picasso

Brakuje obowiązkowych raportów FRST. Zakreślone się nie liczą w dywagacjach, nieszkodliwe wpisy, a ten z Temp to tymczasowy sterownik GMER.

Obiekty infekcji pomyślnie usunięte. Domyślnie jest zaznaczona opcja pozostawienia zaszyfrowanych wersji i nie odznaczaj jej, bo nie ma pewności że nastąpi tu odkodowanie. Pomyślne odszyfrowanie będzie oznaczać więc podwojenie zestawu. Tak, pliki odkodowane pojawiają się w tych samych folderach gdzie występują zaszyfrowane kopie. Gdy uruchomisz narzędzie, nie przerywaj jego działania i nie wyłączaj komputera.

Posty skleiłam do oczekiwanej na starcie formy. Dopiero teraz zauważyłam, że posługujesz się strasznie starą wersją FRST (najnowsza jest z dzisiaj!): Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 02-05-2015 (ATTENTION: ====> FRST version is 200 days old and could be outdated) Pobierz najnowszą z przyklejonego tematu i podmień w pierwszym poście wszystkie logi FRST nowymi plikami.

Jasne. Link w mojej sygnaturze wiedzie do tematu, w którym są te dane.

Zresetuj system, by odładować tymczasowe mapowanie zrobione przez MountStorPE. Ta partycja OEM nie może być podmontowana w podany sposób, jest niedostępna. To pewnie wynik tego, że siedzi tam Xtreme OS (Linux) na nieobsługiwanym spod Windows systemie plików EXT. Mógłbyś uzyskać dostęp do tej partycji za pomocą Paragon ExtFS for Windows i porobić zrzuty ekranu co tam jest. Nawiasem mówiąc to właśnie znalazłam temat w którym mowa o tej Twojej partycji: KLIK. I nie wiem jak mam rozumieć stan poprzedni, a obecny. Poprzednio był Windows 7 i były jakieś naprawy prowadzone. Aktualnie jest zainstalowany Windows 10, czyli instalator ponownie nadpisywał sekcje rozruchowe, więc partycja Recovery ponownie powinna przestać być dostępna - czy to się zgadza? Co widać podczas startu systemu, menu GRUB, czy menu Windowsa? Jeśli ta partycja Recovery nie bierze obecnie udziału w procesie rozruchu, to wystarczy ją po prostu usunąć... Chyba że nie rozumiem do czego zmierzasz.

Tu widziany system budzi jednak podejrzenia, że nie jest właściwym. Na wszelki wypadek możesz dostarczyć raporty FRST + GMER z wszystkich innych komputerów wchodzących w zakres podejrzeń. Ze swojego też podaj. PS. Co do tego "corpo", to nie byłabym taka pewna. W pracy mojego męża niby wszystko pozabezpieczane (okazało się że jednak niedostatecznie) i mocno ograniczone uprawnienia instalacyjne, a złapali ostatnio jedną z infekcji szyfrujących, ktoś otworzył załącznik e-mail i rozpełzło się po dyskach sieciowych. Za to mieli profesjonalne backupy, więc odkręcenie stanu nie stanowiło problemu. Jak zaznaczyłam, SpyHunter to program od którego należy się trzymać z daleka i jeśli jest na którymś systemie zainstalowany, to się czym prędzej pozbądź go. Ten opis "usuwania kilkudziesięciu zagrożeń" brzmi dość podejrzanie, czy to aby były rzeczywiste wyniki i jakiego typu? Czy to były wyniki kierujące na kartę czy system? I czy aby on tu właśnie czegoś niepożądanego nie zrobił z plikami, że okazały się niezdatne po rzekomym odkodowaniu? Czy jesteś w stanie mi podać co on Ci pokazał (jest jakiś raport z tego)?

