picasso

Po prostu usuń ręcznie poniższe foldery + co tam jeszcze widzisz na dysku. C:\Program Files\Malwarebytes Anti-Malware C:\ProgramData\Malwarebytes Narzędzia wykonały zadanie. Skasuj plik C:\delfix.txt.

Widzę adware w Firefox oraz szkodliwe zadanie w Harmonogramie zadań. Poza tym, do uprzątnięcia śmieci po aktualizacji Windows 7 > Windows 10 i szczątki Google Chrome oraz Opery. Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {035D6AB1-DC8C-4D67-9CF9-5DCE7E0387FA} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {0A394801-19D3-4715-A323-3B0990DE6106} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {0D70F1F7-8F7A-4F75-91D5-E59D2DA3BF34} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {0EC8D4FC-8D80-43B0-B4B8-73DEF9BC9AA0} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {0FACC785-4059-4998-B0F7-1AAFAA5E4C65} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {15521E50-A16B-4382-894B-11975BCDD744} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {1F2EDF92-EA41-456E-8C27-DD95D2F40854} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {2375E01A-8C55-4B80-8C63-33A29BC86D55} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {251DF3B5-CEAD-44A3-82E9-D56C783BA1B8} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {27F51064-1243-4730-B0EF-710912A4341C} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {2821E0D1-4168-442C-9C57-1ACA7600BB35} - System32\Tasks\XPZAD => Rundll32.exe "C:\Windows\SysWOW64\ko-KRV.dll",Ticorreaby Task: {28F2296C-89F4-46BF-B517-C74E97C7F175} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {2AF6B35B-F81F-4AB6-9FD8-F9CCBD87D941} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {2C15334C-B4A2-4022-9995-B896AE6B94F4} - \Microsoft\Windows\File Classification Infrastructure\Property Definition Sync -> Brak pliku Task: {3071BFD8-8B68-4DBB-B19D-41DA378D9838} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {34A442D9-D62B-4028-9CAC-23ECECB43A1E} - System32\Tasks\{FA99A525-CAE4-4E1E-8855-77F9917B493B} => C:\Program Files (x86)\Verbindungsassistent\Verbindungsassistent.exe Task: {3A0BC6C5-D737-4DF5-ACCF-9570FD0E6124} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {440446B4-2DEE-4B2E-9972-3E9929ECD746} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {4EBD2D4A-8B8A-469E-A3D3-DAF499153915} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {61E815B3-9DEC-4B5F-9C55-C276E63F1CEE} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {675F4A30-A7D0-43C5-BA29-3FF7400C09FC} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {677978DD-C171-480A-A88F-F60282A6A391} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {6AA45898-3DCD-46C7-B452-B46FBA8C6FD9} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {746938E4-B57D-4BBB-B43C-5C57180363CE} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {7E6456BC-324D-424E-BE76-988C36AFA615} - System32\Tasks\{183C17B4-52D1-4661-BBBA-78D712C085BA} => C:\Program Files (x86)\Gadu-Gadu 10\gg.exe Task: {809B4B14-8500-4F18-8676-9C1BD0350FBF} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {8160329D-73D5-4BE1-AD0E-EE06A941A636} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {8372FDB9-878D-43E3-97B9-7337C54F9AE3} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {86C432CA-D8BC-4046-A6B8-0790D5431187} - System32\Tasks\{530FC416-7A33-47D1-AB13-5A5350B6F349} => Firefox.exe hxxp://ui.skype.com/ui/0/7.2.60.103/pl/abandoninstall?page=tsBing Task: {8A803887-8D3C-4DBA-9F48-5A82CA4AD052} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {8D85B6BE-18E1-4983-845C-96F7EEDD0E55} - System32\Tasks\{58289253-C6F0-41AD-B755-CB8422BB81D3} => pcalua.exe -a "C:\Program Files (x86)\EPSON\TPMANUAL\ESCX3600\REF_G\DOCUNINS.EXE" Task: {94FA0432-5102-4B8B-8E62-B04E5610FC21} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {9FE501E1-1E87-466F-95AB-0D29A6B61C38} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {A30678A2-C1F2-46D0-BD44-2639ECCB8427} - System32\Tasks\SONY\VAIO Wallpaper Setting Tool\VAIO Wallpaper Setting Tool => C:\Program Files (x86)\Sony\VAIO Wallpaper Setting Tool\VWSet.exe Task: {B1AF5E3B-428A-4450-B014-471365233ED9} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {C8E36C1A-EF64-41AA-8F88-2E4395940920} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {C98C691B-EC45-47A5-971D-97458FE1799F} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {E16E0014-C6AB-4941-94A0-619B1B305B0F} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {E59EFAC4-D3F5-4933-B403-E363CE6C751E} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {E82E2BCF-C984-468F-BFE3-5E48988B0CD6} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {E96A0A2C-7DD0-4C10-BFA4-02D15CD43F6B} - System32\Tasks\{B3C781EB-E7CC-4FE9-A17F-921327B2C48F} => C:\Program Files (x86)\Verbindungsassistent\Verbindungsassistent.exe Task: {F0FA8663-5AD4-4D9C-8E61-BC82A2C626EB} - System32\Tasks\{9CF5C5BD-B3B0-406B-9E85-8789A5D439E7} => pcalua.exe -a C:\Users\Krysia\Downloads\ArcabitSetup.exe -d C:\Users\Krysia\Downloads Task: {F2957529-342A-40F8-807C-2DF4FA21DCF9} - System32\Tasks\{44BF006F-1B1F-4450-B9DD-4951DCF78AAC} => Chrome.exe hxxp://ui.skype.com/ui/0/5.3.0.111/pl/abandoninstall?page=tsMain&installinfo=google-toolbar:notoffered;ienotdefaultbrowser2,google-chrome:notoffered;ienotdefaultbrowser2 Task: {FEF24019-2CE4-4DF9-A82A-7F3904F55E21} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: C:\WINDOWS\Tasks\XPZAD.job => C:\Windows\system32\rundll32.exe C:\Windows\SysWOW64\ko-KRV.dll DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center U3 aspnet_state; Brak ImagePath U3 wpcsvc; Brak ImagePath FF Plugin-x32: @java.com/JavaPlugin -> C:\Program Files (x86)\Java\jre1.8.0_31\bin\new_plugin\npjp2.dll [brak pliku] FF Plugin-x32: @mcafee.com/McAfeeMssPlugin -> C:\Program Files\Sony\MSS\3.8.141\npMcAfeeMss.dll [2014-01-16] (McAfee, Inc.) FF Plugin-x32: @videolan.org/vlc,version=2.1.2 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [brak pliku] FF Plugin-x32: @videolan.org/vlc,version=2.1.3 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [brak pliku] GroupPolicyScripts: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3786683809-2932000025-4008158028-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-3786683809-2932000025-4008158028-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch C:\Program Files\Sony\MSS C:\Program Files (x86)\GUTC7B8.tmp C:\Program Files (x86)\Google\Chrome C:\ProgramData\f43a0a22-b5b9-43e4-9c6f-705bf4e40c7b C:\Users\Krysia\AppData\Local\{A1289CC3-DCFF-49B8-A170-0C4991D659E9} C:\Users\Krysia\AppData\Local\Google\Chrome C:\Users\Krysia\AppData\Local\Opera Software C:\Users\Krysia\AppData\Roaming\Opera Software C:\Windows\ehome C:\Windows\System32\Tasks\Microsoft\Windows\Media Center C:\Windows\SysWOW64\ko-KRV.dll Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKCU\Software\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKCU\Software\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: del /q C:\AdwCleaner*.txt CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problem nadal występuje.

