picasso

Tak, wiem to z raportów FRST. Kwestia zainstalowanych programów będzie omówiona potem. Stanowiska mają strasznie stare niebezpieczne wersje Adobe i Java. Exploity Adobe to jedna z dróg tej infekcji szyfrującej dane i koniecznym będzie aktualizacja aplikacji. PS. Zaktualizowałam oba skrypty. Przeoczyłam jedną gwiazdkę w maskach usuwania plików ransom.

Skrypt FRST pomyślnie przetworzony. W nowym raporcie FRST nie widzę już żadnych śladów adware. Na wszelki wypadek jeszcze uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Jeśli obecnie w Panelu sterowania widzisz tylko najnowszą wersję Java 8 Update 77, to w porządku. Ale jeśli są dwie, to zostaw najnowszą, a starszą odinstaluj.

Jeśli chodzi o pokazane tu skany z komputerów klienckich, to w nich również nie ma jawnych oznak aktywnej infekcji (brak jej elementów startowych), choć na obu systemach widać, że podlegały one procesowi szyfrowania, gdyż są notatki ransom. Przy czym, to drugie stanowisko pokazane dziś sugeruje, że jest źródłem - figuruje ukryty plik symulujący komponent Microsoftu: 2016-04-08 08:22 - 2016-04-08 08:22 - 00227316 ____H (Microsoft Corporation) C:\Documents and Settings\uzytkownik1\Moje dokumenty\oiagiygemthq.exe Problem z widocznością aktywności infekcji może tu polegać na kontekście konta z którego robisz skan. Na drugim stanowisku skan FRST został zrobiony z poziomu wbudowanego Administratora, a nie konta użytkownika uzytkownik1. Skrypty doczyszczające dla tych stanowisk: STANOWISKO 1: Otwórz Notatnik i wklej w nim: CloseProcesses: DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\1ClickDownload Task: C:\WINDOWS\Tasks\RegCure Program Check.job => C:\DOCUME~1\pbrek\USTAWI~1\Temp\RarSFX0\RegCure.exeShowReminders4C:\DOCUME~1\pbrek\USTAWI~1\Temp\RarSFX0\RegCure.exe Task: C:\WINDOWS\Tasks\RegCure Startup.job => C:\DOCUME~1\pbrek\USTAWI~1\Temp\RarSFX0\RegCure.exe-Tray4C:\DOCUME~1\pbrek\USTAWI~1\Temp\RarSFX0\RegCure.exe Task: C:\WINDOWS\Tasks\RegCure.job => C:\DOCUME~1\pbrek\USTAWI~1\Temp\RarSFX0\RegCure.exe-t4C:\DOCUME~1\pbrek\USTAWI~1\Temp\RarSFX0\RegCure.exe DomainProfile\AuthorizedApplications: [C:\Program Files\Orbitdownloader\orbitnet.exe] => Enabled:P2P service of Orbit Downloader DomainProfile\AuthorizedApplications: [C:\Documents and Settings\pbrek\Ustawienia lokalne\Temp\~osB.tmp\rlvknlg.exe] => Enabled:rlvknlg.exe HKLM\...\Run: [userFaultCheck] => %systemroot%\system32\dumprep 0 -u HKU\S-1-5-21-3125558812-1384495094-3903194841-1005\...\RunOnce: [NeroHomeFirstStart] => "C:\Program Files\Common Files\Nero\Lib\NMFirstStart.exe" ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => Brak pliku HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia CHR HKLM\...\Chrome\Extension: [gkjoindjjcmbdpbfppabdgflnkgbbcli] - C:\Program Files\FTDownloader.com\FTDownloader10.crx CHR HKLM\...\Chrome\Extension: [pfmopbbadnfoelckkcmjjeaaegjpjjbk] - C:\Program Files\Gophoto.it\gophotoit14.crx [2012-07-31] S2 DockLoginService; C:\Program Files\Dell\DellDock\DockLogin.exe [X] S2 RoxLiveShare9; "C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe" [X] S3 rpcapd; "%ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini" [X] S3 stllssvr; "C:\Program Files\Common Files\SureThing Shared\stllssvr.exe" [X] S3 EST_BusEnum; system32\DRIVERS\GenBus.sys [X] S3 NUServerXP32; system32\DRIVERS\NUServerXP32.sys [X] S3 NUS_BusXP32; system32\DRIVERS\NUS_BusXP32.sys [X] S3 RimUsb; System32\Drivers\RimUsb.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X] S3 WDC_SAM; system32\DRIVERS\wdcsam.sys [X] AlternateDataStreams: C:\WINDOWS:054AB575DD603D93 [50] RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\~0 RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\TEMP RemoveDirectory: C:\Program Files\Gophoto.it CMD: attrib -r -h -s C:\-!RecOveR!* /s CMD: del /q /s C:\-!RecOveR!* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w tym samym folderze skąd uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Powinien nastąpić restart. Skrypt może się długo wykonywać, ze względu na rekursywne usuwanie plików ransom. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. STANOWISKO 2: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: C:\Documents and Settings\uzytkownik1\Moje dokumenty\oiagiygemthq.exe C:\Documents and Settings\uzytkownik1\Moje dokumenty\desctop.ini CMD: attrib -r -h -s C:\-!RecOveR!* /s CMD: attrib -r -h -s D:\-!RecOveR!* /s CMD: del /q /s C:\-!RecOveR!* CMD: del /q /s D:\-!RecOveR!* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Tak samo jak wyżej. 2. Skan FRST był wykonywany w następującym środowisku: Załadowane profile: Administrator (Dostępne profile: user1 & Administrator & rgrzegorczyk & uzytkownik1 & handlowiec & Administrator) Jeśli to możliwe, podaj skan FRST z konta uzytkownik1. Przypuszczalnie to właśnie na nim jest wpis startowy infekcji pasujący do pliku oiagiygemthq.exe. I w podobny sposób należałoby sprawdzić wszystkie konta po kolei... Oba pliki fixlog.txt mogą być ogromne. W takim przypadku shostuj gdzieś i podaj do nich linki.

Brakuje nowego pliku FRST Addition. Zaćmiło mnie. To nie był ten BitDefender, tylko składnik instalacji Ad-Aware Antivirus (używa silnika BitDefender). Instrukcja do zignorowania.

