picasso

Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: HKLM-x32\...\Run: [TabTip_32] => C:\ProgramData\TabTip_32.exe [4096 2015-11-13] () HKLM-x32\...\Run: [AvgUi] => C:\Program Files (x86)\AVG\Framework\Common\avguix.exe [1130408 2015-10-16] (AVG Technologies CZ, s.r.o.) HKLM\...\Winlogon: [userinit] C:\Windows\SysWOW64\userinit.exe, HKU\S-1-5-21-3016735420-2418766297-4074838235-1001\Control Panel\Desktop\\SCRNSAVE.EXE -> ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku BootExecute: autocheck autochk * lsdelete AlternateShell: R2 ihpmServer; C:\Program Files (x86)\RayDld\ihpmServer.exe [271464 2015-11-10] () R2 WdsManPro; C:\ProgramData\lWMiniProl\WMiniPro.exe [301704 2015-10-28] (DTools LIMITED) S4 aswSP; Brak ImagePath S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 OSFMount; \??\C:\Program Files (x86)\Counter-Strike Global Offensive\image\x64\OSFMount.sys [X] Task: {03825DFF-B057-4585-8604-350B329B5C68} - \USBChargerPlus -> Brak pliku Task: {079784C1-339F-42E7-B93B-A14DB7A511FD} - \UNELEVATE_26489 -> Brak pliku Task: {0BF1DAF7-F17C-494A-97D5-EE45665F09DE} - \{1A6CCA8D-B895-4FDC-91DD-2AE5E071FED7} -> Brak pliku Task: {17294A3F-C6B3-421F-A121-26174791E785} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {1A1F15D4-4EED-40D3-805B-E6ED0C64A926} - \{560FE08E-1C20-4AF6-B3B2-8AA4A10438D7} -> Brak pliku Task: {1A28E432-94BC-48DD-84CC-C74852486D2D} - \UNELEVATE_10173 -> Brak pliku Task: {1CB55A08-5184-4474-9C21-E5ED5E2D6737} - \UNELEVATE_14700 -> Brak pliku Task: {23B893DA-F0F5-46D5-8252-B66B69F00CBF} - \GoogleUpdateTaskMachineCore -> Brak pliku Task: {2CB64780-E3D8-46F4-A92D-CD9876D6C597} - \WINshell Event Notification -> Brak pliku Task: {3A3F73A9-FBAD-4D42-BF5F-E62C53040E4A} - \ASUS P4G -> Brak pliku Task: {452FED9D-8892-4279-884F-E59CE8B1DB18} - \{B521CFE4-8C29-4709-BEAF-CCD540F82A4C} -> Brak pliku Task: {471DB786-7A55-4606-B3D2-49C6B683E01D} - \ASUS SmartLogon Console Sensor -> Brak pliku Task: {47B25CED-77D3-4A34-9551-4C59563F2623} - \{A7EA11E6-0613-4194-9FEB-4295DC5115A8} -> Brak pliku Task: {4CC30286-CBE4-487A-A959-F6395AC09C8C} - \UNELEVATE_24734 -> Brak pliku Task: {506F28B0-CCAF-498F-9E7C-F8E066651C4F} - \UNELEVATE_6458 -> Brak pliku Task: {515690B6-4A4F-4AE2-8320-5FA6CCA1C174} - \ASUS Live Update -> Brak pliku Task: {5AE1DDAB-A114-430F-88D0-B0F28E8A6566} - \SPDriver -> Brak pliku Task: {63F8A5F6-057E-42FA-8133-AA8DDC81BFDC} - \GU5SkipUAC -> Brak pliku Task: {662D8428-7902-4E7B-B544-8B422859FDB8} - \ATKOSD2 -> Brak pliku Task: {66FB1837-EA23-43ED-A77F-F4F4E6A8DF04} - \GoogleUpdateTaskUserS-1-5-21-3016735420-2418766297-4074838235-1001Core -> Brak pliku Task: {6AA78693-E4CF-4FF2-8AB4-61B3A957FFE0} - \Adobe Flash Player PPAPI Notifier -> Brak pliku Task: {74023AF6-166B-479B-B9DF-0D8D1CCDC6BC} - \UNELEVATE_22757 -> Brak pliku Task: {764632BC-0CE4-4141-8FC7-503371D4E952} - \{E3DC8CF9-D1C3-40BB-ACBB-31B635721A8B} -> Brak pliku Task: {77F9F041-F0CC-4D4D-B449-D92BDAFD0912} - \9FQKUiTFJZq2c -> Brak pliku Task: {7926F8E0-9104-4BBB-A727-2ED52643F9B2} - \ACMON -> Brak pliku Task: {7A24C1FD-75CF-42A7-972A-302758FEF6BD} - \UNELEVATE_11342 -> Brak pliku Task: {7A590455-3708-4A8E-8400-0D3C7718D344} - System32\Tasks\Lenovo\REACHit Agent Startup => C:\Program Files (x86)\Lenovo\REACHit\webAgent.exe [2015-11-11] (Lenovo) Task: {7C09204D-42C5-4835-8485-1BDAFACEEEA0} - \Power Suite (Tray) -> Brak pliku Task: {82E47E80-10AE-4626-82A5-C789CB5BD448} - \{4E0FEBBA-815B-4229-A96A-3918EF1A1795} -> Brak pliku Task: {833DF694-5D7C-4505-AA84-E368FEC89E51} - System32\Tasks\Lenovo\REACHit Agent Update => C:\Program Files (x86)\Lenovo\REACHit\webAgent.exe [2015-11-11] (Lenovo) Task: {835D8750-FAB9-4D80-980C-C648EA78867F} - \GlaryInitialize 5 -> Brak pliku Task: {966E34B4-EB19-455D-BC99-60D901AAE106} - \{ABCF87D1-6CE4-4DEE-83B7-AA787071EE00} -> Brak pliku Task: {96C951A7-E52B-4CFF-824B-C66EB4637EC5} - \UNELEVATE_23358 -> Brak pliku Task: {97057667-BEA4-410F-8EC6-0B73C0D6579B} - System32\Tasks\SpyHunter4Startup => C:\Program Files (x86)\Enigma Software Group\SpyHunter\Spyhunter4.exe [2015-11-16] (Enigma Software Group USA, LLC.) Task: {984F0DAE-5BAF-49D7-B287-82CE763EC803} - \Express Files Updater -> Brak pliku Task: {98605A44-74FD-4534-A38C-F32E7721F982} - \UNELEVATE_28472 -> Brak pliku Task: {A103F5E9-CCB1-40DF-8530-CBC5324FF3A7} - \ShopperPro -> Brak pliku Task: {B28EDC1D-81A2-4FC4-8C4F-523C7179E74F} - \UNELEVATE_313 -> Brak pliku Task: {BBEC7BAE-E64E-4E4C-811E-F16DD941346E} - \{E49CA24D-D676-4539-A5BE-CAFA49EB51F7} -> Brak pliku Task: {BF4ADC8B-FBD4-43E1-B2C2-197103165E5D} - \AIRecoveryRemind -> Brak pliku Task: {C27C36B2-B43F-42BD-8C6C-EAD90F4B8AC6} - \Power Suite -> Brak pliku Task: {C54E8804-E701-4877-B3D3-F8795049A89A} - \{525A8600-36D7-4469-8764-1D9A9523ECBD} -> Brak pliku Task: {C8F469FB-BDAC-4581-B8D7-9EA9FCB5FCF5} - \Ad-Aware Update (Weekly) -> Brak pliku Task: {CA734BA7-3E0E-4E4E-B5F3-4E69F9B0EFD3} - \{107AD150-7D1B-41D2-BFBB-955ABA28CDC4} -> Brak pliku Task: {CB8AFB33-A277-4C25-963B-93B85FB8B7D6} - \ShopperProJSUpd -> Brak pliku Task: {CD1BA5BA-30FA-49BE-AF6D-5FC764C9B25B} - \{C2CB8043-996D-4B6B-9EFF-8153A4058B4A} -> Brak pliku Task: {D4BDA05B-64FC-4A95-A1E8-6135563F1AD6} - \{44E92175-B056-4F78-83A3-35D9BC01ABBF} -> Brak pliku Task: {D4D60E61-1E5B-45E6-92D9-C96C02830A07} - \{DC8CE916-DEB4-4228-8EFB-D5C8DC632C73} -> Brak pliku Task: {D9E1766A-AADB-45B3-B99A-C353F9EFC7A8} - \UNELEVATE_22816 -> Brak pliku Task: {DDC4AA6D-FAE8-4B9E-9C6D-84F972ECE290} - \GoogleUpdateTaskMachineUA -> Brak pliku Task: {E0F469B9-FA82-4F72-9D93-50426AEE52CD} - \{C8777952-7DDB-4F94-A709-0611B9931235} -> Brak pliku Task: {E18481FF-51FF-470D-AD0C-19A5E3DE8A2C} - \SPBIW_UpdateTask_Time_333239353339313335332d372d55324157505a57454a2a -> Brak pliku Task: {E1C0526A-0BD4-40B0-8635-348874B2CA46} - \GoogleUpdateTaskUserS-1-5-21-3016735420-2418766297-4074838235-1001UA -> Brak pliku Task: {E27ADE0F-E00B-4A3D-9834-9519C7954F8C} - \UNELEVATE_28077 -> Brak pliku Task: {FA427439-357D-4BCA-98A3-37C27C07AE7D} - \WINshell Event Logging -> Brak pliku Task: {FA54B1F3-7BB1-41AE-9BE1-A909A530C52F} - \{1CC15E2E-7D44-4660-8E4F-C8A381605AE7} -> Brak pliku Task: C:\Windows\Tasks\Ad-Aware Update (Weekly).job => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe Task: C:\Windows\Tasks\Power Suite (Tray).job => C:\Program Files (x86)\simplitec\simplisafe\ServiceProvider.exe Task: C:\Windows\Tasks\Power Suite.job => C:\Program Files (x86)\simplitec\simplisafe\PowerSuite.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HomePage: Default -> hxxp://www.search.ask.com/?gct=hp CHR DefaultSearchURL: Default -> hxxp://www.mystartsearch.com/web/?type=ds&ts=1447250783&z=654dbad2831d6e6a6d4e99cg8zezbmao9wce0m6b8c&from=cornl&uid=wdcxwd6400bpvt-80hxzt3_wd-wxk1a712279522795&q={searchTerms} CHR DefaultSearchKeyword: Default -> mystartsearch HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = SearchScopes: HKU\S-1-5-21-3016735420-2418766297-4074838235-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: iWebar -> {11111111-1111-1111-1111-110611511123} -> C:\Program Files (x86)\iWebar\iWebar-bho64.dll => Brak pliku BHO: Brak nazwy -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> Brak pliku BHO-x32: Brak nazwy -> {11111111-1111-1111-1111-110611511123} -> Brak pliku CustomCLSID: HKU\S-1-5-21-3016735420-2418766297-4074838235-1001_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Nikodem\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3016735420-2418766297-4074838235-1001_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Nikodem\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3016735420-2418766297-4074838235-1001_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Nikodem\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3016735420-2418766297-4074838235-1001_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Nikodem\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3016735420-2418766297-4074838235-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Nikodem\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku AlternateDataStreams: C:\Users\Nikodem\Local Settings:init C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\TabTip_32.exe C:\Users\Nikodem\AppData\Local\jurop.txt C:\Users\Nikodem\AppData\Local\Kosong.Bron.Tok.txt.ccc C:\Users\Nikodem\AppData\Local\Google\Chrome\User Data\Default\Web Data C:\Users\Nikodem\Downloads\Setup_WinThruster_2015.exe C:\Users\Nikodem\Downloads\SpyHunter*.