picasso

monimoni, wszystko już na ten temat zostało powiedziane i nikt nie wymyśli nic więcej. Plików *.vvv nie da się odkodować innymi metodami niż uiszczenie opłaty przestępcom. t6p miał po prostu szczęście, że dostał od nich klucz za darmo, a powód jest niejasny, gdyż nie znam żadnego innego takiego przypadku. A dane kontaktowe których używał to były dane z jego planszy szyfrującej, u każdego ta plansza pokazuje inne adresy. Każda ofiara ma inną "stronę osobistą". I proszę innych użytkowników niż autor tematu nie dopisywać się do tego wątku. Zasady działu: KLIK.

SpyHunter to wątpliwy skaner z czarnej listy namolnie reklamowany na fałszywych blogach jako usuwacz określonych infekcji, tylko po to by go zainstalować. Prócz infekcji notuję tu też problem z uszkodzonym WMI: ==================== Punkty Przywracania systemu ========================= UWAGA: Przywracanie systemu jest wyłączone Sprawdź usługę "winmgmt" lub napraw WMI. Operacje do wykonania: 1. Klawisz z flagą Windows + X > Programy i funkcje > Odinstaluj SpyHunter. 2. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt] "DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204" "ObjectName"="localSystem" "ErrorControl"=dword:00000000 "Start"=dword:00000002 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00 "ServiceSidType"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ServiceMain"="ServiceMain" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 WdMan; C:\ProgramData\3WdM3\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\Users\Puszczyk\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P ShortcutWithArgument: C:\Users\Puszczyk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P ShortcutWithArgument: C:\Users\Puszczyk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P" CHR DefaultSearchURL: Default -> hxxp://www.yoursearching.com/web/?type=ds&ts=1449170298&z=98e347c5468016b45f17c19g9zaz3t9g1m9ecoft1t&from=smt&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P&q={searchTerms} HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-850205820-2377325791-3494594986-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P&q={searchTerms} HKU\S-1-5-21-850205820-2377325791-3494594986-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P&q={searchTerms} SearchScopes: HKU\S-1-5-21-850205820-2377325791-3494594986-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713104&z=afdea68724a82add41b7a4bg8z8zctdm1g6c8gbedz&from=ient07021&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P&q={searchTerms} Toolbar: HKU\S-1-5-21-850205820-2377325791-3494594986-1001 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.yoursearching.com/?type=sc&ts=1449170298&z=98e347c5468016b45f17c19g9zaz3t9g1m9ecoft1t&from=smt&uid=ST1000LM014-1EJ164_W770KP4PXXXXW770KP4P Task: {0633FBDD-97DB-417F-8861-E3EDCFD55116} - System32\Tasks\{33F4D19B-1EE9-44C8-90CD-5E99E4A76862} => pcalua.exe -a C:\Users\Puszczyk\Downloads\monitorfix.exe -d C:\Users\Puszczyk\Desktop C:\Program Files (x86)\GUMF13.tmp C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Norton 360 C:\Program Files (x86)\Opera C:\Program Files (x86)\SFK C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\3WdM3 C:\ProgramData\3WMiniPro3 C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GTX Box Team C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Skype C:\Users\Puszczyk\AppData\Local\{91311D3A-6951-4FCC-B2BA-02DA8B22CF0E} C:\Users\Puszczyk\AppData\Roaming\TSv C:\Users\Puszczyk\AppData\Roaming\Microsoft\Windows\SendTo\Skype.lnk C:\Users\Puszczyk\Downloads\SpyHunter-Installer.exe C:\Windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 5. Zrób nowe logi: FRST z opcji Skanuj (Scan) - z Addition, ale bez Shortcut - oraz Farbar Service Scanner. Dołącz też plik fixlog.txt.

