picasso

Wykonane tylko trzy pierwsze linie. Pierwszy Fixlist do powtórzenia z nieprzetworzoną częścią: Unlock: C:\ ListPermissions: C:\ RemoveDirectory: C:\11be7b36-b8bb-4741-8589-f35d8f1c86df RemoveDirectory: C:\43bf5f03-3db5-4b41-bcb7-f16c39d03c56 RemoveDirectory: C:\bd19c747-0b9a-4ab4-acbd-34e2aa87633e RemoveDirectory: C:\$AVG RemoveDirectory: C:\AVG_BFEfix RemoveDirectory: C:\AVG_SysInfo RemoveDirectory: C:\Dbz0A5CD RemoveDirectory: C:\Dbz70C5E RemoveDirectory: C:\MATS RemoveDirectory: C:\MSIa6ea7.tmp RemoveDirectory: C:\MSI6e240.tmp RemoveDirectory: C:\MSI7321e.tmp RemoveDirectory: C:\MSI7321c.tmp RemoveDirectory: C:\MSI7321a.tmp RemoveDirectory: C:\MSI4f3d3.tmp RemoveDirectory: C:\MSI1e1e9.tmp RemoveDirectory: C:\MSI1e1e7.tmp RemoveDirectory: C:\MSI1e1e5.tmp RemoveDirectory: C:\MSI197e5.tmp RemoveDirectory: C:\MSI799ad.tmp RemoveDirectory: C:\MSI799a7.tmp RemoveDirectory: C:\MSI799a1.tmp RemoveDirectory: C:\MSI7998f.tmp RemoveDirectory: C:\MSIa4b17.tmp RemoveDirectory: C:\MSIa4b15.tmp RemoveDirectory: C:\MSIa4b13.tmp RemoveDirectory: C:\MSIa026b.tmp RemoveDirectory: C:\MSId29a5.tmp RemoveDirectory: C:\MSIab77c.tmp RemoveDirectory: C:\MSIab77a.tmp RemoveDirectory: C:\MSIab778.tmp RemoveDirectory: C:\MSIa78c2.tmp RemoveDirectory: C:\MSI64a5e.tmp RemoveDirectory: C:\MSI64a5c.tmp RemoveDirectory: C:\MSI64a5a.tmp RemoveDirectory: C:\MSI3be87.tmp RemoveDirectory: C:\MSI3be78.tmp RemoveDirectory: C:\MSI3fe6a.tmp RemoveDirectory: C:\MSI3fe68.tmp RemoveDirectory: C:\MSI3fe66.tmp RemoveDirectory: C:\MSI8f1b.tmp RemoveDirectory: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Hosts: CMD: dir /a C:\ CMD: sc config Eventlog start= disabled

