lucas39 Opublikowano 24 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 24 Kwietnia 2017 (edytowane) Witam Proszę o pomoc w usunięciu czegoś co powoduje różne zachowania się systemu ( czasami problemy w rozpoznawaniu urządzeń wpinanych na USB, czasami brak ich rozpoznawania, programy malwarebytes, kaspersky- zwykle nic nie znajdują. Bardzo dawno temu system był zainfekowany razem z MBR. Infekcja została usunięta ręcznie ale tylko z części systemu. zapis z gmera nie jest kompletny ponieważ zawiesza system jeżeli mogę pomoc scanem jakimś innym programem to bardzo chetnie. Addition.txt FRST.txt gmer.txt Shortcut.txt Edytowane 28 Kwietnia 2017 przez Rucek Temat sprzątam ze zbędników. Odnośnik do komentarza
Miszel03 Opublikowano 24 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 24 Kwietnia 2017 Raporty FRST zostały wygenerowane na złych ustawieniach. Do generacji raportów na naszym forum, proszę używać naszej instrukcji: KLIK. Bardzo dawno temu system był zainfekowany razem z MBR. Infekcja została usunięta ręcznie ale tylko z części systemu. Jaka to był infekcja? Jak to została usunięte tylko częściowo? Wyjaśnij to jakoś bardziej proszę Odnośnik do komentarza
lucas39 Opublikowano 24 Kwietnia 2017 Autor Zgłoś Udostępnij Opublikowano 24 Kwietnia 2017 Wstyd w sumie mówić ale uznałem ze nie mówić to jeszcze gorzej o tej infekcji. Dziś już nie pamiętam co to było ( przeleciały niemal dwa lata) ale pamiętam ze zostało przyniesione na pamięci przenośnej. Były to losowe pliki i po ich usunięciu i restarcie znów się pokazywały oczywiście pod inna nazwa. Czymś udało się to uspokoić usuwając klucze z rejestrów i ponowne usuwanie plików. Lecz od tamtego czasu ciągle były problemy z jakimiś sterownikami lub programami anty wirusowymi i podobne. Nie dawno chciałem podpiąć smartfona ale nie udało się zainstalować sterownika MTL więc wróciłem do sprawy. Przeskanuje ponownie laptopa i zamieszczę logi. Próbuję również zrobić pełny scan GMERa ale mam kłopoty. Były zainstalowane programy do portów wirtualnych, obecnie zostały odinstalowane, ale nadal GMER się zawiesza. Poprawny FRST. Gmer się zawiesza. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
Miszel03 Opublikowano 27 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 27 Kwietnia 2017 (edytowane) W systemie jw. pisałem wymagane są korekty dot. kasacji elementów adware. Powiedz mi jeszcze co wiesz na temat AdBlockera. Otwórz Notatnik w nim wklej: CloseProcesses:CreateRestorePoint:SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = S0 2AFF4D74; system32\drivers\2AFF4D74.sys [X]S3 4586240C82A85194; \??\c:\documents and settings\tomek\ustawienia lokalne\temp\7B654D13-A57C2DCF-CAB68671-2762F73C\32ee17184.sys [X]S3 4F96390CC2AC6708; \??\C:\DOCUME~1\ADMINI~1.TOM\USTAWI~1\Temp\4D170C275.sys [X]S3 4F96391A73EB5308; \??\C:\DOCUME~1\ADMINI~1.TOM\USTAWI~1\Temp\2AD2134A.sys [X]S3 catchme; \??\C:\DOCUME~1\Tomek\USTAWI~1\Temp\catchme.sys [X]S4 IObitUnlocker; \??\C:\Program Files\IObit\IObit Unlocker\IObitUnlocker.sys [X]S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X]U3 TlntSvr; Brak ImagePathS3 UIUSys; system32\drivers\UIUSys.sys [X]2016-06-29 10:14 - 2016-06-29 10:14 - 0128512 _____ () C:\Documents and Settings\Tomek\Dane aplikacji\Installer.dat2016-06-29 10:15 - 2016-06-29 10:15 - 0018432 _____ () C:\Documents and Settings\Tomek\Dane aplikacji\Main.datTask: C:\WINDOWS\Tasks\PPTAssistantNotifyTask_Tomek.job => C:\Documents and Settings\Tomek\Ustawienia lokalne\Dane aplikacji\PPTAssist\notify.exe