* C:\Windows\system32\roboot64.exe C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 Folder: C:\Device RemoveDirectory: C:\Program Files (x86)\AVG RemoveDirectory: C:\Program Files (x86)\Elex-tech RemoveDirectory: C:\Program Files (x86)\Opera RemoveDirectory: C:\Program Files (x86)\RayDld RemoveDirectory: C:\ProgramData\{01BD4FC9-2F86-4706-A62E-774BB7E9D308} RemoveDirectory: C:\ProgramData\{83C91755-2546-441D-AC40-9A6B4B860800} RemoveDirectory: C:\ProgramData\AVG RemoveDirectory: C:\ProgramData\Babylon RemoveDirectory: C:\ProgramData\Baidu RemoveDirectory: C:\ProgramData\GG RemoveDirectory: C:\ProgramData\lWMiniProl RemoveDirectory: C:\ProgramData\McAfee RemoveDirectory: C:\ProgramData\MFAData RemoveDirectory: C:\ProgramData\Orbit RemoveDirectory: C:\ProgramData\simplitec RemoveDirectory: C:\ProgramData\Temp RemoveDirectory: C:\Users\Nikodem\AppData\Local\AVG RemoveDirectory: C:\Users\Nikodem\AppData\Local\AvgSetupLog RemoveDirectory: C:\Users\Nikodem\AppData\Local\Babylon RemoveDirectory: C:\Users\Nikodem\AppData\Local\CrashDumps RemoveDirectory: C:\Users\Nikodem\AppData\Local\CrashRpt RemoveDirectory: C:\Users\Nikodem\AppData\Local\evUk7tbKFSrbi2N RemoveDirectory: C:\Users\Nikodem\AppData\Local\GG RemoveDirectory: C:\Users\Nikodem\AppData\Local\globalUpdate RemoveDirectory: C:\Users\Nikodem\AppData\Local\MFAData RemoveDirectory: C:\Users\Nikodem\AppData\Local\Opera Software RemoveDirectory: C:\Users\Nikodem\AppData\Local\Temp{64B4B5F7-A5AE-4BE0-AB3F-5492C4576BBF} RemoveDirectory: C:\Users\Nikodem\AppData\Local\WorldofTanks RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\AVG RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\eCyber RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\Elex-tech RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\GG RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\GoldenGate RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\Opera Software RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\Solvusoft RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\WinZipper RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\WorldofTanks RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GoodGameEmpire RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks RemoveDirectory: C:\Users\Nikodem\Doctor Web RemoveDirectory: C:\Users\Public\Documents\Baidu RemoveDirectory: C:\Users\Public\Documents\GOOBZO RemoveDirectory: C:\Users\Public\Documents\YTAHelper RemoveDirectory: C:\Windows\AF54923662584AC6A0435B5B89C6EB61.TMP RemoveDirectory: C:\Windows\System32\Tasks\Lenovo Reg: reg delete HKLM\SOFTWARE\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset CMD: for /d %f in (C:\Users\Nikodem\AppData\Local\{*}) do rd /s /q "%f" CMD: for /d %f in (C:\Users\Chantal\AppData\Local\*bron*) do rd /s /q "%f" CMD: attrib -r -h -s C:\howto_recover_file_* /s CMD: attrib -r -h -s C:\HOWTO_RESTORE_FILES* /s CMD: attrib -r -h -s D:\howto_recover_file_* /s CMD: attrib -r -h -s D:\HOWTO_RESTORE_FILES* /s CMD: del /q /s C:\howto_recover_file_* CMD: del /q /s C:\HOWTO_RESTORE_FILES* CMD: del /q /s D:\howto_recover_file_* CMD: del /q /s D:\HOWTO_RESTORE_FILES* Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Deinstalacje adware, starych wersji, zbędników (w tym integracji firmowych ASUS): ----> Via Panel sterowania: Ad-Aware, Adobe AIR, Adobe Flash Player 18 ActiveX, Adobe Flash Player 18 NPAPI, Adobe Flash Player 18 PPAPI, Apple Software Update, AsusVibe2.0, ASUS WebStorage, Bing Bar, Bonjour, GoodGameEmpire (adware), Google Toolbar for Internet Explorer, Java 8 Update 25, Mozilla Firefox 33.0.2 (x86 pl) + Mozilla Maintenance Service, Panda Security Toolbar, Picexa (adware), REACHit (program Lenovo, ale instalowany metodą niepożądaną z innymi adware), Safari, SpyHunter (lewy skaner), Trend Micro Titanium Internet Security, Visual Studio 2012 x64 Redistributables, Visual Studio 2012 x86 Redistributables, WarThunder (adware udające grę, prawdziwe wejście to War Thunder Launcher 1.0.1.542), Update for PriceFountain (adware) oraz wszystkie programy Windows Live (o ile nie korzystasz, lista aplikacji poniżej). „Windows Live Mesh ActiveX“ nuotolinių ryšių valdiklis (HKLM-x32\...\{9024FE65-46B8-4C8A-9D98-8DCB6BD5F598}) (Version: 15.4.5722.2 - Microsoft Corporation) ActiveX контрола на Windows Live Mesh за отдалечени връзки (HKLM-x32\...\{B3BA4D1C-23EF-4859-9C11-1B2CCB7FADBB}) (Version: 15.4.5722.2 - Microsoft Corporation) Control ActiveX Windows Live Mesh pentru conexiuni la distanță (HKLM-x32\...\{260E3D78-94E6-47EC-8E29-46301572BB1E}) (Version: 15.4.5722.2 - Microsoft Corporation) Formant ActiveX programu Windows Live Mesh odpowiedzialny za obsługę połączeń zdalnych (HKLM-x32\...\{B04A0E2F-1E4C-4E61-B18E-3B2BD6779CA7}) (Version: 15.4.5722.2 - Microsoft Corporation) Kontrola Windows Live Mesh ActiveX za daljinske veze (HKLM-x32\...\{19CBDE24-2761-49A5-816B-D2BA65D0CA8D}) (Version: 15.4.5722.2 - Microsoft Corporation) Kontrolnik Windows Live Mesh ActiveX za oddaljene povezave (HKLM-x32\...\{CA227A9D-09BE-4BFB-9764-48FED2DA5454}) (Version: 15.4.5722.2 - Microsoft Corporation) Ovládací prvek ActiveX platformy Windows Live Mesh pro vzdálená připojení (HKLM-x32\...\{B6190387-0036-4BEB-8D74-A0AFC5F14706}) (Version: 15.4.5722.2 - Microsoft Corporation) Ovládací prvok ActiveX programu Windows Live Mesh pre vzdialené pripojenia (HKLM-x32\...\{C2FD7DB5-FE30-49B6-8A2F-C5652E053C31}) (Version: 15.4.5722.2 - Microsoft Corporation) Windows Live Essentials (HKLM-x32\...\WinLiveSuite) (Version: 15.4.3508.1109 - Microsoft Corporation) Windows Live Mesh ActiveX Control for Remote Connections (HKLM-x32\...\{2902F983-B4C1-44BA-B85D-5C6D52E2C441}) (Version: 15.4.5722.2 - Microsoft Corporation) Windows Live Mesh ActiveX kontrola za daljinske veze (HKLM-x32\...\{8985AE5E-622A-4980-8BF8-0A1830643220}) (Version: 15.4.5722.2 - Microsoft Corporation) Windows Live Mesh ActiveX vadīkla attālajiem savienojumiem (HKLM-x32\...\{A3A775C9-5A63-4C55-8FDD-427A5B8F5D2B}) (Version: 15.4.5722.2 - Microsoft Corporation) Windows Live Mesh ActiveX-i juhtelement kaugühendustele (HKLM-x32\...\{216ACEC1-4556-4717-A8DE-3F7F5F9C6F63}) (Version: 15.4.5722.2 - Microsoft Corporation) Windows Live Mesh ActiveX-vezérlő távoli kapcsolatokhoz (HKLM-x32\...\{6E29C4F7-C2C2-4B18-A15C-E09B92065F15}) (Version: 15.4.5722.2 - Microsoft Corporation) Proponuję też od razu odinstalować wszystkie inne nieużywane programy. Instalacje nowych wersji potem, będzie jeszcze czyszczenie folderów, by ograniczyć ilość zaszyfrowanych plików na dysku. ----> Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowe ukryte wpisy AVG 2016, FMW 1, Metric Collection SDK > Dalej. Program nie umożliwia akcji hurtowej, więc należy go uruchomić tyle razy ile jest wejść do usunięcia. ----> Wejdź w Tryb awaryjny i zastosuj AVG Remover. Po akcji opuść Tryb awaryjny. 3. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pola Addition i Shortcut (poprzednio ten drugi nie został dostarczony). Dołącz też plik fixlog.txt. Plik ten będzie potężny, więc shostuj go gdzieś i podaj link do niego.