Czekam na paczki. Natomiast od razu skomentuję pewne sprawy: - Niewątpliwie te dziwne detekcje usług / sterowników w FRST to wpływ Comodo, w Trybie awaryjnym (minimalne interferencje Comodo) wszystko wygląda inaczej, tzn. w porządku. - Aplikacje niewidoczne w Panelu sterowania rzeczywiście już zniknęły. Coś było więc robione pomiędzy wytworzeniem pierwszych raportów FRST, a Fixem FRST. - Widok partycji D to skutek wyboru wersji "portable" Fix-it. Ta wersja jest przeznaczona do montowania na pendrive, dlatego na dysku tworzy elementy zmieniające nazwę woluminu i ikonę, taki szczegół identyfikacyjny, nic poważnego. Skutkiem ubocznym na dysku twardym jest to co pokazujesz. Powinien być na dysku nowy plik D:\autorun.inf. Usuń go, a prezentacja dysku powinna wrócić do normy.

W starcie jest nadal niepożądany obiekt oraz widać przejętą tapetę Pulpitu: Startup: C:\Users\asia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\recovery.bmp [2015-11-10] () HKU\S-1-5-21-3492713240-3900405530-923019510-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\asia\AppData\Roaming\recovery.bmp Ogólnie lekki bałagan owszem jest, w tym niepożądany program typu "PUP" Mobogenie (instalowany w niechciany sposób, reklamy w interfejsie oraz skutki uboczne w postaci wysokiego obciążenia procesora). Ale system idzie na ubój, więc ograniczę akcje tylko do tych które wspomogą pracę dekodera. Czyli akcje wstępne przed podjęciem działań dekodujących: 1. Usunięcie powyższych elementów infekcji zasadniczej. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Users\asia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\recovery.bmp [2015-11-10] () 2015-11-10 11:59 - 2015-11-10 11:59 - 00401934 _____ C:\Users\asia\AppData\Roaming\recovery.bmp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Tło Pulpitu się zmieni na puste, to nie jest istotne, ale pro forma można to skorygować w opcjach Windows. 2. Następnie odciąż zasoby ograniczając ilość procesów uruchomionych w tle, by dekoder miał lepszy "oddech". Przejdź w stan tzw. "czystego rozruchu": KLIK. Ta akcja wyłączy także usługę Mobogenie. 3. Po wykonaniu punktów 1+2 działaj z RakhniDecryptor. I zgłoś się tu z wynikami operacji, czy są pozytywne rezultaty. Gwarancji nie ma, nadal jest prawdopodobieństwo, że infekcja użyła silniejsze hasło niż w innych przypadkach i w takiej sytuacji dekoder padnie.

Partycji tej nie wykrył FRST. Jest ona ukryta i nie ma przypisanego rozpoznawalnego systemu plików, co zapewne jest wynikiem jakiejś szczególnej flagi OEM. Jeszcze na wszelki wypadek: 1. Dla porównania pokaż bezpośredni odczyt z diskpart. Klawisz z flagą Windows + X > Wiersz polecenia (Administrator) > wklep komendę diskpart i ENTER, gdy przejdzie do nowej linii wklep sel disk 0 i ENTER, a następnie list partition i ENTER. Pokaż wyniki z okna, tak by było widać wszystko. 2. Zaprezentuj mi co na niej jest montując ją tymczasowo za pomocą programu MountStorPE. Po tymczasowym podmontowaniu partycji w eksploratorze Windows pojawi się ona pod nową literą. Zrób zrzuty ekranu z widoku tej partycji. Partycja będzie podmontowana tymczasowo, po restarcie systemu wszystko wróci do poprzedniego stanu.

Wg ostatniego wyniku Fixlog, nie ma notowalnych uszkodzeń w owych kluczach. W związku z tym nadal pozostaje tajemnicą postać pliku Shortcut.txt. Plik całkowicie pusty (co jest niemożliwe, przy zainstalowanych programach) i nie wiem co o tym sądzić, czy to błąd skanu FRST, czy też wynik jakiegoś uszkodzenia w systemie. Jest nowsza wersja FRST. Na wszelki wypadek pobierz i ponów próbę skanu. Jeśli plik Shortcut.txt znów będzie pusty, nie ma go co pokazywać. PS. I ciągle jest kwestia odpadkowego dziennika TuneUp, którego nie udało się poprzednio usunąć, ale na razie to zostawiam.