Ograniczam się tylko do podstawowych ingerencji, stąd opuszczam masowe usuwanie plików "how_recover". Akcje wstępne do wykonania: 1. Odinstaluj SpyHunter 4, uTorrentControl2 Toolbar, WinThruster, YAC(Yet Another Cleaner!). YAC jest bardzo inwazyjny i może utrudnić operacje. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: HKU\S-1-5-21-4176386080-2144407497-1899277294-1001\...\Run: [fgdh4563] => C:\Users\Julka\AppData\Roaming\xffue-a.exe [331776 2015-11-18] () HKLM-x32\...\Run: [fgdh4563] => C:\Users\Julka\AppData\Roaming\xffue-a.exe [331776 2015-11-18] () HKLM-x32\...\Run: [] => [X] HKLM\...\Run: [PopularScreensavers Home Page Guard 64 bit] => "C:\PROGRA~2\POPULA~2\bar\1.bin\AppIntegrator64.exe" Startup: C:\Users\Julka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_how_recover_moe.HTML [2015-11-19] () Startup: C:\Users\Julka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_how_recover_moe.TXT [2015-11-19] () Task: {94C61E71-06F2-469E-88BD-298D56CAC2C7} - System32\Tasks\ghokswaBrowserUpdateUA => C:\Program Files (x86)\ghokswa Browser\ghokswa\bin\browserServer.exe [2015-10-20] () Task: {A4D461FF-94E3-42DB-A797-4DC786B93C17} - System32\Tasks\ghokswaBrowserUpdateCore => C:\Program Files (x86)\ghokswa Browser\ghokswa\bin\browserServer.exe [2015-10-20] () S2 browserServer_2015.08.27.11.31.05; C:\Program Files (x86)\ghokswa Browser\ghokswa\bin\browserServer.exe [362208 2015-10-20] () R0 pavboot; C:\Windows\System32\drivers\pavboot64.sys [33800 2009-06-30] (Panda Security, S.L.) S3 cpuz134; \??\C:\Users\Julka\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X] S3 iSafeKrnlBoot; system32\DRIVERS\iSafeKrnlBoot.sys [X] S1 {90280f97-bcf9-4f01-b773-3eeda0515e95}Gw64; system32\drivers\{90280f97-bcf9-4f01-b773-3eeda0515e95}Gw64.sys [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.v9.com?type=hp&ts=1441000773&from=mych123&uid=hitachixhts725050a9a364_110228pck404glh04xwjx&z=789c91bd0847027c3eb99a8g1zez9g1e1efeetacdo HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.v9.com?type=hp&ts=1441000773&from=mych123&uid=hitachixhts725050a9a364_110228pck404glh04xwjx&z=789c91bd0847027c3eb99a8g1zez9g1e1efeetacdo HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.v9.com?type=hp&ts=1441000773&from=mych123&uid=hitachixhts725050a9a364_110228pck404glh04xwjx&z=789c91bd0847027c3eb99a8g1zez9g1e1efeetacdo HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.v9.com?type=hp&ts=1441000773&from=mych123&uid=hitachixhts725050a9a364_110228pck404glh04xwjx&z=789c91bd0847027c3eb99a8g1zez9g1e1efeetacdo HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-4176386080-2144407497-1899277294-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.v9.com/?type=hp&ts=1441000773&from=mych123&uid=hitachixhts725050a9a364_110228pck404glh04xwjx&z=789c91bd0847027c3eb99a8g1zez9g1e1efeetacdo HKU\S-1-5-21-4176386080-2144407497-1899277294-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.v9.com?type=hp&ts=1441000773&from=mych123&uid=hitachixhts725050a9a364_110228pck404glh04xwjx&z=789c91bd0847027c3eb99a8g1zez9g1e1efeetacdo SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1441000773&from=zzgbkk123&uid=hitachixhts725050a9a364_110228pck404glh04xwjx&z=789c91bd0847027c3eb99a8g1zez9g1e1efeetacdo&q={searchTerms} SearchScopes: HKLM-x32 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxp://startsear.ch/?aff=1&src=sp&cf=11708afd-eac7-11e0-a1b0-2c27d7a5566a&q={searchTerms} SearchScopes: HKU\S-1-5-21-4176386080-2144407497-1899277294-1001 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1441000773&from=zzgbkk123&uid=hitachixhts725050a9a364_110228pck404glh04xwjx&z=789c91bd0847027c3eb99a8g1zez9g1e1efeetacdo&q={searchTerms} SearchScopes: HKU\S-1-5-21-4176386080-2144407497-1899277294-1001 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1441000773&from=zzgbkk123&uid=hitachixhts725050a9a364_110228pck404glh04xwjx&z=789c91bd0847027c3eb99a8g1zez9g1e1efeetacdo&q={searchTerms} SearchScopes: HKU\S-1-5-21-4176386080-2144407497-1899277294-1001 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = SearchScopes: HKU\S-1-5-21-4176386080-2144407497-1899277294-1001 -> {d43b3890-80c7-4010-a95d-1e77b5924dc3} URL = BHO-x32: Brak nazwy -> {b6d2ec49-14f2-c18a-896a-d4ca7857cc1a} -> Brak pliku Toolbar: HKU\S-1-5-21-4176386080-2144407497-1899277294-1001 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - Brak pliku FF NewTab: chrome://quick_start/content/index.html FF DefaultSearchEngine: delta-homes FF SelectedSearchEngine: delta-homes FF Homepage: hxxp://www.delta-homes.com/?type=hp&ts=1430819501&from=wpm05053&uid=HitachiXHTS725050A9A364_110228PCK404GLH04XWJX FF Plugin HKU\S-1-5-21-4176386080-2144407497-1899277294-1001: @lightspark.github.com/Lightspark;version=1 -> C:\Program Files (x86)\Lightspark 0.5.3-git\nplightsparkplugin.dll [brak pliku] FF SearchPlugin: C:\Users\Julka\AppData\Roaming\Mozilla\Firefox\Profiles\yyu7xbvz.default-1413487133669\searchplugins\delta-homes.xml [2015-11-12] FF SearchPlugin: C:\Users\Julka\AppData\Roaming\Mozilla\Firefox\Profiles\yyu7xbvz.default-1413487133669\searchplugins\_how_recover_moe.HTML [2015-11-19] FF SearchPlugin: C:\Users\Julka\AppData\Roaming\Mozilla\Firefox\Profiles\yyu7xbvz.default-1413487133669\searchplugins\_how_recover_moe.TXT [2015-11-19] CHR HomePage: Default -> hxxp://www.delta-homes.com/?type=hp&ts=1430819501&from=wpm05053&uid=HitachiXHTS725050A9A364_110228PCK404GLH04XWJX CHR StartupUrls: Default -> "hxxp://www.delta-homes.com/?type=hp&ts=1430819501&from=wpm05053&uid=HitachiXHTS725050A9A364_110228PCK404GLH04XWJX" CHR DefaultSearchURL: Default -> hxxp://search.delta-homes.com/web/?type=ds&ts=1430819501&from=wpm05053&uid=HitachiXHTS725050A9A364_110228PCK404GLH04XWJX&q={searchTerms} CHR DefaultSearchKeyword: Default -> delta-homes AlternateDataStreams: C:\Users\Julka\Local Settings:init C:\Program Files (x86)\Mozilla Firefoxavg-secure-search.xml C:\Program Files (x86)\SSFK.exe C:\Program Files (x86)\ghokswa Browser C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8} C:\ProgramData\Temp C:\Users\Julka\xobglu16.dll C:\Users\Julka\xobglu32.dll C:\Users\Julka\AppData\Local\70149b02515b3bb20dd492.47983420 C:\Users\Julka\AppData\Local\8546 C:\Users\Julka\AppData\Local\Chromium C:\Users\Julka\AppData\Local\CRE C:\Users\Julka\AppData\Local\fabulous_09111903 C:\Users\Julka\AppData\Local\ghokswa C:\Users\Julka\AppData\Roaming\xffue-a.exe C:\Users\Julka\AppData\Roaming\E0F416BD-1428165423-D85B-F0AC-2C27D7A5566A C:\Users\Julka\AppData\Roaming\Godeb C:\Users\Julka\AppData\Roaming\Hoolapp Packages C:\Users\Julka\AppData\Roaming\Kiehve C:\Users\Julka\AppData\Roaming\wi_upd C:\Users\Julka\AppData\Roaming\Xuerw C:\Users\Julka\AppData\Roaming\Yzda C:\Users\Julka\Downloads\File.Downloader__9581_il196.exe C:\Users\Julka\Downloads\Spyhunter-4.5.7.3531-Key-Generator.rar.ccc C:\Users\Julka\Downloads\SpyHunter-Installer.exe C:\Users\Public\Documents\ghokswa C:\Windows\System32\drivers\pavboot64.sys CMD: for /d %f in (C:\Users\Julka\AppData\Local\{*}) do rd /s /q "%f" Reg: reg delete HKCU\Software\Classes\ghokswaHTM /f Reg: reg delete HKCU\Software\ghokswa /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Clients\StartMenuInternet\ghokswa /f Reg: reg delete HKLM\SOFTWARE\RegisteredApplications /v ghokswa /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\ghokswa /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SpyHunter 4 Service" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\facemoods" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Default Manager" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vProt" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition i Shortcut (poprzednio zabrakło go). Dołącz też plik fixlog.txt.

