leliwka Opublikowano 13 Października 2017 Zgłoś Udostępnij Opublikowano 13 Października 2017 Serdecznie witam i bardzo proszę o pomoc. Mam laptopa Samsung R450 i system Windows 7 Home Premium. Otworzyłam (co rzadko robię) jakiś plik ściągnięty z Internetu i wrzuciło mi wirusy. Odinstalowałam programy, które mi się masowo zainstalowały. Przeskanowałam system Malwarebytes i wykryło ok. 50 wirusów, umieściłam je w kwarantannie (raport w załączniku). Kiedy Malwarebytes jest włączony w tle cały czas wyrzuca informacje, że blokuje kolejne strony (nawet przy wyłączonym Firefox). Adw cleaner nie chce usunąć tego świństwa, po prostu po paru minutach się zawiesza. Niestety laptop siada. Jeszcze włączyłam taki mały programik ATF-Cleaner. Przeglądarce Firefox samoczynnie się otwiera i co parę minut wyskakuje ta sama strona z monitem: Błąd wczytywania strony, (w załączniku ), a jak minimalizuje okno przeglądarki to co chwilę samo się powiększa i wyskakuje ta sama kolejna już strona. I jeszcze na dodatek coś mnie podkusiło i zrobiłam przywracanie systemu , myślałam, że to może pomoże i laptop padł wyskoczyła czarna plansza, że brakuje mu jakiś plików systemowych i nie można go było uruchomić normalnie (tylko Windows 7 i Fast Startup i nic nie można było zrobić), na szczęście włączyłam Samsung Recovery Solution i jakoś udało mi się go uruchomić. Natomiast przy zamykaniu systemu wyskakuje okienko z monitem żeby wyłączyć 2 programy oba pod nazwą Setap installing .Laptop uruchomił się ale na samym początku po włączeniu na czarnym tle była zielona ikona ładowania, potem na czarnym tle znaczek Windows, następnie niebieska plansza Zapraszamy i dopiero uruchomiło laptopa. W Menadżerze zadań Windows znalazłam jeszcze 4 procesy (załącznik). FRST.txt Addition.txt Shortcut.txt raport aplikacji anti-malaware wirusy.txt Odnośnik do komentarza
Miszel03 Opublikowano 13 Października 2017 Zgłoś Udostępnij Opublikowano 13 Października 2017 W raportach widać infekcje adware / PUP (i inne) odpowiedzialne za wymienione przez Ciebie problemy. Raczej szybko się z tym uporamy, od razu więc przechodzimy do działań. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Task: {1233F3AE-C05F-4E7C-87F4-B0BBB58D2453} - System32\Tasks\{7D7A7E47-0A0D-0A7E-0511-0B7E087D1178} => C:\Windows\system32\WindowsPowershell\v1.0\powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand OwAgACQARQByAHIAbwByAEEAYwB0AGkAbwBuAFAAcgBlAGYAZQByAGUAbgBjAGUAPQAiAHMAdABvAHAAIgA7ACQAcwBjAD0AIgBTAGkAbABlAG4AdABsAHkAQwBvAG4AdABpAG4AdQBlACIAOwAkAFcAYQByAG4AaQBuAGcAUAByAGUAZgBlAHIAZQBuAGMAZQA9ACQAcwBjADsAJABQAHIA (dane wartości zawierają 9996 znaków więcej). <==== UWAGA Task: {5C2DF9BD-24A9-4AAE-BF01-480749FB231F} - System32\Tasks\8f5924d3f0decf6b4ab73c990a7a077b => powershell.exe -NoProfile -NoLogo -NonInteractive -ExecutionPolicy Bypass -File "C:\Windows\8f5924d3f0decf6b4ab73c990a7a077b.ps1" <==== UWAGA Task: {5F4BB55D-19E5-4B62-8F24-567E6325718D} - System32\Tasks\L0qObltTFUur => l0qoblttfuur.exe Task: {8B24F83C-9A61-494D-99B9-24EDCDC0CB66} - System32\Tasks\Moon Manager => C:\Windows\system32\rundll32.exe "C:\Program Files\Moon Manager\Moon Manager.dll",sfaPDJrqo <==== UWAGA Task: {ADE446E0-842A-4E34-AECF-F1E7BECA585B} - System32\Tasks\3ff2108d7185625d7293e4213106116d => sc start 3ff2108d7185625d7293e4213106116d <==== UWAGA C:\Windows\8f5924d3f0decf6b4ab73c990a7a077b.ps1 C:\Program Files\Moon Manager AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [135] AlternateDataStreams: C:\ProgramData\TEMP:BFE23423 [362] HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA GroupPolicy: Ograniczenia - Windows Defender <==== UWAGA HKU\S-1-5-21-233006258-18527085-3623643150-1000\...