Skoro usunięcie Pandy przyniosło pozytywne skutki to wygląda jednak na to, że coś stało się Pandzie podczas tego ataku adware. Teraz drobne poprawki korekcyjne na wpisy szczątkowe oraz usunięcie szczątków po używanych skanerach: 1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście ukryty odpadek Lenovo Metric Collection SDK > Dalej. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] S2 panda_url_filtering; C:\Program Files\Panda Security URL Filtering\Panda_URL_Filteringb.exe -- [X] S3 panda_url_filteringd; \??\C:\Program Files\Panda Security URL Filtering\panda_url_filteringd.sys [X] U0 Partizan; system32\drivers\Partizan.sys [X] S2 PdiService; C:\Program Files (x86)\Common Files\Portrait Displays\Drivers\pdisrvc.exe [X] S4 RAMDiskVE; System32\Drivers\RAMDiskVE.sys [X] S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\BatteryCare\WinRing0x64.sys [X] HKLM-x32\...\Run: [] => [X] HKLM\...\Winlogon: [userinit] C:\Windows\SysWOW64\userinit.exe, Winlogon\Notify\ScCertProp: HKU\S-1-5-21-3455464757-3093656346-2702893615-1000\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) BootExecute: autocheck autochk * sdnclean64.exe Task: {25ED5BC3-10CC-48ED-93CB-F55B7B72108B} - System32\Tasks\{A785BDC3-EA77-4CFB-B446-28129F11A650} => pcalua.exe -a "C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\D4UPCHB0\sp52211.exe" -d C:\Users\Administrator\Desktop Task: {6795F5F2-457E-45EC-AEE0-81BEC4DE31DE} - System32\Tasks\{97F9A8A6-0A04-4FCB-B979-581D1F680188} => pcalua.exe -a C:\Users\user\Downloads\sp61783.exe -d C:\Users\user\Downloads Task: {68271B30-EB14-41AB-A0A8-CB6C0FEB2BF9} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {7C126D02-5C56-4F87-B01F-258C4879A02D} - System32\Tasks\{EE207310-3657-4921-888A-BC1576655CC5} => pcalua.exe -a "C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\KG5G8L6C\sp55757.exe" -d C:\Users\Administrator\Desktop Task: {7C85F6D7-5A89-4371-87B6-46AC53B18B91} - System32\Tasks\Driver Booster SkipUAC (user) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {9ED8420B-7CE5-4B2A-99B4-F812FF740749} - System32\Tasks\{D5B23B92-5528-49B5-A7AF-4D30BA9F1090} => pcalua.exe -a "C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TO44V2D5\sp54614.exe" -d C:\Users\Administrator\Desktop Task: {C9DBB28D-2647-41C4-8EC4-44A94521C598} - System32\Tasks\{4263683A-706B-4A3F-8F63-2D51FA86BC01} => pcalua.exe -a "C:\Users\user\Downloads\dxwebsetup (1).exe" -d C:\Users\user\Downloads Task: {D36D0AA6-3E4E-4F2B-B98C-88F63306A13C} - System32\Tasks\BatteryCareAuto => C:\Program Files (x86)\BatteryCare\BatteryCare.exe Task: {D464F946-6549-4A8B-88FD-B6FEA9C7EAF9} - System32\Tasks\{72FB0EC8-F6F1-4A08-AECA-F3BD82B2B52D} => pcalua.exe -a "C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VNQIDYNS\sp54317.exe" -d C:\Users\Administrator\Desktop Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> No File DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\EEK RemoveDirectory: C:\Program Files\McAfee Security Scan RemoveDirectory: C:\Program Files (x86)\Lenovo\Customer Feedback Program RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2 RemoveDirectory: C:\Program Files\Common Files\AV RemoveDirectory: C:\ProgramData\Panda Security RemoveDirectory: C:\ProgramData\panda_url_filtering RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Team17 RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows 7 - Codec Pack RemoveDirectory: C:\Users\user\AppData\Roaming\Panda Security RemoveDirectory: C:\Users\user\REACHit RemoveDirectory: C:\Windows\Tasks\ImCleanDisabled RemoveDirectory: C:\Windows\System32\Tasks\Lenovo RemoveDirectory: C:\Windows\System32\Tasks\Safer-Networking Folder: C:\Program Files (x86)\Lenovo Folder: C:\Users\user\AppData\Local\Lenovo CMD: del /q C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat CMD: del /q C:\Users\user\Downloads\*.crdownload CMD: del /q C:\Users\user\Downloads\adwcleaner*.exe CMD: del /q C:\Users\user\Downloads\gmer.zip CMD: del /q C:\Users\user\Downloads\hitmanpro*.exe CMD: del /q C:\Users\user\Downloads\iExplore*.exe CMD: del /q C:\Users\user\Downloads\spybot-2.4.exe CMD: del /q C:\Users\user\Downloads\tdsskiller.exe CMD: del /q "C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\JDownloader 2.lnk" CMD: del /q "C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\KaraFun Player 2.lnk" CMD: del /q "C:\Users\user\Desktop\Start Emsisoft Emergency Kit.lnk" CMD: del /q C:\Windows\system32dbgraw.bmp CMD: netsh advfirewall reset Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\nvsvc" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\nwiz" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\StartCCC" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są mi już potrzebne.