Ten system także nie nie wygląda na system "po przejściach": nie ma widocznych żadnych śladów tej infekcji ani zaszyfrowanych kopii plików, brak ubytków wejść w Shortcut.txt kierujących na pliki podlegające szyfrowaniu (np. TXT), plus ilość odświeżonych folderów jest niska. To nie jest dowód na 100%, ale jednak systemy zaprawione przez infekcję szyfrującą wykazują pewne widoczne cechy, jak choćby masowe odświeżenie folderów w których wystąpiło szyfrowanie oraz większe ubytki w Shortcut.txt. W podsumowaniu: trudno dojść który komputer był źródłem. Mógł to być dowolny komputer do którego podpięto kartę, inny niż jest typowane, a efekt zaszyfrowania mógł być po prostu po raz pierwszy ujrzany przy podłączeniu do komputera teściowej. PS. Na tym systemie: 1. Definitywnie odinstaluj SpyHunter. Niby jest punkt Przywracania opisujący akcję "Removed SpyHunter", ale program nadal jest na liście zainstalowanych, widać też sterowniki programu. Czy jest jakiś problem z deinstalacją? 2. W IE i Operze jest ustawiona strona startowa gazeta.pl. Mam podejrzenie, że był to sponsorowany wtręt instalacji AllPlayer. Jeśli nie ustawiano samodzielnie tych stron, w opcjach przeglądarek je przekonfiguruj. 3. Następnie możesz wykonać skrypt kosmetyczny usuwający wpisy szczątkowe i czyszczący Tempy. Do Notatnika wklej: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => Brak pliku ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => Brak pliku ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku R3 QDrive; \??\C:\Users\T7267~1.SWA\AppData\Local\Temp\QDrive.sys [X] DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\OLBPre DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird C:\Windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Poprawki. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 wfdrvr_vt_1_10_0_28; system32\drivers\wfdrvr_vt_1_10_0_28.sys [X] Task: {CF7440D4-AE70-4BD5-BBDF-9AD37A2F820C} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo HKU\S-1-5-21-3925026996-4144219266-2681495567-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki FF Homepage: hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-07-21] RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files (x86)\Lenovo RemoveDirectory: C:\Users\Ola\REACHit RemoveDirectory: C:\Users\Ola\AppData\Local\Lenovo RemoveDirectory: C:\Windows\System32\Tasks\Lenovo EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik. Nowe logi FRST nie są mi potrzebne.

