Miszel03

Podsumuj obecną sytuację.

Pendrive jest zainfekowany.

1. W UsbFix (podpinając urządzenie F:\) uruchom opcję Clean.

2. Zrób i dostarcz nowy raport UsbFix z opcji Listing w celu oceny.

Cytat

Problemy zaczęły się jakiś czas temu po tym, jak pendrive podpięty pod obcy komputer był zawirusowany i pliki na nim były niewidoczne.

Wirus udało się unieszkodliwić poprzez Windows Defender i Malwarebytes AntiMAlware (na komputerze), jednak pliki na pendrive są niewidoczne i nie umiem ich przywrócić. Wirus ten był opisywany jako taki, który może wykradać hasła.Było to już jakiś czas temu i skoro na laptopie wszystko grało o pendrive chciałem zapytać przy odpowiedniej okazji. Na razie chcę sprawdzić czy komputer jest sprawny, a potem podepnę pendrive do sprawdzenia w miarę, gdy będzie chwila czasu.

Zrób raportu z narzędzia UsbFix z opcji Listing - KLIK.

Cytat

Wchodząc w kosz systemowy by go opróżnić pokazały mi się pliki, które usunąłem stale z kosza jakieś rok temu...?

Wydaje mnie się to bardzo dziwne, bo pliki były usunięte trwale i nic nie robiłem ku temu by je przywrócić.

Piszesz, że przywracałeś system i odzyskiwałeś pliki programem Recuva, więc to nic dziwnego, że widzisz tak stare pliki, które tak dawno usunąłeś. 

W raportach brak oznak infekcji, w spoilerze zadaje działania poboczne, czysto kosmetyczne: kasacja pustych wpisów, skrótów LNK, martwych usług oraz szczątek po programach (głównie po przeglądarce FireFox).

Zalecam zainstalowane oprogramowania zabezpieczającego działającego w czasie rzeczywistym (sam Windows Defender na Windows 8 może nie wystarczyć) - KLIK.

CloseProcesses:
CreateRestorePoint:
URLSearchHook: HKLM-x32 -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D}
SearchScopes: HKU\S-1-5-21-3229826569-2663044726-3155959205-1002 -> DefaultScope {2701380C-CE96-496F-9908-DB5E7754E3B9} URL =
SearchScopes: HKU\S-1-5-21-3229826569-2663044726-3155959205-1002 -> {2701380C-CE96-496F-9908-DB5E7754E3B9} URL =
S1 MpKsl67900a41; \??\C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{C0A1880F-1CA4-4529-8C4C-1BDE0BC6D469}\MpKsl67900a41.sys [X]
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Visek\AppData\Local\Mozilla
C:\Users\Visek\AppData\Roaming\Mozilla
C:\Users\Visek\AppData\Roaming\Profiles
EmptyTemp:

W raportach brak oznak infekcji, w spoilerze działania poboczne, kosmetyka: kasacja pustych wpisów, skrótów LNK oraz martwych usług.

Temat przenoszę do działu Windows 7. 

CloseProcesses:
CreateRestorePoint:
SearchScopes: HKU\S-1-5-21-2967411305-4074242493-2484364347-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-2967411305-4074242493-2484364347-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-21-2967411305-4074242493-2484364347-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = 
S2 ZAMSvc; "C:\Program Files (x86)\Zemana AntiMalware\ZAM.exe" /service [X]
S3 AIDA64Driver; \??\F:\_testy\aida64extreme4\kerneld.x64 [X]
S1 ZAM; \??\C:\Windows\System32\drivers\zam64.sys [X]
S1 ZAM_Guard; \??\C:\Windows\System32\drivers\zamguard64.sys [X]
AlternateDataStreams: C:\ProgramData\Temp:5D458568 [133]
C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
EmptyTemp:

Kończymy.

Usuń narzędzia diagnostyczni / dezynfekcyjne (są bardzo często aktualizowane, więc jednorazowe) - KLIK.

To są prawidłowe procesy. Nie szkodliwe. 

Dr web CureIT pokazał trojana.

Zapomniałem zapytać wcześniej co w związku z tym zrobiłeś, jaką podjąłeś akcję w programie i czy możesz dostarczyć mi plik z raportem.

W raportach nie widzę infekcji, choć są ślady mogące wskazywać na jej obecność w przeszłości. W skrypcie: kasacja pustych wpisów, ustawień polityk grup oraz szemranych obiektów z harmonogramu zadań. Na wszelki wypadek przeprowadzimy skan programem HitmanPro.

1. Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> 
HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> 
HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> 
ShellExecuteHooks: Brak nazwy - {6477E65A-C5C0-11E6-8017-64006A5CFC35} -  -> Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} =>  -> Brak pliku
ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} =>  -> Brak pliku
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-2195184045-3265951034-2981680463-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
SearchScopes: HKU\S-1-5-21-2195184045-3265951034-2981680463-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
BHO-x32: Brak nazwy -> {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} -> Brak pliku
S3 ATP; system32\DRIVERS\cmdatp.sys [X]
S3 dgderdrv; System32\drivers\dgderdrv.sys [X]
S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X]
S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X]
S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X]
S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X]
S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X]
S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X]
S3 RimUsb; System32\Drivers\RimUsb_AMD64.sys [X]
U3 pxldypow; \??\C:\Users\JAY\AppData\Local\Temp\pxldypow.sys [X]
Task: {D35DA539-1875-480F-9F30-69CBA06AFA9C} - System32\Tasks\{F0E98C12-B005-465F-92E6-40C89BC84D40} => pcalua.exe -a C:\Users\JAY\AppData\Local\Temp\jre-8u101-windows-au.exe -d C:\windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 
Task: {ED2C5AE2-6937-4083-9A8D-97116CCD1435} - System32\Tasks\280528962d6t6759868 => Rundll32.exe "C:\ProgramData\280528962d6t6759868\280528962d6t6759868.dll",DMT 
AlternateDataStreams: C:\ProgramData\Temp:0A8E2C33 [238]
AlternateDataStreams: C:\ProgramData\Temp:73BDADA8 [234]
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Zrób skan za pomocą Hitman Pro. Jeśli wykryje coś, dostarcz wynikowy log oraz plik Fixlog.txt. Zrób też nowy zestaw raportów. Jeśli natomiast nic nie wykryję to będziemy kończyć, a temat zostanie przeniesiony do działu Windows 7.

Brakuje 3 raportu uzupełniającego Shortcut. Uzupełnij go. 

OK. Wcześniej używałeś narzędzia FRST, teraz możesz go już skasować, bo jest to narzędzia często aktualizowane, więc jednorazowe. Do tego działania użyj programu DelFix.

Zaktualizuj również ważne programy - KLIK. 

W Twoim systemie pomimo zainstalowanego SP 1 może brakować sporej liczby aktualizacji, uruchom Windows Update i zaktualizuj system. 

HitmanPro nie wykrył niczego.

OK. 

Małe sprostowanie: proces nazywa się taskeng.exe, a nie taskgen.exe.

Tak coś własnie myślałem, że pomyliłeś nazwy. Taskeng jest prawidłowym plikiem aparatu harmonogramu zadań.

Ja takich plików mam łącznie 10

Plików czy procesów? To znaczna różnica. 

Narzędzie OTL jest przestarzałe i nie posiada wsparcia autora, więc jest już nie używane. Dostarcz zestaw raportów z nowoczesnego narzędzia Farbar Recovery Scan Tool oraz raport z narzędzia GMER.

Zadanie 1. nie wykonałem w Panelu Sterowania nie widnieje amuleC.

W takim razie to był wpis odpadkowy (to też widzę po raporcie z AdwCleaner). 

Zadanie odnośnie skasowania profili w Firefox i tworzenia nowego również nie ... bo nie bardzo wiem o co chodzi. Po wklejeniu komendy pojawia mi się zawartyość dysku C ale nie wiem co dalej.

 Nie możliwe, po użyciu kombinacji klawiszy klawiszy: Windows + R wyświetla się okienko, która masz uzupełnić tak jak poniższej i kliknąć przycisk OK. Potem tylko kasacji profili i zakładasz nowy. Ewentualnie możesz to zrobić też przez menu Start.

dodałem raport z AdwCleaner'a nie wiem czy był potrzebny ale tak wywnioskowałem z wypowiedzi.

Dobrze wywnioskowałeś. 

Reszta wykonana.

Nie dostarczyłeś raporty wynikowego, czyli pliku Fixlog.txt

W raportach nie widać jawnej infekcji, działania poboczne: kasacja polityk grup, pustych wpisów w harmonogramie zadań oraz martwej usługi. Na wszelki wypadek przeprowadzimy skanowanie programem HitmanPro.

1. Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
GroupPolicyScripts: Ograniczenia GroupPolicyScripts-x32: Ograniczenia S3 HWiNFO32; \??\C:\Users\MRC\AppData\Local\Temp\HWiNFO64A.SYS [X]
Task: {6835AC8A-C7F4-48B1-BFE0-EBB244E0B826} - \AutoKMS -> Brak pliku Task: {FA75C709-6C6D-4DC6-9AE0-82A6096BB360} - \USER_ESRV_SVC_QUEENCREEK -> Brak pliku EmptyTemp:

2. Zrób skan za pomocą Hitman Pro. Jeśli wykryje coś, dostarcz wynikowy log oraz plik Fixlog.txt. Zrób też nowy zestaw raportów.