To już nieaktualne. Fix FRST miał zaplanowane usuwanie tego. Tym zajmiemy się potem. Problemem jest profil Firefox na dysku, deinstalacja go nie usuwa. Jesteśmy w połowie zadań. Fix FRST usunął wszystko co zadałam (włącznie z odmontowaniem filtra z voluminu). RepairDNS zgodnie z przypuszczeniem wykrył infekcję 64-bitowego pliku dnsapi.dll i ponoć ją naprawił. To trzeba będzie sprawdzić. Nadal jednak brakuje pliku 32-bitowego na dysku. Poza tym, z dwóch szkodliwych rekodów DNS wstawionych przez DNS Unlocker pozostał nadal jeden. Kolejna porcja czynności: 1. Utwórz nowy profil Firefox. Klawisz z flagą Windows + X > Uruchom > wklej komendę i ENTER: "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -p W menedżerze profilów Firefox załóż nowy profil i ustaw go jako domyślny, następnie stary profil usuń (usunie to zakładki i hasła). 2. Wykonaj pełną weryfikację plików systemowych. Klawisz z flagą Windows + X > Wiersz polecenia (administrator) > wklep komendę i ENTER: sfc /scannow Wyniki tej komendy wydrukuję sobie w skanie FRST. 3. Powtórz tę akcję, bo coś pominięte, że został jeden wpis: 4. Otwórz Notatnik i wklej w nim: S1 bsdriver; \??\C:\WINDOWS\system32\drivers\bsdriver.sys [X] HKLM-x32\...\Run: [gmsd_pl_005010146] => [X] HKLM-x32\...\Run: [gmsd_pl_005010149] => [X] HKU\S-1-5-21-1042416182-98707671-1076778749-1000\...\MountPoints2: {c03742cd-66a9-11e5-8d6d-f82fa8d23a24} - "G:\h3_setup.exe" SearchScopes: HKU\S-1-5-21-1042416182-98707671-1076778749-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1426072391&from=smt&uid=ST500LT012-1DG142_S3P0Z5QAXXXXS3P0Z5QA&q={searchTerms} Task: {299466FC-EA1A-4AF6-BC8A-DECB2F3610A5} - System32\Tasks\{6521BC9B-25EB-4D51-A42B-B8BD30A53809} => c:\windows\system32\launchwinapp.exe [2015-07-10] (Microsoft Corporation) Task: {C3690784-FB85-4257-9E0D-CC5714DA433B} - System32\Tasks\{70639A9C-2AA5-4F94-B2CC-69D24D97AF2A} => c:\windows\system32\launchwinapp.exe [2015-07-10] (Microsoft Corporation) C:\Program Files (x86)\Feed Notifier CMD: ipconfig /flushdns CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie kolejny fixlog.txt. 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Kurde, a brałam to pod uwagę ze względu na to, że to najnowsze rozszerzenie i jako jedyne mające reinstalatory na poziomie rejestru (czyli musiało być instalowane w innej paczce a nie bezpośrednio). Zmyliło mnie to, że jest hostowane w Chrome Web Store i nic jawnego w nim nie mogłam się doszukać. Zakładam, że rozszerzenie odinstalowałeś, czyli usuń jeszcze powiązane wpisy rejestru: 1. Otwórz Notatnik i wklej w nim: CHR HKLM\...\Chrome\Extension: [jdiejbegdjikmehflknhkbieocmnogcf] - C:\Users\Adiorz\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdiejbegdjikmehflknhkbieocmnogcf.crx [2015-11-07] CHR HKLM-x32\...\Chrome\Extension: [jdiejbegdjikmehflknhkbieocmnogcf] - C:\Users\Adiorz\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdiejbegdjikmehflknhkbieocmnogcf.crx [2015-11-07] Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz Comodo na czas akcji.. Uruchom FRST i kliknij w Napraw (Fix). Pokaż wynikowy fixlog.txt. 2. Dla pewności zrób nowy log z FRST (bez Shortcut i Addition) prezentujący wygląd przeglądarki Chrome po akcjach. Szczerze wątpię. To typ adware.

Zostały zaszyfrowane pliki w następujących ścieżkach (licząc też "w dół"): Najbardziej poszkodowane zdają się być programy firmy Autodesk oraz ArchiCAD. Możemy usunąć z dysku C wszystkie zaszyfrowane kopie, a określone programy z widocznymi ubytkami po prostu potem przeinstalujesz (szczególnie Autodesk). Problem jest też na inych dyskach, ale to już uporządkujesz na własną rękę. Akcje tyczące dysku C: Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Michal\AppData\Local\Microsoft\Media Player\Pamięć podręczna grafiki RemoveDirectory: C:\Users\Michal\AppData\Local\Microsoft\Windows\WER\ReportQueue CMD: attrib -h -s C:\*.ccc /s CMD: del /q /s C:\*.ccc Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, bo dużo plików do skasowania będzie. Powstanie kolejny fixlog.txt. Tak jak poprzednio, shostuj gdzieś i podaj link.