Do wykonania: 1. Deinstalacje: - Odinstaluj stare wersje Adobe Flash Player 10 ActiveX, Adobe Flash Player 19 NPAPI, Java 8 Update 60 (64-bit). - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\aWdMa\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\Users\Artur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder\WarThunder.lnk -> C:\Program Files (x86)\WarThunder\WarThunder\launcher.exe (Gaijin Entertainment) -> hxxp://www.yoursites123.com/?type=sc&ts=1449737768&z=98595381c675c01d6b88b7bg8z2z0tdmac0m1m2w6t&from=ient07021&uid=TOSHIBAXHDWD105_75MPBBXGSXX75MPBBXGSX ShortcutWithArgument: C:\Users\Artur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449737768&z=98595381c675c01d6b88b7bg8z2z0tdmac0m1m2w6t&from=ient07021&uid=TOSHIBAXHDWD105_75MPBBXGSXX75MPBBXGSX ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449737768&z=98595381c675c01d6b88b7bg8z2z0tdmac0m1m2w6t&from=ient07021&uid=TOSHIBAXHDWD105_75MPBBXGSXX75MPBBXGSX ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449737768&z=98595381c675c01d6b88b7bg8z2z0tdmac0m1m2w6t&from=ient07021&uid=TOSHIBAXHDWD105_75MPBBXGSXX75MPBBXGSX CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia FF HKLM-x32\...\Firefox\Extensions: [sidebarff@gmail.com] - C:\Users\Artur\AppData\Roaming\Mozilla\Firefox\Profiles\2vocgyvq.default\extensions\sidebarff@gmail.com => nie znaleziono StartMenuInternet: FIREFOX.EXE - firefox.exe SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-3619837243-1613139419-1367118871-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = Task: {2AAA7E02-800A-42D6-A060-F11C47471EE9} - System32\Tasks\{67A137D6-AF09-49FF-9283-3A750B6F8063} => pcalua.exe -a "C:\Program Files (x86)\Steam\steamapps\common\Arma 2 Operation Arrowhead\BEsetup\Setup_BattlEyeARMA2OA.exe" -d "C:\Program Files (x86)\Steam\steamapps\common\Arma 2 Operation Arrowhead\BEsetup" Task: {4ED8BFB9-6576-43E2-A815-705B3DA194EA} - System32\Tasks\{8F7A3E13-61AA-413B-B45B-519688D90BDE} => pcalua.exe -a "C:\Program Files (x86)\Steam\steamapps\common\Arma 2\BEsetup\setup_BattlEyeARMA2.exe" -d "C:\Program Files (x86)\Steam\steamapps\common\Arma 2\BEsetup" Task: {F56E0E1F-44F3-4E6E-A318-AC2A8AD0E654} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: C:\Windows\Tasks\Opera N Saturday.job => C:\Program Files (x86)\Opera\launcher.exe Task: C:\Windows\Tasks\Opera N Sunday.job => C:\Program Files (x86)\Opera\launcher.exe Task: C:\Windows\Tasks\Opera N.job => C:\Program Files (x86)\Opera\launcher.exe HKU\S-1-5-19\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-20\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun S3 MSICDSetup; \??\H:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\H:\NTIOLib_X64.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AvgUi DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite Automount DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LogMeIn Hamachi Ui DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google C:\Program Files (x86)\Lenovo C:\Program Files (x86)\Opera C:\ProgramData\4WdM4 C:\ProgramData\aWdMa C:\ProgramData\Avg C:\Users\Artur\AppData\Local\AvgSetupLog C:\Users\Artur\AppData\Local\Balance Video C:\Users\Artur\AppData\Local\Beach Plugin C:\Users\Artur\AppData\Local\Lenovo C:\Users\Artur\AppData\Local\Opera Software C:\Users\Artur\AppData\Local\reca C:\Users\Artur\AppData\Local\Setup6654534 C:\Users\Artur\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\Artur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Users\Artur\AppData\Roaming\Opera Software C:\Users\Artur\Desktop\Gry\Victoria 2.lnk C:\Users\Artur\Downloads\*-dp*.exe C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\System32\Tasks\Lenovo C:\Windows\system32\*.tmp C:\Windows\SysWOW64\pl.html CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie potem przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Do wykonania następujące akcje: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\XWdMX\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Optimed24 - PrzychodniaDemonstracyjna\System Optimed24 - PrzychodniaDemonstracyjna.lnk -> C:\Program Files\Optimed24\Launcher.exe (Comarch Healthcare SA) -> hxxp://www.yoursites123.com/?type=sc&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX ShortcutWithArgument: C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX ShortcutWithArgument: C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Microsoft WSE 3.0\WSE on the Web.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX ShortcutWithArgument: C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX ShortcutWithArgument: C:\Users\Marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX ShortcutWithArgument: C:\Users\Marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX ShortcutWithArgument: C:\Users\Marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX ShortcutWithArgument: C:\Users\Marcin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX ShortcutWithArgument: C:\Users\Public\Desktop\System Optimed24 - PrzychodniaDemonstracyjna.lnk -> C:\Program Files\Optimed24\Launcher.exe (Comarch Healthcare SA) -> hxxp://www.yoursites123.com/?type=sc&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX&q={searchTerms} HKU\S-1-5-21-2807833249-3072559820-428792479-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX HKU\S-1-5-21-2807833249-3072559820-428792479-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX&q={searchTerms} SearchScopes: HKU\S-1-5-21-2807833249-3072559820-428792479-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX&q={searchTerms} SearchScopes: HKU\S-1-5-21-2807833249-3072559820-428792479-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX&q={searchTerms} FF DefaultSearchEngine: yoursites123 FF SelectedSearchEngine: yoursites123 StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe hxxp://www.yoursites123.com/?type=sc&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX StartMenuInternet: Google Chrome - C:\Program Files\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX CHR StartupUrls: Default -> "hxxp://www.google.com","hxxp://www.yoursites123.com/?type=hp&ts=1449735781&z=4030fb8f39ce96d7a1fe299gazaz6t0mec0w0mam5q&from=ient07021&uid=HitachiXHTS721080G9SA00_MPCDN7Y4GZEV0LGZEV0LX" CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - D:\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-08-01] HKU\S-1-5-21-2807833249-3072559820-428792479-1000\...