Przecież podałam Ci link. Cytuję z niego wybrany fragment:

W raportach widać tylko mikroszczątki (odpadki po Tencent oraz odinstalowanym Google Chrome). Doczyść te drobnostki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.xinjunshi.com/?qg HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\QQPCTray.exe" /regrun HKLM-x32\...\Run: [BlueStacks Agent] => C:\Program Files (x86)\BlueStacks\HD-Agent.exe ShellIconOverlayIdentifiers: [.QMDeskTopGCIcon] -> {B7667919-3765-4815-A66D-98A09BE662D6} => Brak pliku Task: {DB99E582-E5B2-44D4-90C1-EF41BE0B9A86} - System32\Tasks\{7818EECA-4B74-48D7-83E3-7FA48CAF95D0} => pcalua.exe -a C:\Users\Marcin\Desktop\clean\NeroCleanTool5.0.0.18.exe -d C:\Users\Marcin\Desktop\clean S4 NMIndexingService; "C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexingService.exe" [X] S2 tsnethlpx64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\TsNetHlpX64.sys [X] DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google C:\Program Files (x86)\Google C:\Program Files (x86)\Nero C:\Program Files (x86)\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\ProgramData\Nero C:\ProgramData\Thunder Network C:\Users\Bogusia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Grzegorz\Desktop\Google Chrome.lnk C:\Users\Grzegorz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Marcin\AppData\Local\Google C:\Users\Marcin\AppData\Roaming\GiftBag.db C:\Users\Marcin\AppData\Roaming\gplyra C:\Users\Marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Steam.lnk C:\Users\Public\Thunder Network C:\Users\Public\Documents\dmp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Jest tu więcej kont, Bogusię i Grzegorza rówżnież wypadałoby sprawdzić: ==================== Konta użytkowników: ============================= Bogusia (S-1-5-21-1244533767-2505366996-2244784048-1004 - Administrator - Enabled) => C:\Users\Bogusia Grzegorz (S-1-5-21-1244533767-2505366996-2244784048-1003 - Administrator - Enabled) => C:\Users\Grzegorz Marcin (S-1-5-21-1244533767-2505366996-2244784048-1000 - Administrator - Enabled) => C:\Users\Marcin

Nic tu nie wskazuje na infekcję czy niepożądaną ingerencję. PS. Do wykonania działania poboczne: 1. Odinstaluj stare niebezpieczne wersje: Adobe Flash Player 9 ActiveX, Java™ 6 Update 23, Java 7 Update 71. 2. Drobny skrypt kosmetyczny usuwający szczątkowe wpisy oraz czyszczący lokalizacje Temp. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 VIAHdAudAddService; system32\drivers\viahduaa.sys [X] HKLM\...\Run: [installerLauncher] => "C:\Program Files\Common Files\Bitdefender\SetupInformation\{6F57816A-791A-4159-A75F-CFD0C7EA4FBF}\setuplauncher.exe" /run:"C:\Program Files\Common Files\Bitdefender\SetupInformation\{6F57816A-791A-41 (dane wartości zawierają 36 znaków więcej). HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k HKU\S-1-5-21-839522115-813497703-2147074499-1004\...\MountPoints2: {3c4ae87f-74de-11e0-85bc-20cf30c18f48} - F:\Startme.exe ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak HKU\S-1-5-21-839522115-813497703-2147074499-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Toolbar: HKU\S-1-5-21-839522115-813497703-2147074499-1004 -> Brak nazwy - {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} - Brak pliku FF user.js: detected! => C:\Documents and Settings\Wojciech\Dane aplikacji\Mozilla\Firefox\Profiles\t2m7yaoq.default\user.js [2014-12-06] FF SearchPlugin: C:\Documents and Settings\Wojciech\Dane aplikacji\Mozilla\Firefox\Profiles\t2m7yaoq.default\searchplugins\infoaxe.xml [2014-02-12] FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [{6D5C8FC4-DE46-41bf-9092-93F0F78E9115}] - C:\Documents and Settings\All Users\Dane aplikacji\Norton\{78CA3BF0-9C3B-40e1-B46D-38C877EF059A}\NSM_2.3.0.22\coFFFw => nie znaleziono FF DefaultSearchUrl: FF Keyword.URL: DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\APSDaemon DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\nmctxth DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\OODefragTray DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QuickTime Task DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RemoteControl DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched C:\Documents and Settings\All Users\Dane aplikacji\1441545624.bdinstall.bin C:\Documents and Settings\Wojciech\Dane aplikacji\Bitdefenduser_gensett.xml C:\Documents and Settings\Wojciech\Menu Start\Message_1446199242974.lnk C:\Documents and Settings\Wojciech\Menu Start\Obraz 005.lnk C:\Documents and Settings\Wojciech\Menu Start\unnamed.lnk C:\Program Files\Common Files\Bitdefender C:\Program Files\Mozilla Firefox\plugins C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Objaśnij co Cię konkretnie niepokoi, o co chodzi z "dziwnym zachowaniem". W raportach brak oznak infekcji.

Tak, o to mi chodzi. Daj znać czy uBlock Origin pomógł na wybryki kinomana. I wykonaj też standardowe końcowe kroki: 1. Skorzystaj z DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Zainstaluj najnowszą wersję Adobe Flash Player ActiveX (potrzebne dla Centrum HP). Link również w w/w temacie.

DelFix wykonał robotę. Skasuj z dysku plik C:\delfix.txt. To wszystko. Temat zamykam.

