Regulamin forum
1. Każdy temat powinien odzwierciedlać treść wątku.2. W przypadku wklejania logów; należy je wykonać od razu przynajmniej z dwóch narzędzi: FRST oraz z GMER
3. Wszelkie logi proszę publikować na przeznaczonych do tego stronach a w poście wklejać tylko link.
4. Nie wskazane jest skracanie logów, należy wkleić cały - od początku, do końca.
5. Nie wskazane jest podczepianie się do tematów innych użytkowników - proszę założyć nowy temat w dziale Bezpieczeństwo, ułatwi to pomoc sprawdzającemu.
6. Osoby nie posiadające odpowiedniej wiedzy, nie powinny sprawdzać logów, ponieważ grozi to poważnym uszkodzeniem systemu lub aplikacji zainstalowanych na komputerze.
7. Należy dokładnie opisać problem, występujące objawy oraz wszelkie podjęte działania.
8. Każdy skrypt jest unikatowy, napisany dla każdego przypadku z osobna, więc nie może być stosowany przez innych.
9. W przypadku zamieszczenia zrzutu ekranu (screenshot'a) proszę korzystać z zewnętrznego serwisu oferującego hosting zdjęć.
Windows Explorer przestał działać
05 Lis 2015, 04:13
Problem jak w temacie- okno windows explorer has stopped working. Ponadto przy uruchomieniu komputera otwiera się Opera i pare okien z tą samą informacją (Link 1).Wcześniej został użyty CCleaner- system dość mocno mi zwalniał- po tym nastąpiło wyskakiwanie tych okienek. Próba znalezienia przyczyn bez większych rezultatów- dlatego proszę o pomoc.
Odświeżam mój wpis, mam nadzieję że tym razem jakaś dobra osoba rzuci okiem na moje logi.
Link 1: http://www.wklej.eu/index.php?id=90d0623574
OTL: http://www.wklej.eu/index.php?id=49a2eef22f
Extras: http://www.wklej.eu/index.php?id=dfe845080e
Adw Cleaner: http://www.wklej.eu/index.php?id=8cddb401f0
Z góry DZIĘKUJĘ
Odświeżam mój wpis, mam nadzieję że tym razem jakaś dobra osoba rzuci okiem na moje logi.
Link 1: http://www.wklej.eu/index.php?id=90d0623574
OTL: http://www.wklej.eu/index.php?id=49a2eef22f
Extras: http://www.wklej.eu/index.php?id=dfe845080e
Adw Cleaner: http://www.wklej.eu/index.php?id=8cddb401f0
Z góry DZIĘKUJĘ
Re: Windows Explorer przestał działać
06 Lis 2015, 02:20
Spróbuj alt+ctrl+delate i wyłącz go w procesach i włącz go jeszcze raz na nowo.
Re: Windows Explorer przestał działać
06 Lis 2015, 03:36
Dzięki za odpowiedź, ale podane przez Ciebie rozwiązanie nie zmienia niczego- okienko Explorera jak pokazywało się tak się pokazuje.
Jeszcze raz proszę kogoś o spojrzenie na moje logi...
Z góry dziękuję.
Jeszcze raz proszę kogoś o spojrzenie na moje logi...
Z góry dziękuję.
Re: Windows Explorer przestał działać
07 Lis 2015, 00:16
W AdwCleaner 
Odinstaluj (Uninstall)
Podaj logi z FRST otl-gmer-i-inne-poradnik-t13967-15.html#p164179 i Gmer otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p88736
Odinstaluj (Uninstall)Podaj logi z FRST
otl-gmer-i-inne-poradnik-t13967-15.html#p164179 i Gmer otl-gmer-silent-runners-sdfix-i-inne-poradnik-t13967.html#p88736
Re: Windows Explorer przestał działać
07 Lis 2015, 04:48
Na wstępie mateo8898 wielkie dzięki za odpowiedź!
Zamieszczam logi:
FRST: http://www.wklej.eu/index.php?id=0d291f8b26
Shortcut: http://www.wklej.eu/index.php?id=d04ea62654
Addition: http://www.wklej.eu/index.php?id=212e43599e
GMER: http://www.wklej.eu/index.php?id=86fba69fa4
i czekam na dalsze instrukcje.
Zamieszczam logi:
FRST: http://www.wklej.eu/index.php?id=0d291f8b26
Shortcut: http://www.wklej.eu/index.php?id=d04ea62654
Addition: http://www.wklej.eu/index.php?id=212e43599e
GMER: http://www.wklej.eu/index.php?id=86fba69fa4
i czekam na dalsze instrukcje.