\Run: [Comarch Data Extractor] => "C:\Program Files\Comarch BI\Data Extractor\Data Extractor\Comarch Data Extractor.exe" Task: {103B68DD-21D9-4DE7-ABF5-AA50BA74B334} - System32\Tasks\{E7C7E2E7-B0EF-4D22-9397-D759EB7EE9F8} => C:\Program Files\Mobile Partner\Mobile Partner.exe Task: {3F2BFE60-610B-4964-8FFD-3A7E4E393996} - System32\Tasks\{A9046CFC-74B2-4658-9026-2114660C78BE} => C:\Program Files\Mobile Partner\Mobile Partner.exe Task: {5764F20B-7F69-4765-95E4-DE27DB2E0DD8} - System32\Tasks\Opera N Saturday => C:\Program Files\Opera\launcher.exe Task: {DBAA2AA5-C49B-40E5-BEEE-6F4EF3A0A5B8} - System32\Tasks\Opera N Sunday => C:\Program Files\Opera\launcher.exe Task: {E7E9998C-8D19-4B66-B220-A66876AC1342} - System32\Tasks\{8CC3E799-2CC4-490A-842B-C6B34FA30812} => pcalua.exe -a D:\01_Pelna_wersja_instalacyjna\setup.exe -d D:\01_Pelna_wersja_instalacyjna DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] C:\Program Files\Opera C:\ProgramData\{50485812-B983-41F9-B0EA-6D73297A13D3} C:\ProgramData\eWdMe C:\ProgramData\XWdMX C:\Users\Marcin\AppData\Local\Opera Software C:\Users\Marcin\AppData\Roaming\Opera Software C:\Users\Marcin\AppData\Roaming\Shortcut C:\Windows\system32\pl.html EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. rób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Wyląda na to, że te wszystkie śmieci zostały nabyte z "Asystenta pobierania" dobrychprogramów, gdyż na dysku są charakterystyczne zestawy: KLIK. Operacje do wykonania: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj istartsurf uninstall, Picexa. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK (odpadek po niechcianym REACHit Lenovo) > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 SSFK; C:\Program Files\SFK\SSFK.exe [170144 2015-11-27] (TODO: ) R2 WdMan; C:\ProgramData\9WdM9\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] ShortcutWithArgument: C:\Users\Joe\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW ShortcutWithArgument: C:\Users\Joe\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW ShortcutWithArgument: C:\Users\Joe\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW ShortcutWithArgument: C:\Users\Joe\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW ShortcutWithArgument: C:\Users\Joe\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.yoursites123.com/?type=sc&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW StartMenuInternet: Google Chrome - C:\Program Files\Google\Chrome\Application\chrome.exe hxxp://www.yoursites123.com/?type=sc&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1447697120&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=cor&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW&q={searchTerms} HKU\S-1-5-21-3630990288-2120868229-998028013-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3630990288-2120868229-998028013-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW HKU\S-1-5-21-3630990288-2120868229-998028013-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.msn.com/spbasic.htm HKU\S-1-5-21-3630990288-2120868229-998028013-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW&q={searchTerms} SearchScopes: HKU\S-1-5-21-3630990288-2120868229-998028013-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW&q={searchTerms} SearchScopes: HKU\S-1-5-21-3630990288-2120868229-998028013-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW&q={searchTerms} Toolbar: HKU\S-1-5-21-3630990288-2120868229-998028013-1001 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1449713158&z=efe1ae5d91b4f9d9a693bf6g6zcz8tcm5gfcdgam5o&from=ient07021&uid=ST3500418AS_5VM28QEWXXXX5VM28QEW CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-08-12] Task: {1FF32306-2FCD-404B-9964-299C66FB2464} - System32\Tasks\{26F5027A-8277-4A2F-B749-8013233453E2} => Iexplore.exe hxxp://ui.skype.com/ui/0/7.0.0.102/pl/abandoninstall?page=tsMain Task: {B84E99A2-62EA-4EB9-B28A-F14544D8EF77} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo C:\Program Files\Lenovo C:\Program Files\Opera C:\Program Files\Picexa C:\Program Files\SFK C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\4WdM4 C:\ProgramData\6WMiniPro6 C:\ProgramData\9WdM9 C:\Users\Joe\AppData\Local\Lenovo C:\Users\Joe\AppData\Local\Opera Software C:\Users\Joe\AppData\Roaming\istartsurf C:\Users\Joe\AppData\Roaming\OpenCandy C:\Users\Joe\AppData\Roaming\Opera Software C:\Users\Joe\AppData\Roaming\TSv C:\Users\Joe\REACHit C:\Windows\System32\Tasks\Lenovo Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Jego dane kontaktowe są w pierwszym poście na obrazku i nie przydadzą Ci się. Każda ofiara ma wygenerowny osobisty adres kontaktowy zawarty w plikach how_recover*. vs. http://www.bleepingcomputer.com/virus-removal/teslacrypt-alphacrypt-ransomware-information#distribution http://www.bleepingcomputer.com/forums/t/576600/tesladecoder-released-to-decrypt-exx-ezz-ecc-files-encrypted-by-teslacrypt/page-19?do=findComment&comment=3879994

