Miszel03

OK.

Jaka akcja została podjęta dla plików znalezionych przez Malwarebytes? Kazałeś je usunąć czy przenieść do kwarantanny (tak jak prosiłem)? Kolejna część walki z adware. 1. Otwórz Notatnik w nim wklej: CloseProcesses:CreateRestorePoint: IFEO\MRT.exe: [Debugger] C:\ProgramData\ficfi\Gubed.exe -Yrrehs RemoveDirectory: C:\ProgramData\ficfi RemoveDirectory: C:\ProgramData\cficf RemoveDirtectory: C:\Users\MAG\AppData\Roaming\ibfib RemoveDirtectory: C:\ProgramData\hadga RemoveDirtectory: C:\ProgramData\hbeha RemoveDirtectory: C:\ProgramData\hps RemoveDirtectory: C:\ProgramData\jcfic RemoveDirtectory: C:\ProgramData\jdgjc RemoveDirtectory: C:\ProgramData\ttff R3 iThemes5; C:\Program Files (x86)\Common Files\Services\iThemes.dll [568320 2016-12-07] () [brak podpisu cyfrowego] R2 Themes; C:\WINDOWS\system32\themeservice.dll [70656 2016-07-16] (Microsoft Corporation) [DependOnService: iThemes5] S2 Convxxxx; "C:\Users\MAG\AppData\Roaming\ibfib\UvConverter.exe" {2C8E8C85-942B-451C-8243-97A089265577} [X] C:\ProgramData\QQBrowser FirewallRules: [{28CE2551-AF7A-4A6B-8DF0-F97D17FA3F03}] => C:\ProgramData\Nosemay\Nosemay.exe File: C:\WINDOWS\system32\Drivers\etc\hosts EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W FireFox: klawisz z flagą Windows + R > wklej komendę "C:\Program Files\Mozilla Firefox\firefox.exe" -p > skasuj wszystkie widoczne profile i załóż nowy. 3. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt (raport wynikowy).

Klucz wygląda w porządku. Jak wygląda aktualna sytuacja z pracą systemu? Tak jak poprzednio?

Zrób nowy log FRST (bez Addition i Shortcut).

Raport wygląda w porządku, ale poproszę jeszcze o pełny skan klucza winmgmt. Uruchom SystemLook i do okna wklej: :reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt /s Kliknij w Look, momentalnie pojawi się okienko z raportem, przekopiujesz wtedy jego treść i wkleisz na forum.

Nie ma tutaj za dużo do robienia. W działaniach: kasacja śmieciowego rozszerzenia Fast Serach ze wszystkich przeglądarek (Google Chrome / FireFox / Opera), kasacja pustych wpisów, oraz podejrzanych aplikacji PublicHotspot / 52U64IUBLR (jeśli znasz te aplikacje i im ufasz to nie wykonuj niczego, tylko mnie o tym poinformuj). 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: ShellExecuteHooks: - {B9320EEE-AB3C-11E6-BA01-64006A5CFC23} - C:\Users\Andreas\AppData\Roaming\Jaberge\Ckesuge.dll Brak pliku [ ] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku HKU\S-1-5-21-3424310977-905981195-1643685065-1000\...\Run: [Z9IV33V8VG] => C:\Program Files\52U64IUBLR\52U64IUBL.exe [369664 2016-12-06] () HKU\S-1-5-21-3424310977-905981195-1643685065-1000\...\Run: [LQ5OZUDT43] => "C:\Program Files (x86)\PublicHotspot\NL2Q52MB0W.exe" C:\Program Files\52U64IUBLR C:\Program Files (x86)\PublicHotspot HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = FF Extension: (Fast search) - C:\Users\Andreas\AppData\Roaming\Mozilla\Firefox\Profiles\6g9xw1bo.Domyślny użytkownik\Extensions\amcontextmenu@loucypher [2016-12-06] CHR Profile: C:\Users\Andreas\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2016-12-06] CHR Extension: (Fast search) - C:\Users\Andreas\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-06] CHR Extension: (Fast search) - C:\Users\Andreas\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-06] OPR Extension: (Fast search) - C:\Users\Andreas\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-06] S2 0119751480613722mcinstcleanup; C:\Users\Andreas\AppData\Local\Temp\011975~1.EXE -cleanup -nolog [X] U0 aswVmm; Brak ImagePath ShortcutWithArgument: C:\Users\Andreas\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 1" C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AcmeBarGig\Cabinets\Set Redwires Folder.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AcmeBarGig\Install Head.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AcmeBarGig\Curve Designer.lnk C:\Users\Andreas\Desktop\Play WarThunder.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cyberfox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Engine 2\Engine 2.lnk C:\Users\Andreas\Desktop\PuL\Vuze.lnk C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\XeroBank\Activate your Account.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikwoy). 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Wyczyść FireFox: Odłącz synchronizację (o ile włączona): KLIK Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 4. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt (raport wynikowy).