Niektóre foldery mają dziwne niedomyślne uprawnienia, tzn. tylko Wszyscy z Pełną kontrolą, brak grupy Administratorzy i konta SYSTEM. Kolejne podejście z dwoma plikami Fixlist pod rząd: S1 {273fb277-0179-4a71-a191-113c779e7d13}Gt; system32\drivers\{273fb277-0179-4a71-a191-113c779e7d13}Gt.sys [X] HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Unlock: C:\ ListPermissions: C:\ RemoveDirectory: C:\11be7b36-b8bb-4741-8589-f35d8f1c86df RemoveDirectory: C:\43bf5f03-3db5-4b41-bcb7-f16c39d03c56 RemoveDirectory: C:\bd19c747-0b9a-4ab4-acbd-34e2aa87633e RemoveDirectory: C:\$AVG RemoveDirectory: C:\AVG_BFEfix RemoveDirectory: C:\AVG_SysInfo RemoveDirectory: C:\Dbz0A5CD RemoveDirectory: C:\Dbz70C5E RemoveDirectory: C:\MATS RemoveDirectory: C:\MSIa6ea7.tmp RemoveDirectory: C:\MSI6e240.tmp RemoveDirectory: C:\MSI7321e.tmp RemoveDirectory: C:\MSI7321c.tmp RemoveDirectory: C:\MSI7321a.tmp RemoveDirectory: C:\MSI4f3d3.tmp RemoveDirectory: C:\MSI1e1e9.tmp RemoveDirectory: C:\MSI1e1e7.tmp RemoveDirectory: C:\MSI1e1e5.tmp RemoveDirectory: C:\MSI197e5.tmp RemoveDirectory: C:\MSI799ad.tmp RemoveDirectory: C:\MSI799a7.tmp RemoveDirectory: C:\MSI799a1.tmp RemoveDirectory: C:\MSI7998f.tmp RemoveDirectory: C:\MSIa4b17.tmp RemoveDirectory: C:\MSIa4b15.tmp RemoveDirectory: C:\MSIa4b13.tmp RemoveDirectory: C:\MSIa026b.tmp RemoveDirectory: C:\MSId29a5.tmp RemoveDirectory: C:\MSIab77c.tmp RemoveDirectory: C:\MSIab77a.tmp RemoveDirectory: C:\MSIab778.tmp RemoveDirectory: C:\MSIa78c2.tmp RemoveDirectory: C:\MSI64a5e.tmp RemoveDirectory: C:\MSI64a5c.tmp RemoveDirectory: C:\MSI64a5a.tmp RemoveDirectory: C:\MSI3be87.tmp RemoveDirectory: C:\MSI3be78.tmp RemoveDirectory: C:\MSI3fe6a.tmp RemoveDirectory: C:\MSI3fe68.tmp RemoveDirectory: C:\MSI3fe66.tmp RemoveDirectory: C:\MSI8f1b.tmp RemoveDirectory: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Hosts: CMD: dir /a C:\ CMD: sc config Eventlog start= disabled Ręczny reset, zignorować niedziałającą sieć i zapuścić kolejny: Unlock: C:\WINDOWS\system32\config\COMODO I.evt Unlock: C:\WINDOWS\system32\config\TuneUp.evt C:\WINDOWS\system32\config\COMODO I.evt C:\WINDOWS\system32\config\TuneUp.evt CMD: sc config Eventlog start= auto Znów ręczny reset. Przedstaw oba wynikowe pliki fixlog.txt.

Wszystko wygląda w porządku. 1. Detaliczna operacja polegająca na usunięciu starego niekompatybinego i nie podpisanego cyfrowo rozszerzenia Hewlett-Packard w Firefox: HKLM\...\Run: [] => [X] FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-3632361876-1953191416-3316088722-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Drobny błąd WMI numer 10 w Dzienniku zdarzeń. Zastosuj narzędzie Fix-it: KLIK.

Ta metoda na pewno nie działa, a wręcz pogarsza stan, pliki zostaną pominięte przez dekoder. Zaszyfrowanym plikom nie należy samodzielnie zmieniać nazw. To robota dla dekodera (pomyślne odszyfrowanie równa się też przywróceniu poprzedniej nazwy).