Run As System Strona domowa Platforma: Windows 7 i nowsze 32-bit i 64-bit Licencja: freeware Run as System - Kolejna aplikacja do uruchamiania programów z kontekstu konta SYSTEM. Obsługuje uruchamianie plików EXE, CMD, BAT, JS, VBS. Przykładowo, by uruchomić linię komend wpisz po prostu cmd. By uruchomić plik batch, wpisz cmd /c [ścieżka do pliku]. Na stronie nie zostały podane wymagania systemowe, ale program nie działa w XP.

Z raportu CBS nic nie wynika. Uruchom "Narzędzie analizy gotowości aktualizacji systemu": KLIK. Gdy narzędzie ukończy skan, powstanie plik C:\Windows\Logs\CBS\checksur.log. W Opcjach folderów odznacz opcję "Ukrywaj rozszerzenie znanych typów plików", zmień nazwę pliku na checksur.txt i dołącz do posta. Czyli do usunięcia będą sterowniki Hewlett-Packard. Pod tym kątem: - Pobierz ponownie FRST, zrób skan na następującym ustawieniu: odznacz pola Dienste (Usługi) + Treiber (Sterowniki). - Start > w polu szukania wklep devmgmt.msc > z prawokliku Uruchom jako Administrator > w menu Widok włącz pokazywanie ukrytych urządzeń, zrób zrzut ekranu z tak ustawionego menedżera. Obawiam się, że partycja uległa uszkodzeniu i jest na ubój.