Adware przekonwertowało przeglądarkę Google Chrome z wersji stabilnej do tzw. developerskiej i konieczna reinstalacja przeglądarki od zera. Prócz tego, różne odpadki adware (konsekwencja niepoprawnego usuwania adware) i wpisy puste do zaadresowania. A ten skrót "Internet Explorer (No Add-ons)" na Pulpicie jest bezużyteczny w kontekście tego jaką ma nazwę, to na pewno nie jest skrót uruchamiający IE w trybie bez dodatków, nie ma stosownego parametru to inicjującego. Prawidłowy skrót wykonujący tę akcję jest w Menu Start. Akcje do przeprowadzenia: 1. Odinstaluj stare wersje OpenOffice.org 3.3, Spybot - Search & Destroy. Akcje tyczące Google Chrome: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Na razie nie instaluj przeglądarki ponownie, gdyż punkt poniżej będzie adresował usuwanie elementów Google. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {071F554D-6BA7-47BD-B469-20978C13A2C7} - \f02871e8-1d4d-4053-b361-e27d28661e7c-3 -> No File Task: {095234CB-069D-4258-AB48-8FCA94F83CF3} - \f02871e8-1d4d-4053-b361-e27d28661e7c-11 -> No File Task: {10C2A798-E50C-4310-8E25-9E12DCF7ED1A} - \98e9b698-514f-48af-afce-62c74ba389aa-11 -> No File Task: {164C9947-84C6-49F2-8649-4207EEE6814B} - \a7774075-6ee7-4842-9cfd-e995af862dfe-3 -> No File Task: {16B43CA7-B411-4B56-A6A5-4F3B8371E67F} - \f02871e8-1d4d-4053-b361-e27d28661e7c-5 -> No File Task: {1E537C1F-9668-4AAD-A4BF-9969F64690DC} - \DigitalSite -> No File Task: {21C1D51E-E8A8-4981-B023-BC3E5FEF2828} - \4eec58ff-20e1-4867-b762-b0d9d8f1d4af-1 -> No File Task: {223319CD-59C6-4A10-97B2-72B205ED9403} - \4eec58ff-20e1-4867-b762-b0d9d8f1d4af-7 -> No File Task: {2438526A-E7B7-4CFE-9E3B-D3715ADB5CFF} - System32\Tasks\{95A5BA61-6A06-4342-B86E-F0B5A5EF7619} => pcalua.exe -a "C:\Program Files (x86)\Crash Bandicoot 3D Racing\Crash Bandicoot 3D Racing.exe" -c /s /n /i:"ExecuteCommands;UninstallCommands" "" Task: {2EDA471B-2B5E-402C-8164-6F529E5048C0} - System32\Tasks\{6EF70FD3-1456-410D-949D-EFB37DB2C369} => pcalua.exe -a C:\Users\User\Downloads\MinecraftZyczu.exe -d C:\Users\User\Downloads Task: {3038F4C6-868B-4F09-8334-537FF1D4F6BB} - \a7774075-6ee7-4842-9cfd-e995af862dfe-5 -> No File Task: {3915227F-0566-4513-831C-C32AA2C4DF8F} - \a7774075-6ee7-4842-9cfd-e995af862dfe-5_user -> No File Task: {392B5B4D-0ECD-4173-9DFF-285FAD772FC0} - \APSnotifierPP3 -> No File Task: {3A3E1169-14D2-4EED-B48F-6C093A233DF2} - \f02871e8-1d4d-4053-b361-e27d28661e7c-6 -> No File Task: {3C22B29F-7D7E-4D92-89DF-3AFEA4E910D0} - \4eec58ff-20e1-4867-b762-b0d9d8f1d4af-5 -> No File Task: {482AE8E3-FAE7-4E46-89C3-F5A62B9557E6} - \98e9b698-514f-48af-afce-62c74ba389aa-5_user -> No File Task: {4A5B4676-7587-4D94-A778-E43AEAECB2EF} - \globalUpdateUpdateTaskMachineCore -> No File Task: {4C37DD1B-6F40-4AA7-A066-70AA02920D12} - \APSnotifierPP1 -> No File Task: {539DAB4E-A601-4E9B-AFE4-4D3482CA6A7F} - \98e9b698-514f-48af-afce-62c74ba389aa-7 -> No File Task: {5D7B3D99-88BC-400D-BE00-1D5C73C21D83} - \Super Optimizer Schedule -> No File Task: {5E47DC9A-F26F-4CD5-ACAA-0CE8ECB31637} - \RegClean Pro -> No File Task: {67CD2993-B0D0-4BBB-AF4D-5352FAE5CC32} - \4eec58ff-20e1-4867-b762-b0d9d8f1d4af-11 -> No File Task: {6AFE968C-B469-4DFF-862F-E6FFEBCF776B} - \globalUpdateUpdateTaskMachineUA -> No File Task: {6B873DF5-CABE-4532-9866-E47DCA8F66CB} - \f02871e8-1d4d-4053-b361-e27d28661e7c-1 -> No File Task: {733A2A60-B201-4E43-95C9-514B629A4BFF} - \a7774075-6ee7-4842-9cfd-e995af862dfe-7 -> No File Task: {7D3172DE-D0C9-4855-ACAB-AA1553C87B88} - \SMupdate1 -> No File Task: {7F65A0C7-29DE-4BD8-9067-8260260A5CAE} - \a7774075-6ee7-4842-9cfd-e995af862dfe-4 -> No File Task: {82DC41CE-88E3-47F9-9FF0-915EEF81F06E} - System32\Tasks\c802dce0-09df-40b7-8f4d-1ca8081da1f4 => C:\Program Files (x86)\Sense\a7774075-6ee7-4842-9cfd-e995af862dfe-4.exe Task: {9611EF3D-B398-40DE-BAD5-EC56FF8F8568} - \98e9b698-514f-48af-afce-62c74ba389aa-6 -> No File Task: {A14EFBBB-FFFA-4BA4-A200-2368A32C98CF} - System32\Tasks\winmgr112.exe => C:\Users\User\AppData\Roaming\Windows\winmgr112.exe Task: {AB839E89-77E4-4047-B837-25BD65E84CC0} - System32\Tasks\772806ea-7cee-4173-ace9-9e556fd1ced8 => C:\Program Files (x86)\Object Browser\4eec58ff-20e1-4867-b762-b0d9d8f1d4af-4.exe Task: {B5785CEE-B251-47DB-B603-E568FF276ED9} - \4eec58ff-20e1-4867-b762-b0d9d8f1d4af-5_user -> No File Task: {B9882E70-9283-4607-8A4B-A0290A2A12D1} - \APSnotifierPP2 -> No File Task: {BB080D35-B034-4B07-BD92-4A8B5F3E850D} - \f02871e8-1d4d-4053-b361-e27d28661e7c-4 -> No File Task: {C14B573C-27DD-4FA2-A295-4EF6A0276B7C} - \98e9b698-514f-48af-afce-62c74ba389aa-4 -> No File Task: {C2741F8B-72A2-4F6A-B32C-5FE6800850F7} - \f02871e8-1d4d-4053-b361-e27d28661e7c-7 -> No File Task: {C6C2FFCE-BEDC-4904-976A-A5A8399BBE18} - \a7774075-6ee7-4842-9cfd-e995af862dfe-6 -> No File Task: {C819FAED-C52E-42F6-8605-1D882DC121F1} - \98e9b698-514f-48af-afce-62c74ba389aa-5 -> No File Task: {DA5B2DC2-6CB3-4B6E-A916-4DD28D5FD547} - \4eec58ff-20e1-4867-b762-b0d9d8f1d4af-6 -> No File Task: {DCC95725-A6E7-474D-A2D9-A5234F1170A0} - \98e9b698-514f-48af-afce-62c74ba389aa-1 -> No File Task: {E4352736-D7D1-4BC3-975C-CFA42B9E923A} - System32\Tasks\{C463E71F-39BA-435F-8987-C6E783C8FABC} => pcalua.exe -a C:\Users\User\Desktop\dxwebsetup-feb2010.exe -d C:\Users\User\Desktop Task: {E7C273B5-407C-4D31-B04A-B0EF2326BE57} - \f02871e8-1d4d-4053-b361-e27d28661e7c-5_user -> No File Task: {E8C8E6AB-9EAE-48E1-9BDE-E5DB6D98E8E3} - \a7774075-6ee7-4842-9cfd-e995af862dfe-11 -> No File Task: {E9473F60-2CB5-41A3-B87D-1C9F30A970B1} - \4eec58ff-20e1-4867-b762-b0d9d8f1d4af-3 -> No File Task: {E99B7510-75F5-4E12-B985-14C01683C17F} - \a7774075-6ee7-4842-9cfd-e995af862dfe-1 -> No File Task: {EEE32450-E1C8-4709-B038-850DD61D7E40} - \4eec58ff-20e1-4867-b762-b0d9d8f1d4af-4 -> No File Task: C:\Windows\Tasks\772806ea-7cee-4173-ace9-9e556fd1ced8.job => C:\Program Files (x86)\Object Browser\4eec58ff-20e1-4867-b762-b0d9d8f1d4af-4.exe Task: C:\Windows\Tasks\c802dce0-09df-40b7-8f4d-1ca8081da1f4.job => C:\Program Files (x86)\Sense\a7774075-6ee7-4842-9cfd-e995af862dfe-4.exe HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" HKU\S-1-5-21-797153215-895007883-3048408358-1000\...\Winlogon: [shell] C:\Windows\explorer.exe [2871808 2011-02-25] (Microsoft Corporation) GroupPolicy: Restriction - Chrome CHR HKLM\SOFTWARE\Policies\Google: Restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130861155942924767&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130861155943548768&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-797153215-895007883-3048408358-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130861155943548768&GUID=00000000-0000-0000-0000-000000000000 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKU\S-1-5-21-797153215-895007883-3048408358-1000 -> DefaultScope {92E911FC-4F29-44FE-83FA-6BE4A38BAB30} URL = Toolbar: HKU\S-1-5-21-797153215-895007883-3048408358-1000 -> No Name - {77127364-0094-4448-9C29-62EF28F1842F} - No File HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\04441727.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\04441727.sys => ""="Driver" S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] S1 mpjlfegf; \??\C:\Windows\system32\drivers\mpjlfegf.sys [X] C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\spds90.txt C:\Users\User\AppData\Local\Temp.dat C:\Users\User\AppData\Local\Google C:\Users\User\AppData\Local\Mozilla C:\Users\User\AppData\Local\Opera Software C:\Users\User\AppData\Roaming\appdataFr3.bin C:\Users\User\AppData\Roaming\appdataFr25.bin C:\Users\User\AppData\Roaming\DAEMON Tools Lite C:\Users\User\AppData\Roaming\Imminent C:\Users\User\AppData\Roaming\Mozilla C:\Users\User\AppData\Roaming\Opera Software Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\QuickRef_1.10.0.9 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Uruchom narzędzie Fix-it usuwające drobny błąd WMI z Dziennika zdarzeń: KLIK. Notabene, ten błąd jest powiązany z wejściem BVTConsumer KernCap.vbs widzianym w Autoruns. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.

