picasso

W zakresie czyszczenia systemu skończyliśmy. Kroki końcowe: 1. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 2. Na wszelki wypadek zmień hasła logowania w ważnych serwisach (bank, poczta, serwisy społecznościowe,...).

Pomyliłam się i za późno zedytowałam post. Przywróć usunięty plik. Uruchom Shadow Explorer, wyszukaj poprzednią kopię pliku C:\Windows\system32\Drivers\Msft_User_WpdMtpDr_01_11_00.Wdf i wstaw go na miejsce.

Tylko się upewniałam. Czyli sprawa z urządzeniem rozwiązana. Teraz pod kątem usuwanych wcześniej odpadków adware: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

EDIT: Pomyłka. Już kończymy. Zastosuj DelFix i wyczyść foldery Przyracania systemu: KLIK.

FRST pokazuje, że pendrive jest ... kompletnie pusty. Czy na pewno przed usunięciem tego folderu "bez nazwy" skopiowałeś z niego osobiste pliki (o ile tam były)?

DelFix wykonał co należy. Skasuj z dysku plik C:\delfix.txt. To tyle.

1. W kwestii aktualizacji: - Czy był jakiś problem z instalacją IE8? Obecnie dziwne wyniki w logu: w nagłówku nadal figuruje stary IE6, choć widzę, że IE8 był definitywnie instalowany, bo nie dość że jest na liście Dodaj/Usuń, to jeszcze zmianie uległa konfiguracja IE. - Sugeruję odinstalować te stare wersje Microsoft .NET Framework 1.1 + Microsoft .NET Framework 1.1 Polish Language Pack. Nie wygląda na to, by w systemie był program korzystający z tej archaicznej wersji. 2. I mini sprzątanie wpisów odpadkowych i Tempów. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku S3 PCANDIS5; \??\C:\WINDOWS\system32\PCANDIS5.SYS [X] S3 ZDCndis5; \??\C:\WINDOWS\system32\ZDCndis5.SYS [X] RemoveDirectory: C:\Program Files\AVAST Software RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software RemoveDirectory: C:\Documents and Settings\Administrator\Dane aplikacji\TuneUp Software RemoveDirectory: C:\Documents and Settings\uzytkownik\Dane aplikacji\AVAST Software CMD: del /q "C:\Documents and Settings\Administrator\Pulpit\Recovery-Info.lnk" CMD: del /q "C:\Documents and Settings\Default User\Pulpit\Recovery-Info.lnk" CMD: del /q "C:\Documents and Settings\uzytkownik\Pulpit\Recovery-Info.lnk" CMD: del /q "C:\Documents and Settings\uzytkownik\Moje dokumenty\dokumenty\Moje wideo\Samples.lnk" CMD: del /q "C:\Documents and Settings\uzytkownik\Moje dokumenty\dokumenty\Moje obrazy\Samples.lnk" CMD: del /q "C:\Documents and Settings\uzytkownik\Moje dokumenty\dokumenty\Moja muzyka\Samples.lnk" CMD: del /q "C:\Documents and Settings\uzytkownik\Moje dokumenty\dokumenty\Mirka\koszty_sadowe_wzor_oswiadczenia.rtf.lnk" CMD: del /q "C:\Documents and Settings\uzytkownik\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK" CMD: del /q C:\WINDOWS\avastSS.scr EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są mi potrzebne.

Fixlog wskazuje, że wszystkie akcje pomślnie się wykonały na pendrive. Skoro USBFix nie potrafi się teraz uruchomić, to skrypt FRST może pokazać jak wygląda stan obecny na urządzeniu. Otwórz Notatnik i wklej w nim: Folder: F:\ Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Infekcja i inne śmieci pomyślnie usunięte. A ten aktualizator Dropbox zniknął, więc było tu robione coś innego w międzyczasie. Drobna poprawka. Otwórz Notatnik i wklej w nim: SearchScopes: HKU\S-1-5-21-3357052344-2897467679-35886000-1000 -> DefaultScope {20FE0224-0B8D-4dda-831B-1D68AE34EDA5} URL = S3 ServiceLayer; "C:\Program Files\PC Connectivity Solution\ServiceLayer.exe" [X] DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są mi już potrzebne.

Fix wykonany. Usuń E:\frst, następnie zastosuj DelFix. I czekam na rezultaty skanu Avast.

