Vicktor utworzono 2 lipca 2018 utworzono 2 lipca 2018 Witam, ostatnio zauważyłem, że czasami otwierają mi się w przeglądarce (Opera) strony z reklamami, jakieś zakłady bukmacherskie, jakiś sport, nie wiem dokładnie, bo od razu staram się to zamykać. Naturalnie, chciałem pobrać program AdwCleaner. Co się jednak dzieje po wpisaniu hasła "AdwCleaner"/"Adw Cleaner" czy nawet innych haseł pokrewnych wyżej wymienionym? Przeglądarka się zamyka. Opera, Microsoft Edge (korzystam z W10), Internet Explorer. Przy użyciu TOR-a udało mi się wreszcie zainstalować AdwCleaner, zrobiłem "czyszczenie", program wykrył 8 zagrożeń, wszystkie usunąłem, zrobiłem restart komputera, a potem okazało się, że to nic nie dało... Ciągle nie mogłem wyszukiwać hasła "AdwCleaner" i pokrewnych. Dodam, że nie mogłem nawet otworzyć folderu AdwCleaner... Teraz nawet TOR nie dał rady. W menedżerze zadań zakończyłem parę procesów, dopiero wtedy udało się uruchomić AdwCleaner (wcześniej się nie dało). Właśnie robię pełne skanowanie Avastem, ma ktoś jakiś pomysł na rozwiązanie problemu?
Twój_Anioł_Stróż komentarz 2 lipca 2018 komentarz 2 lipca 2018 Zrób logi z FRST > http://www.forumpc.pl/topic/277786-nieingerencyjne-narzędzia-do-tworzenia-logów-systemowych/?p=2010191 przed skanem zaznacz: Additional.txt Shortcut.txt,
Vicktor komentarz 2 lipca 2018 Autor komentarz 2 lipca 2018 W menedżerze zadań mam 2 rzeczy(?), bez nazwy, nazwa procesu to svchost.exe. Po wyłączeniu tych procesów wszystko działa normalnie. Problem w tym, że one ciągle wracają po restarcie kompa.
Vicktor komentarz 2 lipca 2018 Autor komentarz 2 lipca 2018 Nie mogę tego pobrać z linku, który podałeś. "Sorry, you don't have permission for that!" - to widzę cały czas, nie mogę się tam też zarejestrować, cały czas wyskakuje error. Po usunięciu tych 2 rzeczy faktycznie mogę wpisywać i wchodzić w folder AdwCleaner, jednak nadal wyskakują niechciane strony w przeglądarce... Pobrałem FRST ze strony MalwareBytes, robię skan. Niby cały czas mam napisane "Skanowanie Zaplanowane zadania ..." i ciągle to idzie, to jednak logi już chyba mam. Addition.txt FRST.txt
Twój_Anioł_Stróż komentarz 2 lipca 2018 komentarz 2 lipca 2018 (edytowane) Task: {163F75B8-7ADD-4CFF-AEDD-181C1CDC68A5} - System32\Tasks\{C2D3E8D9-8F80-7B53-6710-261B690D070D} => C:\Users\wikto\AppData\Local\oeAyReOZox.exe [2017-09-29] (Microsoft Corporation) infekcja jest Log Addition.txt nie jest cały. Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego: Cytuj Task: {163F75B8-7ADD-4CFF-AEDD-181C1CDC68A5} - System32\Tasks\{C2D3E8D9-8F80-7B53-6710-261B690D070D} => C:\Users\wikto\AppData\Local\oeAyReOZox.exe [2017-09-29] (Microsoft Corporation) C:\Users\wikto\AppData\Local\oeAyReOZox.exe HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== UWAGA HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA SearchScopes: HKU\S-1-5-21-1220463200-1143305268-653950051-1001 -> DefaultScope {AE94ECC5-35A7-486E-A1C4-4EC803EC50B7} URL = SearchScopes: HKU\S-1-5-21-1220463200-1143305268-653950051-1001 -> {AE94ECC5-35A7-486E-A1C4-4EC803EC50B7} URL = S2 ClickToRunSvc; "C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeClickToRun.exe" /service [X] S3 Disc Soft Lite Bus Service; "C:\Program Files\DAEMON Tools Lite\DiscSoftBusServiceLite.exe" [X] S2 HiPatchService; C:\Program Files (x86)\Hi-Rez Studios\HiPatchService.exe [X] S2 SkypeUpdate; "C:\Program Files (x86)\Skype\Updater\Updater.exe" [X] C:\Users\wikto\GaxEuISFciSb.exe Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). Zrób nowe logi FRST. .