Re: Windows Explorer przestał działać
07 Lis 2015, 12:50
Po kolei:
1. Wklej do notatnika:
Plik zapisujesz pod nazwą fixlist.txt i umieszczasz obok FRST. Uruchom FRST i kliknij w nim Napraw. Powstanie plik fixlog.txt, który podajesz na forum.
2. Użyj ComboFix http://forum.instalki.pl/frst-otl-gmer-i-inne-poradnik-t13967.html#p73687 i podaj utworzony log.
3. Podaj nowe logi z FRST.
Kolejność jak podałem.
Wygląda na to, że złapałeś infekcję, która szyfruje pliki...
1. Wklej do notatnika:
Task: C:\Windows\Tasks\Tfftzbbzs.job => C:\Windows\system32\rundll32.exe C:\Windows\system32\iTVDatan.dll
C:\Windows\system32\iTVDatan.dll
C:\Users\EL\AppData\Roaming\winamfes.exe
C:\Users\EL\AppData\Roaming\Microsoft\Protect
HKLM\...\Run: [USB3MON] => C:\Program Files\Intel\Intel(R) USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe [292088 2013-02-22] (Intel Corporation)
HKLM\...\Run: [GrooveMonitor] => C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe [30040 2009-02-26] (Microsoft Corporation)
HKLM\...\Run: [**9b96ecb4<*>] => mshta javascript:EW0buF0F="A3dt";zQ3=new%20ActiveXObject("WScript.Shell");bGQ2pt8DdF="PEpjLx";qJXW28=zQ3.RegRead("HKLM\\software\\dc53277f07\\78da05ec");G0hFjedQs="7ksUo";eval(qJXW28);iejP4jgjH="8GoOm (the data entry has 7 more characters). <===== ATTENTION (Value Name with invalid characters)
HKLM\...\Run: [QuickTime Task] => C:\Program Files\QuickTime\QTTask.exe [421888 2014-01-17] (Apple Inc.)
HKLM\...\Run: [TkBellExe] => C:\Program Files\Real\RealPlayer\update\realsched.exe [296520 2014-12-24] (RealNetworks, Inc.)
HKLM\...\Run: [RealDownloader] => C:\Program Files\RealNetworks\RealDownloader\downloader2.exe [560192 2014-10-29] ()
HKLM\...\Policies\Explorer\Run: [1423085061] => C:\ProgramData\msaeehkg.exe [96768 2015-06-15] ()
C:\ProgramData\msaeehkg.exe
HKLM\...\Policies\Explorer\Run: [**ed83fe0b<*>] => mshta javascript:mTzcn9P0U="1vqX28z";ik4=new%20ActiveXObject("WScript.Shell");ELG8jGp="D3xqu";Ttq0N=ik4.RegRead("HKLM\\software\\dc53277f07\\78da05ec");uj1LugF="txEJ";eval(Ttq0N);VGGE0JEGt4="Q8rR"; <===== ATTENTION (Value Name with invalid characters)
HKLM\...\Policies\Explorer\Run: [1986355166] => C:\ProgramData\msonugh.exe [100352 2015-06-15] ()
HKLM\...\Policies\Explorer\Run: [445905273] => C:\ProgramData\msdnb.exe [84480 2015-06-15] ()
HKLM\...\Policies\Explorer\Run: [562441290] => C:\ProgramData\msdlwu.exe [83968 2015-06-15] ()
C:\ProgramData\msdlwu.exe
C:\ProgramData\msdnb.exe
C:\ProgramData\msonugh.exe
HKU\S-1-5-21-1908930556-3219063721-165438947-1000\...\Run: [Akamai NetSession Interface] => C:\Users\EL\AppData\Local\Akamai\netsession_win.exe [4691384 2015-09-10] (Akamai Technologies, Inc.)