\Run: [5400625] => C:\Users\Agata\AppData\Roaming\qtbfehtpxob\m53tfii2wrl.exe [472899 2017-10-12] ( ) HKU\S-1-5-21-233006258-18527085-3623643150-1000\...\Run: [6760600] => C:\Users\Agata\AppData\Roaming\nt0qd4ngbvo\ca2cups2kwo.exe [472899 2017-10-12] ( ) C:\Users\Agata\AppData\Roaming\qtbfehtpxob C:\Users\Agata\AppData\Roaming\nt0qd4ngbvo HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-233006258-18527085-3623643150-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-233006258-18527085-3623643150-1000 -> {d4fee3d1-1014-4db8-a824-573bf9ab51c7} URL = SearchScopes: HKU\S-1-5-21-233006258-18527085-3623643150-1000 -> {DC91FAFB-6CEA-49E5-BB74-9CEE75D09B77} URL = FF Plugin: @microsoft.com/GENUINE -> disabled [Brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Brak pliku] S2 KeService; C:\ProgramData\KeService.exe [2904064 2017-10-12] (Adobe Systems Incorporated) [Brak podpisu cyfrowego] <==== UWAGA S2 TCPSvc; "C:\Users\Agata\AppData\Local\Temp\csrss\proxy\Tor\tor.exe" --nt-service --SocksPort 7050 --Log "notice file C:\Windows\rss\t" <==== UWAGA C:\Windows\rss\t C:\ProgramData\KeService.exe S3 AndNetDiag; system32\DRIVERS\lgandnetdiag64.sys [X] S3 ANDNetModem; system32\DRIVERS\lgandnetmodem64.sys [X] S1 dqkcaurg; \??\C:\Windows\system32\drivers\dqkcaurg.sys [X] S1 unzpezbg; \??\C:\Windows\system32\drivers\unzpezbg.sys [X] 2017-10-12 17:51 - 2017-10-12 21:33 - 000000000 ____D C:\ProgramData\ad8a42d0-6cd7-1 2017-10-12 17:51 - 2017-10-12 21:33 - 000000000 ____D C:\ProgramData\ad8a42d0-4af5-0 2017-10-12 17:45 - 2017-10-13 01:19 - 000000000 ____D C:\Program Files\129TZA7WHV 2017-10-12 17:48 - 2017-10-13 01:19 - 000000000 ____D C:\Program Files\8ZCB25VOSK 2017-10-12 17:47 - 2017-10-13 01:19 - 000000000 ____D C:\Program Files (x86)\L0qObltTFUur 2017-10-12 17:47 - 2017-10-13 01:19 - 000000000 ____D C:\Program Files (x86)\fbg33l1j5hc 2017-10-11 21:45 - 2017-10-11 21:45 - 000358400 _____ C:\Windows\0c27bc2489ccbd6abf90736157684dfa.exe 2017-10-11 21:45 - 2017-10-11 21:45 - 000037170 _____ C:\Windows\uninstaller.dat C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\INTENSO (F).LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\Vulvakarzinome 2017.ppt.LNK CMD: dir /a C:\Windows CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Agata\AppData\Local CMD: dir /a C:\Users\Agata\AppData\LocalLow CMD: dir /a C:\Users\Agata\AppData\Roaming Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. 3. Zastosuj AdwCleaner z opcji Szukaj (nie stosuj jeszcze Oczyść). Dostarcz raport z tego działania. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