Zasady działu: KLIK. Logi z przestarzałego OTL w ogóle tu nie są brane już pod uwagę, usuwam. Obowiązkowe są raporty z FRST i GMER.

Czy posiadasz raport z tego fatalnego usuwania MBAM? Delta zmodyfikowała skróty LNK przeglądarek, poza tym te przekierowania są także w innych miejscach, a także inne wpisy adware, w tym stare (siedzą w systemie długo). Akcje do przeprowadzenia: 1. Odinstaluj stare wersje Google Talk Plugin (już nie działa), Mozilla Firefox 36.0.1 (x86 pl) + Mozilla Maintenance Service oraz adware WinZipper. Przy deinstalacji Firefox potwierdź usuwanie profilu. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 IhPul; C:\Users\Ola\AppData\Roaming\TSv\TSvr.exe [396944 2015-09-21] () [brak podpisu cyfrowego] S2 SSFK; C:\Program Files\SFK\SSFK.exe [169632 2015-10-10] () [brak podpisu cyfrowego] CHR StartupUrls: Default -> "hxxp://www.delta-homes.com/?type=hp&ts=1444888779&z=0b4ed9b4bf336c6d20eefbfgez2z7zcbebab0mcb9e&from=wpm07163&uid=SAMSUNGXHM500JI_S1WFJDQB169647" CHR DefaultSearchURL: Default -> hxxp://search.delta-homes.com/web/?type=ds&ts=1444888779&z=0b4ed9b4bf336c6d20eefbfgez2z7zcbebab0mcb9e&from=wpm07163&uid=SAMSUNGXHM500JI_S1WFJDQB169647&q={searchTerms} CHR DefaultSearchKeyword: Default -> delta-homes CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswwebrepchrome-sp.crx [2014-08-05] CHR HKLM\...\Chrome\Extension: [nikmkgpjeihnepknifcebifbohdpffpd] - C:\ProgramData\Download and Sa\nikmkgpjeihnepknifcebifbohdpffpd.crx ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.delta-homes.com/?type=sc&ts=1444888779&z=0b4ed9b4bf336c6d20eefbfgez2z7zcbebab0mcb9e&from=wpm07163&uid=SAMSUNGXHM500JI_S1WFJDQB169647 ShortcutWithArgument: C:\Users\Ola\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.delta-homes.com/?type=sc&ts=1444888779&z=0b4ed9b4bf336c6d20eefbfgez2z7zcbebab0mcb9e&from=wpm07163&uid=SAMSUNGXHM500JI_S1WFJDQB169647 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mystartsearch.com/?type=sc&ts=1443884345&z=95cf90031fbd607c4a146a0g4z9z9c6b2bdz6g0cft&from=cor&uid=SAMSUNGXHM500JI_S1WFJDQB169647 SearchScopes: HKU\S-1-5-21-3877172286-2488451200-970165979-1001 -> {EAFA9815-F96B-43B5-B101-D761F609AF11} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=962A2C64-9BE8-425D-A0D8-3011B17CCDFB&apn_sauid=EC73B801-C34C-483A-9C2B-4D96392D9EF4 BHO: Download and Sa Class -> {447E1BB6-F53D-4DED-E0E9-78C1D5BA6C97} -> C:\ProgramData\Download and Sa\5074534c3e5d0.ocx [2012-10-09] () CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.21.135\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.25.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.27.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.23.9\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.28.1\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.21.145\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.21.153\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.28.13\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.24.15\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{91EFB276-CEFE-48EC-BB3A-57795A7B4008}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.21.149\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.22.3\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.21.165\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.26.9\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.25.11\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Ola\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{EB06378B-ABB6-4B3C-9B40-D488DD8A6E93}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.22.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.24.7\psuser.dll => Brak pliku Task: {4F638F95-7D44-43D1-9FD1-6CAAED0664C2} - System32\Tasks\{D6575633-5425-409A-8E47-6539EA27BC88} => Firefox.exe hxxp://ui.skype.com/ui/0/6.7.0.102/pl/abandoninstall?source=lightinstaller&page=tsPlugin Task: {5273AE30-7F7E-42EC-B862-F90690B33878} - System32\Tasks\{A136471A-D067-434A-A6EC-4B95B0D86EB2} => Firefox.exe hxxp://ui.skype.com/ui/0/6.7.0.102/pl/abandoninstall?source=lightinstaller&page=tsPlugin Task: {6C2E2AE3-480E-4353-AE42-F76C2A3D18D8} - System32\Tasks\OptimizerPro1UpdaterTask{A9F44490-1D6A-41D5-8831-F641AB79A64E} => C:\ProgramData\Premium\OptimizerPro1\OptimizerPro1.exe Task: {D82E2941-06B9-4224-B8FB-477BA200A819} - System32\Tasks\{790B949C-7018-47E1-B3F4-6A2CC98113CF} => Firefox.exe hxxp://ui.skype.com/ui/0/7.2.0.103/pl/go/help.faq.installer?LastError=1618 Task: {E36F9550-0BAA-4565-B3DD-694A00845B4D} - System32\Tasks\OptimizerPro1UpdaterTask{77ABE891-F547-4940-9205-BFDA150FB2B0} => C:\ProgramData\Premium\OptimizerPro1\OptimizerPro1.exe Task: {FBF5D2E7-59C8-4E77-849B-3903283CA6D5} - System32\Tasks\{D0F06346-ECBD-4EF2-8833-7CACEEA34C10} => Firefox.exe hxxp://ui.skype.com/ui/0/7.2.0.103/pl/go/help.faq.installer?LastError=1618= Task: C:\Windows\Tasks\OptimizerPro1UpdaterTask{77ABE891-F547-4940-9205-BFDA150FB2B0}.job => C:\ProgramData\Premium\OptimizerPro1\OptimizerPro1.exeJ/schedule /profilepath C:\ProgramData\Premium\OptimizerPro1\profile.ini Task: C:\Windows\Tasks\OptimizerPro1UpdaterTask{A9F44490-1D6A-41D5-8831-F641AB79A64E}.job => C:\ProgramData\Premium\OptimizerPro1\OptimizerPro1.exeJ/schedule /profilepath C:\ProgramData\Premium\OptimizerPro1\profile.ini C:\Program Files\Elex-tech C:\Program Files\SFK C:\Program Files\WinZipper C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\2WdsManPro2 C:\ProgramData\Download and Sa C:\ProgramData\Premium C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Soulseek NS C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZipper C:\Users\Ola\AppData\Roaming\eCyber C:\Users\Ola\AppData\Roaming\Elex-tech C:\Users\Ola\AppData\Roaming\TSv C:\Users\Ola\AppData\Roaming\WinZipper C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\system32\Drivers\asw*.tmp Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnUpdater" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\googletalk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Optimizer Pro" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ROC_roc_ssl_v12" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vProt" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Zune Launcher" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition i Shortcut. Dołącz też plik fixlog.txt.