W skrypcie FRST było już zadane drukowanie wyników: CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log Wyniki Fixlog opowiadają, że zostały wykryte określone naruszenia i nie zostały naprawione z powodu braku poprawnych kopii w systemie. Nie jestem pewna czy akurat te naruszenia mają wielkie znaczenie pod kątem ewentualnej aktualizacji systemu do SP1 i jest sens inwestować w to czas, bowiem ich naprawa wymaga dużego nakładu pracy i dostarczenia identycznych wersji plików z mojego systemu. Z tym, że skan wyłożył się i nie dokończył, więc nie wiadomo ile jeszcze jest naruszeń. Na pewno jest uszkodzony plik Windows Defender widoczny w logu FRST jako niesygnowany i to pod jego kątem zadałam skan SFC, choć właśnie przerwany skan SFC nie pokazuje go. Na razie powyższy wątek pomijam, za wyjątkiem pliku Windows Defender. Kolejne doczyszczanie. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\{4FFCCBC4-1FF0-4C6A-9C13-2325AE62457E} DeleteKey: HKCU\Software\24F05F77F660991E DeleteKey: HKCU\Software\DailyPcClean DeleteKey: HKCU\Software\Local AppWizard-Generated Applications DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKCU\Software\Opera Software DeleteKey: HKCU\Software\Reg\Clean DeleteKey: HKCU\Software\Reimage DeleteKey: HKCU\Software\spaceplus DeleteKey: HKCU\Software\systweak DeleteKey: HKCU\Software\tstamptoken DeleteKey: HKCU\Software\Tutorials DeleteKey: HKCU\Software\TutoTag DeleteKey: HKCU\Software\Valve DeleteKey: HKCU\Software\YbPack DeleteKey: HKCU\Software\zsys DeleteKey: HKLM\SOFTWARE\Apple Inc. DeleteKey: HKLM\SOFTWARE\AVG DeleteKey: HKLM\SOFTWARE\im-dosearch DeleteKey: HKLM\SOFTWARE\Motorola DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\mysites123Software DeleteKey: HKLM\SOFTWARE\NetTcpHandler DeleteKey: HKLM\SOFTWARE\NtSvcHandler DeleteKey: HKLM\SOFTWARE\Opera Software DeleteKey: HKLM\SOFTWARE\Reg\Clean DeleteKey: HKLM\SOFTWARE\Reimage DeleteKey: HKLM\SOFTWARE\SmdmF DeleteKey: HKLM\SOFTWARE\Sonic DeleteKey: HKLM\SOFTWARE\SoundPlus DeleteKey: HKLM\SOFTWARE\SwiftSearch_1.10.0.25 DeleteKey: HKLM\SOFTWARE\Systweak DeleteKey: HKLM\SOFTWARE\Tutorials DeleteKey: HKLM\SOFTWARE\Valve DeleteKey: HKLM\SOFTWARE\Yahoo RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Local\Google\Chrome Cleanup Tool RemoveDirectory: C:\Users\Aramejskie PsP\AppData\Local\Google\CrashReports CMD: del /q "C:\Users\Aramejskie PsP\AppData\Local\Google\w9oln4g4x5.1fjev" CMD: dir /a "C:\Users\Aramejskie PsP\AppData\Local\Google\Chrome" CMD: dir /a "C:\Users\Aramejskie PsP\AppData\Local\Google\Chrome\User Data" CMD: netsh advfirewall reset CMD: sfc /scanfile="C:\Program Files\Windows Defender\mpsvc.dll" Reg: reg query HKCU\Software\AppDataLow\Software Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Szybki rzut okiem na wyniki potwierdza poprawność zadania, w rozumieniu braku błędów. Czyli teraz wdrażasz główny plan: kopie zapasowe ważnych danych > format > programy zabezpieczające podałam wcześniej, uwaga też na wersje Adobe Flash i Java (TeslaCrypt głównie utylizuje exploity bazujące na przeterminowanym flashu). I chyba temat możemy zamknąć.

Nie notuję żadnych podejrzanych obiektów. Temat uznaję więc za zakończony. 1. Usuń drobny błąd WMI narzędziem Fix-it: KLIK. 2. Przez SHIFT+DEL (omija Kosz) skasuj foldery C:\FRST + D:\Pobrane\FRST-GMER.

Ten skrypt wygląda na uruchomiony więcej niż raz, gdyż większość wyników to "nie znaleziono". I czy pozbyłeś się aplikacji Windowqs :Live? Poza tym, podaj świeże logi FRST (włącznie z Addition), by było wiadome czy nie nastąpiły w międzyczasie jakieś zmiany.

Jeśli instalacja Windows 7 odbędzie się z Recovery HP lub płyt HP, to zintegrowane starocie wylądują w systemie w trakcie jego instalacji. W tej sytuacji do wyboru: - Jeśli system byłby aktualizowany nakładkowo do Windows 10: natychmiast po instalacji Windows 7 wszystko odinstalować via Panel sterowania, bo aktualizacja zachowuje wszystkie aplikacje desktopowe użytkownika (wyjątkiem są XP Mode i Windows Media Center). Po deinstalacji Nortona zaprawić jeszcze narzędziem Norton Removal Tool uruchomionym z poziomu Trybu awaryjnego. - Jeśli system od razu byłby zastępowany metodą "czystej instalacji" przez Windows 10: zainstalowane aplikacje nie mają znaczenia, nie zostaną przeportowane na czysty Windows 10. Aktualizacja Windows 7 do Windows 10 wymaga określonych aktualizacji, w przeciwnym wypadku system nie zostanie zakwalifikowany jako materiał do darmowej aktualizacji. Wymogiem jest przede wszystkim obecność pakietu SP1 (systemy pre-SP1 nie kwalifikują się), ale są też dodatkowe łaty kwalifikujące do instalacji metodą Windows Update. Metody aktualizacji są różne, ta druga zdecydowanie lepsza (brak śmieci po aktualizacji): - Upgrade via Windows Update lub z bootowalnej płyty: KLIK - "Czysta instalacja", w najnowszych instalatorach Windows 10 zniesiono wymóg aktualizacji w/w metodą i jest autodetekcja klucza Windows 7: KLIK.