FRST wyłożył się na trzeciej linii. Zrób nowy plik fixlist.txt o następującej zawartości: Task: {B64580E1-57F8-4026-ACA1-112BF407B04F} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe HKLM\...\Run: [HotKeysCmds] => "C:\Windows\system32\hkcmd.exe" HKLM\...\Run: [Persistence] => "C:\Windows\system32\igfxpers.exe" Winlogon\Notify\igfxcui: igfxdev.dll [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku HKU\S-1-5-21-4134787551-50801924-3381626645-1001\...\MountPoints2: {abb61e54-98f6-11e5-8256-fcf8ae81f465} - "F:\setup.exe" HKU\S-1-5-21-4134787551-50801924-3381626645-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://mysearch.avg.com/?cid={0DFA5C8B-B685-4263-BB29-A1F22364053A}&mid=43521402920247cca1e38b65c6f77b90-0e63e861cb6db927d55939c5eb453110af0d6a2b&lang=en&ds=AVG&coid=avgtbavg&cmpid=0615piz&pr=fr&d=2015-12-06 12:07:06&v=4.1.8.599&pid=wtu&sg=&sap=hp SearchScopes: HKU\S-1-5-21-4134787551-50801924-3381626645-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-4134787551-50801924-3381626645-1001 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={0DFA5C8B-B685-4263-BB29-A1F22364053A}&mid=43521402920247cca1e38b65c6f77b90-0e63e861cb6db927d55939c5eb453110af0d6a2b&lang=en&ds=AVG&coid=avgtbavg&cmpid=0615piz&pr=fr&d=2015-12-06 12:07:06&v=4.1.8.599&pid=wtu&sg=&sap=dsp&q={searchTerms} BHO: Brak nazwy -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> Brak pliku CHR HKU\S-1-5-21-4134787551-50801924-3381626645-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx FirewallRules: [{13F460CA-6EAB-40EF-93F3-918C3C46677E}] => (Allow) I:\Aktywator systemu Windows 8.1\AutoPico.exe FirewallRules: [{30E9F2FE-92CE-4BD4-B6D3-EF6E94DC879A}] => (Allow) I:\Aktywator systemu Windows 8.1\AutoPico.exe RemoveDirectory: C:\Program Files\AVAST Software RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\ProgramData\AVG Security Toolbar RemoveDirectory: C:\Users\Wojtas\AppData\Roaming\TuneUp Software CMD: del /q C:\Users\Wojtas\Downloads\dqqlzf3w.exe CMD: del /q C:\Windows\system32\Drivers\Msft_User_WpdMtpDr_01_11_00.Wdf EmptyTemp: Skrypt uruchom z poziomu Trybu awaryjnego Windows i dostarcz wynikowy fixlog.txt.

Na wszelki wypadek pokaż nowe raporty FRST zrobione po tych aktualizacjach. Hasło do poczty było już zmieniane, więc nie sądzę, by trzeba było to powtarzać po raz kolejny.

Sprawdź czy na dysku powstał plik fixlog.txt z częściowo nagranymi akcjami, by było wiadome gdzie się wyłożył FRST.

DelFix wykonał zadanie. Skasuj plik C:\delfix.txt z dysku. To tyle.

Chodzi o to, by ten plik był zapisany w tym samym folderze skąd uruchamiasz FRST, czyli w tym przypadku w C:\Users\Pawel\Downloads.

Wszystko wykonane. Kolejna porcja czynności: 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Opera RemoveDirectory: C:\Users\Beata\AppData\Local\Opera Software RemoveDirectory: C:\Users\Beata\AppData\Roaming\Opera Software Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. 2. Logi FRST są zbyt ograniczone pod kątem tej infekcji. Robak Brontok tworzy w mnóstwie katalogów fałszywki - pliki infekcji o nazwie folderu w którym się znajdują - a przypadkowe uruchomienie takiego pliku przywróci infekcję. Zainstalowałeś co dopiero Avast, toteż przeprowadź za jego pomocą pełne skanowanie obu dysków.

DelFix wykonał zadanie - możesz skasować z dysku plik C:\delfix.txt. I czekam na rezultaty aktualizacji do Windows 10.

Tak, kończymy. Wiadomy przyklejony temat do obskoczenia.