Pewnie temat już od dawna nieaktualny, ale skomentuję: sylwesse Jeśli sam sobie już nie poradziłeś z tym, Fix do FRST usuwający to wejście z Panelu sterowania miałby taką postać: DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{B1228E32-6012-4A83-A136-FB49BEC46B0D} jessika On widział ten program cały czas. Próbowałaś usuwać zły klucz. FRST wyraźnie oznaczył wejście jako 32-bitowe: SafeFinder (HKLM-x32\...\{B1228E32-6012-4A83-A136-FB49BEC46B0D}) (Version: 1.0.0.0 - Linkury) vs. Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SafeFinder" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{B1228E32-6012-4A83-A136-FB49BEC46B0D}" /f Obie te komendy są błędne, a pierwsza "podwójnie błędna". Wydaje mi się, że już kiedyś gdzieś pisałam Ci jak odczytuje się wejścia instalacyjne: Nazwa wyświetlana widziana w Panelu sterowania podawana użytkownikowi (HKU, HKLM lub HKLM-x32\...\Nazwa klucza w rejestrze niewidoczna dla użytkownika z poziomu Panelu i używana w skryptach FRST i innych procedurach rejestru) (Wersja - Producent) Czyli tu "SafeFinder" to nazwa wyświetlania, nie istnieje takie coś w rejestrze: ...\Uninstall\SafeFinder. I ogólnie złe ścieżki początkowe. To jest 32-bitowe wejście, czyli klucz to: HKLM\SOFTWARE\Wow6432Node. To samo było przy usuwaniu 32-bitowej Opery. Tak naprawdę to się wcale nie wykonało (błąd w Fixlog, że nie nie ma takiego klucza) i on prawdopodobnie zrobił coś więcej niż zadałaś, że klucz Uninstall Opery przestał być widoczny w FRST Addition i jeszcze na dodatek magicznie zniknął cały folder C:\Program Files (x86)\Opera z dysku, bo na pewno nie usuwał tego FRST. Mam podejrzenie, że jednak przed Fixem FRST skorzystał z jakiegoś "autodeinstalatora". ... i zastosowałaś złą składnię szukania FRST (nieinterpretowany dwukropek). FRST szukał tego jako całej nazwy: safefinder:{B1228E32-6012-4A83-A136-FB49BEC46B0D}, a nie jako dwa osobne elementy, więc nic nie znalazł. Każda fraza musi być oddzielona za pomocą średnika.

Logi z przestarzałego OTL nie są tu brane pod uwagę, usuwam. O ile problem jeszcze aktualny, proszę dostarcz raporty z FRST i Farbar Service Scanner.

Wg raportu FRST wyłączyłeś via msconfig usługę licencyjną wymaganą przez Autodesk. W momencie skanu FRST miała jeszcze stan "Uruchomiono", ale to dlatego, że przypuszczalnie tylko odznaczyłeś uruchamianie nie resetując wtedy systemu, więc w pamięci była nadal uruchomiona. Po restarcie już się nie uruchomiła, stąd błędy. Usługę należy ponownie włączyć w msconfig. R4 FLEXnet Licensing Service; C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [1064312 2015-06-04] (Flexera Software LLC) Czy akcje z Revo ukończyły się pomyślnie? I na wszelki wypadek po wszystkich przeprowadzonych deinstalacjach zrób nowy raport FRST (włącznie z Addition) udawadniający zmiany. PS. Fix FRST pomyślnie wykonany.

Ten raport nie zawiera danych ze skanowania z poziomu środowiska RE. Owszem, komunikat w oknie o tym plecie, ale nagrywanie do CBS.LOG odbywa się tylko spod uruchomionego Windows. Zaprezentuj raport z FRST, by było ogólne rozeznanie jak wygląda sytuacja.

Sprawa 32-bitów od dawna nieaktualna i GMER ładuje natywnie 64-bitowy sterownik na systemie x64. DMP już oglądałam wcześniej i nic z tego konkretnego nie wynika. To wygląda na jakąś niedozwoloną operację dostępową wykonaną przez sterownik GMER. Z GMER już tak jest, że procedury skanowania mogą doprowadzić do BSOD i nic to nie oznacza w kontekście samego systemu. Dla porównania sytuacja u mnie: BSOD wystąpił przynajmniej kilka razy na kilku różnych maszynach (główny komputer oraz maszyny wirtualne), na dodatek takich na których nie było żadnych programów zabezpieczających, a układ zainstalowanych sterowników określiłabym jako "podstawowy". PS. Fix FRST wykonany. Zastosuj DelFix.