HKU\S-1-5-21-1908930556-3219063721-165438947-1000\...\Run: [Spotify Web Helper] => C:\Users\EL\AppData\Roaming\Spotify\SpotifyWebHelper.exe [2030912 2015-10-22] (Spotify Ltd)
HKU\S-1-5-21-1908930556-3219063721-165438947-1000\...\Run: [Spotify] => C:\Users\EL\AppData\Roaming\Spotify\Spotify.exe [7736128 2015-10-22] (Spotify Ltd)
HKU\S-1-5-21-1908930556-3219063721-165438947-1000\...\Run: [ChromeUpdServeisSystem] => C:\Users\EL\AppData\Roaming\ChromeUpdServeis\Microsoft_lawocuvufi.exe [34816 2015-10-27] ()
C:\Users\EL\AppData\Roaming\ChromeUpdServeis
HKU\S-1-5-21-1908930556-3219063721-165438947-1000\...\Run: [**9b96ecb4<*>] => mshta javascript:gpTz2Cik3="88yG5blDY";Im5=new%20ActiveXObject("WScript.Shell");HCPB5cq="XlU7aenFn";zWc7m=Im5.RegRead("HKCU\\software\\dc53277f07\\78da05ec");Pc1j9ggKQ="0V";eval(zWc7m);a5zU7EQrMf="fyY (the data entry has 7 more characters). <===== ATTENTION (Value Name with invalid characters)
HKU\S-1-5-21-1908930556-3219063721-165438947-1000\...\Run: [Console Protect Service] => C:\Users\EL\AppData\Roaming\Microsoft\Protect\conhost.exe [190639 2015-10-27] ()
HKU\S-1-5-21-1908930556-3219063721-165438947-1000\...\Run: [Uvznmedia] => C:\Users\EL\AppData\Local\Uvznmedia\tmp8125.exe [285696 2015-10-28] (Auslogics Labs Pty Ltd)
C:\Users\EL\AppData\Local\Uvznmedia
HKU\S-1-5-21-1908930556-3219063721-165438947-1000\...\Run: [Afbworks] => C:\Windows\System32\regsvr32.exe C:\Users\EL\AppData\Local\Uvznmedia\dpvsipjg.dll
HKU\S-1-5-21-1908930556-3219063721-165438947-1000\...\Run: [Ekbtion] => regsvr32.exe C:\Users\EL\AppData\Local\Ekbtion\mbqcixgj.dll <===== ATTENTION
C:\Users\EL\AppData\Local\Ekbtion
HKU\S-1-5-21-1908930556-3219063721-165438947-1000\...\Run: [BluetoothManage] => rundll32.exe "%appdata%\Microsoft\btstack.dll",init
HKU\S-1-5-21-1908930556-3219063721-165438947-1000\...\Policies\Explorer\Run: [Trolltech] => C:\Users\EL\AppData\Roaming\vaeagfdd\baetuucr.exe [240128 2015-07-22] ()
C:\Users\EL\AppData\Roaming\vaeagfdd
HKU\S-1-5-21-1908930556-3219063721-165438947-1000\...409d6c4515e9\InprocServer32: [Default-shell32] C:\Users\EL\AppData\Local\Uvznmedia\mtvnawgc.dllATTENTION! ====> ZeroAccess?
ShellIconOverlayIdentifiers: [00avast]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Gamma Loader.lnk
InternetURL: C:\Users\EL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_DECRYPT.URL
BootExecute: auto_reactivate \\?\Volume{bf3a3fc9-bddb-11e3-b625-806e6f6e6963}\bootwiz\asrm.bin
GroupPolicy: Restriction - Chrome <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Restriction <======= ATTENTION
C:\Users\EL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Tworzenie wycinków ekranu i uruchamianie programu OneNote 2007.lnk
FF HKLM\...\Thunderbird\Extensions: [[email protected]] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird => not found
FF Extension: No Name - C:\Users\EL\AppData\Roaming\Mozilla\Firefox\Profiles\03k3350u.default\extensions\[email protected] [not found]
FF Extension: No Name - C:\Users\EL\AppData\Roaming\Mozilla\Firefox\Profiles\03k3350u.default\extensions\[email protected] [not found]
OPR Extension: (Easy Deals v 1.01) - C:\Users\EL\AppData\Roaming\Opera Software\Opera Stable\Extensions\pjiddcmnjpfnpfcmdmmmdadecmcohjbj [2015-11-01]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
2015-11-01 20:22 - 2015-11-07 01:35 - 00000000 ____D C:\AdwCleaner
EmptyTemp:
Plik zapisujesz pod nazwą fixlist.txt i umieszczasz obok FRST. Uruchom FRST i kliknij w nim Napraw. Powstanie plik fixlog.txt, który podajesz na forum.
2. Użyj ComboFix
http://forum.instalki.pl/frst-otl-gmer-i-inne-poradnik-t13967.html#p73687 i podaj utworzony log.3. Podaj nowe logi z FRST.
Kolejność jak podałem.
Wygląda na to, że złapałeś infekcję, która szyfruje pliki...