Poprawiłam link do PhotoRec, omyłkowo wkleił mi się inny adres poprzednio. PS. Fix FRST wykonany pomyślnie. Możesz więc usunąć wszystkie pobrane narzędzia i ich logi oraz folder C:\FRST.

W pierwszej kolejności należy usunąć infekcję ze startu. Tak więc, mam przechodzić do tej operacji? Dopiero po tej akcji można podejmować jakiekolwiek próby z plikami na dysku. Ostatnią szansą jest tu program do odzyskiwania danych, ale szanse spadają im dłużej działa system i im więcej jest na nich operacji. Niestety w przypadku pierwszych symptomów infekcji należało natychmiast wyłączyć komputer i dostać się do systemu z zewnątrz, ale trudno się zorientować od razu że coś jest nie tak. A skopiować zaszyfrowane kopie na inny nośnik można, na wszelki wypadek gdyby kiedyś w przyszłości jednak pojawiła się solucja.

Nazwy logów FRST wskazują, że je wyciągnąłeś z folderu C:\FRST\Logs. To archiwum. Logi bieżące są tworzone zawsze tam skąd uruchamiasz FRST, w tym przypadku C:\Users\Julka\Downloads. Infekcja TeslaCrypt została nabyta przypuszczalnie przez exploit umieszczony na jakiejś stronie wykorzystujący luki w nieaktulizowanym oprogramowaniu (są takie kwiatki u Ciebie, bp. stare wtyczki Adobe) lub otworzenie szkodliwego załącznika w e-mail. SpyHunter nie jest przyczyną problemu, został zainstalowany już po fakcie w celu "rozwiązania" problemu, a to że jest to skaner wątpliwy reklamujący się jako rzekoma solucja dla tej infekcji, to inna sprawa. Tak, Twój system jest zagrożeniem, w starcie siedzi infekcja, więc podpięcie osobnego dysku będzie się równać natychmiastowemu szyfrowaniu danych. To nie jedyny problem, widać także masę innych śmieci, które jednak mają podrzędne znaczenie w kontekście szyfratora: masowe przekierowania adware, fałszywe "Google Chrome" - ghokswa Browser, wątpliwe programy typu WinThruster i YAC (Yet Another Cleaner). Infekcja wyczyciła wszystkie punkty Przywracania na zero. W linkowanym temacie już wyjaśniłam kwestię zaszyfrowanych danych - plików ccc nie da się odkodować. Moja rola sprowadza się tylko do wyczyszczenia systemu z tego co się da. Podobna decyzja do podjęcia jak w linkowanym temacie: - Czyszczę system tylko w podstawowy sposób, byś mógł skopiować określone dane na dysk zewnętrzny, następnie format dysku. - Czyszczę system dokładnie, choć nie będę w stanie naprawić ubytków programowych, format odłożony na czas bliżej nieokreślony.

Tu nie chodzi o Lenovo OneKey Recovery tylko o zwykłe Przywracanie systemu Windows 8. Klawisz z flagą Windows + X > Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > Przywracanie systemu.

DelFix wykonał zadanie. Skasuj z dysku plik C:\delfix.txt. Czy da się to "złapać" na zrzucie ekranu? To reklama, zignorować.

Po deinstalacji skasuj te foldery: C:\Users\ \AppData\Local\Mozilla C:\Users\ \AppData\Roaming\Mozilla Ale jest w systemie więcej staroci, no i nadal problem naruszeń programów i Windows po operacjach szyfratora, więc format jest opcją globalną.

To jest skomplikowana operacja i nie jestem w stanie się nią zająć teraz. Ten system Recovery jest egzotyczny dla mnie, pierwszy raz na oczy widzę takie rozwiązanie. Na szybko powiem jak widzę potencjalne scenariusze: 1. Gdyby układ miał zostać nienaruszony, tzn. bootowanie via GRUB i ten sam program Recovery, ale miałaby nastąpić tylko podmiana obrazu Windows 7 nowym obrazem Windows 10, to ciężka sprawa i nie wiem czy w ogóle wykonalna. Nie znam tego rozwiązania Linuksowego z Xtreme Recovery Suite i nie wiem jak ono działa, w jaki sposób ocenia stan i zrzuca obraz, a poza tym widać, że jest stosowany niestandardowy format obrazu, więc nie wiadomo czym go wytworzyć. 2. Gdyby układ miał być przebudowany całkowicie od zera: należałoby w pierwszej kolejności rozwiązać zależność od GRUB, czyli nadpisać MBR i upewnić się że loader Windows jest prawidłowo skierowany. Po tym można byłoby sformatować tę partycję i zastąpić jej zawartość nową zbudowaną od zera, następnie skonstruować całkowicie nowy system menu startowego. Przy okazji, w diskpart widać że Recovery + dysk D to dyski logiczne siedzące w obrębie partycji "Rozszerzonej" z adresowaniem CHS i być może trzebaby było przemontować cały ten układ (wliczając dysk D). Na teraz polecam zrobić prosty dysk odzyskiwania na USB: KLIK.

1. Uruchom ponownie AdwCleaner, tym razem zastosuj kombinację Skanuj + Usuń. Po akcji: 2. Poczęstuj się DelFix i wyczyść foldery Przywracania systemu. To tyle.

Wprawdzie infekcja i wszystkie wystąpienia HELP_DECRYPT.* zostały usunięte, ale nie wykonały się niektóre komendy z obejściem na zmanipulowaną nazwę konta użytkownika. 1. Przez SHIFT+DEL (omija Kosz) ręcznie skasuj te pliki: C:\Users\ \AppData\Roaming\7za.exe C:\Users\ \AppData\Roaming\a.7z Dodatkowo wyczyść Firefox z adware, choć jest tak stary, że prędzej deinstalacja i usunięcie wszystkich folderów z dysku jest opcją. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. 2. Zastosuj DelFix, a następnie wyczyść foldery Przywracania systemu: KLIK. 3. Na dalszą metę na spokojnie zrobić format dysku.