W raportach brak oznak infekcji. Jednak musimy rozszerzyć diagnostykę, bo poniższe wpisy sugerują uszkodzenie usługi winmgmt. Sprawdź usługę "winmgmt" lub napraw WMI. Niepowodzenie przy listowaniu urządzeń. Sprawdź usługę "winmgmt" lub napraw WMI. Wykonaj raport z narzędzia Farbar Service Scanner (FSS).

W raportach brak oznak aktywnej infekcji, widać tylko szczątki po innych infekcjach typu adware (czyli: szkodliwe zmodyfikowany plik Hosts oraz mapa domen w przeglądarce Internet Explorer). Mam jeszcze pytanie: czy jest Ci znany poniższy plik? C:\Users\Paulina2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\czysc_temp.bat 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-528719921-3342016946-942049042-1004\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKU\S-1-5-21-528719921-3342016946-942049042-1004\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Users\Paulina2\Desktop\filmora_setup_full846.exe.lnk DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy). 2. Nie musisz dostarczać nowych logów, ani raportu wynikowego.

Ten raport jest ze skanowania, a nie ze usuwania. Raport z usuwania oznaczony jest literką C, a nie S. Wygląda to już lepiej, niedługo będziemy kończyć. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: C:\ProgramData\fibfi C:\ProgramData\ficfi C:\ProgramData\hadga C:\ProgramData\hbeha C:\ProgramData\hps C:\ProgramData\icfib C:\ProgramData\jcfic C:\ProgramData\jdgjc C:\ProgramData\ttff AppInit_DLLs: , => Brak pliku FF ProfilePath: C:\Users\MAG\AppData\Roaming\Firefox\Firefox\Profiles\2263ujb8.default [2016-12-06] FF user.js: detected! => C:\Users\MAG\AppData\Roaming\Firefox\Firefox\Profiles\2263ujb8.default\user.js [2016-10-17] FF NewTab: Firefox\Firefox\Profiles\2263ujb8.default -> hxxp://www.nicesearches.com?type=hp&ts=1464610878&from=0d580530&uid=toshibaxmq01abd075_y34tpqedtxxy34tpqedt&z=9b32b6762b14a45560bc07cg8z9q5zcqag6e0b9m9z FF Homepage: Firefox\Firefox\Profiles\2263ujb8.default -> hxxp://www.searchinme.com/?type=hp&ts=1476877970752&z=050cfae7b4fa518f0cb8fc9g2z9b7eft0c3c3q0m3q&from=official&uid=TOSHIBAXMQ01ABD075_Y34TPQEDTXXY34TPQEDT FF SearchPlugin: C:\Users\MAG\AppData\Roaming\Firefox\Firefox\Profiles\2263ujb8.default\searchplugins\nice.xml [2016-10-17] FF SearchPlugin: C:\Users\MAG\AppData\Roaming\Firefox\Firefox\Profiles\2263ujb8.default\searchplugins\nuesearch.xml [2016-09-14] FF SearchPlugin: C:\Users\MAG\AppData\Roaming\Firefox\Firefox\Profiles\2263ujb8.default\searchplugins\searchinme.xml [2016-10-19] 2016-12-06 19:48 - 2016-12-06 19:48 - 00000000 ____D C:\Users\MAG\AppData\Local\Coldjob C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\MAG\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Public\Desktop\Google Chrome.lnk Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Użyj >> Malwarebytes Po uruchomieniu: Postępuj zgodnie z kreatorem instalacyjnym, przy instalacji odznacz okres testowy. Po instalacji uruchom ponownie komputer. Interfejs MalwareBytes > Skanowanie > Pełne Skanowanie systemu > Podczas skanowania nic nie rób, po prostu czekaj. Po zakończeniu skanu, jeżeli program coś wykryje to wszystkie zagrożenia przeniesiesz do kwaranntany Po tym będzie wymagane ponowne uruchomienie komputera, zaraz po tym wyskoczy raport ze skanowania, który zaprezentujesz na forum. 3. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt (raport wynikowy).