W raportach brak oznak infekcji, w spoilerze działania poboczne: kasacja szczątek po programach (głównie po przeglądarce FireFox). Druga sprawa: w systemie działają dwa oprogramowania zabezpieczające - może to spowodować korozję.

Jeśli chodzi o usługę Windows Update to przyczyn może być mnóstwo i to kompletnie pozainfekcyjnch. Wyłącz zaporę systemową oraz oprogramowania zabezpieczające i dopiero spróbuj pobrać aktualizację. Usługi nie sprawdzam, bo to raczej nie tam siedzi problem. 

CloseProcesses:
CreateRestorePoint:
S3 ASUSProcObsrv; \??\C:\Preload64\Patch\AsPrOb64.sys [X]
C:\ProgramData\setwallpaper.cmd
C:\ProgramData\SetWallpaper.exe
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\JOANNA\AppData\Local\Mozilla
C:\Users\JOANNA\AppData\Roaming\Mozilla
C:\Users\JOANNA\AppData\Roaming\Profiles
EmptyTemp: 

Wesołych Świąt! 

Ściągnąłem zatem program na innym komputerze i przeniosłem pendrivem na zainfekowany laptop. W załączniku nowe pliki.

Pendriva nie podpinaj pod żadnym pozorem do innych komputerów, bo je zarazisz. Potem go będziemy leczyć. 

System jest mocno zainfekowany wirusem Brontok. To są właśnie skutki nie posiadania żadnego oprogramowania antywirusowego, a przecież wystarczył by darmowy Avast...

Przejdź do trybu awaryjnego (kliknij F8 przed startem systemu). 

1. Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
HKLM\...\Winlogon: [shell] Explorer.exe "C:\WINDOWS\KesenjanganSosial.exe" [x ] ()
HKLM\...\Policies\Explorer: [RestrictRun] 0
HKU\S-1-5-19\...\Policies\Explorer: [NoSMMyPictures] 1
HKU\S-1-5-19\...\Policies\Explorer: [NoSMConfigurePrograms] 1
HKU\S-1-5-19\...\Policies\Explorer: [NoSMHelp] 1
HKU\S-1-5-19\...\Policies\Explorer: [NoRecentDocsMenu] 1
HKU\S-1-5-19\...\Policies\Explorer: [NoRecentDocsHistory] 1
HKU\S-1-5-19\...\Policies\Explorer: [NoStartBanner] 1
HKU\S-1-5-19\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
HKU\S-1-5-19\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1
HKU\S-1-5-19\...\Policies\Explorer: [NoResolveSearch] 1
HKU\S-1-5-20\...\Policies\Explorer: [NoSMMyPictures] 1
HKU\S-1-5-20\...\Policies\Explorer: [NoSMConfigurePrograms] 1
HKU\S-1-5-20\...\Policies\Explorer: [NoSMHelp] 1
HKU\S-1-5-20\...\Policies\Explorer: [NoRecentDocsMenu] 1
HKU\S-1-5-20\...\Policies\Explorer: [NoRecentDocsHistory] 1
HKU\S-1-5-20\...\Policies\Explorer: [NoStartBanner] 1
HKU\S-1-5-20\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
HKU\S-1-5-20\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1
HKU\S-1-5-20\...\Policies\Explorer: [NoResolveSearch] 1
HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Run: [Tok-Cirrhatus-3444] => C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\smss.exe [43319 2014-10-19] ()
HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Run: [Tok-Cirrhatus] => 0
HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\system: [DisableRegistryTools] 1
HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\system: [DisableCMD] 0
HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoSMMyPictures] 1
HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoSMConfigurePrograms] 1
HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoSMHelp] 1
HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoRecentDocsMenu] 1
HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoRecentDocsHistory] 1
HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoStartBanner] 1
HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1
HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoResolveSearch] 1
HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [NoFolderOptions] 1
HKU\S-1-5-21-1078081533-1647877149-839522115-500\...\Policies\Explorer: [RestrictRun] 0
HKU\S-1-5-18\...\Policies\Explorer: [NoSMMyPictures] 1
HKU\S-1-5-18\...\Policies\Explorer: [NoSMConfigurePrograms] 1
HKU\S-1-5-18\...\Policies\Explorer: [NoSMHelp] 1
HKU\S-1-5-18\...\Policies\Explorer: [NoRecentDocsMenu] 1
HKU\S-1-5-18\...\Policies\Explorer: [NoRecentDocsHistory] 1
HKU\S-1-5-18\...\Policies\Explorer: [NoStartBanner] 1
HKU\S-1-5-18\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1
HKU\S-1-5-18\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1
HKU\S-1-5-18\...\Policies\Explorer: [NoResolveSearch] 1
Startup: C:\Documents and Settings\Administrator\Menu Start\Programy\Autostart\Empty.pif [2014-10-19] ()
AlternateShell: cmd-brontok.exe
U4 Alerter; Brak ImagePath
S4 IntelIde; Brak ImagePath
U4 Messenger; Brak ImagePath
S3 UIUSys; system32\DRIVERS\UIUSYS.SYS [X]
U1 WS2IFSL; Brak ImagePath
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\*Bron*
C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\*Bron*.*
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"="cmd-brontok.exe"
2015-01-16 19:47 - 2014-10-19 15:41 - 0043319 _____ () C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\csrss.exe
2015-01-16 19:47 - 2014-10-19 15:41 - 0043319 _____ () C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\inetinfo.exe
2015-01-16 19:47 - 2014-10-19 15:41 - 0043319 _____ () C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\lsass.exe
2015-01-16 19:47 - 2014-10-19 15:41 - 0043319 _____ () C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\services.exe
2015-01-16 19:47 - 2014-10-19 15:41 - 0043319 _____ () C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\smss.exe
2015-01-16 19:47 - 2014-10-19 15:41 - 0043319 ____N () C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\winlogon.exe
CMD: dir /a C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Ad. 1 