leliwka Opublikowano 13 Października 2017 Autor Zgłoś Udostępnij Opublikowano 13 Października 2017 O rany, a ja się pośpieszyłam, zaglądałam tu parę razy i nie było odpowiedzi. W międzyczasie zresetowałam przeglądarkę FF ta strona która wcześniej wyskakiwała , teraz już jest ok. nie ma jej. Wyłączyłam te procesy zaznaczone na obrazku. Udało mi się uruchomić Adw cleaneer (załącznik). Malwarebytes Anti-Malware (załącznik). I jeszcze raz podaję FRST raporty. Teraz cierpliwie czekam na uwagi. Addition.txt FRST.txt Shortcut.txt raport skanowania aplikacji anti-malaware wirusy 13.10.2017.txt AdwCleanerR1.txt Odnośnik do komentarza
Miszel03 Opublikowano 13 Października 2017 Zgłoś Udostępnij Opublikowano 13 Października 2017 Poniżej zaktualizowane instrukcje. Akcje z AdwCleaner wykonasz jeszcze raz za pomocą najnowszej wersji, bo aktualnie korzystasz z bardzo starej, to samo jest z Malwarebytes - wszystko uaktualnij. Reset Mozilla FireFox trzeba zrobić na innych zasadach niż Ty zrobiłaś: czyli reset synchronizacji > reszta kroków. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA GroupPolicy: Ograniczenia - Windows Defender <==== UWAGA HKU\S-1-5-21-233006258-18527085-3623643150-1000\...\Run: [5400625] => "C:\Users\Agata\AppData\Roaming\qtbfehtpxob\m53tfii2wrl.exe" /VERYSILENT C:\Users\Agata\AppData\Roaming\qtbfehtpxob HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-233006258-18527085-3623643150-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-233006258-18527085-3623643150-1000 -> {d4fee3d1-1014-4db8-a824-573bf9ab51c7} URL = SearchScopes: HKU\S-1-5-21-233006258-18527085-3623643150-1000 -> {DC91FAFB-6CEA-49E5-BB74-9CEE75D09B77} URL = FF Plugin: @microsoft.com/GENUINE -> disabled [Brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Brak pliku] S3 AndNetDiag; system32\DRIVERS\lgandnetdiag64.sys [X] S3 ANDNetModem; system32\DRIVERS\lgandnetmodem64.sys [X] S1 dqkcaurg; \??\C:\Windows\system32\drivers\dqkcaurg.sys [X] S1 unzpezbg; \??\C:\Windows\system32\drivers\unzpezbg.sys [X] 2017-10-12 17:48 - 2017-10-13 01:19 - 000000000 ____D C:\Program Files\8ZCB25VOSK 2017-10-12 17:45 - 2017-10-13 01:19 - 000000000 ____D C:\Program Files\129TZA7WHV 2017-10-12 17:47 - 2017-10-13 01:19 - 000000000 ____D C:\Program Files (x86)\L0qObltTFUur 2017-10-12 17:47 - 2017-10-13 01:19 - 000000000 ____D C:\Program Files (x86)\fbg33l1j5hc 2017-10-12 17:47 - 2017-10-13 20:11 - 000000000 ____D C:\Users\Agata\AppData\Roaming\nt0qd4ngbvo 2017-10-12 17:46 - 2017-10-13 19:00 - 000000000 ____D C:\Users\Agata\AppData\Roaming\qtbfehtpxob 2017-10-11 21:45 - 2017-10-11 21:45 - 000358400 _____ C:\Windows\0c27bc2489ccbd6abf90736157684dfa.exe 2017-10-11 21:45 - 2017-10-11 21:45 - 000037170 _____ C:\Windows\uninstaller.dat C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\INTENSO (F).LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\Vulvakarzinome 2017.ppt.LNK Task: {1233F3AE-C05F-4E7C-87F4-B0BBB58D2453} - System32\Tasks\{7D7A7E47-0A0D-0A7E-0511-0B7E087D1178} => C:\Windows\system32\WindowsPowershell\v1.0\powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand OwAgACQARQByAHIAbwByAEEAYwB0AGkAbwBuAFAAcgBlAGYAZQByAGUAbgBjAGUAPQAiAHMAdABvAHAAIgA7ACQAcwBjAD0AIgBTAGkAbABlAG4AdABsAHkAQwBvAG4AdABpAG4AdQBlACIAOwAkAFcAYQByAG4AaQBuAGcAUAByAGUAZgBlAHIAZQBuAGMAZQA9ACQAcwBjADsAJABQAHIA (dane wartości zawierają 9996 znaków więcej). <==== UWAGA Task: {8B24F83C-9A61-494D-99B9-24EDCDC0CB66} - System32\Tasks\Moon Manager => C:\Windows\system32\rundll32.exe "C:\Program Files\Moon Manager\Moon Manager.dll",sfaPDJrqo <==== UWAGA Task: {5F4BB55D-19E5-4B62-8F24-567E6325718D} - System32\Tasks\L0qObltTFUur => l0qoblttfuur.exe C:\Program Files\Moon Manager AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [135] AlternateDataStreams: C:\ProgramData\TEMP:BFE23423 [362] CMD: dir /a C:\Windows CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Agata\AppData\Local CMD: dir /a C:\Users\Agata\AppData\LocalLow CMD: dir /a C:\Users\Agata\AppData\Roaming DeleteKey: HKU\S-1-5-21-233006258-18527085-3623643150-1000\CONSOLE\%SYSTEMROOT%_SYSTEM32_SVCHOST.EXE DeleteKey: HKU\S-1-5-21-233006258-18527085-3623643150-1000\CONSOLE\TASKENG.EXE DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. 3. Zastosuj AdwCleaner z opcji Szukaj (nie stosuj jeszcze Oczyść). Dostarcz raport z tego działania. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
leliwka Opublikowano 13 Października 2017 Autor Zgłoś Udostępnij Opublikowano 13 Października 2017 Wszystko zrobione punkt po punkcie AdwCleanerS23.txt Fixlog.txt FRST.txt Addition.txt Odnośnik do komentarza
Miszel03 Opublikowano 14 Października 2017 Zgłoś Udostępnij Opublikowano 14 Października 2017 Wszystko pomyślnie wykonane. Jedziemy z poprawkami. Elementy detekcji z AdwCleaner usunę sam, bo wykrył cały Auslogics, a to nie do końca poprawna detekcja. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\SOFTWARE\Microsoft\{cc6eb6d8-85b7-435p-8b86-51e4d16ea76d} HKLM\SOFTWARE\Microsoft\{6711eba6-cf08-4edw-9528-86004fa424bb} HKLM\SOFTWARE\Microsoft\{94ebd7b5-82ae-449t-b679-3d04078ed154} C:\Program Files (x86)\13fukibw C:\Program Files (x86)\1vy2pii8 C:\Program Files (x86)\9ov8ah3e C:\Program Files (x86)\kwxorm13 C:\Program Files (x86)\d86rkjxq C:\Program Files (x86)\el0b8ewt C:\Program Files (x86)\n07xql29 C:\Program Files (x86)\s3n720ba C:\Program Files (x86)\vp7o8qdl nointegritychecks on: Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware (masz na dysku, więc robisz tylko komplet aktualizacji programu i bazy danych). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Dostarcz plik Fixlog. Odnośnik do komentarza
leliwka Opublikowano 14 Października 2017 Autor Zgłoś Udostępnij Opublikowano 14 Października 2017 Tylko jedno pytanie nim przystąpię do robienia, Auslogics BoostSpeed to kompleksowy bardzo dobry programik do optymalizacji i przyspieszania pracy systemu Windows i dość często z niego korzystam, więc nie chciałabym żeby to usuwać. Chyba , że w zamian polecisz coś innego. Odnośnik do komentarza
Miszel03 Opublikowano 14 Października 2017 Zgłoś Udostępnij Opublikowano 14 Października 2017 Przecież napisałem: Elementy detekcji z AdwCleaner usunę sam, bo wykrył cały Auslogics, a to nie do końca poprawna detekcja. Czyli wszystko z Auslogics zostaje, usuwam tylko infekcyjne klucze z rejestru. AdwCleaner w ogóle nie ruszaj - wszystko załatwi skrypt w pkt. 1. Odnośnik do komentarza
leliwka Opublikowano 14 Października 2017 Autor Zgłoś Udostępnij Opublikowano 14 Października 2017 Skan skończony, nie wykrył nic Fixlog.txt Malwarebytes Anti-Malware dziennik ochrony.txt Malwarebytes Anti-Malware raport.txt Odnośnik do komentarza