Tak jak podejrzewam po oznakach w raportach, ten wariant szkodnika (Ransomware Locky) nie jest do końca poznaną infekcją, - deszyfracja pików jest na tą chwilę nie wykonalna (i w przyszłości też raczej marne szanse na to, powodem jest bardzo silny szyfrator AES). Jeśli nie miałeś kopii zapasowej tych danych to one przepadły - dlatego tak ważne jest ich tworzenie. Z góry informuję, że zalecane jest wykonanie kompleksowe reinstalacji systemu (nie znamy dokładnie wszystkich możliwość wariantu). Jeśli jednak zdecydujesz się leczyć / czyścić system to dostarcz nowe raporty systemowe FRST.

W raportach brak oznak infekcji. Możesz już usunąć narzędzia diagnostyczno / dezynfekcyjne - KLIK.

Tak właśnie myślałem, kończymy. Usuń narzędzia diagnostyczno / dezynfekcyjne - KLIK.

Jest już w porządku z wyjątkiem tego (czyli śmieciowej wyszukiwarki): CHR HomePage: Default -> hxxp://search.babylon.com/?babsrc=HP_ss&affID=100842&mntrId=56b550450000000000006c626dc62f32 Można by się bawić w odczytywanie preferencji itd. ale zdecydowanie szybciej będzie Ci na czysto przeinstalować przeglądarkę Google Chrome. Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK.

Skasuj folder C:\AdwCleaner po czym na nowo pobierz i uruchom AdwCleaner'a.

1. Uruchom AdwCleaner kliknij skanuj, a następnie oczyść (wyniki zweryfikowane, nadają się do usunięcia). Jak poprzednio dostarcz raport z tego działania. 2. Zrób nowy log FRST z opcji Skanuj (Scan), razem z Addition i Shortcut.

On jest na dysku E:\ ale możemy to pominąć bo to folder przywracania, który i tak będziemy czyścić. Pozostałe pliki skasuj ręcznie. Gdzie ten raport? Napisz jak oceniasz obecną sytuacje.