Poprawki na wpisy odpadkowe. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 wfdrvr_vw_1_10_0_28; system32\drivers\wfdrvr_vw_1_10_0_28.sys [X] Task: {B64580E1-57F8-4026-ACA1-112BF407B04F} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe HKLM\...\Run: [HotKeysCmds] => "C:\Windows\system32\hkcmd.exe" HKLM\...\Run: [Persistence] => "C:\Windows\system32\igfxpers.exe" Winlogon\Notify\igfxcui: igfxdev.dll [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku HKU\S-1-5-21-4134787551-50801924-3381626645-1001\...\MountPoints2: {abb61e54-98f6-11e5-8256-fcf8ae81f465} - "F:\setup.exe" HKU\S-1-5-21-4134787551-50801924-3381626645-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://mysearch.avg.com/?cid={0DFA5C8B-B685-4263-BB29-A1F22364053A}&mid=43521402920247cca1e38b65c6f77b90-0e63e861cb6db927d55939c5eb453110af0d6a2b&lang=en&ds=AVG&coid=avgtbavg&cmpid=0615piz&pr=fr&d=2015-12-06 12:07:06&v=4.1.8.599&pid=wtu&sg=&sap=hp SearchScopes: HKU\S-1-5-21-4134787551-50801924-3381626645-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-4134787551-50801924-3381626645-1001 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={0DFA5C8B-B685-4263-BB29-A1F22364053A}&mid=43521402920247cca1e38b65c6f77b90-0e63e861cb6db927d55939c5eb453110af0d6a2b&lang=en&ds=AVG&coid=avgtbavg&cmpid=0615piz&pr=fr&d=2015-12-06 12:07:06&v=4.1.8.599&pid=wtu&sg=&sap=dsp&q={searchTerms} BHO: Brak nazwy -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> Brak pliku CHR HKU\S-1-5-21-4134787551-50801924-3381626645-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx RemoveDirectory: C:\Program Files\AVAST Software RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\ProgramData\AVG Security Toolbar RemoveDirectory: C:\Users\Wojtas\AppData\Roaming\TuneUp Software CMD: del /q C:\Users\Wojtas\Downloads\dqqlzf3w.exe CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są mi potrzebne.