Skrypt wykonany. Te same kroki końcowe z DelFix do wykonania co poprzednio. Na dysku w katalogu "Moje dokumenty" są też zaszyfrowane śmieci, to już samodzielnie posprzątaj. Sugeruję jednak zrobić format dysku. I teraz kwestia zabezpieczeń: - Wtyczki Adobe Flash do aktualizacji. Poza tym, zaktualizowałeś już wprawdzie Adobe Reader, ale czy on naprawdę jest tu potrzebny? - Podawałam programy specjalizowane w zabezpieczeniach przed szyfratorami. Na dysku widać tylko pobrany CryptoMonitor, ale nie zainstalowany. Czy były jakieś przeszkody? Jeśli ta aplikacja stwarza problemy, to skorzystaj z CryptoPrevent. - Brak także jakiegokolwiek antywirusa. Dobierz z czołówki (nie z niszy) dowolnego darmowego lub komercyjnego, który Ci się podoba.

Skrypt do FRST. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: attrib -r -h -s C:\*.vvv /s CMD: attrib -r -h -s C:\how_recover* /s CMD: attrib -r -h -s D:\*.vvv /s CMD: attrib -r -h -s D:\how_recover* /s CMD: del /q /s C:\*.vvv CMD: del /q /s C:\how_recover* CMD: del /q /s D:\*.vvv CMD: del /q /s D:\how_recover* Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, przetwarzanie może trwać długo w zależności od liczebności śmieci. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Będzie ogromny, shostuj na jakiś zewnętrznym serwisie i podaj link do pliku.

Temat przenoszę do działu Windows. Problemy nie są wynikiem infekcji. Czyli mam rozumieć, że jedynym systemem jest Windows 7, a Linuksowy loader nie pełni tu żadnej ciekawej roli i ma być usunięty? Jeśli tak, to możesz skorzystać z EasyBCD do nadpisania rozruchu (edycja BCD + nadpisanie MBR). Prawdopodobnie chodzi o niekompatybilne urządzenie Conexant. Sterownik ten załączę do usuwania w skrypcie FRST. ==================== Wadliwe urządzenia w Menedżerze urządzeń ============= Name: Conexant 2388x Tuner (FM1216 MK3, 4 in 1) Description: Conexant 2388x Tuner (FM1216 MK3, 4 in 1) Class Guid: {4d36e96c-e325-11ce-bfc1-08002be10318} Manufacturer: Conexant Service: CXTUNE Problem: : The software for this device has been blocked from starting because it is known to have problems with Windows. Contact the hardware vendor for a new driver. (Code 48) Resolution: Download the latest drivers from the manufacturer, uninstall the current driver, and then install the latest drivers. Dziennik System: ============= Error: (12/09/2015 04:31:28 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Conexant 2388x Tuner z powodu następującego błędu: %%1275 Error: (12/09/2015 04:30:42 PM) (Source: Application Popup) (EventID: 875) (User: ) Description: Sterownik CX88TUNE_IBV32.sys został zablokowany dla ładowania. I jest tu ogólny problem ze starymi sterownikami. Przede wszystkim rzuca się w oczy stary rozbudowany AVG 2013 oraz przeterminowany inwazyjny sterownik sptd od Alcohola. Ale są i inne stare sterowniki Audials, RivaTuner, Sentinel. Ponadto, są błędy charakterystyczne dla przeterminowanych sterowników ATI: Dziennik System: ============= Error: (12/09/2015 04:30:54 PM) (Source: atikmdag) (EventID: 10261) (User: ) Description: Display is not active Error: (12/09/2015 04:30:54 PM) (Source: atikmdag) (EventID: 19468) (User: ) Description: CPLIB :: General - Invalid Parameter Z raportów nic nie wynika. Widać, że profil Firefox już był resetowany. Niemniej to stary Firefox 30, najnowszy dostępny to Firefox 42. Po prostu będzie reinstalacja przeglądarki. Czyli na razie takie operacje do wdrożenia: 1. Deinstalacje: ----> Odinstaluj via Panel sterowania stare wersje: Adobe Flash Player 10 ActiveX, Audials, AVG 2013, Java 7 Update 9, JavaFX 2.1.1, Mozilla Firefox 30.0 (x86 pl) + Mozilla Maintenance Service, Opera 12.02, RivaTuner v2.24 MSI Master Overclocking Arena 2009 edition, RockMelt, Sentinel Protection Installer 7.6.6. ----> Po normalnej deinstalacji AVG zastosuj jeszcze AVG Remover z poziomu Trybu awaryjnego Windows. 2. Instalacje: ----> Zainstaluj najnowszy Firefox. ----> Jeśli Alcohol nadal tu ma być, zaktualizuj sterownik sptd posługując się narzędziem SPTDinst. 3. Po wszystkich (de)instalacjach usunięcie sterownika Conexant oraz drobne czyszczenie wpisów pustych i Tempów nie powiązane ze zgłaszanymi problemami problemami. Patrz do spoilera. 4. Wyczyść Dzienniki zdarzeń, by nagrały się tylko bieżące błędy: Start > w polu szukania wklep eventvwr.msc > z prawokliku Uruchom jako Administrator > w sekcji Dzienniki systemu Windows z prawokliku wyczyść gałęzie Aplikacja i System. W sekcji Dzienniki aplikacji i usług > Microsoft > Windows > CodeIntegrity > z prawokliku opróżnij Operational. Po czyszczeniu zresetuj system. 5. Zrób nowy log FRST z opcji Skanuj (Scan), włącznie z Addition. Dołącz też plik fixlog.txt. Wypowiedz się czy po w/w operacjach są jakieś zmiany.