Miszel03 Opublikowano 14 Października 2017 Zgłoś Udostępnij Opublikowano 14 Października 2017 Bazy danych MBAM są aktualne, ale sam program nie. Odinstaluj go i zainstaluj na nowo korzystając z najnowszej wersji na stronie producenta + powtórz akcje. Tj. w pkt. 1 wykonaj jeszcze to: DeleteKey: HKLM\SOFTWARE\Microsoft\{cc6eb6d8-85b7-435p-8b86-51e4d16ea76d} DeleteKey: HKLM\SOFTWARE\Microsoft\{6711eba6-cf08-4edw-9528-86004fa424bb} DeleteKey: HKLM\SOFTWARE\Microsoft\{94ebd7b5-82ae-449t-b679-3d04078ed154} Odnośnik do komentarza
leliwka Opublikowano 14 Października 2017 Autor Zgłoś Udostępnij Opublikowano 14 Października 2017 Ale jeśli pobiorę aktualną wersję premium to muszę znowu wykupić klucz, bo z tego co pamiętam ten który mam nie będzie pasował. Picasso kiedyś mówiła, że wystarczy aktualizować bazę wirusów. Odnośnik do komentarza
Miszel03 Opublikowano 14 Października 2017 Zgłoś Udostępnij Opublikowano 14 Października 2017 W porządku, w takim razie sama aktualizacja wystarczy. Jak oceniasz obecną sytuację, co chcesz jeszcze naprawić? Odnośnik do komentarza
leliwka Opublikowano 14 Października 2017 Autor Zgłoś Udostępnij Opublikowano 14 Października 2017 A to już wszystko z tymi wirusami? Jeśli tak, to jeszcze laptop uruchamia się inaczej niż przed tymi wirusami tzn. najpierw jest czarna plansza chwilkę tylko, potem tak jakby przez moment z pod spodu, to że win można uruchomić tylko Windows 7 i Fast Start up znika i znowu czarna plansza z zielonym takim prostokątnym okienkiem z zielonymi kreskami ładowania i pod spodem napis Windows. Potem dopiero niebieska plansza z zapraszamy do Windows. Wcześniej była tylko czarna plansza z logo startowym systemu Windows 7 i potem ta niebieska z Zapraszamy do Windows , myślę , że to jakiś błąd systemowy, pewnie coś usunęłam tym przywracaniem systemu. ............Dobra mam nowy Malwarebytes dołączam skany, jak również skany FRST64. I jeszcze jedno, wyłączył mi się komputer sam bo bateria siadła i jak go podłączyłam do kabla, to po uruchomieniu wyskoczyły komendy o ponownym uruchomieniu w trybie awaryjnym z siecią, bez, normalnie i najlepsza dobra konfiguracja ale po angielsku, a ja zawsze miałam po polsku. Nie można tego jakoś zmienić? I jeszcze występuje błąd przy zamykaniu systemu: Task Host Window. Addition.txt FRST.txt Shortcut.txt dziś 12.30.txt dziś noc 1.30noc .txt Odnośnik do komentarza
Miszel03 Opublikowano 21 Października 2017 Zgłoś Udostępnij Opublikowano 21 Października 2017 Poproszę o przefiltrowany skan integralności systemu Windows z opcji sfc /scannow, to pozwoli ustalić czy system jest w jakimś miejscu uszkodzony. Odnośnik do komentarza
leliwka Opublikowano 21 Października 2017 Autor Zgłoś Udostępnij Opublikowano 21 Października 2017 http://wklej.org/id/3275460/ Odnośnik do komentarza
Miszel03 Opublikowano 23 Października 2017 Zgłoś Udostępnij Opublikowano 23 Października 2017 Skanowanie integralności systemu znalazło uszkodzenia systemu, ale zdołało je naprawić. Podsumuj obecną sytuację, bym wiedział na czym stoję i co dalej robimy. Odnośnik do komentarza