Temat przenoszę do działu leczenia z malware. Problemy wynikają z infekcji, która przekonfigurowała usługę Instrumentacji Windows (od niej zależy Centrum, Zapora, Przywracanie systemu i kilka innych rzeczy). Usunięto plik infekcji, ale nie naprawiono ścieżki usługi systemowej): S2 Winmgmt; C:\PROGRA~3\2992199F9A\fjoby.faa [X] Operacje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 Winmgmt; C:\PROGRA~3\2992199F9A\fjoby.faa [X] Startup: C:\Users\Witek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fjoby.lnk [2014-04-04] Task: {1270D165-0992-4080-B52F-95847A050756} - System32\Tasks\SUPBackground => C:\Program Files\Samsung\Samsung Update Plus\SUPBackground.exe HKU\S-1-5-21-4141374535-311919606-3590139362-1000\...\Run: [HW_OPENEYE_OUC_] => C:\Program Files (x86)\blueconnect\UpdateDog\ouc.exe [110592 2009-12-31] (Huawei Technologies Co., Ltd.) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = Toolbar: HKU\S-1-5-21-4141374535-311919606-3590139362-1000 -> Brak nazwy - {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} - Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku C:\ProgramData\gdq21wl.odd C:\Users\Witek\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Witek\Downloads\HDFlashPlayer-Chrome.exe C:\Users\Witek\Downloads\yet_another_cleaner_*.exe CMD: for /d %f in (C:\Users\Witek\AppData\Local\{*}) do rd /s /q "%f" Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi automatyczny restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Deinstalacje: - Za pomocą Panelu sterowania usuń stare wersje: Norton Online Backup, Skype Toolbars, Podstawowe programy Windows Live + Windows Live Sync (jeśli nie korzystasz z Poczty lub innego programu tego pakietu). - Niepoprawnie odinstalowanymi BitDefender i McAfee SiteAdvisor zajmą się narzędzia: BitDefender Uninstall Tool (Consumer) (wybierz stosowną edycję, która była w komputerze) + McAfee Consumer Product Removal Tool. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

1. No cóż, w a logu nadal te same adresy DNS pobierane z routera. W ipconfig pokazuje Ci adresy Google, bo ustawiłeś je po stronie Windows z poziomu Panelu sterowania. One biorą precedens, ale sprawa routera nadal aktualna. Tcpip\Parameters: [DhcpNameServer] 91.189.248.66 8.8.8.8 Tcpip\..\Interfaces\{2F8432F9-CFFF-4F39-9174-258BA9009868}: [NameServer] 8.8.8.8,8.8.4.4 Tcpip\..\Interfaces\{57B329C6-0802-4E2D-BCAE-C87122E15916}: [NameServer] 8.8.8.8,8.8.4.4 Tcpip\..\Interfaces\{57B329C6-0802-4E2D-BCAE-C87122E15916}: [DhcpNameServer] 91.189.248.66 8.8.8.8 2. Jako akcję dodatkową możemy spróbować zresetować Winsock. Co najwyżej potem przeinstalujesz WTFast 3.5. Otwórz Notatnik i wklej w nim: CMD: ipconfig /flushdns CMD: netsh winsock reset Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw fixlog.txt. I zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Wypowiedz się czy widzisz jakąś zmianę.

Może ta usługa zniknęła w międzyczasie. Dla świętego spokoju zaprezentuj nowy log FRST.

W raportach nie widać żadnych oznak infekcji. Nie podałeś jednak obowiązkowego GMER. Czy to na pewno jedyny komputer / urządzenie z poziomu którego uzyskujesz dostęp do poczty? I przeklej treść przykładowego maila, uwzględniając wszystkie pola nadawcy + odbiorcy (swój e-mail zastąp słowem WYMAZANE).