Przeanalizowałam foldery Google i nic oczywistego nie widzę. Pliki DLL i zasobów nie wyglądają na naruszone, a w profilu nie mogę się doszukać motora tych przekierowań, choć podejrzewam, że odpowiada za to jedno z zainstalowanych rozszerzeń, pomimo że teoretycznie wszystkie są hostowane w Chrome Web Store. I są pewne zastanawiające punkty: - Chrome jest tu w starszej wersji niż dostępna i nie zaktualizowało się automatycznie, pomimo obecności zadań Google w Harmonogramie. To jest podejrzane. - Chrome jest tu zainstalowane w trybie "per user". Normalnie jest wymuszana globalna instalacja, chyba że na dialogu UAC padnie odmowa, co powoduje pytanie o instalację bez uprawnień administratora. - W profilu Chrome siedzą różne stare rozszerzenia, niektóre nie są aktualizowane od dawna i nie mam pewności czy to Twój wybór, że taki zestaw nadal jest zainstalowany, czy może wynik tego że masz czynną synchronizację z serwerem Google (przywraca z serwera ustawienia profilu). Skoro są przekierowania, to wykonaj kilka testów definiujących czy są one orientowane na profil, czy działają niezależnie od profilu: - W menu Ustawienia > Ustawienia > Osoby > utwórz nowy testowy profil > uruchom nowy profil i podaj czy nadal widzisz przekierowania. Jeśli nie: - Wróć na stary profil i wyłączaj po jednym rozszerzeniu na raz + restart przeglądarki, aż wyłowisz który element jest przyczyną.

1. Mówiłam o resecie Firefox, postąpiłeś inaczej i go odinstalowałeś, co i tak nie zmieniło postaci rzeczy. Pozostał na dysku cały profil Firefox z adware. Uprzątnięciem tego zajmę się później. 2. Ta modyfikacja w Google Chrome nie jest wykrywana w logach. Dostarcz do ręcznej analizy dane. Skopiuj na Pulpit poniższe foldery: C:\Program Files (x86)\Google\Chrome C:\Users\Użytkownik\AppData\Local\Google\Chrome Spakuj do ZIP, shostuj gdzieś paczkę i na PW dostarcz link.

Loftfield, proszę przeczytaj zasady działu kiedy odpowiedź jest udzielana. Odpowiem, gdy będę w stanie. A posty nabite w serii zostały sklejone. EDIT: Raporty mówią, że infekcja nie jest czynna, została już czymś usuniętra. Jedyne co ewentualnie w mojej gestii jest, to usunięcie masowo dodanych plików howto_recover_file_* oraz inne korekty spoza zagadnienia tej infekcji, jednak nadal pozostanie problem uszkodzeń programów i Windows (braki plików występujących w wersjach zaszyfrowanych) oraz oczywiście osobiste dane w stanie zaszyfrowanym. Decyduj czy mam się tego podjąć, czy stawiasz na format dysku C.

Akcje do przeprowadzenia: 1. Deinstalacje: - Przez Panel sterowania odinstaluj starszą wersję Java 8 Update 45. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis adware globalupdate Helper > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-1372155535-1573679487-2427515968-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130923111196016937&GUID=00000000-0000-0000-0000-000000000000 SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-1372155535-1573679487-2427515968-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-1372155535-1573679487-2427515968-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 ShellExecuteHooks-x32: - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - Brak pliku [ ] ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => Brak pliku ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 1 (GFS Unread Stub)] -> {99FD978C-D287-4F50-827F-B2C658EDA8E7} => Brak pliku ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 2 (GFS Stub)] -> {AB5C5600-7E6E-4B06-9197-9ECEF74D31CC} => Brak pliku ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)] -> {920E6DB1-9907-4370-B3A0-BAFC03D81399} => Brak pliku ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 3 (GFS Folder)] -> {16F3DD56-1AF5-4347-846D-7C10C4192619} => Brak pliku ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 4 (GFS Unread Mark)] -> {2916C86E-86A6-43FE-8112-43ABE6BF8DCC} => Brak pliku FF Plugin-x32: @google.com/npPicasa3,version=3.0.0 -> C:\Program Files (x86)\Google\Picasa3\npPicasa3.dll [brak pliku] FF Plugin HKU\S-1-5-21-1372155535-1573679487-2427515968-1000: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [brak pliku] HKLM\...\Run: [VIAxHCUtl] => C:\Program Files\VIA XHCI UASP Utility\usb3Monitor HKU\S-1-5-21-1372155535-1573679487-2427515968-1000\...\Run: [spol] => http://www.toya.net.pl/~spol/site/index.htm Startup: C:\Users\Użytkownik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\7A74.lnk [2015-03-15] Task: {333BADE7-3758-40EA-B1CD-56CFE3203D87} - System32\Tasks\{CEEA4540-C955-4A48-9CF5-1105B20337DF} => D:\Downloads\powerpoint\setup.exe Task: {3DF53271-EB28-4586-ADA5-E72F1A319421} - System32\Tasks\{E39508FF-E83A-4AC7-88C1-BC97A2E73FA0} => D:\Downloads\The Sims 4 (Origin) PC full game + DLC ^^nosTEAM^^\Sims4-Origins-nosTEAM.part1.exe Task: {66D65D02-F263-43F3-9DBA-993ACE291C3F} - System32\Tasks\fun4u_notification_service => C:\Program Files (x86)\fun4u\fun4u_notification_service.exe Task: {687CA7BA-8AAB-409F-8C5D-C53BCDFA5BFC} - System32\Tasks\{0640B752-2DB5-4491-9185-1F852DE06B37} => pcalua.exe -a C:\Users\Użytkownik\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor Task: {75A0D18C-E711-4AEB-BC36-2B7D24E85D70} - System32\Tasks\3cbe22f7-961e-437d-9efc-d36f6fc91279 => C:\Program Files (x86)\HD+v2.1\671f96b9-d4df-4985-b3e8-cfc4c17dabea-4.exe Task: {7F161D23-5628-4834-8750-E4A90C6908C6} - System32\Tasks\{31FC6AEE-C0D3-4444-AFCF-FD58CBF6FC5A} => pcalua.exe -a C:\Users\Użytkownik\AppData\Local\Temp\Temp1_AdobePhotoshop10pl_PL_www.INSTALKI.pl.zip\pl_PL\20070503.t4ce.089\Retail\Setup.exe Task: {9024F296-8D28-4156-80A2-FA0F87434EEB} - System32\Tasks\fun4u_updating_service => C:\Program Files (x86)\fun4u\fun4u_updating_service.exe Task: {90E02E87-C5D7-436C-B12E-3DAD12ADB252} - System32\Tasks\{1EAF0B47-444A-4720-AD7C-31C5CD202256} => C:\Program Files (x86)\Maxis\SimCity 4 Deluxe\Apps\SimCity 4.exe Task: {B0B5F124-9DD1-4673-B6D2-C3CB912B73C4} - System32\Tasks\{74D1E7B2-A043-4EBE-9553-E273271A2C70} => pcalua.exe -a C:\Users\Użytkownik\Desktop\MinecraftZyczu.exe -d C:\Users\Użytkownik\Desktop Task: {B3BE5D56-0646-477F-929A-9000A2FE713B} - System32\Tasks\{1D3921D1-0DB6-416D-B18A-A67EC185EB4D} => pcalua.exe -a "C:\ProgramData\Block The Ads\Block The Ads.exe" -c /progname=Block The Ads /progver=3.4.2 /progpub=Block The Ads /proguninstallurl=asdahjka.com /deleteappfolder=0 /VERYSILENT Task: {B55F411F-63F2-4D25-8C53-899D0B8E49FA} - System32\Tasks\{74EF57E1-C8B6-4F8E-A56F-FB367492D6C8} => pcalua.exe -a C:\Users\Użytkownik\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=cornl Task: {B80BF7D3-BEE6-4523-9C4A-AF1BEFA82F78} - System32\Tasks\{B4EB70D1-EA7E-410C-A735-E277132B7AB4} => C:\Program Files (x86)\Maxis\SimCity 4 Deluxe\Apps\SimCity 4.exe Task: {D7C4C2F7-2073-4F77-AA00-EB80644C8365} - System32\Tasks\{3F4EB819-C360-44DB-88E0-F730B2D9D97A} => D:\Downloads\The Sims 4 (Origin) PC full game + DLC ^^nosTEAM^^\Sims4-Origins-nosTEAM.part1.exe Task: {D917081B-5408-4D8C-843C-013E079CE760} - System32\Tasks\{E78C3DA1-16F2-486D-965D-91070990F5E1} => D:\Downloads\powerpoint\setup.exe Task: C:\Windows\Tasks\3cbe22f7-961e-437d-9efc-d36f6fc91279.job => C:\Program Files (x86)\HD+v2.1\671f96b9-d4df-4985-b3e8-cfc4c17dabea-4.exe Task: C:\Windows\Tasks\4ecNkCsMtlOukIB0eUIyhNB.job => C:\Users\Uý˙ytkownik\AppData\Roaming\4ecNkCsMtlOukIB0eUIyhNB.exe Task: C:\Windows\Tasks\fun4u_notification_service.job => C:\Program Files (x86)\fun4u\fun4u_notification_service.exeá/url='hxxp:/cdn.selectbestopt.com/notf_sys/index.html' /crregname='fun4u' /appid='73143' /srcid='2913' /bic='cd76fe34736b471c80de2031516beb11' /verifier='d066b6494bca0a74337cf0ec91606b37' /installerversion='1.50.3.10' /statsdomain='hxxp:/stats.buildomserv.com/data.gif?' /errorsdomain='hxxp:/stats.buildomserv.com/data.gif?' /monetizationdomain='hxxp:/logs.buildomserv.com/monetization.gif Task: C:\Windows\Tasks\fun4u_updating_service.job => C:\Program Files (x86)\fun4u\fun4u_updating_service.exe¦ /campid=2913 /verid=1 /url=hxxp:/cdn.buildomserv.com/txt/@CAMPID@/@VER@/file.txt /appid=73143 /taskname=fun4u_updating_service /funurl=hxxp:/stats.buildomserv.com S1 {16d667ee-6782-4b21-81df-8ded8ebc3868}Gw64; system32\drivers\{16d667ee-6782-4b21-81df-8ded8ebc3868}Gw64.sys [X] S1 {55dce8ba-9dec-4013-937e-adbf9317d990}Gw64; system32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}Gw64.sys [X] S1 {e9bebce7-deb3-4ab9-896c-549739f208c5}w64; system32\drivers\{e9bebce7-deb3-4ab9-896c-549739f208c5}w64.sys [X] S3 cpuz134; \??\C:\Users\UYTKOW~1\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X] S3 gdrv; \??\C:\Windows\gdrv.sys [X] C:\Program Files (x86)\fun4u C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Picasa 3 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sierra C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Unknown Horizons C:\Users\Użytkownik\AppData\Local\file__0.localstorage C:\Users\Użytkownik\AppData\Local\nsh365F.tmp C:\Users\Użytkownik\AppData\Local\nsmF5BB.tmp C:\Users\Użytkownik\AppData\Local\Temp-log.txt C:\Users\Użytkownik\AppData\Local\Opera Software C:\Users\Użytkownik\AppData\Local\Microsoft\Windows\GameExplorer\{10CF5DCA-7873-4FBF-9BC6-3FB6AEE61D64} C:\Users\Użytkownik\AppData\Local\Microsoft\Windows\GameExplorer\{2226BCF0-C576-46FB-A39E-D8E8C6B9E643} C:\Users\Użytkownik\AppData\Local\osu!\Songs\169475 Vladimir Putin - I am gay\[YTPMV] PUTIRETA! HD - Shortcut.lnk C:\Users\Użytkownik\AppData\Roaming\4ecNkCsMtlOukIB0eUIyhNB C:\Users\Użytkownik\AppData\Roaming\4ecNkCsMtlOukIB0eUIyhNB.exe C:\Users\Użytkownik\AppData\Roaming\Opera Software C:\Users\Użytkownik\AppData\Roaming\.minecraft\PaintTool SAI Ver.1.lnk C:\Users\Użytkownik\AppData\Roaming\.minecraft\screenshots\Camtasia Studio 8.lnk C:\Users\Użytkownik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\IMVU C:\Users\Użytkownik\Desktop\jgdfuyd ;-;\Fran Bow Demo.lnk C:\Users\Użytkownik\Desktop\jgdfuyd ;-;\MEGAsync.lnk Folder: C:\Users\UĹĽytkownik Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: netsh advfirewall reset CMD: type C:\Users\Użytkownik\AppData\Roaming\Mozilla\Firefox\Profiles\2oiu0f1a.default\extensions.ini EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Użytkownik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy podkreślanie słów nadal występuje (i jakie opisy mają te reklamy) i w której przeglądarce.