leliwka Opublikowano 23 Października 2017 Autor Zgłoś Udostępnij Opublikowano 23 Października 2017 Tak jak już pisałam wcześniej laptop uruchamia się inaczej niż przed tymi wirusami tzn. najpierw jest czarna plansza chwilkę tylko, potem tak jakby przez moment spod spodu,komunikat o błędzie rozruchu systemu tzn, że win można uruchomić tylko Windows 7 i Fast Start up lub użyć Recovery for Samsung (po ang.) znika i znowu czarna plansza z zielonym takim prostokątnym okienkiem z zielonymi kreskami ładowania i pod spodem napis Windows. Potem dopiero niebieska plansza z zapraszamy do Windows. Wcześniej była tylko czarna plansza z logo startowym systemu Windows 7 i potem ta niebieska z Zapraszamy do Windows , I jeszcze jedno, wyłączył mi się komputer sam bo bateria siadła i jak go podłączyłam do kabla, to po uruchomieniu wyskoczyły komendy o ponownym uruchomieniu w trybie awaryjnym z siecią, bez, itd. po angielsku, wcześniej było po polsku. Nie można tego jakoś zmienić? Występuje błąd przy zamykaniu systemu: Task Host Window. I jeszcze znalazłam jakieś takie cudo, które zżera procesor msmpeng exe. I tak ogólnie procesor po naprawie chodzi na wysokich obrotach. Karta tunelowa Teredo firmy Microsoft z żółtym wykrzyknikiem w menadzeże urządzeń, gdy sprawdzam aktualizację pisze, że jest aktualny sterownik, a pokazuje błąd 10. W związku z czym nie działa Bluetooth. Nie działa także uruchamianie laptopa w trybie awaryjnym, po wciśnięciu F8 w ogóle nie pojawia się ta czarna plansza gdzie powinny być te możliwości uruchamiania w różnych trybach i tak samo po ponownym rozruchu i wciśnięciu f12 nie można dostać się do Bios . W obu przypadkach włącza się Windows.Po prostu wszystko się posypało . Odnośnik do komentarza
leliwka Opublikowano 4 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 4 Listopada 2017 Wrzucam jeszcze świeży dzisiejszy skan Malwarebytes. Malwarebytes 04.11.2017.txt Odnośnik do komentarza
Miszel03 Opublikowano 4 Listopada 2017 Zgłoś Udostępnij Opublikowano 4 Listopada 2017 Zagrożenia wykryte przez Malwarbytes możesz dać do kasacji - to drobniutkie resztki, które jakimś cudem poprzednio umknęły MBAM. Odnośnik do komentarza
leliwka Opublikowano 10 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 10 Listopada 2017 Nie wiem czy to ma jakieś znaczenie, ale w msconfig w rozruchu są dwie możliwości, a wydaje mi się, że wcześniej była tylko jedna Windows 7(C:\Windows) bieżący system operacyjny, domyślny system operacyjny, a teraz jest 1 pozycja: Windows 7(C:\Windows), druga: Windows Fast Mode , bieżący system operacyjny, domyślny system operacyjny. Może to jest ten błąd. Nie wiem czy w ogólnych ustawieniach konfiguracji jest poprawnie zaznaczone.Nie jestem pewna , ale przy rozruchu ta czarna plansza która wyskakuje i pojawia się przez dosłownie ułamek sekundy to Windows Error Recovery. Próbowałam też robić Rekonstrukcja uszkodzonego trybu awaryjnego według picasso, ale niestety wyskakuje mi takie okienko jak na załączniku. Odnośnik do komentarza
leliwka Opublikowano 26 Listopada 2017 Autor Zgłoś Udostępnij Opublikowano 26 Listopada 2017 Niestety, wcześniej laptop uruchamiał się inaczej niż przed tymi wirusami tzn. najpierw jest czarna plansza chwilkę tylko, potem tak jakby przez moment spod spodu,komunikat o błędzie rozruchu systemu tzn, że win można uruchomić tylko Windows 7 i Fast Start up lub użyć Recovery for Samsung (po ang.) znika i znowu czarna plansza z zielonym takim prostokątnym okienkiem z zielonymi kreskami ładowania i pod spodem napis Windows. Potem dopiero niebieska plansza z zapraszamy do Windows. Wcześniej była tylko czarna plansza z logo startowym systemu Windows 7 i potem ta niebieska z Zapraszamy do Windows. Nie działa także uruchamianie laptopa w trybie awaryjnym, po wciśnięciu F8 w ogóle nie pojawia się ta czarna plansza gdzie powinny być te możliwości uruchamiania w różnych trybach. Addition.txt FRST.txt Shortcut.txt malwarebytes.txt Odnośnik do komentarza