Samoczynne uruchamianie komputera to raczej sprawa spoza infekcji: - Jeśli to jest samoczynne włączanie wyłączonego uprzednio komputera, to powinna być kwestia ustawień w BIOS typu "Wakeup on..." lub ewentualnie problem z zasilaczem. - Jeśli masz na myśli zaś automatyczny restart, to już inna sprawa. Natomiast system jest poważnie zainfekowany - grasuje robak Brontok. Poza tym, są drobne odpadki po instalacjach adware. Pod kątem usuwania infekcji i wpisów pustych: 1.Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S1 {72502b1b-b916-4994-814e-c516f9f681b2}Gw64; system32\drivers\{72502b1b-b916-4994-814e-c516f9f681b2}Gw64.sys [X] S1 {8f5b8fd1-2f96-4fbf-974b-7f28fa0f93d7}Gw64; system32\drivers\{8f5b8fd1-2f96-4fbf-974b-7f28fa0f93d7}Gw64.sys [X] S1 {97a224e4-fe41-4078-b1ef-069fe8cd6d9f}Gw64; system32\drivers\{97a224e4-fe41-4078-b1ef-069fe8cd6d9f}Gw64.sys [X] S1 {c9a465a5-420c-4acc-b1be-3ac71ae80fda}Gw64; system32\drivers\{c9a465a5-420c-4acc-b1be-3ac71ae80fda}Gw64.sys [X] Startup: C:\Users\Beata\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif [2009-11-04] () AlternateShell: cmd-brontok.exe HKLM-x32\...\Run: [systemExplorerAutoStart] => "C:\Program Files (x86)\System Explorer\SystemExplorer.exe" /TRAY HKLM-x32\...\Run: [bron-Spizaetus] => "C:\Windows\ShellNew\RakyatKelaparan.exe" HKLM-x32\...\Winlogon: [shell] Explorer.exe "C:\Windows\KesenjanganSosial.exe" [ ] () HKU\S-1-5-21-4157021316-3100553387-2668696667-1000\...\Run: [Tok-Cirrhatus-2256] => C:\Users\Beata\AppData\Local\br5535on.exe [44420 2009-11-04] () HKU\S-1-5-21-4157021316-3100553387-2668696667-1000\...\Run: [Tok-Cirrhatus] => 0 HKU\S-1-5-21-4157021316-3100553387-2668696667-1000\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-4157021316-3100553387-2668696667-1000\...\Policies\Explorer: [NoFolderOptions] 1 HKU\S-1-5-21-4157021316-3100553387-2668696667-1000\...\MountPoints2: {f0e57908-f3da-11e4-b235-002622e70366} - F:\LGAutoRun.exe Task: {0045589B-13E3-4574-99FB-0EC29B1FD46C} - System32\Tasks\{7CD522BC-2897-48F8-A9C7-12F8FFF121A2} => pcalua.exe -a "H:\Data MAŁGORZATA.exe" -d H:\ Task: {2729DB03-AE6F-4DD3-B3B1-A85353914AAD} - System32\Tasks\{0C8C9B50-59B8-461F-A8ED-26AF0FDA5B07} => pcalua.exe -a "C:\Program Files (x86)\Crypto1Tech\CryptoCard\InstallCACerts.exe" -d "C:\Program Files (x86)\Crypto1Tech\CryptoCard" Task: {B698B6DC-669A-4B4F-BE3E-B89CBC22049E} - System32\Tasks\{D64AD22E-1A7A-4513-ABDF-8DBD13B34F2E} => pcalua.exe -a C:\Users\Beata\Documents\Zdjęcia\POLONUS\zdj¦Öcia\FW__[Fwd__]\FW__[Fwd__].exe -d C:\Users\Beata\Documents\Zdjęcia\POLONUS\zdj¦Öcia\FW__[Fwd__] Winlogon\Notify\ScCertProp: wlnotify.dll [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com SearchScopes: HKU\S-1-5-21-4157021316-3100553387-2668696667-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mała Księgowość Rzeczpospolitej\Struktury danych osobowych.lnk C:\Users\Beata\AppData\Local\br5535on.exe C:\Users\Beata\AppData\Local\Bron.tok.A16.em.bin C:\Users\Beata\AppData\Local\csrss.exe C:\Users\Beata\AppData\Local\inetinfo.exe C:\Users\Beata\AppData\Local\Kosong.Bron.Tok.txt C:\Users\Beata\AppData\Local\lsass.exe C:\Users\Beata\AppData\Local\services.exe C:\Users\Beata\AppData\Local\smss.exe C:\Users\Beata\AppData\Local\winlogon.exe C:\Users\Beata\AppData\Local\Microsoft\Windows\GameExplorer\{77B86D48-539C-4972-A0F0-86F193C9107B} C:\Users\Beata\AppData\Roaming\Nico Mak Computing C:\Users\Beata\Desktop\Podręcznik Użytkownika.lnk C:\Users\Beata\Downloads\Microsoft Product Key Finder 1.exe C:\Users\Beata\Downloads\SpyHunter-Installer.exe C:\Windows\KesenjanganSosial.exe C:\Windows\ShellNew\RakyatKelaparan.exe CMD: for /d %f in (C:\Users\Beata\AppData\Local\*bron*) do rd /s /q "%f" Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Odinstaluj stare wersje: EPUAP SignPlugin for Chrome, Java 8 Update 45. Google Chrome nie powinno akceptować tej instalacji EPUAP. Obecnie jest możliwa instalacja tylko tych rozszerzeń, które są hostowane w Chrome Web Store. 3. Uruchom narzędzie Fix-it likwidujące drobny błąd WMI: KLIK. 4. Wyczyść Dzienniki zdarzeń: Start > w polu szukania wklep eventvwr.msc > rozwiń Dzienniki systemu Windows i z prawokliku wyczyść gałęzie Aplikacja i System. Po akcji zresetuj system. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Po prostu usunę z listy zainstalowanych ten klucz Photoshopa. Ostatnie poprawki. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{74EB3499-8B95-4B5C-96EB-7B342F3FD0C6} DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins HKU\S-1-5-21-1440869918-637336674-2589777491-1001\...\Policies\Explorer: [] ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files\Corel RemoveDirectory: C:\Program Files (x86)\Java RemoveDirectory: C:\ProgramData\Oracle RemoveDirectory: C:\ProgramData\Sun RemoveDirectory: C:\Users\Natalia\.oracle_jre_usage RemoveDirectory: C:\Users\Natalia\AppData\Roaming\Sun CMD: del /q "C:\Users\Natalia\Links\GG dysk*.lnk" CMD: del /q "C:\Users\Natalia\Favorites\GG dysk*.lnk" CMD: del /q C:\Windows\SysWOW64\deployJava1.dll CMD: netsh advfirewall reset EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Pokaż wynikowy fixlog.txt. Nowe skany FRST nie są mi potrzebne.

Na koniec usuń folder C:\Users\Pawel\Desktop\logi\FRST. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Wymazałam z Twojego posta podkreślenie wstawione przez adware. Reklamy produkuje adware WordFly. Przypuszczalna droga nabycia to portalowy "downloader": KLIK. Operacje do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj zbędny AVG Web TuneUp oraz WordFly 1.10.0.28. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut.

Jeśli zdecydujesz się na uiszczenie opłaty, to daj znać czy otrzymałeś poprawny klucz dekodujący. Po ewentualnym odkodowaniu plików i tak sugeruję sformatować dysk C. Dodatkowo, polecam wyposażyć się w jeden z tych programów do zabezpieczeń przed szyfratorami: KLIK.

Wszystko pomyślnie przetworzone. Kończymy: 1. Skasuj folder C:\Program Files (x86)\Opera oraz pobrany GMER. 2. Zastosuj DelFix, następnie wyczyść foldery Przywracania systemu: KLIK.