Re: Windows Explorer przestał działać
08 Lis 2015, 04:49
Logi z programów:
fixlog.txt: http://www.wklej.eu/index.php?id=c3d25f8837
log.txt: http://www.wklej.eu/index.php?id=9a5a8c66ae
FRST: http://www.wklej.eu/index.php?id=6c8cc1ed53
Addition: http://www.wklej.eu/index.php?id=8bf89ca235
Shortcut: http://www.wklej.eu/index.php?id=7ac9d136e3
i czekam na opinię co o tym sądzisz...
fixlog.txt: http://www.wklej.eu/index.php?id=c3d25f8837
log.txt: http://www.wklej.eu/index.php?id=9a5a8c66ae
FRST: http://www.wklej.eu/index.php?id=6c8cc1ed53
Addition: http://www.wklej.eu/index.php?id=8bf89ca235
Shortcut: http://www.wklej.eu/index.php?id=7ac9d136e3
i czekam na opinię co o tym sądzisz...
Re: Windows Explorer przestał działać
12 Lis 2015, 17:15
Wklej do notatnika:
Plik zapisujesz pod nazwą fixlist.txt i umieszczasz obok FRST. Uruchom FRST i kliknij w nim Napraw. Powstanie plik fixlog.txt, który podajesz na forum.
Następnie podaj nowe logi z FRST.
Task: {6109E129-438B-40E8-84AA-BFA0136292C4} - System32\Tasks\Tfftzbbzs => Rundll32.exe "C:\Windows\system32\iTVDatan.dll",Xszoenxzua
C:\Windows\system32\iTVDatan.dll
Plik zapisujesz pod nazwą fixlist.txt i umieszczasz obok FRST. Uruchom FRST i kliknij w nim Napraw. Powstanie plik fixlog.txt, który podajesz na forum.
Następnie podaj nowe logi z FRST.
Re: Windows Explorer przestał działać
15 Lis 2015, 17:29
Re: Windows Explorer przestał działać
16 Lis 2015, 21:22
OK, jak sytuacja?
Re: Windows Explorer przestał działać
16 Lis 2015, 23:37
WIELKIE DZIĘKI za twoją pomoc. Okienko z informacją o windows explorer przestało wyskakiwać. Jednak zaraz po uruchomieniu komputera włącza się plik help_decrypt.png z informacją z mojego pierwszego postu:
Link 1: http://www.wklej.eu/index.php?id=90d0623574
Ponadto w prawie każdym folderze(!), na każdym dysku mam zestaw plików help_decrypt: jako pliki typu internet shortcut, HTML, PNG oraz TXT (a więc 4 pliki w większości folderów) i nie za bardzo wiem co z nimi zrobić.
Co do programów nie mogę otworzyć plików Offica(Excel, Word..) i pdf-ów ale jak sie domyślam to efekt tego, że nie został odinstalowany ComboFix.
Jeszcze raz proszę o poradę
Link 1: http://www.wklej.eu/index.php?id=90d0623574
Ponadto w prawie każdym folderze(!), na każdym dysku mam zestaw plików help_decrypt: jako pliki typu internet shortcut, HTML, PNG oraz TXT (a więc 4 pliki w większości folderów) i nie za bardzo wiem co z nimi zrobić.
Co do programów nie mogę otworzyć plików Offica(Excel, Word..) i pdf-ów ale jak sie domyślam to efekt tego, że nie został odinstalowany ComboFix.
Jeszcze raz proszę o poradę
Re: Windows Explorer przestał działać
22 Lis 2015, 18:56
Pisałem o tym wcześniej:
I niestety tak jest. Pliki są zaszyfrowane, ich odszyfrowanie jest niestety niemożliwe.
Wklej do notatnika:
Plik zapisujesz pod nazwą fixlist.txt i umieszczasz obok FRST. Uruchom FRST i kliknij w nim Napraw. Powstanie plik fixlog.txt, który podajesz na forum.
Następnie podaj nowe logi z FRST.
Wygląda na to, że złapałeś infekcję, która szyfruje pliki...
I niestety tak jest. Pliki są zaszyfrowane, ich odszyfrowanie jest niestety niemożliwe.