Podałam linki. Kliknij w te niebieskie odnośniki...

Betty66 Start > Uruchom > diskmgmt.msc > sprawdź czy dysk jest sformatowany oraz czy ma przypisaną literę. kris63 Nie wiem o co tu chodzi, ale wygląda na to że Recovery jest naruszone. Pokaż mi zrzut ekranu z diskmgmt.msc jak wygląda układ partycji.

Opis "CRYPTOWALL 3.0, RSA-2048" to prawdopodobnie widziałeś w oknie ransom. Pliki *.ccc oznaczają infekcję TeslaCrypt, a nie CryptoWall. Niestety odkodowanie plików jest awykonalne. Podobny temat z forum: KLIK. I proszę podaj obowiązujące tu raporty FRST i GMER, które mają pomóc zdefiniować czy infekcja jest nadal czynna.

Brakuje obowiązkowych raportów FRST. Zakreślone się nie liczą w dywagacjach, nieszkodliwe wpisy, a ten z Temp to tymczasowy sterownik GMER.

Obiekty infekcji pomyślnie usunięte. Domyślnie jest zaznaczona opcja pozostawienia zaszyfrowanych wersji i nie odznaczaj jej, bo nie ma pewności że nastąpi tu odkodowanie. Pomyślne odszyfrowanie będzie oznaczać więc podwojenie zestawu. Tak, pliki odkodowane pojawiają się w tych samych folderach gdzie występują zaszyfrowane kopie. Gdy uruchomisz narzędzie, nie przerywaj jego działania i nie wyłączaj komputera.

Posty skleiłam do oczekiwanej na starcie formy. Dopiero teraz zauważyłam, że posługujesz się strasznie starą wersją FRST (najnowsza jest z dzisiaj!): Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 02-05-2015 (ATTENTION: ====> FRST version is 200 days old and could be outdated) Pobierz najnowszą z przyklejonego tematu i podmień w pierwszym poście wszystkie logi FRST nowymi plikami.

Jasne. Link w mojej sygnaturze wiedzie do tematu, w którym są te dane.

Zresetuj system, by odładować tymczasowe mapowanie zrobione przez MountStorPE. Ta partycja OEM nie może być podmontowana w podany sposób, jest niedostępna. To pewnie wynik tego, że siedzi tam Xtreme OS (Linux) na nieobsługiwanym spod Windows systemie plików EXT. Mógłbyś uzyskać dostęp do tej partycji za pomocą Paragon ExtFS for Windows i porobić zrzuty ekranu co tam jest. Nawiasem mówiąc to właśnie znalazłam temat w którym mowa o tej Twojej partycji: KLIK. I nie wiem jak mam rozumieć stan poprzedni, a obecny. Poprzednio był Windows 7 i były jakieś naprawy prowadzone. Aktualnie jest zainstalowany Windows 10, czyli instalator ponownie nadpisywał sekcje rozruchowe, więc partycja Recovery ponownie powinna przestać być dostępna - czy to się zgadza? Co widać podczas startu systemu, menu GRUB, czy menu Windowsa? Jeśli ta partycja Recovery nie bierze obecnie udziału w procesie rozruchu, to wystarczy ją po prostu usunąć... Chyba że nie rozumiem do czego zmierzasz.