Mamy tu niewiarygodny atak instalacji adware, masa inwazyjnych obiektów, w tym mocne sterowniki (bsdriver i cherimoya są nieusuwalne bez uprzedniego wypięcia specjalnego filtra nałożonego na dysk). A problem z siecią wynika z licznych modyfikacji zrobionych przez adware: "DNS Unlocker" zmodyfikował serwery DNS, ponadto występuje rozległa modyfikacja sieciowego łańcucha Winsock. Na dodatek wygląda na to, że jest tu też infekcja typu Ads by Jabuticaba polegająca na modyfikacji wszystkich instancji systemowego pliku dnsapi.dll. 64-bitowy ma unikatową sumę kontrolną znajdowalną na Google tylko w Twoim temacie, a drugi plik został usunięty całkowicie: C:\WINDOWS\system32\dnsapi.dll [2015-07-10 04:14] - [2015-07-10 04:14] - 0680256 ____A (Microsoft Corporation) 04695E72D448EB1FB845597765372C67 C:\WINDOWS\SysWOW64\dnsapi.dll BRAK Będzie mnóstwo do zrobienia. Operacje wstępne do przeprowadzenia: 1. Przed podjęciem jakichkolwiek akcji włącz Przywracanie systemu (wyłączone podczas aktualizacji do Windows 10), bo będą tu operacje tego rodzaju, że musi być backup. Klawisz z flagą Windows + X > Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk C i klik w Konfiguruj > Włącz Ochronę systemu. 2. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj: Adware/PUP: Compatible Web Directory, deealPPeeak, DNS Unlocker version 1.3, GamesDesktop 008.005010146, GamesDesktop 008.005010149, GamesDesktop 008.005010150, GoldenCoupon, IndepthSystem, Interenet Optimizer, jogotempo 3.4, ProShopopoer, SAvvErebooxx, SmartWeb, SwiftSearch 1.10.0.25. Jeśli nie instalowałeś świadomie, to także i Feed Notifier 2.6. W przypadku gdy coś będzie niewidoczne lub zwróci błąd deinstalacji, kontynuuj dalej. Stare wersje: Adobe AIR, Java 7 Update 71. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: fltmc detach bsdriver c: bsdriver R2 bopihopu; C:\Program Files (x86)\4C4C4544-1447072269-3410-804B-CAC04F575931\knsw18C.tmp [389632 2015-11-18] () [brak podpisu cyfrowego] R1 bsdriver; C:\WINDOWS\system32\drivers\bsdriver.sys [34720 2015-11-12] () R1 cherimoya; C:\Windows\System32\drivers\cherimoya.sys [56736 2015-11-12] (Windows ® Win 7 DDK provider) R2 hidekoqe; C:\Users\Admin\AppData\Local\4C4C4544-1447928267-3410-804B-CAC04F575931\qnsuCC3E.tmp [142336 2015-10-13] () [brak podpisu cyfrowego] R2 NetTcpHandler; C:\Users\Admin\AppData\Roaming\NetService\netservice.exe [173088 2015-07-09] () R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170656 2015-11-19] (TODO: ) R1 swsedrvr_vw_1_10_0_25; C:\Windows\System32\drivers\swsedrvr_vw_1_10_0_25.sys [57720 2015-09-22] (SS) R2 WdsManPro; C:\ProgramData\nWMiniPron\WMiniPro.exe [309384 2015-11-19] (DTools LIMITED) S2 nejorudu; C:\Program Files (x86)\4C4C4544-1447072269-3410-804B-CAC04F575931\knsx5381.tmp [X] U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath HKLM\...\Run: [spaceSoundPro] => "C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe" HKLM-x32\...\Run: [gmsd_pl_42] => [X] HKLM-x32\...\Run: [gmsd_pl_58] => [X] HKLM-x32\...\Run: [rec_en_77] => [X] HKLM-x32\...\Run: [gmsd_pl_005010141] => [X] HKLM-x32\...\Run: [gmsd_pl_005010142] => [X] HKLM-x32\...\Run: [gmsd_pl_005010144] => [X] HKLM-x32\...\Run: [smartWeb] => C:\Users\Admin\AppData\Local\SmartWeb\SmartWebHelper.exe [270368 2015-02-17] (SoftBrain Technologies Ltd.) HKLM-x32\...\Run: [gmsd_pl_005010150] => C:\Program Files (x86)\gmsd_pl_005010150\gmsd_pl_005010150.exe [4018864 2015-11-18] () HKLM-x32\...\RunOnce: [upgmsd_pl_005010150.exe] => C:\Users\Admin\AppData\Local\gmsd_pl_005010150\upgmsd_pl_005010150.exe [3322544 2015-11-18] () HKU\S-1-5-21-1042416182-98707671-1076778749-1000\...\MountPoints2: {c03742cd-66a9-11e5-8d6d-f82fa8d23a24} - "G:\h3_setup.exe" Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SmartWeb.lnk [2015-11-19] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617911&ResetID=130868038469047866&GUID=AFEB1A28-6D52-45D6-8310-758BDD9640B6 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1426072391&from=smt&uid=ST500LT012-1DG142_S3P0Z5QAXXXXS3P0Z5QA&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hp&ts=1426072391&from=smt&uid=ST500LT012-1DG142_S3P0Z5QAXXXXS3P0Z5QA HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1426072391&from=smt&uid=ST500LT012-1DG142_S3P0Z5QAXXXXS3P0Z5QA&q={searchTerms} HKU\S-1-5-21-1042416182-98707671-1076778749-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617911&ResetID=130868038469347883&GUID=AFEB1A28-6D52-45D6-8310-758BDD9640B6 HKU\S-1-5-21-1042416182-98707671-1076778749-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hp&ts=1426072391&from=smt&uid=ST500LT012-1DG142_S3P0Z5QAXXXXS3P0Z5QA HKU\S-1-5-21-1042416182-98707671-1076778749-1000\Software\Microsoft\Internet Explorer\Main,First Home Page = hxxp://go.microsoft.com/fwlink/?LinkID=226786&Mkt=pl-PL&Src=MSE&Tid=000328B0&OHP=http%3A%2F%2Fsearch.gboxapp.com%2F&OSP=http%3A%2F%2Fwww.bing.com%2Fsearch%3Fq%3D%7BsearchTerms%7D%26form%3DMSSEDF%26pc%3DMSSE SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKU\S-1-5-21-1042416182-98707671-1076778749-1000 -> DefaultScope {22C6696C-705B-41F9-B9EA-38EA23D95EE1} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKU\S-1-5-21-1042416182-98707671-1076778749-1000 -> {22C6696C-705B-41F9-B9EA-38EA23D95EE1} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - Brak pliku ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.tohotweb.com?oem=sunadusv4&uid=S3P0Z5QA_ST500LT012-1DG142&tm=1447326074 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.tohotweb.com?oem=sunadusv4&uid=S3P0Z5QA_ST500LT012-1DG142&tm=1447326074 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\mozilla firefox\firefox.exe (Mozilla Corporation) -> ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\mozilla firefox\firefox.exe (Mozilla Corporation) -> StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mystartsearch.com/?type=sc&ts=1447074390&z=aa690d77bc55f85ba253731g9zez7m2e4mfz2gae4t&from=cmi&uid=ST500LT012-1DG142_S3P0Z5QAXXXXS3P0Z5QA StartMenuInternet: FIREFOX.EXE - c:\program files (x86)\mozilla firefox\firefox.exe hxxp://www.istartsurf.com/?type=sc&ts=1447327434&z=bcd9494f5ea5dcc10bae0bfg8zaz4mbc4o5m4gcz6t&from=face&uid=ST500LT012-1DG142_S3P0Z5QAXXXXS3P0Z5QA FF Plugin HKU\S-1-5-21-1042416182-98707671-1076778749-1000: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [brak pliku] FF HKLM\...\Firefox\Extensions: [{64996ADF-8D22-4238-8780-A2A729C78CEE}] - C:\Program Files\groover121120151030\Firefox\{64996ADF-8D22-4238-8780-A2A729C78CEE}.xpi => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [searchengine@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\ldf1dq46.default\extensions\searchengine@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\ldf1dq46.default\extensions\defsearchp@gmail.com FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\ldf1dq46.default\extensions\deskCutv2@gmail.com FF HKLM-x32\...\Firefox\Extensions: [{64996ADF-8D22-4238-8780-A2A729C78CEE}] - C:\Program Files\groover121120151030\Firefox\{64996ADF-8D22-4238-8780-A2A729C78CEE}.xpi => nie znaleziono Task: {08BCDA4B-758E-4751-85DB-97C1196DFDCE} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {0C147D39-06BC-4AA9-A016-B0955CA5D5A8} - System32\Tasks\Microsoft\Microsoft Antimalware\Microsoft Antimalware Scheduled Scan => C:\Program Files\Microsoft Security Client\MpCmdRun.exe Task: {143547EC-3A07-4143-914E-5CA88D769CEE} - System32\Tasks\SwiftSearch Auto Updater 1.10.0.25 Pending Update => C:\Program Files (x86)\SwiftSearch_1.10.0.25\Update\SwiftSearchAutoUpdateClient.exe Task: {17A524AA-2293-4D19-9C28-358E90BBAE9A} - System32\Tasks\{EE244BF7-C3A7-41D8-8D1B-B10DC9EDFDFA} => pcalua.exe -a C:\Users\Admin\Desktop\czapla\twix\Twixtor5.00AEInstall.exe -d C:\Users\Admin\Desktop\czapla\twix Task: {1E2CFD06-7B51-48A8-A1FF-7C3FE8E4981E} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {218A3D88-793E-451F-B60C-C789AB4FA6BC} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {2A251D68-7312-42B9-AF68-46800A85DE69} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {2B419D12-A24E-44E5-9C91-82F6C5DA0F5B} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {2B7E1E77-07CB-44B0-A7B5-1D4A1E7A9C09} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {3B88BF28-F82E-4F0F-9BF1-75DE4E67B2B9} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {48C40FA2-56C6-4C83-B1C4-95FC77D34A32} - System32\Tasks\Kaordauh => C:\PROGRA~1\GROOVE~1\Pivkas.bat Task: {4C5941AB-27EB-41A8-9FEA-45ADD023D482} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {5A940432-EF4C-4DCD-81BD-3CE04A1CB262} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {5C9883C0-1D12-4F14-81AC-903D757DC124} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {5CB63101-265C-4BEC-BE16-754A8F8F2CE5} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {66F57709-E7B1-444A-BAC1-8247DFCFF0AD} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {67370350-705A-404E-8733-63563C2A6A45} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {69969DFB-DB44-4C99-8A7A-5BCCDDE889DD} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {6CB1A7CA-DC8D-43BB-92A5-C99BCF7C3F90} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {6D228083-18F7-41A0-9BF8-A02BFC316DA3} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {74ECC3F1-BA94-4238-907A-3164A8D81705} - System32\Tasks\DNSKINGSTON => dnskingston.exe Task: {8056C1EF-C567-45C6-BA41-FF0E8B644A57} - System32\Tasks\SwiftSearch Auto Updater 1.10.0.25 Core => C:\Program Files (x86)\SwiftSearch_1.10.0.25\Update\SwiftSearchAutoUpdateClient.exe Task: {88C0B27F-4190-4FBE-AE18-5BB1539F0566} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {897DA573-01F5-4D7D-A99C-E9433C176A00} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {8E9F69BF-C5DD-4822-A69A-E22CAA3E86CC} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {92F72A84-F1AA-4DA2-B990-597D7D87A5B8} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {9316BC52-8022-4586-8911-5494BC918444} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {98F8168E-A720-4E79-BAE6-3B7649837611} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {9E027816-B91A-42ED-BCB0-DA60F678A082} - System32\Tasks\SmartWeb Upgrade Trigger Task => C:\Users\Admin\AppData\Local\SmartWeb\SmartWebHelper.exe [2015-02-17] (SoftBrain Technologies Ltd.) Task: {A7F442C4-E6AE-4DE7-8A7C-D5103FE0F856} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {A8B04005-D74E-4795-AAE8-DAECD136DF27} - System32\Tasks\{B79FBD18-B98F-4366-B4E2-44964FD67D3E} => pcalua.exe -a C:\ProgramData\suurfukeoepit\Og86n4BuaGSREH.exe -c /s /n /i:"ExecuteCommands;UninstallCommands" "" Task: {B455D9A5-6610-47D3-A3C8-A08146CB6710} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {B6FDC731-1354-4B75-8B29-48FC70EC254D} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {B825325A-8585-4B3B-8C09-E8F003CEF9C2} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {BCB4A44F-134B-4904-8B67-06D064A5D453} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {C293627F-8B1E-4CEA-927F-FEABDBBCBB70} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {C665E910-5DC3-4344-B97A-6E16367CC836} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {D32A3951-F871-4EB7-A4D6-FECF62CD7FFB} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {D4288A85-69AF-4B64-98C9-ACFDEA245FC8} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {D47FC382-EA00-4FE7-87CE-CF14FF35C897} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {DA4F76EC-BAD8-4120-B9FD-CD3863BF5D05} - System32\Tasks\{9BA368CF-6FF1-4148-97BD-2803DA17FB83} => pcalua.exe -a C:\Users\Admin\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=smt Task: {DC99A43B-BDBD-4C8E-AA43-CE3E6D33B1CD} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {DE80C0C7-CC25-4208-98F2-16C10E9EC5E9} - System32\Tasks\{7952BCB5-A459-46A2-961D-8032E24765FD} => pcalua.exe -a "C:\Users\Admin\Desktop\Heroes of Might and Magic 3\setupreg.exe" -d "C:\Users\Admin\Desktop\Heroes of Might and Magic 3" Task: {DE960D25-EC39-4B89-8881-7CAE35258A04} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {E4445741-F975-45C8-9A0D-E934A2EC3C47} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {F80B0ABF-3093-4BA1-B8DD-1593AE90BBD4} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: C:\WINDOWS\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\WINDOWS\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\WINDOWS\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{f081f9a9} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{37476589-E48E-439E-A706-56189E2ED4C4}_is1 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{5F189DF5-2D05-472B-9091-84D9848AE48B}{c632643} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{8F213470-964F-4092-6B31-BC7570F31B5A} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{CA8C94BE-9F47-1B2E-90F8-D8C07119BD96} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{C60D3D4E-3B20-5AB3-7F2C-9C946AD4080F} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{E1527582-8509-4011-B922-29E3FB548882}_is1 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\gmsd_pl_005010146_is1 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\gmsd_pl_005010149_is1 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\gmsd_pl_005010150_is1 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\jogotempo DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\PopupProduct DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SmartWeb DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SwiftSearch_1.10.0.25 C:\END C:\Program Files\groover121120151030 C:\Program Files (x86)\prefs.js C:\Program Files (x86)\4C4C4544-1447072269-3410-804B-CAC04F575931 C:\Program Files (x86)\ChilliTorrent C:\Program Files (x86)\DNS Unlocker C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\Google C:\Program Files (x86)\jogotempo C:\Program Files (x86)\SFK C:\Program Files (x86)\SwiftSearch_1.10.0.25 C:\Program Files (x86)\Mozilla Firefox\cfg C:\Program Files (x86)\Mozilla Firefox\browser\defaults C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\01e58235-010d-43b1-8340-277d43a75321 C:\ProgramData\bojfndnanloeabobldogokeaigpfhcai C:\ProgramData\IePluginServices C:\ProgramData\Interenet Optimizer C:\ProgramData\websaver C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GAMESDESKTOP C:\Spacekace C:\Users\Admin\AppData\Local\4C4C4544-1447075946-3410-804B-CAC04F575931 C:\Users\Admin\AppData\Local\4C4C4544-1447928267-3410-804B-CAC04F575931 C:\Users\Admin\AppData\Local\FileViewPro C:\Users\Admin\AppData\Local\Google C:\Users\Admin\AppData\Local\SmartWeb C:\Users\Admin\AppData\Local\Tempfolder C:\Users\Admin\AppData\LocalLow\{D2020D47-707D-4E26-B4D9-739C4F4C2E9A} C:\Users\Admin\AppData\LocalLow\Company C:\Users\Admin\AppData\LocalLow\SmartWeb C:\Users\Admin\AppData\Roaming\appdataFr3.bin C:\Users\Admin\AppData\Roaming\LiveSupport.exe_log.txt C:\Users\Admin\AppData\Roaming\regsvr32.exe_log.txt C:\Users\Admin\AppData\Roaming\cpuminer C:\Users\Admin\AppData\Roaming\istartpageing C:\Users\Admin\AppData\Roaming\istartsurf C:\Users\Admin\AppData\Roaming\mystartsearch C:\Users\Admin\AppData\Roaming\NetService C:\Users\Admin\AppData\Roaming\RunDir C:\Users\Admin\AppData\Roaming\shortCutStore C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Adobe Premiere Pro CC.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\jogotempo C:\Users\Admin\Desktop\czapla\Adobe After Effects CS6.lnk C:\Users\Admin\Desktop\czapla\Adobe Premiere Pro CC.lnk C:\Users\Admin\Desktop\czapla\Vegas Pro 12.0 (64-bit).lnk C:\Users\Admin\Downloads\esetsmartinstaller_plk*.* C:\Users\Admin\Downloads\SkypeSetup*.exe C:\uninst C:\Windows\ehome C:\WINDOWS\system32\Wuojeg64.dll C:\WINDOWS\system32\WuojegOff.ini C:\WINDOWS\system32\cobu C:\Windows\system32\drivers\bsdriver.sys C:\Windows\system32\drivers\cherimoya.sys C:\Windows\system32\drivers\swsedrvr_vw_1_10_0_25.sys C:\WINDOWS\system32\Drivers\etc\hp.bak C:\Windows\system32\Tasks\Microsoft\Windows\Media Center C:\WINDOWS\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 C:\WINDOWS\SysWOW64\data.bin C:\WINDOWS\SysWOW64\Number of results C:\WINDOWS\SysWOW64\Wuojeg.dll C:\WINDOWS\SysWOW64\Wuojeg.ini C:\WINDOWS\SysWOW64\WuojegOff.ini CMD: ipconfig /flushdns CMD: netsh advfirewall reset CMD: netsh winsock reset CMD: for /d %f in ("C:\Program Files (x86)\gmsd_pl_*") do rd /s /q "%f" CMD: for /d %f in (C:\ProgramData\*WMiniPro*) do rd /s /q "%f" CMD: for /d %f in (C:\Users\Admin\AppData\Local\gmsd_pl_*) do rd /s /q "%f" CMD: type C:\Windows\System32\Tasks\{6521BC9B-25EB-4D51-A42B-B8BD30A53809} CMD: type C:\Windows\System32\Tasks\{70639A9C-2AA5-4F94-B2CC-69D24D97AF2A} CMD: type "C:\Windows\System32\Tasks\zamknij komputer" CMD: type "C:\Windows\System32\Tasks\wyłącz komputer" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Klawisz z flagą Windows + X > Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > z boku klik w Zmień ustawienia karty sieciowej > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 5. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 6. Zrób nowe logi: FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition, Shortcut już nie jest mi potrzebny. Kolejny log z FRST na wyszukiwanie kopii plików. Uruchom FRST, w polu Szukaj wklej nazwę dnsapi.dll i klik w Szukaj plików. Oraz log z RepairDNS. Dołącz też plik fixlog.txt.