Brak raportu z przeprowadzenia dezynfekcji przez AdwCleaner'a - dostarcz go. W systemie / raportach jak już wcześniej wspominałem widoczne liczne adware (m.in SearchesToYesbnd, Nosemay, nicesearches, nuesearch). Przypuszczalnie nie działa Ci również kompozycja Aero, jest to wynik infekcji. Od razu przechodzimy do działań bardziej ręcznych, ale i tak wrócę jeszcze do czyszczenia automatami. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [adva3d10] => C:\Users\MAG\AppData\Roaming\cdptcli\aeevispl.exe [524288 2015-12-04] () HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advavel9] => C:\Users\MAG\AppData\Roaming\cemaider\aeevispl.exe [524288 2016-01-12] () HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advp10_1] => C:\Users\MAG\AppData\Roaming\certtenc\amsiices.exe [524288 2016-02-05] () HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [adsncapi] => C:\Users\MAG\AppData\Roaming\capicca\advaecsp.exe [524288 2016-02-08] () HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [adsn3d32] => C:\Users\MAG\AppData\Roaming\catsosys\advaeter.exe [524288 2016-03-03] () HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [adsnGSM7] => C:\Users\MAG\AppData\Roaming\catsosys\advaeter.exe [524288 2016-03-03] () HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [adsnSCII] => C:\Users\MAG\AppData\Roaming\catsmapi\advabcd.exe [524288 2016-03-09] () HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [adsnd3d9] => C:\Users\MAG\AppData\Roaming\Certwmdm\advaperf.exe [524288 2016-04-14] () HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advp0_43] => C:\Users\MAG\AppData\Roaming\cfgmdiag\amsikbox.exe [524288 2016-05-10] () HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advpfCdp] => C:\Users\MAG\AppData\Roaming\ChakgIME\amsiTVID.exe [524288 2016-06-14] () HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advpclen] => C:\Users\MAG\AppData\Roaming\charclb\amsianui.exe [524288 2016-07-12] () HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advpider] => C:\Users\MAG\AppData\Roaming\charis-2\amsianui.exe [524288 2016-07-15] () HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [aeevtlib] => C:\Users\MAG\AppData\Roaming\clbonfg\amstview.exe [524288 2016-09-20] () HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [amsilder] => C:\Users\MAG\AppData\Roaming\cmluutil\apdsrvps.exe [524288 2016-09-24] () HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [adsntnet] => C:\Users\MAG\AppData\Roaming\cabitons\advaavrt.exe [524288 2016-10-17] () HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advad3d9] => C:\Users\MAG\AppData\Roaming\catsosys\advprypt.exe [524288 2016-11-08] () HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [adva8thk] => C:\Users\MAG\AppData\Roaming\catsosys\advprypt.exe [524288 2016-11-08] () HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advadxof] => C:\Users\MAG\AppData\Roaming\cdprtcli\aeevProv.exe [524288 2016-11-09] () HKU\S-1-5-21-2999985383-601964839-3280780558-1002\...\Run: [advaider] => C:\Users\MAG\AppData\Roaming\certtmgr\aeevwcli.exe [524288 2016-12-06] () C:\Users\MAG\AppData\Roaming\cdptcli C:\Users\MAG\AppData\Roaming\cemaider C:\Users\MAG\AppData\Roaming\certtenc C:\Users\MAG\AppData\Roaming\capicca C:\Users\MAG\AppData\Roaming\catsosys C:\Users\MAG\AppData\Roaming\catsmapi C:\Users\MAG\AppData\Roaming\Certwmdm C:\Users\MAG\AppData\Roaming\cfgmdiag C:\Users\MAG\AppData\Roaming\ChakgIME\amsiTVID.exe C:\Users\MAG\AppData\Roaming\charclb\amsianui.exe C:\Users\MAG\AppData\Roaming\charis-2\amsianui.exe C:\Users\MAG\AppData\Roaming\clbonfg\amstview.exe C:\Users\MAG\AppData\Roaming\cmluutil\apdsrvps.exe C:\Users\MAG\AppData\Roaming\cabitons\advaavrt.exe C:\Users\MAG\AppData\Roaming\cdprtcli\aeevProv.exe C:\Users\MAG\AppData\Roaming\certtmgr\aeevwcli.exe AppInit_DLLs: C:\Windows\system32\nvinitx.dll => Brak pliku AppInit_DLLs: ,C:\WINDOWS\system32\nvinitx.dll => Brak pliku IFEO\MRT.exe: [Debugger] C:\Program Files (x86)\SearchesToYesbnd\_ALLOWDEL_27bfc\Gubed.exe -Yrrehs C:\Program Files (x86)\SearchesToYesbnd GroupPolicy: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-2999985383-601964839-3280780558-1002\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKU\S-1-5-21-2999985383-601964839-3280780558-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2999985383-601964839-3280780558-1002 -> {FA9EC097-C43E-4767-866A-E31FA5272B20} URL = Edge HomeButtonPage: HKU\S-1-5-21-2999985383-601964839-3280780558-1002 -> hxxp://www.nuesearch.com/?type=hp&ts=1465910606&z=37c7bcedfe0fcd79fcd0425g1zfq5w1t1g7e5q4e5z&from=wpm0614&uid=TOSHIBAXMQ01ABD075_Y34TPQEDTXXY34TPQEDT FF DefaultSearchEngine: Mozilla\Firefox\Profiles\2263ujb8.default -> luck FF SearchEngineOrder.1: Mozilla\Firefox\Profiles\2263ujb8.default -> luck FF SelectedSearchEngine: Mozilla\Firefox\Profiles\2263ujb8.default -> luck FF DefaultSearchEngine: Firefox\Firefox\Profiles\2263ujb8.default -> nice FF SearchEngineOrder.1: Firefox\Firefox\Profiles\2263ujb8.default -> nice FF SelectedSearchEngine: Firefox\Firefox\Profiles\2263ujb8.default -> nice R3 iThemes5; C:\Program Files (x86)\Common Files\Services\iThemes.dll [622080 2016-11-29] () [brak podpisu cyfrowego] R2 Themes; C:\WINDOWS\system32\themeservice.dll [70656 2016-07-16] (Microsoft Corporation) [DependOnService: iThemes5]S2 NosemayP; C:\ProgramData\Nosemay\Nosemay.exe [400264 2016-05-30] () S2 NosemayU; "C:\Program Files (x86)\Nosemay\Update\NosemayUpdate.exe" [X] C:\Program Files (x86)\Nosemay C:\ProgramData\Nosemay Task: {1F357729-9984-4DAB-87F8-E84F39AF8EE7} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {3DD526DA-F673-45CE-9002-14D1BC99DBD4} - System32\Tasks\NosemayUpdateTaskMachineCore => C:\Program Files (x86)\Nosemay\Update\NosemayUpdate.exe Task: {4E26A63E-55E5-48A4-9E07-B46D50710A89} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {4E77BBE4-2C07-47A4-B58F-2A23B9C6D037} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {52A92279-2FDA-4755-AAE5-DC6FE44B503B} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {7617830F-3E2E-4E14-BC84-8D8F0FDDD5BD} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {7E519C3A-0D56-4C31-9AE4-5B2FBBD9429D} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {85097416-4841-491B-B87F-ABC07F723D5B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {8BDB08BD-4D81-4A04-9149-8E9C34024CA0} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {A1314326-5C03-448B-B853-3FA02E67EE70} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {B1AD7971-CD5B-4CA2-AD61-92C25DD1FE39} - System32\Tasks\NosemayUpdateTaskMachineUA => C:\Program Files (x86)\Nosemay\Update\NosemayUpdate.exe Task: {D03E6501-354B-426D-9A6E-FAE0898D99BC} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {D60BA628-7A6A-4E69-AB00-993837E0D6EB} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku C:\Users\MAG\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Coldjob\Application\chrome.exe (Google Inc.) C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Coldjob\Application\chrome.exe (Google Inc.) C:\Program Files (x86)\Coldjob C:\Users\MAG\AppData\Local\Coldjob C:\Users\MAG\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\MAG\AppData\Local CMD: dir /a C:\Users\MAG\AppData\LocalLow CMD: dir /a C:\Users\MAG\AppData\Roaming Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy). 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Wyczyść FireFox: Odłącz synchronizację (o ile włączona): KLIK Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 4. Użyj >> Junkware Removal Tool Po uruchomieniu: Postępuj zgodnie z instrukcją wyświetlaną w programie. Gdy skanowanie oraz usuwanie zakończy się, uruchomi się plik z raportem. Raport wkleisz na wklej.org lub załączysz jako załącznik na forum. 5. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt (raport wynikowy).