Przepraszam za ten cytat po angielsku. Nawiasem mówiąc to jest w rzeczywistości mniej niż równe 120GB, tzn. "tylko" 111.8 GB. Niczego nie brakuje, są po prostu stosowane dwa typy liczenia: producent dysku marketingowo wykorzystuje obliczenia w systemie dziesiętnym (by wyglądało że jest "więcej"), ale to samo Windows kalkuluje w systemie dwójkowym (czyli "w plecy" jest troszeczkę). Tę infekcję prawdopodobnie złapałaś właśnie via e-mail otwierając jakiś załącznik. Obecnie jest to jedna z głównych dróg rozprzestrzeniania się infekcji szyfrujących dane. Jest multum takich infekcji, a Twoja nie jest tą najgorszą, bo jest jakaś szansa na odszyfrowanie. Aczkolwiek zaznaczyłam, że nie ma gwarancji, gdyż ta sama infekcja na dwóch różnych komputerach może zastosować nietożsamą siłę hasła. Są osoby, które utraciły dane, bo RakhniDecryptor poległ. Aktualnie jest specyficzne środowisko zadaniowe nie podlegające innym analizom. Procesor obciąża RakhniDecryptor, który wykonuje niewiarygodną ilość operacji, "atak siłowy" na hasło i mnogość kombinacji którą narzędzie sprawdza kosztuje. Proces dekrypcji jest niezwykle zasobożerny, a im słabszy sprzęt, tym bardziej to widoczne. Niestety nie ma możliwości, by wpłynąć na polepszenie stanu rzeczy nie przerywając pracy Kasperskiego, a ponowne jego uruchomienie sprowadzi się do tego samego efektu, bo po prostu potrzebna jest moc obliczeniowa. W obecnej sytuacji należy zostawić komputer "na wolnym biegu", tzn. nie utrudniać narzędziu dodatkowo i nie otwierać żadnych dodatkowych programów. Tu nie ma innej rady niż przeczekać to co się dzieje w tle, aż do końcowych wyników pracy narzędzia (pozytywnych lub negatywnych), by uzyskać pewność, że zrobiono wszystko co możliwe, by odszyfrować dane. Jak już powiedziane, proces próby odszyfrowania jest bardzo mozolny i Kaspersky stosuje ostrzeżenie przed rozpoczęciem, że należy się przygotować na wiele godzin, a nawet dni. W przypadku gdy RakhniDecryptor nie znajdzie u Ciebie pasującego hasła, nie widzę już innego ratunku.

Kopia raportu jest w folderze C:\FRST\Logs (plik o nazwie fixlog_data_czas.txt). Dołącz.

Ale to jest oczywiste. Hasło nie jest znane, program próbuje je "złamać" - na Twoim obrazku jest pokazane jaka masa kombinacji już była próbowana. Proces odszyfrowywania może być bardzo długi. Z linka którym podałam: "Once you select an encrypted file, you will receive a warning that the brute force process can take many hours if not days." Druga sprawa, jest potrzebne dużo wolnego miejsca na dysku, nie wiem czy to co było na początku wystarczy: Drive c: (3BETTY-XP) (Fixed) (Total:40.34 GB) (Free:12.8 GB) FAT32 ==>[dysk z komponentami startowymi (Windows XP)] Po trzecie, nie jest gwarantowane, że się uda. Wszystko zależy od tego jak "słabe zabezpieczenie" miał wariant w Twoim systemie.