Problem z niestartowaniem explorer tkwi w poniższym wpisie Windows szkodliwe zmodyfikowanym. Skan SFC nie rozwiązuje takich spraw w rejestrze, jest dedykowany do naprawy plików. HKLM\...\Winlogon: [userinit] wscript, Jeśli chodzi o reklamy, to w systemie widać szkodliwą modyfikację pliku Hosts oraz rozmaite szczątki instalacji adware. Działania do przeprowadzenia: 1. Odinstaluj zbędne App Explorer oraz McAfee Security Scan Plus (skaner zainstalowany jako sponsor Adobe Flash). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Winlogon: [userinit] wscript, R2 Amazon 1Button App Service; c:\Program Files (x86)\Amazon\Amazon1ButtonApp\Amazon1ButtonService64.Exe [456000 2015-09-17] (Amazon Inc.) S1 SRepairDrv; \??\C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\SRepairDrv [168568 2016-03-19] () S1 QMUdisk; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMUdisk64.sys [X] S1 softaal; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\softaal64.sys [X] S2 tsnethlpx64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\TsNetHlpX64.sys [X] Task: {1169E2BE-845B-4CB0-ABD7-22BC9D1E6040} - System32\Tasks\Buvjautv => C:\PROGRA~1\SHOPPE~1\Qadjauwu.bat Task: {295AF920-0426-4757-9970-CFB003889A98} - System32\Tasks\App Explorer => C:\Users\Oskar\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe [2016-03-11] (SweetLabs, Inc) Task: {6A075FAA-76B5-4395-8636-9609A2C1E6DE} - System32\Tasks\CreateExplorerShellUnelevatedTask => /NOUACCHECK Task: {6FA3B0CA-C183-4770-AA6B-24FFBC4AE184} - System32\Tasks\{95654311-0069-4773-A392-58FEA26F6E9E} => pcalua.exe -a "C:\Riot Games\League of Legends\lol.launcher.exe" -d "C:\Riot Games\League of Legends\" Task: {73912DE0-81D1-4B8F-8DFA-C73F4BBF1470} - System32\Tasks\Veosmez => C:\PROGRA~1\GROOVE~1\Kebsaala.bat HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank SearchScopes: HKU\S-1-5-21-4269906154-861978010-2852916401-1001 -> DefaultScope {D2AAF0B6-1F9B-4E8A-9212-21F6AEECBFC4} URL = SearchScopes: HKU\S-1-5-21-4269906154-861978010-2852916401-1001 -> {D2AAF0B6-1F9B-4E8A-9212-21F6AEECBFC4} URL = StartMenuInternet: IEXPLORE.EXE - iexplore.exe StartMenuInternet: FIREFOX.EXE - firefox.exe StartMenuInternet: Google Chrome - Chrome.exe CHR HomePage: Default -> hxxp://www.yoursearching.com/?type=hp&ts=1458370939&z=eea8eed0ac2015473a3d5cdgez1wbb9c8m1e9t5z3e&from=brd&uid=TOSHIBAXMQ02ABD100H_85VTC075TXX85VTC075T CHR StartupUrls: Default -> "hxxp://www.yoursearching.com/?type=hp&ts=1458370939&z=eea8eed0ac2015473a3d5cdgez1wbb9c8m1e9t5z3e&from=brd&uid=TOSHIBAXMQ02ABD100H_85VTC075TXX85VTC075T" CHR DefaultSearchURL: Default -> hxxp://yoursearching.com/web?type=ds&ts=1458370939&z=eea8eed0ac2015473a3d5cdgez1wbb9c8m1e9t5z3e&from=brd&uid=TOSHIBAXMQ02ABD100H_85VTC075TXX85VTC075T&q={searchTerms} CHR DefaultSearchKeyword: Default -> yoursearching C:\Program Files\Common Files\Tencent C:\Program Files (x86)\Amazon C:\Program Files (x86)\Tencent C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\3WdM3 C:\ProgramData\8WdM8 C:\ProgramData\SUPERSetup C:\ProgramData\QWdMQ C:\ProgramData\Tencent C:\ProgramData\TXQMPC C:\uninst C:\Users\Oskar\AppData\Local\app C:\Users\Oskar\AppData\Local\Tempfolder C:\Users\Oskar\AppData\LocalLow\Company C:\Users\Oskar\AppData\LocalLow\TSearch C:\Users\Oskar\AppData\Roaming\GiftBag.db C:\Users\Oskar\AppData\Roaming\Installer.dat C:\Users\Oskar\AppData\Roaming\BelpoLew C:\Users\Oskar\AppData\Roaming\Nuvoty C:\Users\Oskar\AppData\Roaming\Sowirykd C:\Users\Oskar\AppData\Roaming\Tencent C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys C:\WINDOWS\system32\Drivers\TFsFltX64.sys C:\WINDOWS\SysWOW64\Drivers\TS888x64.sys C:\WINDOWS\SysWOW64\Number of results CMD: ipconfig /flushdns CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Entfernen (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj chińskie rozszerzenie wprowadzone przez Tencent 电脑管家上网防护. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Untersuchen (Scan) - ponownie z Addition, bez Shortcut. Dołącz też plik fixlog.txt. Podsumuj jak działa system i czy są jeszcze jakieś problemy.

Dostarcz raport z Emsisoft co konkretnie usuwał. Ponadto, zrób nowe logi FRST (wszystkie trzy) obrazujące zmiany.

Jesteś już tu po raz drugi z podobnymi problemami. Do czytania na co uważać: KLIK. 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware thirteen degrees, yessearches Uninstall. 2. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut.

Potrzebuję trochę więcej czasu na przejrzenie wyników Fixlog. Potem zedytuję tu swój post i odpowiem na resztę pytań.

