Daria.S
(Correio Daria)
29 Lipiec 2015 08:31
#1
Witam,
po zainstalowaniu przez braciszka KMP Playera, ściągnął się jakiś “eShield”. Przeskanowałam komputer Malwarebytes Anti-Malware, pliki wrzuciłam do kwarantanny.
Komputer włącza się, pojawia się ekran “Zapraszamy” a następnie jest już tylko czarny ekran i kursor.
Włączałam tryb awaryjny i przez niego próbowałam przywrócić pliki z kwarantanny mbam, pojawił się komunikat, że nie można.
Próbowałam też już przywracania systemu do punktu, ale to nic nie dało.
Proszę o pomoc.
Logi:
FRST http://www.wklej.org/id/1764857/
Shortcut http://www.wklej.org/id/1764858/
Addition http://www.wklej.org/id/1764859/
Acorus
(Acorus)
29 Lipiec 2015 09:00
#2
Otwórz notatnik systemowy i wklej:
Daria.S
(Correio Daria)
29 Lipiec 2015 11:02
#3
Acorus
(Acorus)
29 Lipiec 2015 12:27
#4
Otwórz notatnik systemowy i wklej:
CustomCLSID: HKU\S-1-5-21-835441791-2816917242-2893812695-1000_Classes\CLSID\{0000002F-0000-0000-C000-000000000046}\InprocServer32 - no filepath
CustomCLSID: HKU\S-1-5-21-835441791-2816917242-2893812695-1000_Classes\CLSID\{00020420-0000-0000-C000-000000000046}\InprocServer32 - no filepath
CustomCLSID: HKU\S-1-5-21-835441791-2816917242-2893812695-1000_Classes\CLSID\{00020421-0000-0000-C000-000000000046}\InprocServer32 - no filepath
CustomCLSID: HKU\S-1-5-21-835441791-2816917242-2893812695-1000_Classes\CLSID\{00020422-0000-0000-C000-000000000046}\InprocServer32 - no filepath
CustomCLSID: HKU\S-1-5-21-835441791-2816917242-2893812695-1000_Classes\CLSID\{00020423-0000-0000-C000-000000000046}\InprocServer32 - no filepath
CustomCLSID: HKU\S-1-5-21-835441791-2816917242-2893812695-1000_Classes\CLSID\{00020424-0000-0000-C000-000000000046}\InprocServer32 - no filepath
CustomCLSID: HKU\S-1-5-21-835441791-2816917242-2893812695-1000_Classes\CLSID\{00020425-0000-0000-C000-000000000046}\InprocServer32 - no filepath
CustomCLSID: HKU\S-1-5-21-835441791-2816917242-2893812695-1000_Classes\CLSID\{0BE35203-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 - no filepath
CustomCLSID: HKU\S-1-5-21-835441791-2816917242-2893812695-1000_Classes\CLSID\{0BE35204-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 - no filepath
CustomCLSID: HKU\S-1-5-21-835441791-2816917242-2893812695-1000_Classes\CLSID\{46763EE0-CAB2-11CE-8C20-00AA0051E5D4}\InprocServer32 - no filepath
CustomCLSID: HKU\S-1-5-21-835441791-2816917242-2893812695-1000_Classes\CLSID\{B196B286-BAB4-101A-B69C-00AA00341D07}\InprocServer32 - no filepath
CustomCLSID: HKU\S-1-5-21-835441791-2816917242-2893812695-1000_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 - C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll No File
HKLM\...\Run: [RtHDVCpl] = C:\Windows\RtHDVCpl.exe [5296128 2008-03-11] (Realtek Semiconductor)
HKLM\...\Run: [Skytel] = C:\Windows\Skytel.exe [1826816 2007-11-20] (Realtek Semiconductor Corp.)
HKLM\...\Run: [ArcadeDeluxeAgent] = C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\ArcadeDeluxeAgent.exe [147456 2008-03-05] (CyberLink Corp.)
HKLM\...\Run: [CLMLServer] = C:\Program Files\Acer Arcade Deluxe\Acer Arcade Deluxe\Kernel\CLML\CLMLSvc.exe [167936 2008-03-05] (CyberLink)
HKLM\...\Run: [GrooveMonitor] = C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe [30040 2009-02-26] (Microsoft Corporation)
HKLM\...\Run: [NeroFilterCheck] = C:\Windows\system32\NeroCheck.exe [155648 2001-07-09] (Ahead Software Gmbh)
HKLM\...\Run: [RemoteControl10] = C:\Program Files\CyberLink\PowerDVD10\PDVD10Serv.exe [87336 2010-02-03] (CyberLink Corp.)
HKLM\...\Run: [BDRegion] = C:\Program Files\Cyberlink\Shared files\brs.exe [75048 2010-03-13] (cyberlink)
HKLM\...\Run: [HP Software Update] = C:\Program Files\HP\HP Software Update\HPWuSchd2.exe [49152 2007-10-14] (Hewlett-Packard)
Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
Daria.S
(Correio Daria)
30 Lipiec 2015 09:19
#5
Fixlog: http://www.wklej.org/id/1765379/
Dr.Web wykrył 1 zagrożenie
Raport: http://www.wklej.org/id/1765381/
Zneutralizowane.
Problem nadal występuje.
Po “Zapraszamy” naciśnij alt+ ctrl+del, w którejś zakładce (aplikacje?) będzie “Nowe zadanie” --> kliknij, Wpisz explorer.exe
do paska—> potwierdź Enter,Jak wystartuje uruchom plik regedit.exe w folderze windows z prawokliku jako administrator. Znajdź klucz
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
kliknij 2 razy na wpis Shell w prawym panelu, w dane wpisz Explorer.exe, i ok
klucze otwiera się klikając na strzałki przy nich