Task: C:\WINDOWS\Tasks\PPTAssistantUpdateTask_Tomek.job => C:\Documents and Settings\Tomek\Ustawienia lokalne\Dane aplikacji\PPTAssist\assistupdate.exe Task: C:\WINDOWS\Tasks\{E5F8EBDB-032D-D6F5-7BF3-7781FD235F2D}.job => C:\WINDOWS\system32\regsvr32.exe E /s /n /i:/rt C:\DOCUME~1\ALLUSE~1\DANEAP~1\3dd92577\ea5350a.dll EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Nie musisz dostarczać nowych logów, poproszę tylko o plik Fixlog - sprawdzimy tylko czy wszystko się wykonało. Komentując zaś raport z TDSSKiller powiem, że jest czysty. Nic podejrzanego. Edytowane 28 Kwietnia 2017 przez Rucek Odnośnik do komentarza
lucas39 Opublikowano 28 Kwietnia 2017 Autor Zgłoś Udostępnij Opublikowano 28 Kwietnia 2017 WitamAdBlocker'a instalowałem osobiście. Doinstalowałem brakujące sterowniki od modemu. Hmm. po posprzątaniu i doinstalowaniu sterownika modemu zapis na kartę pamięci podpiętą do portu usb poprzez czytnik kart pamięci odbywa się 2 razy dłużej. Jak otworze okno Menadżera zadań (CTR+ALT+DEL) to w oknie tym nie ma całego nagłówka. (to zauważyłem teraz podejrzewam że to tez od infekcji pub po mojej ręcznej interwencji.) NAPRAWIANIE zrobione. Rezultat naprawy Farbar Recovery Scan Tool (x86) Wersja: 27-04-2017Uruchomiony przez Tomek (28-04-2017 10:05:30) Run:1Uruchomiony z c:\scanyZaładowane profile: Tomek (Dostępne profile: Tomek & Administrator)Tryb startu: Normal==============================================fixlist - zawartość:*****************CloseProcesses:CreateRestorePoint:SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =S0 2AFF4D74; system32\drivers\2AFF4D74.sys [X]S3 4586240C82A85194; \??\c:\documents and settings\tomek\ustawienia lokalne\temp\7B654D13-A57C2DCF-CAB68671-2762F73C\32ee17184.sys [X]S3 4F96390CC2AC6708; \??\C:\DOCUME~1\ADMINI~1.TOM\USTAWI~1\Temp\4D170C275.sys [X]S3 4F96391A73EB5308; \??\C:\DOCUME~1\ADMINI~1.TOM\USTAWI~1\Temp\2AD2134A.sys [X]S3 catchme; \??\C:\DOCUME~1\Tomek\USTAWI~1\Temp\catchme.sys [X]S4 IObitUnlocker; \??\C:\Program Files\IObit\IObit Unlocker\IObitUnlocker.sys [X]S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X]U3 TlntSvr; Brak ImagePathS3 UIUSys; system32\drivers\UIUSys.sys [X]2016-06-29 10:14 - 2016-06-29 10:14 - 0128512 _____ () C:\Documents and Settings\Tomek\Dane aplikacji\Installer.dat2016-06-29 10:15 - 2016-06-29 10:15 - 0018432 _____ () C:\Documents and Settings\Tomek\Dane aplikacji\Main.datTask: C:\WINDOWS\Tasks\PPTAssistantNotifyTask_Tomek.job => C:\Documents and Settings\Tomek\Ustawienia lokalne\Dane aplikacji\PPTAssist\notify.exe <==== UWAGATask: C:\WINDOWS\Tasks\PPTAssistantUpdateTask_Tomek.job => C:\Documents and Settings\Tomek\Ustawienia lokalne\Dane aplikacji\PPTAssist\assistupdate.exe <==== UWAGATask: C:\WINDOWS\Tasks\{E5F8EBDB-032D-D6F5-7BF3-7781FD235F2D}.job => C:\WINDOWS\system32\regsvr32.exe E /s /n /i:/rt C:\DOCUME~1\ALLUSE~1\DANEAP~1\3dd92577\ea5350a.dll <==== UWAGAEmptyTemp:*****************Procesy zostały pomyślnie zamknięte.Punkt przywracania został pomyślnie utworzony.HKU\S-1-5-19\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => Wartość pomyślnie usuniętoHKU\S-1-5-20\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope => Wartość pomyślnie usuniętoHKLM\System\CurrentControlSet\Services\2AFF4D74 => klucz pomyślnie usunięto2AFF4D74 => serwis pomyślnie usuniętoHKLM\System\CurrentControlSet\Services\4586240C82A85194 => klucz pomyślnie usunięto4586240C82A85194 => serwis pomyślnie usuniętoHKLM\System\CurrentControlSet\Services\4F96390CC2AC6708 => klucz pomyślnie usunięto4F96390CC2AC6708 => serwis pomyślnie usuniętoHKLM\System\CurrentControlSet\Services\4F96391A73EB5308 => klucz pomyślnie usunięto4F96391A73EB5308 => serwis pomyślnie usuniętoHKLM\System\CurrentControlSet\Services\catchme => klucz pomyślnie usuniętocatchme => serwis pomyślnie usuniętoHKLM\System\CurrentControlSet\Services\IObitUnlocker => klucz pomyślnie usuniętoIObitUnlocker => serwis pomyślnie usuniętoHKLM\System\CurrentControlSet\Services\sptd => klucz pomyślnie usuniętosptd => serwis pomyślnie usuniętoHKLM\System\CurrentControlSet\Services\TlntSvr => klucz pomyślnie usuniętoTlntSvr => serwis pomyślnie usuniętoHKLM\System\CurrentControlSet\Services\UIUSys => klucz pomyślnie usuniętoUIUSys => serwis pomyślnie usuniętoC:\Documents and Settings\Tomek\Dane aplikacji\Installer.dat => pomyślnie przeniesionoC:\Documents and Settings\Tomek\Dane aplikacji\Main.dat => pomyślnie przeniesionoC:\WINDOWS\Tasks\PPTAssistantNotifyTask_Tomek.job => pomyślnie przeniesionoC:\WINDOWS\Tasks\PPTAssistantUpdateTask_Tomek.job => pomyślnie przeniesionoC:\WINDOWS\Tasks\{E5F8EBDB-032D-D6F5-7BF3-7781FD235F2D}.job => pomyślnie przeniesiono=========== EmptyTemp: ==========BITS transfer queue => 0 BDOMStoree, IE Recovery, AppCache, Feeds Cache, Thumbcache => 98348 BJava, Flash, Steam htmlcache => 2531 BWindows/system/dllcache/drivers => 589824 BEdge => 0 BChrome => 31464422 BFirefox => 330098840 BOpera => 0 BTemp, IE cache, history, cookies, recent:Documents and Settings => 0 BDefault User => 66164 BAll Users => 0 Bsystemprofile => 3572748570 BLocalService => 628 BNetworkService => 628 BTomek => 418810395 BAdministrator.TOMEK-SERWIS => 66164 BRecycleBin => 0 BEmptyTemp: => 4.1 GB danych tymczasowych Usunięto.================================System wymagał restartu.==== Koniec Fixlog 10:07:42 ==== Odnośnik do komentarza
Miszel03 Opublikowano 28 Kwietnia 2017 Zgłoś Udostępnij Opublikowano 28 Kwietnia 2017 AdBlocker'a instalowałem osobiście. OK, ale jednak nie decydowałbym się na niego. Może uBlock Origin do przeglądarki? Hmm. po posprzątaniu i doinstalowaniu sterownika modemu zapis na kartę pamięci podpiętą do portu usb poprzez czytnik kart pamięci odbywa się 2 razy dłużej. To nie ma związku ze Fixem. Jak otworze okno Menadżera zadań (CTR+ALT+DEL) to w oknie tym nie ma całego nagłówka. (to zauważyłem teraz podejrzewam że to tez od infekcji pub po mojej ręcznej interwencji.) Nie rozumiem - daj screena jak to wygląda z Twojej strony. Całość pomyślnie wykonana. System czysty pod względem infekcji. Z mojej strony to by było na tyle. Temat przenoszę do działu XP gdzie mogą Ci rozwiązać pozostałe problemy. Odnośnik do komentarza
lucas39 Opublikowano 8 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 8 Maja 2017 Nie mam pomysłu jak pokazać tu taj obraz. Forum nie pozwala tu zamieścić obrazka lub nie mogę odszukać opcji jak to zrobić. Kont na żadnym portalu zdjęciowym nie posiadam. Okno nie posiada: nazwy Menadżer zadań Windows Plik Opcje Widok Zamknij Pomoc Aplikacje Procesy Wydajność Sieć Urzytkownicy zaczyna się od razu ramka z wyświetlanymi aktualnie uruchomionymi procesami Odnośnik do komentarza
izaw Opublikowano 8 Maja 2017 Zgłoś Udostępnij Opublikowano 8 Maja 2017 Kliknij dwukrotnie ramkę. Odnośnik do komentarza
lucas39 Opublikowano 12 Maja 2017 Autor Zgłoś Udostępnij Opublikowano 12 Maja 2017 O !! rany. ale wstyd!!! to było takie proste Dziękuję. Wszystko działa. Można temat zamknąć. Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się