POPRZEDNI KOMPUTER: Skrypt FRST wykonał się poprawnie. Na zakończenie: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Wymień Adobe Reader X (10.1.3) MUI najnowszą wersją. W w/w linku są szczegółowe informacje na ten temat. DRUGI KOMPUTER: Nic tu nie wskazuje na infekcję. Ale trzeba wymienić antywirusa. Ten ESET jest scrackowany i strasznie stary - komponenty z 2008! Na dodatek wiele komponentów jest wybrakowanych i nie jestem pewna czy to aby nie jest uszkodzona instalacja. Działania poboczne: 1. Odinstaluj stare programy i zbędne aplikacje: Adobe Flash Player 20 NPAPI, Adobe Flash Player 9 ActiveX, Adobe Flash Player ActiveX, Adobe Reader X (10.1.9), ESET NOD32 Antivirus, Gadu-Gadu 10, HP Customer Participation Program 9.0, Java 8 Update 51, Java 8 Update 60, Java 8 Update 65, Java 8 Update 71, OpenOffice.org 3.0, Windows Media Player Firefox Plugin. 2. Następnie wejdź w Tryb awaryjny Windows i popraw jeszcze narzędziem ESET Uninstaller. Opuść Tryb awaryjny. 3. Drobny skrypt kosmetyczny do FRST. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-397784650-3541656921-2300468946-1006_Classes\CLSID\{321EB55A-EF5B-42B7-915D-ED4D2FFBFDD1}\InprocServer32 -> C:\Users\HENRYK~1\AppData\Local\ASKTOO~1\DOWNLO~1\NeroRom.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-397784650-3541656921-2300468946-1006_Classes\CLSID\{B6BB720C-25CB-11E0-B4E5-23EBDED72085}\InprocServer32 -> C:\Users\HENRYK~1\AppData\Local\ASKTOO~1\DOWNLO~1\NEROOE~1.DLL => Brak pliku Task: {3215535C-3ABF-491B-9DEC-4A4A52F3C14A} - System32\Tasks\{5EA0FCC4-3754-402E-882B-36147A459D14} => pcalua.exe -a "C:\Users\Henryka Sokołowska\Desktop\Opera_964_int_Setup.exe" -d "C:\Users\Henryka Sokołowska\Desktop" Task: {4597F865-18C9-47A5-83A0-60C39CC05409} - System32\Tasks\{0524DEDE-C7AF-4ECF-8F7E-53928B8BD202} => pcalua.exe -a "C:\Users\Henryka Sokołowska\Desktop\Pliki z internetu\winvista_15124.exe" -d "C:\Users\Henryka Sokołowska\Desktop\Pliki z internetu" Task: {4B7E744C-ED10-44EA-9E6B-7B883740C644} - System32\Tasks\Run RoboForm TaskBar Icon => C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe Task: {544793BE-CAF3-4FC0-9FDD-0C22C09762D9} - System32\Tasks\{74B7C143-BE46-4B81-B784-A0EC301578C8} => pcalua.exe -a "C:\Users\Henryka Sokołowska\Desktop\Pliki z internetu\sp50969.exe" -d "C:\Users\Henryka Sokołowska\Desktop\Pliki z internetu" Task: {6A85B677-A97F-4216-B727-116CC5A5BBD5} - System32\Tasks\{C10690BA-670B-4653-8B18-C2264ABC3B9B} => pcalua.exe -a "C:\Users\Henryka Sokołowska\Desktop\MioC250_MioMap_EEU_Update_tool\MioC250_MioMap_EEU_Update_tool\install\usbdriver\installdriver1.exe" -d "C:\Users\Henryka Sokołowska\Desktop\MioC250_MioMap_EEU_Update_tool\MioC250_MioMap_EEU_Update_tool\install\usbdriver" Task: {A6F41F64-3734-45DF-B95E-C59419FB2D8A} - System32\Tasks\{89D5A7E8-2A3C-4E6B-9628-4AF203A44ACB} => pcalua.exe -a "C:\Users\Henryka Sokołowska\Desktop\Pliki z internetu\ie6setupOe.exe" -d "C:\Program Files\Mozilla Firefox" Task: {A8C29A49-B28D-4B2F-AEF6-3FC957CD49DE} - System32\Tasks\{7C3096B3-88DC-4DDA-B465-ADB4342DC635} => pcalua.exe -a D:\SASetup_1_2_1_0.exe -d D:\ Task: {C584ABAE-DD61-4AC8-A281-C5E945148D14} - System32\Tasks\{1771E109-6C7B-44D6-9BA4-25639E1047E3} => pcalua.exe -a D:\InstellBluetooth.exe -d D:\ Task: {D41B5638-EFD8-4984-AF29-A4EC15836CAB} - System32\Tasks\{99AD8138-4416-47C5-B7C9-8C7B63C84F8F} => pcalua.exe -a D:\SETUP.EXE -d D:\ Task: {DCDBD1C9-9064-4EB4-A112-16092E151259} - System32\Tasks\{5B977A99-0CB9-41E8-A0C7-E46F87A188F6} => pcalua.exe -a "C:\Users\Henryka Sokołowska\AppData\Local\Temp\Temp1_BlueSoleil 1.6.1.4 BLUETOOTH+Crack.zip\BlueSoleil 1.6.1.4 BLUETOOTH+Crack\Setup.exe" Task: {E5C6E94E-898B-4EEE-931D-195974486C31} - System32\Tasks\{EBC3258E-452B-4518-B3A8-AA7FE4A01BEE} => pcalua.exe -a "C:\Users\Henryka Sokołowska\Desktop\dotnetfx.exe" -d "C:\Users\Henryka Sokołowska\Desktop" S3 eapihdrv; C:\Users\Henryka Sokołowska\AppData\Local\Temp\ehdrv.sys [135760 2016-03-24] (ESET) U4 eabfiltr; Brak ImagePath S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S2 NOD32FiXTemDono; C:\Windows\system32\regedt32.exe /s C:\Windows\nod32fixtemdono.reg S2 VSCrDisk; \??\C:\Program Files\PZU SA\TitusPlus\VSCrDisk_2K.sys [X] HKLM\...\Run: [symantec PIF AlertEng] => "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\Al (dane wartości zawierają 11 znaków więcej). SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-397784650-3541656921-2300468946-1006 -> {777AC010-9C63-4063-8C0E-335426B5CD82} URL = hxxp://websearch.ask.com/custom/java/redirect?client=ie&tb=ORJ&o=100000026&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000 BHO: Safe Money Plugin -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\IEExt\OnlineBanking\online_banking_bho.dll => Brak pliku FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKU\S-1-5-21-397784650-3541656921-2300468946-1006\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AdobeARMservice DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AdobeFlashPlayerUpdateSvc DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gupdate DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gupdatem DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Henryka Sokołowska^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.0.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\egui DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gadu-Gadu 10 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ISTray DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LightScribe Control Panel RemoveDirectory: C:\found.001 RemoveDirectory: C:\Program Files\Common Files\Symantec Shared RemoveDirectory: C:\Program Files\Mozilla Firefox\plugins RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\ProgramData\Kaspersky Lab Setup Files RemoveDirectory: C:\Users\Henryka Sokołowska\AppData\Local\Google RemoveDirectory: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\ProgramData\LUInstall.LiveUpdate C:\ProgramData\SEC32C3.tmp C:\Program Files\Mozilla Firefoxsafeguard-secure-search.xml C:\Windows\pss\OpenOffice.org 3.0.lnk.Startup CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), włącznie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt.