Sytuacja jest następująca: w systemie działa aktywnie adware Sound+, próbując rozwiązać problem doinstalowałeś śmieciarki wątpliwy program DLL-Files, a ponadto dramat z antywirusami, McAfee nie odinstalował się poprawnie i działa wspólnie z Kasperskym, co powinno owocować wydanym obniżeniem wydajności. Operacje do przeprowadzenia: 1. Deinstalacje: Z poziomu Trybu awaryjnego Windows uruchom specjalny czyściciel McAfee Consumer Product Removal Tool. Po skorzystaniu z niego opuść Tryb awaryjny. Przez Panel sterowania odinstaluj adware, stare wersje i zbędniki: Adobe AIR, Apple Software Update, Dll-Files Fixer, Lenovo Experience Improvement, Safari, Sound+ Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK 35 > Dalej. 2. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie adresy, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres awesomehp.com 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition i Shortcut.

Znowu miałeś problem z poprawnym przeklejeniem zawartości skryptu z posta do Notatnika, sklejone linie, wiele zadań się nie wykonało. Powtarzaj skrypt o takiej postaci, przejścia do nowej linii mają być identyczne w Notatniku: RemoveDirectory: C:\Documents and Settings\slawek\Ustawienia lokalne\Dane aplikacji\ycev CMD: attrib -s -h "C:\Documents and Settings\All Users\*.exe" CMD: del /q "C:\Documents and Settings\All Users\*.exe" CMD: del /q C:\DelFix.txt.vvv CMD: del /q C:\WINDOWS\mru.dat CMD: attrib -r -h -s C:\how_recover* /s CMD: attrib -r -h -s D:\how_recover* /s CMD: attrib -r -h -s E:\how_recover* /s CMD: attrib -r -h -s F:\how_recover* /s CMD: attrib -r -h -s G:\how_recover* /s CMD: attrib -r -h -s H:\how_recover* /s CMD: attrib -r -h -s I:\how_recover* /s CMD: attrib -r -h -s J:\how_recover* /s CMD: attrib -r -h -s K:\how_recover* /s CMD: del /q /s C:\how_recover* CMD: del /q /s D:\how_recover* CMD: del /q /s E:\how_recover* CMD: del /q /s F:\how_recover* CMD: del /q /s G:\how_recover* CMD: del /q /s H:\how_recover* CMD: del /q /s I:\how_recover* CMD: del /q /s J:\how_recover* CMD: del /q /s K:\how_recover* EmptyTemp: Dostarcz wynikowy fixlog.txt. Powinien być ogromny.

Miałeś tylko dostarczyć wyniki skanu AdwCleaner i nic za jego pomocą nie usuwać, a skorzystałeś z opcji Usuń. Druga sprawa, w momencie gdy usuwałam obiekty Firefox z dysku i rejestru był on odinstalowany, teraz jest zainstalowany ponownie - czy na pewno instalowałeś go po uruchomieniu skryptu FRST? W przeciwnym wypadku mój skrypt uszkodził nową instalację i trzeba ponownie reinstalować FF. Uruchom Zoek. W oknie wklej: swMSM;u [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}];r64 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM];r64 Klik w Run Script. Przedstaw wynikowy log zoek-results.txt (po zmianie nazwy z *.log).