Wszystko gładko poszło. Teraz już tylko poprawki: 1. Otwórz Notatnik i wklej w nim: HKLM\...\Run: [mwlDaemon] => C:\Program Files (x86)\EgisTec MyWinLocker\x86\mwlDaemon.exe HKU\S-1-5-21-173458695-754960654-3623925198-1000\...\Run: [msnmsgr] => "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background FF Plugin-x32: @microsoft.com/WLPG,version=15.4.3502.0922 -> C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll [brak pliku] S2 Crashhd; C:\Users\user\AppData\Local\Crsoft\crsvc.exe -st [X] RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Kaspersky Lab RemoveDirectory: C:\Program Files (x86)\Windows Live RemoveDirectory: C:\ProgramData\Kaspersky Lab RemoveDirectory: C:\Users\user\AppData\Local\{0D4D30AF-3AB6-4669-828D-F5B8D991DFAD} RemoveDirectory: C:\Users\user\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\user\Downloads\067prvpu.exe CMD: del /q C:\Users\user\Downloads\kavremvr 2015-11-09 18-49-55 (pid 1208).log CMD: del /q C:\Users\user\Downloads\fixlist.txt CMD: del /q C:\Users\user\Documents\fixlist.txt CMD: type C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job CMD: del /q C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v msnmsgr /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v mwlDaemon /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v EgisTecPMMUpdate /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

W sumie format jest tu bardzo dobrym rozwiązaniem, bo zakres naruszeń przez wirusa jest nieznany. Skopiuj z dysku tylko te dane, które są bardzo istotne, upewniając się że żadne z nich nie są zainfekowane.

W raportach nie widać nic podejrzanego. Do wykonania tylko drobnostki. 1. Do deinstalacji starsze wersje: Adobe AIR, Adobe Flash Player 17 ActiveX, Java 8 Update 45 . 2. Akcja "kosmetyczna" (czyszczenie Tempów + drobne wpisy odpadkowe). Otwórz Notatnik i wklej w nim: CloseProcesses: SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] Task: {23BDEB75-0385-46C1-B37A-1003F021795A} - System32\Tasks\{1CAF6F42-8475-4A59-8703-D5A9E16F630D} => C:\Users\Marcin\Desktop\Moorhuhn.exe Task: {8BDAF666-1C7A-41E1-893F-F2B305AE947F} - System32\Tasks\{53E68F4E-CB3B-4A82-A314-8CFA6839AD59} => pcalua.exe -a C:\Users\Marcin\Downloads\sp52814.exe -d C:\Users\Marcin\Downloads Task: {8EE34F3D-E947-48B4-BD89-1236F23B7575} - System32\Tasks\{F240D68B-B1DF-4977-AC21-74C9B645421E} => C:\Users\Marcin\Desktop\Moorhuhn.exe Task: {9467C4B2-A0A0-4586-9B42-0F6C88A29758} - System32\Tasks\{5BFCCED0-2D35-4EE7-822C-35A73FE1FCF4} => Chrome.exe hxxp://ui.skype.com/ui/0/7.1.0.105/pl/abandoninstall?source=lightinstaller&page=tsInstall Task: {A07470DB-F5A1-42F8-8387-67E1B9FDD327} - System32\Tasks\{DBAC729D-1856-41FE-B408-07394E9BF15D} => C:\Users\Marcin\Desktop\Moorhuhn.exe Task: {A725334A-47DA-4FBD-A7C0-A4A37EBA0891} - System32\Tasks\{C74941F4-F360-4518-AC85-75BEFA1CAC70} => C:\Users\Marcin\Desktop\Moorhuhn.exe Task: {B21F5154-E677-48F9-9ADC-0171AB5EA299} - System32\Tasks\{22C4DB70-584B-4B5B-8017-7F1695D9D2CA} => pcalua.exe -a C:\Users\Marcin\Downloads\sp52791(1).exe -d C:\Users\Marcin\Downloads Task: {E923C046-1A59-42CF-AE6C-0D37E6018EF5} - System32\Tasks\{4CF41A40-AC0C-4BA9-B6E1-15EF380D52A0} => pcalua.exe -a "C:\Users\Hubert\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LNUVJ7ZI\sp51976[1].exe" -d C:\Users\Hubert\Desktop C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Silverlight.lnk C:\Users\Hubert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR C:\Users\Hubert\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. Nie potrzebuję nowych raportów FRST. 3. W kwestii błędów w Dzienniku zdarzeń. Drobny błąd WMI numer 10 zreperuje Fix-it: KLIK. A to do działu Hardware: Dziennik System: ============= Error: (11/07/2015 09:02:17 PM) (Source: Microsoft-Windows-Kernel-Power) (EventID: 88) (User: ) Description: Nastąpiło przejście systemu do stanu hibernacji z powodu krytycznego zdarzenia termicznego. Czas hibernacji = 2015-11-07T20:02:17.994150500Z Strefa termiczna ACPI = ACPI\ThermalZone\TZ01 _HOT = 363 K