Tu widziany system budzi jednak podejrzenia, że nie jest właściwym. Na wszelki wypadek możesz dostarczyć raporty FRST + GMER z wszystkich innych komputerów wchodzących w zakres podejrzeń. Ze swojego też podaj. PS. Co do tego "corpo", to nie byłabym taka pewna. W pracy mojego męża niby wszystko pozabezpieczane (okazało się że jednak niedostatecznie) i mocno ograniczone uprawnienia instalacyjne, a złapali ostatnio jedną z infekcji szyfrujących, ktoś otworzył załącznik e-mail i rozpełzło się po dyskach sieciowych. Za to mieli profesjonalne backupy, więc odkręcenie stanu nie stanowiło problemu. Jak zaznaczyłam, SpyHunter to program od którego należy się trzymać z daleka i jeśli jest na którymś systemie zainstalowany, to się czym prędzej pozbądź go. Ten opis "usuwania kilkudziesięciu zagrożeń" brzmi dość podejrzanie, czy to aby były rzeczywiste wyniki i jakiego typu? Czy to były wyniki kierujące na kartę czy system? I czy aby on tu właśnie czegoś niepożądanego nie zrobił z plikami, że okazały się niezdatne po rzekomym odkodowaniu? Czy jesteś w stanie mi podać co on Ci pokazał (jest jakiś raport z tego)?

Czekam na paczki. Natomiast od razu skomentuję pewne sprawy: - Niewątpliwie te dziwne detekcje usług / sterowników w FRST to wpływ Comodo, w Trybie awaryjnym (minimalne interferencje Comodo) wszystko wygląda inaczej, tzn. w porządku. - Aplikacje niewidoczne w Panelu sterowania rzeczywiście już zniknęły. Coś było więc robione pomiędzy wytworzeniem pierwszych raportów FRST, a Fixem FRST. - Widok partycji D to skutek wyboru wersji "portable" Fix-it. Ta wersja jest przeznaczona do montowania na pendrive, dlatego na dysku tworzy elementy zmieniające nazwę woluminu i ikonę, taki szczegół identyfikacyjny, nic poważnego. Skutkiem ubocznym na dysku twardym jest to co pokazujesz. Powinien być na dysku nowy plik D:\autorun.inf. Usuń go, a prezentacja dysku powinna wrócić do normy.

W starcie jest nadal niepożądany obiekt oraz widać przejętą tapetę Pulpitu: Startup: C:\Users\asia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\recovery.bmp [2015-11-10] () HKU\S-1-5-21-3492713240-3900405530-923019510-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\asia\AppData\Roaming\recovery.bmp Ogólnie lekki bałagan owszem jest, w tym niepożądany program typu "PUP" Mobogenie (instalowany w niechciany sposób, reklamy w interfejsie oraz skutki uboczne w postaci wysokiego obciążenia procesora). Ale system idzie na ubój, więc ograniczę akcje tylko do tych które wspomogą pracę dekodera. Czyli akcje wstępne przed podjęciem działań dekodujących: 1. Usunięcie powyższych elementów infekcji zasadniczej. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Users\asia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\recovery.bmp [2015-11-10] () 2015-11-10 11:59 - 2015-11-10 11:59 - 00401934 _____ C:\Users\asia\AppData\Roaming\recovery.bmp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Tło Pulpitu się zmieni na puste, to nie jest istotne, ale pro forma można to skorygować w opcjach Windows. 2. Następnie odciąż zasoby ograniczając ilość procesów uruchomionych w tle, by dekoder miał lepszy "oddech". Przejdź w stan tzw. "czystego rozruchu": KLIK. Ta akcja wyłączy także usługę Mobogenie. 3. Po wykonaniu punktów 1+2 działaj z RakhniDecryptor. I zgłoś się tu z wynikami operacji, czy są pozytywne rezultaty. Gwarancji nie ma, nadal jest prawdopodobieństwo, że infekcja użyła silniejsze hasło niż w innych przypadkach i w takiej sytuacji dekoder padnie.

Partycji tej nie wykrył FRST. Jest ona ukryta i nie ma przypisanego rozpoznawalnego systemu plików, co zapewne jest wynikiem jakiejś szczególnej flagi OEM. Jeszcze na wszelki wypadek: 1. Dla porównania pokaż bezpośredni odczyt z diskpart. Klawisz z flagą Windows + X > Wiersz polecenia (Administrator) > wklep komendę diskpart i ENTER, gdy przejdzie do nowej linii wklep sel disk 0 i ENTER, a następnie list partition i ENTER. Pokaż wyniki z okna, tak by było widać wszystko. 2. Zaprezentuj mi co na niej jest montując ją tymczasowo za pomocą programu MountStorPE. Po tymczasowym podmontowaniu partycji w eksploratorze Windows pojawi się ona pod nową literą. Zrób zrzuty ekranu z widoku tej partycji. Partycja będzie podmontowana tymczasowo, po restarcie systemu wszystko wróci do poprzedniego stanu.

Wg ostatniego wyniku Fixlog, nie ma notowalnych uszkodzeń w owych kluczach. W związku z tym nadal pozostaje tajemnicą postać pliku Shortcut.txt. Plik całkowicie pusty (co jest niemożliwe, przy zainstalowanych programach) i nie wiem co o tym sądzić, czy to błąd skanu FRST, czy też wynik jakiegoś uszkodzenia w systemie. Jest nowsza wersja FRST. Na wszelki wypadek pobierz i ponów próbę skanu. Jeśli plik Shortcut.txt znów będzie pusty, nie ma go co pokazywać. PS. I ciągle jest kwestia odpadkowego dziennika TuneUp, którego nie udało się poprzednio usunąć, ale na razie to zostawiam.

Pewnie temat już od dawna nieaktualny, ale skomentuję: sylwesse Jeśli sam sobie już nie poradziłeś z tym, Fix do FRST usuwający to wejście z Panelu sterowania miałby taką postać: DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{B1228E32-6012-4A83-A136-FB49BEC46B0D} jessika On widział ten program cały czas. Próbowałaś usuwać zły klucz. FRST wyraźnie oznaczył wejście jako 32-bitowe: SafeFinder (HKLM-x32\...\{B1228E32-6012-4A83-A136-FB49BEC46B0D}) (Version: 1.0.0.0 - Linkury) vs. Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SafeFinder" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{B1228E32-6012-4A83-A136-FB49BEC46B0D}" /f Obie te komendy są błędne, a pierwsza "podwójnie błędna". Wydaje mi się, że już kiedyś gdzieś pisałam Ci jak odczytuje się wejścia instalacyjne: Nazwa wyświetlana widziana w Panelu sterowania podawana użytkownikowi (HKU, HKLM lub HKLM-x32\...\Nazwa klucza w rejestrze niewidoczna dla użytkownika z poziomu Panelu i używana w skryptach FRST i innych procedurach rejestru) (Wersja - Producent) Czyli tu "SafeFinder" to nazwa wyświetlania, nie istnieje takie coś w rejestrze: ...\Uninstall\SafeFinder. I ogólnie złe ścieżki początkowe. To jest 32-bitowe wejście, czyli klucz to: HKLM\SOFTWARE\Wow6432Node. To samo było przy usuwaniu 32-bitowej Opery. Tak naprawdę to się wcale nie wykonało (błąd w Fixlog, że nie nie ma takiego klucza) i on prawdopodobnie zrobił coś więcej niż zadałaś, że klucz Uninstall Opery przestał być widoczny w FRST Addition i jeszcze na dodatek magicznie zniknął cały folder C:\Program Files (x86)\Opera z dysku, bo na pewno nie usuwał tego FRST. Mam podejrzenie, że jednak przed Fixem FRST skorzystał z jakiegoś "autodeinstalatora". ... i zastosowałaś złą składnię szukania FRST (nieinterpretowany dwukropek). FRST szukał tego jako całej nazwy: safefinder:{B1228E32-6012-4A83-A136-FB49BEC46B0D}, a nie jako dwa osobne elementy, więc nic nie znalazł. Każda fraza musi być oddzielona za pomocą średnika.

Logi z przestarzałego OTL nie są tu brane pod uwagę, usuwam. O ile problem jeszcze aktualny, proszę dostarcz raporty z FRST i Farbar Service Scanner.