OK. Te wyniki należny zweryfikować - załóż temat w dziale Hardware.

W raport widoczna sporo ilość infekcji adware / PUP, od razu przechodzimy do działań. 1. Przez panel sterowania odinstaluj: Reimage Repair WarThunder 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {53484938-98A7-4F6D-8297-DD7BE6D2EC86} - System32\Tasks\YTDownloaderUpd => C:\Program Files (x86)\YTDownloader\updater.exe Task: {69F2799D-9EF1-4305-B274-38AC178ABEDA} - System32\Tasks\InternetBE => Chrome.exe hxxp://inform-world.ru/watch Task: {DED54E52-A35B-4FA2-B976-1F272BF59D20} - System32\Tasks\YTDownloader => C:\Program Files (x86)\YTDownloader\YTDownloader.exe ShortcutWithArgument: C:\Users\Dejw\Desktop\WarThunder.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --app=hxxp://go.playmmogames.com/aff_c?offer_id=698&aff_id=1034&source=3&click_id=f3ec65b633add8f5f4b9dfda3f9b73222ea46409 --app-window-size=1440,900 ShortcutWithArgument: C:\Users\Dejw\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\WarThunder.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --app=hxxp://go.playmmogames.com/aff_c?offer_id=698&aff_id=1034&source=3&click_id=f3ec65b633add8f5f4b9dfda3f9b73222ea46409 --app-window-size=1440,900 ShortcutWithArgument: C:\Users\Dejw\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk -> C:\Windows\System32\rundll32.exe (Microsoft Corporation) -> url,FileProtocolHandler "hxxp://www.mail.ru/cnt/20775012?gp=811035" ShortcutWithArgument: C:\Users\Dejw\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --app=hxxp://go.playmmogames.com/aff_c?offer_id=698&aff_id=1034&source=3&click_id=f3ec65b633add8f5f4b9dfda3f9b73222ea46409 --app-window-size=1440,900 HKLM-x32\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot HKLM-x32\...\Run: [pcmgr] => C:\Program Files (x86)\ppt\Uninst.exe HKU\S-1-5-21-2448206972-1435992067-1411047560-1001\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku GroupPolicy: Ograniczenia GroupPolicy\User: Ograniczenia HKU\S-1-5-21-2448206972-1435992067-1411047560-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=818411 HKU\S-1-5-21-2448206972-1435992067-1411047560-1001\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/pl-pl/?ocid=iehp SearchScopes: HKU\S-1-5-21-2448206972-1435992067-1411047560-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B54547D9B-B600-49ED-8338-D87141E91296%7D&gp=811041 SearchScopes: HKU\S-1-5-21-2448206972-1435992067-1411047560-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B54547D9B-B600-49ED-8338-D87141E91296%7D&gp=811041 BHO-x32: Ďîčńę@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\Dejw\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll [2016-12-04] (Mail.Ru) C:\Program Files (x86)\YTDownloader C:\Program Files (x86)\ppt CHR HomePage: Default -> hxxp://search.babylon.com/?babsrc=HP_ss&affID=100842&mntrId=56b550450000000000006c626dc62f32 U0 aswVmm; Brak ImagePath 2016-12-04 17:52 - 2016-12-05 20:54 - 00000000 ____D C:\Program Files (x86)\Mail.Ru 2016-12-04 17:49 - 2016-12-05 20:54 - 00000000 ____D C:\Users\Dejw\AppData\Local\Mail.Ru 2016-12-04 17:49 - 2016-12-04 18:52 - 00000000 ____D C:\ProgramData\Mail.Ru C:\Users\Dejw\Desktop\Internet Download Manager.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows 7 - Codec Pack\Uninstall.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Dejw\AppData\Local\Mozilla C:\Users\Dejw\AppData\Roaming\Mozilla C:\Users\Dejw\AppData\Roaming\Profiles C:\Program Files (x86)\Mozilla Firefox C:\Programdata\Mozilla CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Dejw\AppData\Local CMD: dir /a C:\Users\Dejw\AppData\LocalLow CMD: dir /a C:\Users\Dejw\AppData\Roaming Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy). 2. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 3. Zrób nowy log FRST z opcji Skanuj (Scan), razem z Addition i Shortcut. Dołącz też plik fixlog.txt (raport wynikowy).