Na razie powstrzymaj się ze stawianiem systemu na nowo. Należy zdiagnozować problem sprzętowy, a wyniki diagnozy mogą zdecydować co dalej ma nastąpić (czy stan dysku jest dostatecznie "zaufany"). W Dzienniku zdarzeń masowe odczyty złych bloków dysku, co jak najbardziej wyjaśnia problemy (w tym zamulenie) i potencjalne uszkodzenia plików: Dziennik System: ============= Error: (10/18/2015 03:10:29 PM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Error: (10/18/2015 03:10:26 PM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Error: (10/18/2015 03:10:23 PM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Error: (10/18/2015 03:10:20 PM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Error: (10/18/2015 03:10:18 PM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Error: (10/18/2015 03:10:15 PM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Error: (10/18/2015 03:10:12 PM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Error: (10/18/2015 03:10:09 PM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Error: (10/18/2015 03:10:07 PM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Temat przenoszę do działu Hardware. Dostarcz wymagane dane: KLIK. I na wszelki wypadek zabezpiecz cenne dane z tego dysku na jakimś zewnętrznym nośniku.

Opis sugeruje ciche usuwanie pliku przez ... antywirusa, klasyfikującego plik jako "malware". Tak więc jakie oprogramowanie zabezpieczające (poza MBAM) jest zainstalowane i co widnieje w dziennikach skanowania tegoż oprogramowania?

Z raportów FRST nic nie wynika. 1. Diagnostyka BSOD w punkcie 5: KLIK. Najlepiej skopiuj cały folder C:\Windows\Minidump na Pulpit, spakuj do ZIP, shostuj gdzieś i podaj link do paczki. 2. Zawieszenie na logo Windows sugeruje problem któregoś sterownika, ale równie dobrze może to być problem czysto sprzętowy, tym bardziej że Twój opis się kręci wokół kombinacji z dyskami w BIOS. 3. Gdyby część objawów miała się sprzęgać z partią software, to na wszelki wypadek sprawdziłabym testową deinstalację AVG (liczne sterowniki zamontowane). 4. Poniższy błąd naprawisz przy udziale tej instrukcji rekonstrukcji pliku: KLIK. Hosts: Nie znaleziono pliku Hosts w domyślnym katalogu Dziennik System: ============= Error: (10/22/2015 07:09:23 PM) (Source: Microsoft-Windows-DNS-Client) (EventID: 1012) (User: ZARZĄDZANIE NT) Description: Wystąpił błąd podczas próby odczytu lokalnego pliku hosts. + To są elementy sprzętowe niemożliwe do diagnostyki za pomocą podanych raportów orientowanych na środowisko Windows. Nieznany jest tu model komputera, ani układ sprzętowy. Dostarcz więc te dane sprzętowe: KLIK. I temat przenoszę do działu Hardware na ocenę tych danych.

To są ciągle te same serwery DNS, o których mówię od początku, i już wyjaśniałam dlaczego ten układ jest podejrzany. Ten pierwszy adres IP jest dziwny, nie zgadza się dostawca sieciowy z adresem IP pod jakim Cię widzę na forum. I przy bieżących infekcjach routera bardzo częsty układ to "Podstawowy zły IP - Zapasowy IP Google". Sądzę, że to najlepsze wyjście na teraz i uzyskasz 100% potwierdzenia jakie serwery DNS powinny występować u Ciebie w routerze. Utwórz też nacisk na zabezpieczenie dostępu do konfiguracji, nie mogą Cię zostawić z domyślnym loginem.

Po formacie możesz się zgłosić z nowymi raportami na wszelki wypadek. Uwaga przy pobieraniu i instalowaniu programów: KLIK. Proponowane zabezpieczenia specjalizowane w dziedzinie infekcji szyfrujących: KLIK.