POPRZEDNI KOMPUTER: Zadania wykonane. Na koniec: 1. Usuń drobny błąd WMI narzędziem Fix-it: KLIK. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. DRUGI KOMPUTER: Czy to na pewno komputer, który był zainfekowany Brontokiem? Nie widzę w raportach żadnych śladów tej infekcji. Do usunięcia tylko drobne śmieci innego typu (szczątki po adware oraz inne odpadki): 1. Przez Dodaj/Usuń programy odinstaluj stare i zbędne programy: Adobe Flash Player 20 ActiveX, Adobe Flash Player 20 NPAPI, Adobe Flash Player 20 PPAPI, Adobe Shockwave Player 11.5, Java 7 Update 45. Wersje NPAPI (dla Firefox) i PPAPI (dla Opera) w ogóle nie są tu potrzebne, podane przeglądarki nie są zainstalowane. 2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Google Update Helper > Dalej. Chodzi o to wystąpienie, które jest opisane jako BonanzaDeals, nie ruszaj tego opisanego jako Google Inc.: Google Update Helper (Version: 1.3.23.0 - BonanzaDeals) Hidden Google Update Helper (Version: 1.3.29.5 - Google Inc.) Hidden 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: C:\WINDOWS\Tasks\APSnotifierCA.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\WINDOWS\Tasks\EPUpdater.job => C:\DOCUME~1\ADMINI~1\DANEAP~1\BABSOL~1\Shared\BabMaint.exe Task: C:\WINDOWS\Tasks\HPpromotions journeysoftware.job => C:\Program Files\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe Task: C:\WINDOWS\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-117609710-854245398-1177238915-500.job => C:\Program Files\Real\RealUpgrade\realupgrade.exe Task: C:\WINDOWS\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-117609710-854245398-1177238915-500.job => C:\Program Files\Real\RealUpgrade\realupgrade.exe S3 Ambfilt; system32\drivers\Ambfilt.sys [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 Monfilt; system32\drivers\Monfilt.sys [X] HKLM\...\Run: [mobilegeni daemon] => C:\Program Files\Mobogenie\DaemonProcess.exe ShellExecuteHooks: - {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Brak pliku [ ] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=HitachiXHTS543225L9A300_090206FB8F00YLG4ZEWAX&ts=1383837460&type=default&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=HitachiXHTS543225L9A300_090206FB8F00YLG4ZEWAX&ts=1383837460&type=default&q={searchTerms} HKU\S-1-5-21-117609710-854245398-1177238915-1004\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://www.search.ask.com/?tpid=SGT2-V7&o=APN11006&pf=V7&trgb=CR&p2=%5EB3S%5EYYYYYY%5EYY%5EPL&gct=hp&apn_ptnrs=%5EB3S&apn_dtid=%5EYYYYYY%5EYY%5EPL&apn_dbr=Opera.exe_0_12.16.1860.0&apn_uid=75C488EA-BB53-4D84-AC3A-C4A2EEFE60F8&itbv=12.10.0.3323&doi=2014-01-22&psv=&pt= URLSearchHook: HKLM -> Domyślne = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D} URLSearchHook: HKU\S-1-5-21-117609710-854245398-1177238915-1004 - (Brak nazwy) - {D8278076-BC68-4484-9233-6E7F1628B56C} - Brak pliku HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://rts.dsrlte.com/?m=tab" SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1438694748&z=8e733dbfa322d0e901494c8gbzfc7b1qdt8z8q0b5g&from=cornl&uid=HitachiXHTS543225L9A300_090206FB8F00YLG4ZEWAX&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1438694748&z=8e733dbfa322d0e901494c8gbzfc7b1qdt8z8q0b5g&from=cornl&uid=HitachiXHTS543225L9A300_090206FB8F00YLG4ZEWAX&q={searchTerms} SearchScopes: HKLM -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = hxxp://websearch.searchdwebs.info/?l=1&q={searchTerms}&pid=630&r=2013/06/24&hid=1503236440&lg=EN&cc=PL&unqvl=22 SearchScopes: HKU\S-1-5-21-117609710-854245398-1177238915-1004 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=3219913727_67194_602F9F76&ts=1438694840&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-117609710-854245398-1177238915-1004 -> {E3109BAA-76F7-4D48-BC1E-570927110561} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=3219913727_67194_602F9F76&ts=1438694840&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-117609710-854245398-1177238915-1004 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=3219913727_67194_602F9F76&ts=1438694840&type=default&q={searchTerms} BHO: PriceFountain -> {b608cc98-54de-4775-96c9-097de398500c} -> C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\PriceFountain\PriceFountainIE.dll [2014-11-27] () BHO: Brak nazwy -> {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} -> Brak pliku Toolbar: HKU\S-1-5-21-117609710-854245398-1177238915-1004 -> Brak nazwy - {53475432-2D56-3700-76A7-7A786E7484D7} - Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.delta-homes.com/?type=sc&ts=1402571463&from=wpm0612&uid=HitachiXHTS543225L9A300_090206FB8F00YLG4ZEWAX StartMenuInternet: chrome.exe - C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe hxxp://www.delta-homes.com/?type=sc&ts=1402571463&from=wpm0612&uid=HitachiXHTS543225L9A300_090206FB8F00YLG4ZEWAX DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BingSvc DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Update DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main C:\Documents and Settings\Administrator\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla C:\Documents and Settings\Administrator\Menu Start\Programy\GIMPshop C:\Documents and Settings\Administrator\Menu Start\Programy\Mobogenie C:\Documents and Settings\Administrator\Menu Start\Programy\PriceFountain C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\*.crx C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mobogenie C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mozilla C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\PriceFountain C:\Documents and Settings\Wychowawczyni\Moje dokumenty\Menu Start\Programy\GIMPshop C:\Documents and Settings\Wychowawczyni\Moje dokumenty\Menu Start\Programy\GoldWave C:\Documents and Settings\Wychowawczyni\Moje dokumenty\Menu Start\Programy\Mobogenie C:\Documents and Settings\Wychowawczyni\Moje dokumenty\Menu Start\Programy\PriceFountain C:\Documents and Settings\Wychowawczyni\Ustawienia lokalne\Dane aplikacji\Microsoft\BingSvc C:\Program Files\Mozilla Firefox C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj adware Bing, Extended Protection, Quick start. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Są tu dwa konta: ==================== Konta użytkowników: ============================= Administrator (S-1-5-21-117609710-854245398-1177238915-500 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Administrator Wychowawczyni (S-1-5-21-117609710-854245398-1177238915-1004 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Wychowawczyni Logi z FRST (główny + Addition, bez Shortcut) muszą być zrobione z każdego po kolei. Dołącz też plik fixlog.txt.