Programy pomyślnie odinstalowane, wyniki AdwCleaner zweryfikowane, wieć możesz przejść do akcji dezynfekcji w tym programie. 1. Uruchom AdwCleaner kliknij Skanuj, a następnie Oczyść, podobnie jak poprzedni dostarcz raport z tego działania. 2. Wygeneruj nowe raporty FRST (bez GMER).

W raportach brak oznak infekcji, podobny temat na forum: KLIK. Na wszelki wypadek: przeskanuj system swoim oprogramowaniem antywirusowym ESET oraz Malwarebytes AniMalware (oba programy masz na dysku). Wszystkie ewentualne znalezione przez nie nagrożenia poddaj kwarantannie i dostarcz raport z tych skanować (o ile coś zostanie wykryte).

Dostarcz raporty systemowe FRST. Problem prawdopodobnie również w Twoim przypadku tworzy adware, przykłady z forum: KLIK, KLIK.

Na razie nie podaję żadnych innych działań prócz deinstalacji produktów adware i skanowania systemu pod ich kątem. W systemie jest ogromne wysypisko śmieci, więc do pewnego momentu będę posługiwać się automatami. 1. Przez panel sterowania odinstaluj: amuleC amuleC aMuleCustom WinZip YAC(Yet Another Cleaner!) Uncheckit qksee 2. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. 3. Wygeneruj nowe raporty FRST (bez GMER).

Radzę dobrze, żeby zacząć myśleć nad przeprowadzką z XP (on już nie ma wsparcia Microsoft) na co najmniej Windows 7. Powódem jest oczywiście dużo zagrożenia infekcja (dużo nie łapanych luk itd) Tak jak w przypadku wszystkich innych tematów z Cybertarczą, brak jakichkolwiek oznak infekcji punktowanej przez tarczę. W zasadzie to nie pamiętam żadnego przypadku, by komunikat tarczy zgadzał się z tym co mówią raporty. Skan ten jest też bardzo limitowany, ocena na podstawie IP, nie jest skanowany system delikwenta. W skrypcie kosmetyka: kasacja pustych wpisów rejestru, CLSID oraz modyfikacji polityk grup. Ogólnie: brak jawnej infekcji, wyniki Malwarebytes wymagają dodatkowej weryfikacji poprzez usługę VirusTotal, a drobniutkie, nieszkodliwe pliki wykryte przez AdwCleaner'a skasuj tzn. uruchom ponownie skanowanie, a potem czyszczenie - dostarcz raport z tego działania. 1. Przez panel sterowania odinstaluj: Brave Dwarves 2 GOLD v1.15 (podaję jako działanie ewentualne, w FRST mam flagowanie żeby zwrócić na to uwagę, ale z tego co się orientuje to jakaś gra. Prawda?) 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia ? SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{E7A37920-253C-4FF1-B169-298A7CE6CAA9}\localserver32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\Dropbox.exe => Brak pliku CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{ECD97DE5-3C8F-4ACB-AEEE-CCAB78F7711C}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EDD-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EDE-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EDF-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EE0-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EE1-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FB314EE2-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-484763869-1450960922-725345543-1003_Classes\CLSID\{FBC9D74C-AF55-4309-9FB2-C426E071637F}\InprocServer32 -> C:\Documents and Settings\x\Dane aplikacji\Dropbox\bin\DropboxExt.3.0.dll => Brak pliku AlternateDataStreams: C:\Documents and Settings\All Users\Dane aplikacji\TEMP:1940DBE8 [370] EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Nie musisz dostarczać nowych logów, ani raportu wynikowego. 3. Sprawdź poniższe pliki w usłudze VirusTotal.com (Uploudujesz plik > Klik w Przeskanuj > Po zakończonej analizie kopiujesz link z pasku adresów URL i dostarczasz go mi w następnym poście. Procedurę powtarzasz w przypadku każdego pliku (razem mają być cztery linki). C:\Documents and Settings\x\Dane aplikacji\Thinstall\Microsoft Office Enterprise 2007\10000001b00002i\msiexec.exe C:\Documents and Settings\x\Dane aplikacji\Thinstall\Microsoft Office Enterprise 2007\1000000b00002i\verclsid.exe C:\Documents and Settings\x\Dane aplikacji\Thinstall\Microsoft Office Enterprise 2007\300000003f00002i\CLVIEW.EXE C:\Documents and Settings\x\Dane aplikacji\Thinstall\Microsoft Office Enterprise 2007\300000008c00002i\offlb.exe E:\System Volume Information\_restore{41CD2F82-42C1-45B0-805E-D00B54D60369}\RP214\A0096337.exe