Vicktor komentarz 2 lipca 2018 Autor komentarz 2 lipca 2018 Znowu wewaliło mi te 2 rzeczy podające się za svchost. Mogę usunąć plik svchost.exe, który znajduje się w folderze C:\Windows\SysWOW64, nie w folderze System32, a to ten w folderze System32 jest odpowiedzialny za resztę poprawnych procesów, które mają nazwę procesu svchosy.ex? svchost.exe* miało być w ostatnim wyrazie. Jego data modyfikacji jest taka sama jak tego pliku, o którym mówisz infekcja.
Twój_Anioł_Stróż komentarz 2 lipca 2018 komentarz 2 lipca 2018 Masz System 64bit, więc "svchost" chyba może być też w SysWOW64
Vicktor komentarz 2 lipca 2018 Autor komentarz 2 lipca 2018 Ale to ten w System32 jest odpowiedzialny za resztę procesów. Sprawdzałem, w każdym sprawdzałem lokalizację pliku. Teraz piszę z telefonu, bo po tym fixowaniu/naprawianie komputer mi się uruchamia ponownie... Tak powinno być? Co by się stało, gdybym usunął plik svchost.exe z SysWOW64? Czy pełen skan Avastem to wykryje i załatwi problem? Czy nie? Mam teraz wkleić ten plik stworzony po naprawie czy zrobić nowe logi? A ten plik-infekcja usunąć? Co robić?
Twój_Anioł_Stróż komentarz 2 lipca 2018 komentarz 2 lipca 2018 (edytowane) raczej nie Uruchom FRST. W polu SEARCH (SZUKAJ) wklej: Cytuj svchost.exe kliknij na przycisk "Search Files (Szukaj Plików)". Raport z tego będzie tam, gdzie jest FRST. Cytuj Mam teraz wkleić ten plik stworzony po naprawie czy zrobić nowe logi? tak
Vicktor komentarz 2 lipca 2018 Autor komentarz 2 lipca 2018 Cytuj tak Dużo mi to mówi... Dzięki... Długo trwa takie wyszukiwanie? Dosyć długo już to trwa...
Twój_Anioł_Stróż komentarz 2 lipca 2018 komentarz 2 lipca 2018 daj mi nowe logi FRST, raport z usuwania, log z wyszukiwania
Vicktor komentarz 2 lipca 2018 Autor komentarz 2 lipca 2018 8 minut temu, Twój_Anioł_Stróż napisał: raczej nie To była odpowiedź do skanowania Avastem, czy do usunięcia tego pliku? Tylko log z wyszukiwania jest na razie pusty, a ciągle robi się szukanie w tym programie...
Vicktor komentarz 2 lipca 2018 Autor komentarz 2 lipca 2018 A infekcję skasować? Czy może skan innym antywirusem coś da? Dlaczego ciągle robi mi się te wyszukiwanie? Ja już cały znerwicowany jestem... Dam ci tu plik od naprawy, bo tą infekcję "pomyślnie przeniesiono": Dam jeszcze ten Search.txt, w którym nic nie ma, a cały czas robi się szukanie... Fixlog.txt Search.txt Musiałem wyjść z tego wyszukiwania, bo to trwa wiecznie... Robię nowe logi... Czemu miało służyć to wyszukiwanie?
Twój_Anioł_Stróż komentarz 2 lipca 2018 komentarz 2 lipca 2018 Sądząc po tym wyszukiwaniu, to wcale nie masz już Systemu. Zrób nowe logi FRST.