Wszystko zrobione. Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu folder Stare dane programu Firefox. 2. Usuń drobny błąd WMI narzędziem Fix-it: KLIK. 3. Uruchom DelFix, oraz wyczyść foldery Przywracania systemu: KLIK.

Jeśli chodzi o Chrome, to nastąpiły zmiany od ostatniego raportu (w tym założenie kompletnie nowego profilu) i rzeczywiście nie ma już tych preferencji. Firefox zaś teraz wygląda OK, ten prefs.js z Pulpitu skasuj, do niczego już niepotrzebny. Wszystko zrobione. Kończymy: 1. Usuń drobny błąd WMI narzędziem Fix-it: KLIK. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

t6p, rzeczywiście nie zrozumiałam, że Ty ... nie zapłaciłeś nic, bo z dialogu to nie wynikało wprost (myślałam że ta stówka jednak poszła). Sytuacja kompletnie nie zrozumiała. Jesteś pewien, że to nie jest jakieś "demo" (tylko część plików odszyfrowana), a wszystkie odkodowane pliki działają? A skrypt podam jak będę mogła się zająć tym tematem dokładniej.

To jest ciągle ten sam komputer, tematy sklejam razem. I jest wysoce niepokojące, że nastąpił drugi nalot infekcji szyfrującej. Coś jest nieszczelne lub popełniono identyczny błąd jak wcześniej. Tym razem infekcja TeslaCrypt i zaszyfrowane kopie plików z rozszerzeniem .vvv. Owszem, infekcja nie jest już aktywna, ale nadal są ślady po jej pobycie, zarówno w rejestrze, jak i na dysku. Przeprowadź następujące operacje: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] HKU\S-1-5-21-790525478-484763869-839522115-1003\...\Run: [browserMe] => C:\Documents and Settings\slawek\Dane aplikacji\BrowserMe\ChromeUpdate.exe HKU\S-1-5-21-790525478-484763869-839522115-1003\...\Run: [a09b6bddd0] => C:\Documents and Settings\slawek\Dane aplikacji\a09b6bddd0\c09ec.exe HKU\S-1-5-21-790525478-484763869-839522115-1003\...\Policies\Explorer: [TaskbarNoNotification] 1 HKU\S-1-5-21-790525478-484763869-839522115-1003\...\Policies\Explorer: [HideSCAHealth] 1 RemoveDirectory: C:\Documents and Settings\slawek\Ustawienia lokalne\Dane aplikacji\ycev CMD: del /q C:\DelFix.txt.vvv CMD: attrib -h "C:\Documents and Settings\All Users\*.exe" CMD: attrib -h "C:\Documents and Settings\All Users\Dane aplikacji\@system3.att" CMD: del /q "C:\Documents and Settings\All Users\*.exe" CMD: del /q "C:\Documents and Settings\All Users\Dane aplikacji\@system3.att" CMD: del /q "C:\Documents and Settings\slawek\Dane aplikacji\wpulog.txt" CMD: attrib -r -h -s C:\how_recover* /s CMD: attrib -r -h -s D:\how_recover* /s CMD: attrib -r -h -s E:\how_recover* /s CMD: attrib -r -h -s F:\how_recover* /s CMD: attrib -r -h -s G:\how_recover* /s CMD: attrib -r -h -s H:\how_recover* /s CMD: attrib -r -h -s I:\how_recover* /s CMD: attrib -r -h -s J:\how_recover* /s CMD: attrib -r -h -s K:\how_recover* /s CMD: del /q /s C:\how_recover* CMD: del /q /s D:\how_recover* CMD: del /q /s E:\how_recover* CMD: del /q /s F:\how_recover* CMD: del /q /s G:\how_recover* CMD: del /q /s H:\how_recover* CMD: del /q /s I:\how_recover* CMD: del /q /s J:\how_recover* CMD: del /q /s K:\how_recover* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt - jeśli za duży do załącznika, shostuj gdzieś i podaj link. I opisz co to za komputer, czy podlega jakiejś sieci, co robiono w obu przypadkach wystąpienia infekcji.

No tak, ale wyłączenie które z podanych wpisów?

DelFix wykonał operację. Skasuj z dysku plik C:\delfix.txt.