To log związany z aktualizacją baz a nie detekcją zagrożeń. Tak, wiemy o tym i zgłoszenie już od kilku dni wisi w oczekiwaniu. To bug w najnowszym FRST. Na Windows 7 i starszych komunikat to "ERUNT.exe nie jest prawidłową aplikacją systemu Win32", na systemach Windows 8 i 10 błąd ma formę "Ta aplikacja nie będzie działać na Twoim komputerze". Dawno nie instalowałam Firefoxa. Coś się zmieniło w instalatorze, wcześniej taka opcja była proponowana. Należy ręcznie doczyścić widoczne szczątki. Poprawki: 1. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Ola\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Mozilla Firefox RemoveDirectory: C:\Users\Ola\AppData\Local\Mozilla RemoveDirectory: C:\Users\Ola\AppData\Roaming\Mozilla CMD: del /q C:\uxriqpow.sys CMD: del /q C:\Users\Ola\Downloads\y78ul51b.exe Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym raze nie będzie restartu. Przedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Ten system także nie wykazuje żadnej z cech, o których wspominałam powyżej. Mam szczere wątpliwości w kwestii źródła infekcji. Mi się jednak wydaje, że kartę zaprawił całkiem inny komputer niż tu przedstawiane. vs. Ostatecznie spróbuj któregoś programu do odzyskiwania danych, np. PhotoRec, czy wyszuka poprzednią wersję plików na karcie, ale czarno to widzę. I skontaktowałabym się bezpośrednio z supportem Kasperskiego przesyłając im próbkę wybranego pliku (wersja zakodowana + wersja rzekomo odkodowana) wraz z opisem, że dekoder przywrócił niedziałające wersje, by ocenili o co chodzi. To będzie najpewniejsze źródło informacji. Ja nic więcej nie wymyślę. Nie przedstawiłeś pliku Fixlog.txt z wynikami.