Vicktor komentarz 2 lipca 2018 Autor komentarz 2 lipca 2018 ... Dla mnie to nie jest śmieszne... Naprawdę... :'( Może jednak skan Avastem da radę? Byłoby łatwiej i szybciej dla nas obu... Może jednak skan Avastem da radę? Byłoby łatwiej i szybciej dla nas obu... Masz logi FRST.txt Addition.txt Shortcut.txt
Twój_Anioł_Stróż komentarz 2 lipca 2018 komentarz 2 lipca 2018 A dla mnie jest śmieszne, bo skoro odpowiadasz, to znaczy, że w rzeczywistości masz System, a więc FRST nie wywiązał się z zadania.
Vicktor komentarz 2 lipca 2018 Autor komentarz 2 lipca 2018 Nie wiem czemu 2 razy się zrobiła jedna linijka, może coś przypadkowo skopiowałem Wiesz, zależy mi na rozwiązaniu tego problemu... Bardzo. Tym bardziej, że nie chcę, aby nagle odpalały mi się strony z nagimi paniami, bez uprzedzenia, a tak się dzieje...
Twój_Anioł_Stróż komentarz 2 lipca 2018 komentarz 2 lipca 2018 ja czekam na logi, bez nich jestem całkowicie ślepy
Vicktor komentarz 2 lipca 2018 Autor komentarz 2 lipca 2018 Wysłałem wyżej Tam, gdzie są dwie takie same linijki Wysyłam te nowe jeszcze raz FRST.txt Addition.txt Shortcut.txt
Twój_Anioł_Stróż komentarz 2 lipca 2018 komentarz 2 lipca 2018 (edytowane) nie odświeżyło mi strony - dlatego nie mogłem zobaczyć tych logów Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego: Cytuj Task: {390155A3-320A-48E8-984C-E17F3E37C33A} - System32\Tasks\{380A42B6-6E67-6B9B-28D6-AB25157109D7} => C:\Users\wikto\GaxEuISFciSb.exe C:\Users\wikto\GaxEuISFciSb.exe Task: {C54A6B98-D330-47A2-AC80-1A13D2E68A65} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA FirewallRules: [{0E22A4FC-5DE9-4940-B628-C96785B2C0F3}] => (Allow) C:\Users\wikto\GaxEuISFciSb.exe FirewallRules: [{F2C928DB-930C-4D3C-9BF7-DF5C1A43CD17}] => (Allow) C:\Users\wikto\AppData\Local\oeAyReOZox.exe C:\Users\wikto\AppData\Local\oeAyReOZox.exe S2 0051571527833336mcinstcleanup; C:\WINDOWS\TEMP\005157~1.EXE -cleanup -nolog [X] C:\Users\wikto\Downloads\gkytqtqhjkzylzh.txt 2017-09-29 15:42 - 2017-09-29 15:42 - 000174592 ____N (Microsoft Corporation) C:\Program Files (x86)\arOaRAyI.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wiedźmin Edycja rozszerzona\The Witcher.lnk VirusTotal: C:\Windows\SysWOW64\svchost.exe EmptyTemp: Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW). Daj z tego raport. Zrób nowe logi FRST - już bez Shortcut. .
Vicktor komentarz 2 lipca 2018 Autor komentarz 2 lipca 2018 Aniele Stróżu? Nie żebym poganiał czy coś, ale, mniej więcej, ile czasu jeszcze zajmie przejrzenie tych logów? W międzyczasie robię pełen skan Avastem, ale ten zatrzymał się na 15%... Teraz przez około 10-15 minut nie będzie mnie przy komputerze - piszę to, w razie gdybym nie odpisywał
Twój_Anioł_Stróż komentarz 2 lipca 2018 komentarz 2 lipca 2018 (edytowane) ja odpowiedziałem już (wróć do mojego poprzedniego posta)
Vicktor komentarz 2 lipca 2018 Autor komentarz 2 lipca 2018 Nie odświeżyłem strony Dzisiaj nie mam już niestety czasu, zrobię to co napisałeś jutro
Wciąż szukasz rozwiązania problemu? Napisz teraz na forum!
Możesz zadać pytanie bez konieczności rejestracji - wystarczy, że wypełnisz formularz.