Nie, wszystko to jest wytłumaczalne. Informacje w spoilerze. 

Task: {74117283-817F-4223-8F9A-9F2920F330CF} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-10-05] (Google Inc.)
Task: {805FD336-1787-42DA-A1DE-576F8E112A95} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-10-05] (Google Inc.)
Task: C:\windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe

Ad. 2

Patrz do spoileru, to normalne, że program został zmodyfikowany. 

Ad. 3

Najpierw musiało by raczej dojść do infekcji, a dopiero potem do włamania. 

Ad. 4

To jest technicznie nie możliwe, przecież kabel nie ma żadnej pamięci. 

Ad. 5

Nie mógł.

Ad. 6

Nie wystarczy ani IP, ani adres MAC. 

Ad. 7

Są różne techniki analizowania pod kątem włamania, ale w Twoim przypadku jest to zbędne. Mówię: nie wpadaj w paranoje. 

Wygląda to już OK. Czy problem ustąpił?

W raportach brak oznak infekcji, w spoilerze działania poboczne (raczej nie mające związku z problemem): kasacja szczątek po przeglądarce FireFox oraz martwej usługi. 
 
Temat przenoszę do działu Windows 10.

CloseProcesses:
CreateRestorePoint:
R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X]
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\maria\AppData\Local\Mozilla
C:\Users\maria\AppData\Roaming\Mozilla
C:\Users\maria\AppData\Roaming\Profiles
EmptyTemp:

Zostały tylko szczątki po tym adware, reklama uruchamia Ci się dlatego ponieważ w harmonogramie zadań jest wpis za to odpowiedzialny. Po za tym działania kosmetyczne: kasacji pustych skrótów LNK, wpisów.

1. Otwórz Notatnik w nim wklej:

CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
GroupPolicy: Ograniczenia 
GroupPolicy\User: Ograniczenia 

CHR DefaultSearchURL: Default -> hxxp://go.mail.ru/distib/ep/?q={searchTerms}&product_id=%7B0A13974D-0286-4AD8-B6F9-6DBF2B952C87%7D&gp=811041
CHR DefaultSearchKeyword: Default -> mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/ff3?q={searchTerms}
Task: {9DABF0A9-53DD-4730-8337-FD7A6411DEE9} - System32\Tasks\InternetEC => Firefox.exe hxxp://su-news.ru/waysm

C:\Users\lisciu285\Desktop\gry\moja muzyka\musssiiic\Mesajah feat. Grizzlee - Ten kraj.lnk
C:\Users\lisciu285\Desktop\gry\moja muzyka\musssiiic\mesajah - tylko raz dane.lnk
C:\Users\lisciu285\Desktop\gry\moja muzyka\musssiiic\mesajah - jest ładna i cwana.lnk
C:\Users\lisciu285\Desktop\gry\moja muzyka\musssiiic\Mesajah - 02 Brudna Prawda BRUDNA PRAWDA 2013.lnk
C:\Users\lisciu285\Desktop\gry\moja muzyka\musssiiic\12. Mesajah - Lepsza Połowa.lnk
C:\Users\lisciu285\Desktop\gry\moja muzyka\musssiiic\03. Mesajah - Ludzie Roboty feat  Abradab.lnk
C:\Users\lisciu285\Desktop\gry\moja muzyka\musssiiic\01. Mesajah - Ostateczny Sąd.lnk
EmptyTemp:

2. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum.

3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.