Betty66 To była wzmianka o formatowaniu, gdyby było prowadzone innym narzędziem niż instalator Windows 7. Nowoczesne systemy domyślnie nie obsługują nawet instalacji na FAT32 i partycje robione za pomocą instalatora Windows 7 automatycznie są sformatowane w NTFS. I końcowa uwaga. Na nowym systemie możesz zainstalować jeden z tych programów zabezpieczających przed infekcjami szyfrującymi: KLIK. kris63 Tu nie jest dozwolone podpinanie się i każdy zakłada własny temat, nawet jeśli problemem jest ta sama infekcja. Podaje się też raporty. FRST Addition conajmniej by mi powiedział jaki jest układ partycji i jakie flagi mają przypisane, bo na razie nic nie wiadomo: Pytania: - Czy partycja Recovery jest na pewno nienaruszona? Czy była ukryta? Czy oryginalnym zainstalowanym systemem był XP, tzn. czy nie występował nowszy system nadinstalowany na XP? Czy nie zmieniano układu partycji w późniejszym czasie (zmiana rozmiaru, usuwanie)? - Co rozumiesz przez "coś jakby obraz na kolejnej partycji"? Czyli o jakim pliku mowa? - Czy posiadasz płyty HP Recovery?

Pokaż zrzut ekranu z przystawki diskmgmt.msc.

Oczywiście na uruchomionym systemie na którym jest infekcja. Dumpy z poziomu środowiska WinRE całkowicie bezużyteczne (nagrane środowisko zewnętrzne).