1. To jest problem strony kinoman. Jest sponsorowana przez reklamy i inne świństwa (i można się zainfekować z tych przekierowań). U mnie też występują różne przekierowania i nowe okna przy wyłączonym adbloku. Problem był już wcześniej zgłaszany w tym temacie: KLIK. Masz zainstalowany następujący bloker reklam: FF Extension: Element Hiding Helper for Adblock Plus - C:\Users\Agata\AppData\Roaming\Mozilla\Firefox\Profiles\tsfpm07w.default-1454336088848\Extensions\elemhidehelper@adblockplus.org.xpi [2016-02-18] FF Extension: Adblock Plus - C:\Users\Agata\AppData\Roaming\Mozilla\Firefox\Profiles\tsfpm07w.default-1454336088848\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2016-02-24] Sugeruję jego wymianę na uBlock Origin. U mnie po jego włączeniu na domyślnej konfiguracji jest spokój na kinomanie. 2. Ale usunięcie Video AdBlock też było zasadne. Nie wiadomo skąd rozszerzenie nabyte, nie występuje w Firefox Add-ons. Ponadto, instalatory w rejestrze dla Google Chrome to nienaturalna sprawa, w systemie musiał działać jakiś ogólny instalator, który to wstawił, na pewno instalacja nie była z Chrome Web Store. Na forum były też tematy w których rozszerzenie to w wersji dla Google Chrome produkowało reklamy.

Niestety to nie koniec zmagań. Wygląda na to, że jest zainfekowany router, poprzednio założyłam, że wielokrotne interfejsy sieciowe nie są bieżące. 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. 2. Powtórz rekonfigurację serwerów DNS w opcjach Windows. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: ipconfig /flushdns RemoveDirectory: C:\ProgramData\{00a194f6-212c-1} RemoveDirectory: C:\ProgramData\{02900b57-012c-0} RemoveDirectory: C:\ProgramData\f5ff7da0-2801-1 RemoveDirectory: C:\ProgramData\f5ff7da0-47c3-0 RemoveDirectory: C:\Users\user\AppData\Local\Google\Chrome\User Data\Default RemoveDirectory: C:\Users\user\AppData\Local\Google\Chrome\User Data\Profile 2 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie kolejny fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan). Dołącz też plik fixlog.txt.

Prawie wszystko wykonane, ale dwa wystąpienia serwerów DNS nadal nie zostały zaktualizowane. Kolejna porcja czynności: 1. Otwórz Notatnik i wklej w nim: Tcpip\Parameters: [NameServer] 82.163.142.7 95.211.158.134 Tcpip\..\Interfaces\{E3F40742-A55E-4A7D-ADBF-B43015DE7D4D}: [DhcpNameServer] 82.163.142.7 RemoveDirectory: G:\Documents and Settings\All Users\Dane aplikacji\89cae59f-5df1-1 RemoveDirectory: G:\Documents and Settings\All Users\Dane aplikacji\89cae59f-7777-0 RemoveDirectory: G:\FRST\Quarantine Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Pokaż wynikowy fixlog.txt. 2. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu G:\AdwCleaner.

Zadanie pomyślnie wykonane. Na koniec skorzystaj z DelFix plus wyczyść foldery Przywracania systemu: KLIK. Do wymiany także wersja Adobe Reader - wytyczne pod tym samym linkiem.

Być może bufor DNS zaktualizował się samodzielnie w międzyczasie. Wszystko wykonane. Na zakończenie: 1. Usuń drobny błąd WMI narzędziem Fix-it: KLIK. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Upewnij się, że został skasowany folder C:\FRST. Usuń log C:\delfix.txt. To wszystko. Temat rozwiązany. Zamykam.

Fix FRST pomyślnie wykonany. Na zakończenie zastosuj DelFix.