Temat przenoszę do działu Windows. Są wprawdzie odpadki głównie adware, ale to rzecz nie związana z aktywacją. Dziennik Aplikacja: ================== Error: (11/19/2015 08:59:22 PM) (Source: Software Protection Platform Service) (EventID: 8198) (User: ) Description: Aktywacja licencji (slui.exe) nie powiodła się, kod błędu: hr=0x8007007B Argumenty wiersza polecenia: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=fe1c3238-432a-43a1-8e25-97e7d1ef10f3;NotificationInterval=1440;Trigger=NetworkAvailable Microsoft o tym błędzie: KLIK. Wiemy, że jest on pokłosiem użycia cracka, który ingerował w te strefy. Dla porównania wyciąg z piaskownicy jakie akcje on wykonuje: KLIK. W systemie nadal są obiekty cracka, w tym filtry na kartach sieciowych: R3 ptun0901; C:\Windows\system32\DRIVERS\ptun0901.sys [27136 2014-08-08] (The OpenVPN Project) S3 tapoas; C:\Windows\system32\DRIVERS\tapoas.sys [30720 2012-07-15] (The OpenVPN Project) 2015-11-19 19:48 - 2015-11-19 19:49 - 00000000 ____D C:\ProgramData\KMSAuto 2015-11-19 17:52 - 2015-11-19 20:00 - 00000000 ____D C:\Users\Natalia\AppData\Local\MSfree Inc 2015-11-19 17:29 - 2015-11-19 17:29 - 00000000 ____D C:\winproductkey 2015-11-18 19:44 - 2014-05-25 01:36 - 00015360 _____ C:\WINDOWS\system32\SppExtComObjHook.dll 2015-11-18 19:44 - 2014-05-25 01:36 - 00004608 _____ C:\WINDOWS\system32\SppExtComObjPatcher.exe 2015-11-18 19:43 - 2014-08-08 17:31 - 00027136 _____ (The OpenVPN Project) C:\WINDOWS\system32\Drivers\ptun0901.sys 2015-11-18 19:43 - 2012-07-15 06:18 - 00030720 _____ (The OpenVPN Project) C:\WINDOWS\system32\Drivers\tapoas.sys Log FRST nie jest w stanie potwierdzić gdzie mogą być jeszcze modyfikacje. Dlatego też skorzystaj z globalnego Przywracania systemu do czasu przed użyciem cracka. Dostępne punkty: ==================== Punkty Przywracania systemu ========================= 05-11-2015 20:13:29 Zaplanowany punkt kontrolny 11-11-2015 11:26:51 Windows Update 18-11-2015 17:21:03 Zaplanowany punkt kontrolny Ten z 11 listopada zdaje się odpowiedni. Jeśli to zlikwiduje problem, wykonaj akcje podrzędne: Odinstaluj następujące zbędniki: AVG Web TuneUp, Host App Service, Start Menu. Te dwa ostatnie to zintegrowane z Lenovo aplikacje Pokki wątpliwej reputacji: KLIK. Następnie zrób nowe raporty FRST, a zajmę się doczyszczaniem śmieci.

Temat przenoszę do działu Windows. Brak oznak infekcji. Jeśli chodzi o zgłoszony problem, brak również konkretów w raportach. Sugestie: 1. Odinstaluj zbędne programy: Acer User Experience Improvement Program App Monitor Plugin, Acer User Experience Improvement Program Framework. 2. Sprawdź działanie systemu w stanie czystego rozruchu: KLIK.

Dziwna sprawa, te logi się różnią od poprzednich, tzn. nagle zostały przeskanowane ścieżki użytkowników (w FRST.txt i Shortcut.txt). Nie wiadomo skąd ta rozbieżność między starszą wersją FRST a nową, bo z tego co mi wiadomo nic nie zmieniano w detekcji ścieżek XP. W każdym razie są jeszcze do usunięcia drobne wpisy + ten dziennik Tuneup (kolejne podejście). 1. Dwa pliki Fixlog, po pierwszym znów będzie problem z siecią, po każdym ręczny reset systemu: HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Avg RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Comodo RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\MFAData RemoveDirectory: C:\Documents and Settings\Właściciel\Dane aplikacji\Opera Software RemoveDirectory: C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\AvgSetupLog RemoveDirectory: C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\mbot_pl_014010137 RemoveDirectory: C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\MFAData RemoveDirectory: C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Opera Software RemoveDirectory: C:\FRST\Quarantine CMD: sc config Eventlog start= disabled + C:\WINDOWS\system32\config\TuneUp.evt CMD: sc config Eventlog start= auto 2. Jest nowsza wersja FRST i na wszelki wypadek zrób tylko log główny.