Miszel03 Opublikowano 9 Grudnia 2017 Zgłoś Udostępnij Opublikowano 9 Grudnia 2017 Proces dezynfekcji przebiegł pomyślnie. Widzę, że została wyłączona opcja skanowania Integralności - włączę ją skryptem. Skonsultuje temat z picasso. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKU\S-1-5-21-233006258-18527085-3623643150-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-233006258-18527085-3623643150-1000 -> {d4fee3d1-1014-4db8-a824-573bf9ab51c7} URL = SearchScopes: HKU\S-1-5-21-233006258-18527085-3623643150-1000 -> {DC91FAFB-6CEA-49E5-BB74-9CEE75D09B77} URL = Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> Brak pliku <==== UWAGA AlternateDataStreams: C:\ProgramData\TEMP:07BF512B [135] C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\Adresowanie koperty adres lewa strona.doc.LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\Außergewöhnlicher Arzt.doc.LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\Guten tag.doc.LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\Rezygnacja z umowy NC+.doc.LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\Schneider.docx.LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\Schneider2.jpg.LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\Starnberg1.jpg.LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\Starnberg5.jpg.LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\terprzyprze.doc.LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\tłumacz-domi.doc.LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\Wd0000000.doc.LNK C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\Zimna woda.doc.LNK C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinDirStat\Help (PLK).lnk nointegritychecks: ==> "IntegrityChecks" [funkcja wyłączona] <==== UWAGA Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Ponownie dostarcy przefiltrowany skan integralności systemu Windows z opcji sfc /scannow 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Odnośnik do komentarza
leliwka Opublikowano 9 Grudnia 2017 Autor Zgłoś Udostępnij Opublikowano 9 Grudnia 2017 Wszystko zrobione według instrukcji, scann cmd, wszystkie pliki dołączone Addition.txt FRST.txt Fixlog.txt Odnośnik do komentarza
Miszel03 Opublikowano 9 Grudnia 2017 Zgłoś Udostępnij Opublikowano 9 Grudnia 2017 Czy coś uległo zmianie? Odnośnik do komentarza
leliwka Opublikowano 9 Grudnia 2017 Autor Zgłoś Udostępnij Opublikowano 9 Grudnia 2017 Zmieniło się na tyle, że teraz po uruchomieniu laptopa wyskakuje pierwsza plansza Menadżer rozruchu systemu Windows, taka jak na załączniku, po wciśnięciu Enter a następnie F8, pojawia się następnie druga plansza tak jak w załączniku i po zaznaczeniu Windows 7 i wciśnięciu Enter system uruchamia się już całkiem poprawnie , tak jak to było przed awarią. Odnośnik do komentarza
Rekomendowane odpowiedzi