W systemie jest dużo aktywnych obiektów adware. Działania do przeprowadzenia: 1. Odinstaluj stare wersje i zbędne programy: HP Customer Participation Program 14.0, Java 7 Update 79 (64-bit), Java 8 Update 45, Java 8 Update 74. Sugeruję też pozbyć się wszystkich co dopiero doinstalowanych produktów marki IOBit - firma niegodna zaufania. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs-x32: C:\ProgramData\Konksolex\Voltip.dll => C:\ProgramData\Konksolex\Voltip.dll [257536 2016-03-25] () HKLM\...\RunOnce: [WINDOWS_SCREEN_MANAGER_UPDATER_1] => C:\Program Files\Windows Screen Manager\Windows screen manage updater.exe [16896 2016-03-25] (Wizzservices) HKLM-x32\...\Run: [uSB Gamepad] => C:\Windows\USB Vibration\7906\USB Gamepad.exe -boot HKLM-x32\...\Run: [win_en_77] => [X] HKLM-x32\...\Run: [rec_pl_235] => [X] HKLM-x32\...\Run: [rec_pl_236] => [X] R2 nuferoqezbt; C:\Program Files (x86)\00000000-1458867027-0000-0000-D43D7EF14507\knsuA446.tmp [223232 2016-03-25] () [brak podpisu cyfrowego] S2 Winsere; C:\Program Files (x86)\Winsere\Winsere\Winsere.exe [306736 2016-03-15] () R2 xugexuvezbt; C:\Program Files (x86)\00000000-1458867027-0000-0000-D43D7EF14507\knsj8737.tmp [203264 2016-03-25] () [brak podpisu cyfrowego] S2 bykusicizbt; Brak ImagePath S2 gerocyni; C:\Program Files (x86)\00000000-1458867027-0000-0000-D43D7EF14507\jnsuA0BE.tmp [X] S2 wucotusy; C:\Program Files (x86)\00000000-1458867027-0000-0000-D43D7EF14507\hnsuB52A.tmp [X] R1 cherimoya; C:\Windows\System32\drivers\cherimoya.sys [82752 2016-03-25] (Cherimoya Ltd) R1 HssDRV6; C:\Windows\System32\DRIVERS\hssdrv6.sys [41704 2012-07-24] (AnchorFree Inc.) S1 Uim_VIM; C:\Windows\System32\Drivers\uim_vimx64.sys [390352 2012-11-23] (Paragon) S1 {44543b60-e1c1-4173-be0b-81c96bac3d41}Gw64; Brak ImagePath S1 {62611343-fb69-48a6-a290-da8f48638e55}Gw64; Brak ImagePath S1 iSafeKrnlKit; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [X] S3 iusb3hub; system32\DRIVERS\iusb3hub.sys [X] S3 iusb3xhc; system32\DRIVERS\iusb3xhc.sys [X] S1 MPCKpt; system32\DRIVERS\MPCKpt.sys [X] S3 MSICDSetup; \??\D:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X] Task: {0870BA8B-EDEF-4710-AAC0-1CC6420DA30C} - System32\Tasks\WinTaske => C:\Program Files (x86)\WinTaske\WinTaske\WinTaske.exe [2016-03-15] () Task: {241A6E2A-6BFF-4F4D-A18E-E03122B123DC} - System32\Tasks\Mibaigyu => C:\PROGRA~1\YLAOQC~1\Bujfoj.bat Task: {5B5BD80C-4280-4A01-9A97-2DC5DA18FA3B} - System32\Tasks\{18822A28-589E-4B42-89E1-9C5FDE97C924} => pcalua.exe -a C:\Users\Kamil\AppData\Roaming\GameRanger\GameRanger\GameRanger.exe -c /uninstall Task: {84022BD4-3572-4BF8-A24F-818EA84E71EC} - System32\Tasks\{4AA1D5AC-D1B3-47D7-87A8-B7FEEF1FF230} => pcalua.exe -a C:\ProgramData\WildWestCoupon\WildWestCoupon.exe -c /progname=WildWestCoupon /progver=3.4.2 /progpub=WildWestCoupon /proguninstallurl=asdahjka.com /deleteappfolder=0 /deletefile1="C:\Users\Kamil\AppData\RoamingappdataFr2.bin" /VERYSILENT Task: {84378677-07AA-4DD7-AEF2-E724D97AA219} - System32\Tasks\{77F35940-FD7A-465D-ABEA-4E10C6FE01BC} => pcalua.exe -a "F:\Downloads\Nero [10.0.13200][EXE][PL]+ [sERIAL]\Nero.10.0.13200\Nero-10.0.13200.setup.exe" -d "F:\Downloads\Nero [10.0.13200][EXE][PL]+ [sERIAL]\Nero.10.0.13200" Task: {85E730DC-9D59-4D05-8D18-6176D3DFF6D7} - System32\Tasks\{4F3242B4-78BA-4124-AC28-A20B582F4AFA} => pcalua.exe -a "G:\Gry\Steel Armor\uninstall.exe" Task: {9155AD8C-C298-4B88-AFB3-28A4BAC347DF} - System32\Tasks\{323D5668-B1BF-4EF0-A082-7F449835ECB3} => pcalua.exe -a C:\Windows\UnWSetup.exe Task: {A03ADDF8-466A-4926-879F-DC7425040726} - System32\Tasks\{DE30CE4C-7F42-455A-9D1C-15C030F99CB5} => pcalua.exe -a "F:\Downloads\Metal Gear Solid.exe" -d F:\Downloads Task: {A56643FA-74A9-4BB6-B2E0-DF61E5ED7080} - System32\Tasks\{8B00C4F3-6A5B-4696-880C-4D92A14B0D4F} => pcalua.exe -a "G:\Gry\Steam\SteamApps\common\arma 2 operation arrowhead\BEsetup\Setup_BattlEyeARMA2OA.exe" -d "G:\Gry\Steam\SteamApps\common\arma 2 operation arrowhead\BEsetup" Task: {B04BF9B7-8C0B-4370-9225-D1F9B04632C7} - System32\Tasks\{56899679-9AEB-4D4E-A6A4-FA9C6719CDB3} => pcalua.exe -a "G:\Gry\Steam\SteamApps\common\Arma 2\BEsetup\setup_BattlEyeARMA2.exe" -d "G:\Gry\Steam\SteamApps\common\Arma 2\BEsetup" Task: {BC651A17-5481-44D2-8786-E4A6267D789E} - System32\Tasks\{B7564AA2-09E7-4049-B284-39B2A6EE61D4} => pcalua.exe -a H:\redist\DirectX8_nt.exe -d H:\redist Task: {CA8ADDBA-EE6E-4FFA-B39E-F0D2E2265561} - System32\Tasks\{CDE8DEBC-4BCE-4327-BDF0-2FBEDF699F39} => pcalua.exe -a H:\setup.exe -d H:\ Task: {CC0C37DC-8D09-43E6-9A61-70F5117E639E} - System32\Tasks\IBUpd2 => C:\Users\Kamil\AppData\Local\BrowserAir\47.0.0.5\updater.exe Task: {F677913C-6B91-4275-8BDC-ED2D1BE81EB5} - System32\Tasks\{562B90D6-652F-4625-9D74-7B75585D9B31} => pcalua.exe -a C:\Users\Kamil\Downloads\dotnetfx35.exe -d C:\Users\Kamil\Downloads Tcpip\..\Interfaces\{846ee342-7039-11de-9d20-806e6f6e6963}: [NameServer] 104.197.191.4 ManualProxies: ShortcutWithArgument: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www%2dsearching.com/?prd=set_epc&s=G3Pzamobl14007BC,d8d95166-ce3a-4d27-ab88-402147150a7f, GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130984604818620155&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130984604818620155&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-2862859738-4015273650-266452962-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PeGKoXymT9-6o80WL8_3a-V_HQh-tVi42tPsBFRKBb2dR2l197mbSac39MMS2AAXeotF5yxmJ39YE7mTEW5l8EoNfhJ98khvWGbna4U_gzETpcCvMRH-k9YOBMLVQpDJjmoa0zdIxEzNOPPRB3cZ4CHIYaY&q={searchTerms} HKU\S-1-5-21-2862859738-4015273650-266452962-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PeGKoXymT9-6o80WL8_3a-V_HQh-tVi42tPsBFRKBb2dR2l197mbSac39MMS2AAXeotF5yxmJ39YE7mTEW5l8EoNfhJ98khvWGbna4U_gzETpcCvMRH-k9YOBMLVQpDJjmoa0zdIxEzNOPPRB3cZ4CHIYaY&q={searchTerms} HKU\S-1-5-21-2862859738-4015273650-266452962-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PeGKoXymT9-6o80WL8_3a-V_HQh-tVi42tPsBFRKBb2dR2l197mbSac39MMS2AAXeotF5yxmJ39YE7mTEW5l8EoNfhJ98khvWGbna4U_gzETpcCvMRH-k9YOBMLVQpDJjmoa0zdIxEzNOPPRB3cZ4CHIYaY&q={searchTerms} URLSearchHook: HKLM-x32 -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PeGKoXymT9-6o80WL8_3a-V_HQh-tVi42tPsBFRKBb2dR2l197mbSac39MMS2AAXeotF5yxmJ39YE7mTEW5l8EoNfhJ98khvWGbna4U_gzETpcCvMRH-k9YOBMLVQpDJjmoa0zdIxEzNOPPRB3cZ4CHIYaY&q={searchTerms} SearchScopes: HKU\S-1-5-21-2862859738-4015273650-266452962-1000 -> {4187F0FC-AF41-4E4B-AE67-84C8FD35A0AE} URL = hxxp://terra.im/search?sid=101&q={searchTerms} SearchScopes: HKU\S-1-5-21-2862859738-4015273650-266452962-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PeGKoXymT9-6o80WL8_3a-V_HQh-tVi42tPsBFRKBb2dR2l197mbSac39MMS2AAXeotF5yxmJ39YE7mTEW5l8EoNfhJ98khvWGbna4U_gzETpcCvMRH-k9YOBMLVQpDJjmoa0zdIxEzNOPPRB3cZ4CHIYaY&q={searchTerms} FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Kamil\AppData\Roaming\Mozilla\Firefox\Profiles\gyyam9g4.default-1435084558809\extensions\deskCutv2@gmail.com => nie znaleziono FF HKU\S-1-5-21-2862859738-4015273650-266452962-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 Hosts: DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\extensions C:\Program Files\Diebbahkyntibmu C:\Program Files\ktip C:\Program Files\REACHit C:\Program Files\Windows Screen Manager C:\Program Files\Common Files\Soobzo C:\Program Files\Common Files\Tencent C:\Program Files\Common Files\uur1ja1u C:\Program Files (x86)\00000000-1453152276-0000-0000-D43D7EF14507 C:\Program Files (x86)\00000000-1458867027-0000-0000-D43D7EF14507 C:\Program Files (x86)\badu C:\Program Files (x86)\Google C:\Program Files (x86)\SearchesToYesbnd C:\Program Files (x86)\Winsere C:\Program Files (x86)\WinTaske C:\ProgramData\*.* C:\ProgramData\CloudPrinter C:\ProgramData\dlohsi C:\ProgramData\dlohsis C:\ProgramData\Konksolex C:\ProgramData\Konksolexs C:\ProgramData\Thunder Network C:\ProgramData\TXQMPC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Resident Evil 6.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA GAMES C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gothic III C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NokiaFREE Calculator C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ONESOFTPERDAY C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Point of Existence 2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Qualcomm Atheros C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Elder Scrolls V Skyrim C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WorldUnlock Calculator C:\uninst C:\Users\Kamil\AppData\Local\*.* C:\Users\Kamil\AppData\Local\00000000-1458873769-0000-0000-D43D7EF14507 C:\Users\Kamil\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108 C:\Users\Kamil\AppData\Local\app C:\Users\Kamil\AppData\Local\brsrv C:\Users\Kamil\AppData\Local\Chromium C:\Users\Kamil\AppData\Local\com_tuto_1 C:\Users\Kamil\AppData\Local\Google C:\Users\Kamil\AppData\Local\ospd_us_013010277 C:\Users\Kamil\AppData\Local\Tempfolder C:\Users\Kamil\AppData\LocalLow\Company C:\Users\Kamil\AppData\LocalLow\HPAppData C:\Users\Kamil\AppData\LocalLow\Tv-Plug-In C:\Users\Kamil\AppData\Roaming\*.* C:\Users\Kamil\AppData\Roaming\DufeRumosos C:\Users\Kamil\AppData\Roaming\Elex-tech C:\Users\Kamil\AppData\Roaming\Fatgycm C:\Users\Kamil\AppData\Roaming\MCorp C:\Users\Kamil\AppData\Roaming\UPUpdata C:\Users\Kamil\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Internet Quick Access.lnk C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件 C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Quick Access C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Benchmark Sims C:\Users\Public\Thunder Network C:\Users\Public\Documents\dmp C:\Windows\system32\Google Chrome.lnk C:\Windows\system32\adhg C:\Windows\system32\kab C:\Windows\system32\log C:\Windows\system32\Drivers\cherimoya.sys C:\Windows\System32\Drivers\hssdrv6.sys C:\Windows\System32\Drivers\uim_vimx64.sys C:\Windows\system32\Drivers\etc\hp.bak CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt.