W raportach brak oznak infekcji, nie ma śladu po wyszukiwarce Yahoo. 1. Przez Panel sterownia odinstaluj: McAfee Security Scan Plus (nabyte przypuszczalnie jako sponsor pobierania, zresztą nie potrzebujesz go choćby dlatego, że i tak Twoim oprogramowaniem zabezpieczającym jest McAfee Internet Security), Akamai NetSession Interface (zbędnik). W skrypcie: kasacji pustych skrótów oraz CLSID. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-647964530-2040888843-2415202527-1001\...\Policies\Explorer: [] CustomCLSID: HKU\S-1-5-21-647964530-2040888843-2415202527-1001_Classes\CLSID\{0B628DE4-07AD-4284-81CA-5B439F67C5E6}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2016\acad.exe /Automation => Brak pliku CustomCLSID: HKU\S-1-5-21-647964530-2040888843-2415202527-1001_Classes\CLSID\{149DD748-EA85-45A6-93C5-AC50D0260C98}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2016\acad.exe => Brak pliku CustomCLSID: HKU\S-1-5-21-647964530-2040888843-2415202527-1001_Classes\CLSID\{5370C727-1451-4700-A960-77630950AF6D}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2016\acad.exe /Automation => Brak pliku CustomCLSID: HKU\S-1-5-21-647964530-2040888843-2415202527-1001_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> C:\Program Files\Autodesk\AutoCAD 2016\pl-PL\acadficn.dll => Brak pliku C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Chaos Group\V-Ray for SketchUp demo\Documentation\V-Ray for SketchUp Online Documentation.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\GPL License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\FairPlay License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\AFPL License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rhinoceros 5\Rhinoceros 5.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rhinoceros 5\Rhinoceros 5 in Safe Mode.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy). 3. Przeszukamy cały system (w raportach nie widzę wszystkiego) pod względem elementów plikowych Yahoo. Uruchom FRST i w polu Search (Szukaj) wklej: yahoo*.* Następnie kliknij Serach Files (Szukaj plików). Oprócz wyszukiwania plików sprawdzimy również Rejestr. Uruchom FRST i w polu Search (Szukaj) wklej: yahoo Następnie kliknij Serach Registry (Szukaj w rejestrze). Raporty z obu wyszukiwań znajdują się w folderze, z którego był uruchamiany FRST (w Twoim przypadku na pulpicie więc, raport znajdziesz właśnie tam). 4. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Addition i Shortcut). Dołącz też plik fixlog.txt (raport wynikowy).