Jak mówiłam, przypuszczalnie Comodo blokuje dostęp do poboru danych i dlatego status usług nie jest czytany poprawnie oraz występuje ten błąd ERUNT podczas pracy FRST, tym bardziej że FRST jest "niepełnosprawny", tzn. działa wirtualnie w piaskownicy Comodo. Podjęcie jakichkolwiek operacji w FRST będzie wymagało i tak tymczasowego wstrzymania wszystkich aktywności Comodo, bo Comodo uniemożliwi pracę FRST. Jeśli chodzi o problem adware, to widać w starcie szkodnika mbot_jp_145, ale to jedyny aktywny element i mam szczere wątpliwości czy to przyczyna problemów. Prócz tego kilka przekierowań trackid=sp-006 w IE (to na pewno nie robi podkreśleń słów) i jakieś martwe szczątki na liście instalacji. Twoją główną domyślną przeglądarką jest Google Chrome, więc mam podejrzenie, że może być globalna modyfikacja plików Chrome (np. plik resources.pak), która jest kompletnie niewykrywana przez żaden skaner. Wstępnie: 1. Deinstalacje: -----> Via Panel sterowania: - Te pozycje adware/PUP: Remote Desktop Access (VuuPC), WinThruster, Word Proser 1.10.0.2. Niektóre są uszkodzone działaniem AdwCleaner. Jeśli będą niewidoczne lub wystąpi błąd, nie szkodzi, zajmę się tym potem. - Odinstaluj także: Facebook Video Calling 3.1.0.521 (uszkodzony), Java SE Development Kit 7 Update 51, Java SE Development Kit 8 Update 60 (64-bit) (starsze wersje), Spybot - Search & Destroy (przestarzały program), Windows Installer Clean Up (przestarzały). Windows Installer Clean Up został wycofany z użytku ze względu na błędy i zastąpiony nowocześniejszym odpowiednikiem linkowanym poniżej. ----> Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście ukryty wpis Metric Collection SDK > Dalej. Ten wpis to pozostałość po niechcianej instalacji Lenovo REACHit. 2. Utwórz ręcznie punkt Przywracania systemu, bo FRST nie był zdolny stworzyć kopii zapasowej rejestru, a automatyczne tworzenie punktu w skrypcie się nie uda. Następnie otwórz Notatnik i wklej w nim: CloseProcesses: HKLM-x32\...\Run: [mbot_jp_145] => C:\Program Files (x86)\mbot_jp_145\mbot_jp_145.exe [3976136 2014-11-05] () HKLM-x32\...\Run: [updReg] => C:\Windows\UpdReg.EXE HKLM-x32\...\RunOnce: [upmbot_jp_145.exe] => C:\Users\Adiorz\AppData\Local\mbot_jp_145\upmbot_jp_145.exe -runonce HKU\S-1-5-21-319641768-3134415942-743037567-1000\...\Policies\Explorer: [] HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-319641768-3134415942-743037567-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://hao.dashi.com HKU\S-1-5-21-319641768-3134415942-743037567-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-319641768-3134415942-743037567-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006 SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-319641768-3134415942-743037567-1000 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-319641768-3134415942-743037567-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-319641768-3134415942-743037567-1006 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files (x86)\Java\jre7\bin\ssv.dll => No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll => No File Toolbar: HKU\S-1-5-21-319641768-3134415942-743037567-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File FF DefaultSearchEngine: Yahoo FF SelectedSearchEngine: Yahoo FF Plugin HKU\S-1-5-21-319641768-3134415942-743037567-1000: @Skype Limited.com/Facebook Video Calling Plugin -> C:\Users\Adiorz\AppData\Local\Facebook\Video\Skype\npFacebookVideoCalling.dll [No File] FF HKLM-x32\...\Firefox\Extensions: [web2pdfextension@web2pdf.adobedotcom] - D:\Program Files (x86)\Adobe\Acrobat 10.0\Acrobat\Browser\WCFirefoxExtn ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\Adiorz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\Adiorz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\Adiorz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\Adiorz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File CustomCLSID: HKU\S-1-5-21-319641768-3134415942-743037567-1000_Classes\CLSID\{0B628DE4-07AD-4284-81CA-5B439F67C5E6}\localserver32 -> D:\Program Files\Autodesk\AutoCAD 2015\acad.exe /Automation => No File CustomCLSID: HKU\S-1-5-21-319641768-3134415942-743037567-1000_Classes\CLSID\{149DD748-EA85-45A6-93C5-AC50D0260C98}\localserver32 -> D:\Program Files\Autodesk\AutoCAD 2015\acad.exe => No File CustomCLSID: HKU\S-1-5-21-319641768-3134415942-743037567-1000_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> D:\Program Files\Autodesk\AutoCAD 2015\en-US\acadficn.dll => No File CustomCLSID: HKU\S-1-5-21-319641768-3134415942-743037567-1000_Classes\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Adiorz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => No File CustomCLSID: HKU\S-1-5-21-319641768-3134415942-743037567-1000_Classes\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Adiorz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => No File CustomCLSID: HKU\S-1-5-21-319641768-3134415942-743037567-1000_Classes\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Adiorz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => No File CustomCLSID: HKU\S-1-5-21-319641768-3134415942-743037567-1000_Classes\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Adiorz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => No File CustomCLSID: HKU\S-1-5-21-319641768-3134415942-743037567-1000_Classes\CLSID\{FB314EDD-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Adiorz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => No File CustomCLSID: HKU\S-1-5-21-319641768-3134415942-743037567-1000_Classes\CLSID\{FB314EDE-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Adiorz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => No File CustomCLSID: HKU\S-1-5-21-319641768-3134415942-743037567-1000_Classes\CLSID\{FB314EDF-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Adiorz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => No File CustomCLSID: HKU\S-1-5-21-319641768-3134415942-743037567-1000_Classes\CLSID\{FB314EE0-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Adiorz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => No File Task: {088BCA5E-21AF-4BF6-9B8F-7D0A6909D333} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-319641768-3134415942-743037567-1000UA => C:\Users\Adiorz\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: {0ADE385F-14C5-48C6-8828-29805A8A4FF9} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-319641768-3134415942-743037567-1000Core => C:\Users\Adiorz\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: {49B3FE08-87D3-4A98-B726-143D2FD2C0A1} - System32\Tasks\{09C82817-2C3F-4398-B972-A407D3F24B43} => pcalua.exe -a C:\Users\Adiorz\Downloads\widescreen-v3.05.exe -d C:\Users\Adiorz\Downloads Task: {4FF3074A-EF6A-4747-B1D7-F7C5570C56D3} - System32\Tasks\{05E7C2B8-156C-4122-BB66-BEFF987219F4} => pcalua.exe -a C:\Users\Adiorz\Downloads\irfanview_plugins_438_setup.exe -d C:\Users\Adiorz\Downloads Task: {84EEA1C5-B189-4FCF-931A-21CCA27BB0CC} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {B2E6E789-ED72-484F-BA4C-6FE72F5A636D} - System32\Tasks\{A49270A1-AD49-4039-86DE-09691EC658CF} => pcalua.exe -a F:\Software\ASUS\WINFLASH\XP32_Vista32_Vista64_Win7_32_Win7_64_2.29.0\Setup.exe -d F:\Software\ASUS\WINFLASH\XP32_Vista32_Vista64_Win7_32_Win7_64_2.29.0 -c /qn /norestart Task: {BB910DEF-B3EC-45CD-AD28-0CE6FD5DEE82} - System32\Tasks\{17CFFC38-7CC7-43E5-A282-9E9F2E4D0EB6} => pcalua.exe -a F:\Software\ASUS\WINFLASH\XP32_Vista32_Vista64_Win7_32_Win7_64_2.29.0\Setup.exe -d F:\Software\ASUS\WINFLASH\XP32_Vista32_Vista64_Win7_32_Win7_64_2.29.0 -c /qn /norestart Task: {CAE244B2-8303-48BF-98AB-74172218C22C} - System32\Tasks\{E4AC4DE1-C955-46F7-8CA9-38D54CAD26AD} => pcalua.exe -a C:\Users\Adiorz\Downloads\msicuu_7.2.exe -d C:\Users\Adiorz\Downloads Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-319641768-3134415942-743037567-1000Core.job => C:\Users\Adiorz\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-319641768-3134415942-743037567-1000UA.job => C:\Users\Adiorz\AppData\Local\Facebook\Update\FacebookUpdate.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo S3 ALSysIO; \??\C:\Users\Adiorz\AppData\Local\Temp\ALSysIO64.sys [X] C:\Program Files (x86)\Lenovo C:\Program Files (x86)\mbot_jp_145 C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cygwin C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GNU Octave 3.2.4 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Haali Media Splitter C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Impressions Games C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MYBESTOFFERSTODAY C:\Users\Adiorz\REACHit C:\Users\Adiorz\AppData\Local\Google\Chrome\User Data\Chrome App Launcher.lnk C:\Users\Adiorz\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Adiorz\AppData\Local\Google\Chrome\User Data\Default\Web Data C:\Users\Adiorz\AppData\Local\Microsoft\Windows\GameExplorer\{E5DA8FD5-4699-4CBB-BE24-1C9E8F440713} C:\Users\Adiorz\AppData\Roaming\GoldenGate C:\Users\Adiorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Chrome App Launcher.lnk C:\Users\Adiorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Autodesk C:\Users\Adiorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Hugin C:\Users\Adiorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Portforward.com C:\Users\Adiorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Steam C:\Users\Adiorz\Desktop\Continue installation .lnk C:\Windows\System32\Tasks\Lenovo C:\Windows\SysWOW64\REN*.tmp Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ADSKAppManager" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Autodesk Sync" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LogMeIn Hamachi Ui" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows i upewnij się, że Comodo nie jest w żaden sposób uruchomiony. Uruchom FRST i kliknij w Napraw (Fix). Ma nastąpić restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też fixlog.txt. Jeśli problem reklamodawczych hyperlinków nadal będzie występował w Chrome, skopiuj na pulpit poniższe foldery: C:\Program Files (x86)\Google\Chrome C:\Users\Adiorz\AppData\Local\Google\Chrome Wszystko spakuj do ZIP, shostuj gdzieś i na PW wyślij mi link.

Jeśli to na pewno raporty z systemu który był zainfekowany, to nie ma w systemie żadnych śladów, że ta infekcja miała miejsce. Windows wygląda tak czysto jakby był po reinstalacji. Czy to na pewno ten system był motorem infekcji? I uwaga na SpyHunter - to wątpliwy program z czarnej listy! Albo Kaspersky znalazł błędne hasło i to nadal wersje zaszyfrowane, albo pliki są poprawnie odkodowane lecz permanentnie uszkodzone. W obu scenariuszach nie jestem w stanie nic zaradzić.