O ile problem nadal aktualny: infekcja po prostu ukryła foldery przy udziale atrybutów HS ("ukryty systemowy") i one byłyby widoczne po odznaczeniu w Opcjach folderów Ukryj chronione pliki systemu operacyjnego. Naprawa polega na zdjęciu atrybutów HS. 1. Zakładam że urządzenie nadal jest zmapowane pod literą H, w przeciwnym wypadku podmień we wszystkich komendach punktujących H właściwą. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: attrib /d /s -s -h H:\* RemoveDirectory: H:\FOUND.000 RemoveDirectory: H:\System Volume Information RemoveDirectory: H:\RECYCLER Task: {7BC79BEE-47EF-4A11-B9A9-CE1644C87362} - System32\Tasks\{19CEDB7E-AEF5-4C38-905D-8AA08F4195B2} => Chrome.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=7.2.0.103&LastError=12002 Task: {B18CD52B-B8A3-4448-A600-378E607CD69B} - System32\Tasks\{E05D7EC6-9B23-4354-A0CB-C9254F1D90BF} => pcalua.exe -a C:\Users\Pejper\Downloads\chromeinstall-8u73.exe -d C:\Users\Pejper\Downloads C:\Program Files (x86)\GUTA850.tmp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log USBFix z opcji Listing, ale odznacz skan rekursywny. Dołącz też plik fixlog.txt.