 Zgłoś Udostępnij Opublikowano 17 Grudnia 2023 Cytat Windows Manager (HKLM-x32\...\{C845414C-903C-4218-9DE7-132AB97FDF62}) (Version: 1.0.0 - AW Manager) <==== UWAGA Ten program nie ma już atrybutu "hidden" (ukryty) - więc go odinstaluj. Wśród programów będzie miał nazwę "Windows Manager", albo "{C845414C-903C-4218-9DE7-132AB97FDF62}". Kosmetyka: Uruchom FRST. Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowym Spoiler START:: ShortcutTarget: KBDRO.lnk -> C:\Users\Pixel\Desktop\Setup.exe (Brak pliku) HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA Task: {CC923558-8746-4C36-9D3B-B8AADD9C298D} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA C:\Users\Pixel\Downloads\Fixlog.txt C:\WINDOWS\SysWOW64\tikilmz END:: W FRST kliknij na Fix (NAPRAW). (restartu tym razem nie będzie.) jessi Odnośnik do komentarza
marta Opublikowano 17 Grudnia 2023 Zgłoś Udostępnij Opublikowano 17 Grudnia 2023 2 godziny temu, jessica napisał(a): Ten program nie ma już atrybutu "hidden" (ukryty) - więc go odinstaluj. Wśród programów będzie miał nazwę "Windows Manager", albo "{C845414C-903C-4218-9DE7-132AB97FDF62}". Kosmetyka: Uruchom FRST. Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowym Ukryj zawartość START:: ShortcutTarget: KBDRO.lnk -> C:\Users\Pixel\Desktop\Setup.exe (Brak pliku) HKLM\SOFTWARE\Policies\Mozilla\Firefox: Ograniczenia <==== UWAGA Task: {CC923558-8746-4C36-9D3B-B8AADD9C298D} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA C:\Users\Pixel\Downloads\Fixlog.txt C:\WINDOWS\SysWOW64\tikilmz END:: W FRST kliknij na Fix (NAPRAW). (restartu tym razem nie będzie.) jessi wszystko zrobione. dziękuję jeszcze raz za wszystko. mogę się jakoś odwdzięczyć? jestem trochę w szoku, że temat odgrzany po 3 latach i dostałem jeszcze taką super pomoc Odnośnik do komentarza
czarownik18 Opublikowano 29 Grudnia 2023 Zgłoś Udostępnij Opublikowano 29 Grudnia 2023 Podpinam się do tematu. Działa logowanie, ale po wpisaniu hasła czarny ekran i trzeba explorer uruchamiać od nowa żeby poszło Addition.txt FRST.txt Odnośnik do komentarza
jessica Opublikowano 29 Grudnia 2023 Zgłoś Udostępnij Opublikowano 29 Grudnia 2023 @czarownik18 W logach nie widzę przyczyny problemu. Uruchom FRST. Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) - FRST sam znajdzie "fixlist" w schowku systemowym Spoiler START:: CreateRestorePoint: HKU\S-1-5-21-2726107733-1844472028-1858550922-1002\...\Policies\Explorer: [DisableThumbnails] 1 HKU\S-1-5-18\...\Policies\Explorer: [DisableThumbnails] 1 HKLM\...\RunOnce: [!BingChatInstaller] => C:\Windows\Temp\MUBSTemp\BingChatInstaller.EXE [17685536 2023-12-16] (Microsoft Corporation -> Microsoft Corporation) <==== UWAGA HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ograniczenia <==== UWAGA HKU\S-1-5-21-2726107733-1844472028-1858550922-1002\...\Run: [Gyazo] => [X] Task: {50CEDF31-8538-48F0-ABD1-E73C3D7A3D49} - \Lenovo\ImController\Plugins\LenovoSystemUpdatePlugin_WeeklyTask -> Brak pliku <==== UWAGA Task: {861DC2C1-E5DD-4DA4-BB07-955B3E8012C1} - \Lenovo\ImController\TimeBasedEvents\5a8882e1-27c3-494c-b071-c438cdfd7b48 -> Brak pliku <==== UWAGA Task: {A02604B1-A876-436E-834C-256AABFFE4B2} - \Lenovo\ImController\Lenovo iM Controller Scheduled Maintenance -> Brak pliku <==== UWAGA Task: {AC67BF84-75EB-40B5-B8DA-D7F17407F5B4} - \Lenovo\ImController\TimeBasedEvents\2de436ab-b9eb-4586-b464-8097331d28a3 -> Brak pliku <==== UWAGA Task: {C039EBED-11E0-4252-9E9D-F2D2AFFEB3E0} - \Lenovo\ImController\Lenovo iM Controller Monitor -> Brak pliku <==== UWAGA Task: {F753F87F-5BC1-477B-AA60-2D116FAD9AF6} - \Lenovo\ImController\TimeBasedEvents\57281274-14d2-46f7-a2b9-1579a3046e2d -> Brak pliku <==== UWAGA Task: C:\Windows\Tasks\CreateExplorerShellUnelevatedTask.job => C:\Windows\explorer.exe RemoveDirectory: C:\Users\SCAN\Downloads\FRST-OlderVersion EmptyEventLogs: EmptyTemp: END:: W FRST kliknij na Fix (NAPRAW). Napisz, czy to cokolwiek pomogło? jessi Odnośnik do komentarza
czarownik18 Opublikowano 29 Grudnia 2023 Zgłoś Udostępnij Opublikowano 29 Grudnia 2023 @jessica zadziałało. Chylę czoło, masz ogromną wiedzę. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się