Wklej do notatnika:
2015-10-29 15:56 - 2015-10-29 15:56 - 0045851 _____ () C:\ProgramData\HELP_DECRYPT.PNG
2015-10-29 15:56 - 2015-10-29 15:56 - 0000292 _____ () C:\ProgramData\HELP_DECRYPT.URL
2015-10-29 18:01 - 2015-10-29 18:01 - 0046114 _____ () C:\Users\EL\AppData\Local\HELP_DECRYPT.PNG
2015-10-29 18:01 - 2015-10-29 18:01 - 0000292 _____ () C:\Users\EL\AppData\Local\HELP_DECRYPT.URL
2015-11-01 01:08 - 2015-11-01 01:08 - 0046114 _____ () C:\Users\EL\AppData\Roaming\HELP_DECRYPT.PNG
2015-11-01 01:08 - 2015-11-01 01:08 - 0000292 _____ () C:\Users\EL\AppData\Roaming\HELP_DECRYPT.URL
2015-11-01 01:08 - 2015-11-01 01:08 - 00000292 _____ C:\Users\EL\AppData\Roaming\HELP_DECRYPT.URL
2015-11-01 01:08 - 2015-11-01 01:08 - 00000292 _____ C:\Users\EL\AppData\HELP_DECRYPT.URL
2015-10-29 18:03 - 2015-10-29 18:03 - 00000292 _____ C:\Users\EL\AppData\LocalLow\HELP_DECRYPT.URL
2015-10-29 15:56 - 2015-10-29 15:56 - 00000292 _____ C:\ProgramData\HELP_DECRYPT.URL
2015-11-01 03:44 - 2015-11-01 03:44 - 00000292 _____ C:\Users\EL\Downloads\HELP_DECRYPT.URL
2015-11-01 03:40 - 2015-11-01 03:40 - 00000292 _____ C:\Users\EL\Documents\HELP_DECRYPT.URL
2015-11-01 06:32 - 2015-11-03 21:33 - 00000296 _____ C:\Users\EL\Desktop\HELP_DECRYPT.URL
2015-11-01 03:48 - 2015-11-01 03:48 - 00000292 _____ C:\Users\HELP_DECRYPT.URL
2015-11-01 03:48 - 2015-11-01 03:48 - 00000292 _____ C:\Users\EL\HELP_DECRYPT.URL
2015-11-01 03:48 - 2015-11-01 03:48 - 00000292 _____ C:\HELP_DECRYPT.URL
Startup: C:\Users\EL\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\HELP_DECRYPT.PNG [2015-11-03] ()
Plik zapisujesz pod nazwą fixlist.txt i umieszczasz obok FRST. Uruchom FRST i kliknij w nim Napraw. Powstanie plik fixlog.txt, który podajesz na forum.
Następnie podaj nowe logi z FRST.
Re: Windows Explorer przestał działać
23 Lis 2015, 02:21
fixlog: http://www.wklej.eu/index.php?id=40c41c75d2
FRST: http://www.wklej.eu/index.php?id=b4955aea77
Shortcut: http://www.wklej.eu/index.php?id=69f955428f
Addition: http://www.wklej.eu/index.php?id=c50b58b229
Jeśli jest jak mówisz, to czy jest szansa na powrót do stanu przed? Czy zrobienie formatu jest rozwiązaniem, czy utrace pliki... Przepraszam za może głupie pytanie, ale obecny stan mojego kompa uniemożliwia mi pełne z niego korzystanie i zaczyna mnie to powoli denerwować
FRST: http://www.wklej.eu/index.php?id=b4955aea77
Shortcut: http://www.wklej.eu/index.php?id=69f955428f
Addition: http://www.wklej.eu/index.php?id=c50b58b229
Jeśli jest jak mówisz, to czy jest szansa na powrót do stanu przed? Czy zrobienie formatu jest rozwiązaniem, czy utrace pliki... Przepraszam za może głupie pytanie, ale obecny stan mojego kompa uniemożliwia mi pełne z niego korzystanie i zaczyna mnie to powoli denerwować
Re: Windows Explorer przestał działać
24 Lis 2015, 10:31
Infekcja jest usunięta. Format i inne tego typu rozwiązania nie pomogą, pliki nadal będą zaszyfrowane. Jedyna szansa to programy do odzyskiwania danych typu http://www.instalki.pl/programy/downloa ... ecuva.html, ale i to rozwiązanie może nie przynieść efektów.
Wklej do notatnika:
Plik zapisujesz pod nazwą fixlist.txt i umieszczasz obok FRST. Uruchom FRST i kliknij w nim Napraw
Przeczyść dysk oraz rejestr CCleaner (zakładka Cleaner i Rejestr)
Zainstaluj antywirusa.
http://www.instalki.pl/programy/downloa ... ecuva.html, ale i to rozwiązanie może nie przynieść efektów.Wklej do notatnika:
FF DefaultSearchEngine: Vosteran
Task: {B5AA53F9-A3A6-4DF5-828C-1EA1D3C2D745} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe
DeleteQuarantine:
Plik zapisujesz pod nazwą fixlist.txt i umieszczasz obok FRST. Uruchom FRST i kliknij w nim Napraw
Przeczyść dysk oraz rejestr CCleaner (zakładka Cleaner i Rejestr)
Zainstaluj antywirusa.