Temat przenoszę do działu Sieci. Brak oznak infekcji. A te oznaczenia "UWAGA Ograniczenia" to są artefakty utworzone przez nie do końca idealne procedury "resetów" w ComboFix. Nie są one ważne i ewentualnie potem się zajmę usunięciem śmieci ComboFix. Wstępnie sprawdź czy zmieni stan deinstalacja Microsoft Security Essentials (piję do sterownika sieciowego NisDrv). Jeśli nie będzie rezultatów, dostarcz dane wymagane działem Sieci: KLIK.

Wszystko pomyślnie wykonane. Teraz kolejna porcja czynności: 1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadek Acrobat.com > Dalej. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj (nic jeszcze nie usuwaj) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Niestety infekcje adware/PUP są coraz bardziej inwazyjne i zwiększa się nakład pracy wymagany, by wszystko dobrze wyczyścić. To już wszystko. Oczywiście DAEMON Tools możesz przywrócić. Uwaga na proces instalacji: instalator DAEMON jest sponsorowany, trzeba odznaczyć instalację śmieci.

Obecnie w raportach nie ma żadnych oznak czynnej infekcji. Do usunięcia potem będą drobne odpadkowe wpisy, ale one nie mają związku z objawami. Tu prędzej jest podejrzana świeżo zainstalowana Panda, multum obiektów startowych i sterowników. Wstępnie: 1. Odinstaluj Driver Booster 3.0 (powody: KLIK) oraz Panda Free Antivirus + Panda Security Toolbar. 2. Zrób nowy log FRST z opcji Skanuj (Scan), włącznie z Addition. Opisz czy jest poprawa w działaniu.

Operacja pomyślnie wykonana. Kończymy: 1. Usuń pobrany FRST i jego logi z folderu C:\Users\Admi\Downloads\do posta. Następnie zastosuj DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. Ten typ adware wchodzi z instalatorów sponsorowanych i "downloaderów". Zjawisku jest poświęcony ten artykuł: KLIK. Z Twoich logów nie udało się wyczytać jaki konkretnie instalator i skąd pobrany był powodem, bo już były różne akcje czyszczenia wdrożone przed zgłoszeniem się na forum i otrzymałam mocno zmanipulowane raporty. Ale myślę, że podlinkowany artykuł zasygnalizuje na co uważać w przyszłości.

Są tu dwa typy infekcji: 1. Infekcja DNS (ale nie na poziomie routera). Poniższe adresy są izraelskie: KLIK. Tcpip\..\Interfaces\{6DC2418E-6989-4151-A607-454B27A2A624}: [NameServer] 82.163.143.169,82.163.142.171 2. Również adware. Widać szkodliwą usługę "Annoyed History" i trzy zadania w Harmonogramie (Bidaily Synchronize Task[973b], FatBuster, SnackAttack) oraz polityki blokujące coś w Google Chrome. Akcje wstępne do przeprowadzenia: 1. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > z boku klik w Zmień ustawienia karty sieciowej > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 2. Odinstaluj stare wersje: Adobe AIR, Adobe Flash Player 11 ActiveX, Adobe Flash Player 11 Plugin, Adobe Reader X (10.1.6) MUI, Java 7 Update 51, Java™ 6 Update 37, Mozilla Firefox 34.0.5 (x86 en-US), Mozilla Maintenance Service. Doczyszczanie po Firefox będzie w poniższym punkcie. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Annoyed History; C:\Users\Sigon\AppData\Roaming\Annoyed History\Annoyed History.exe [66048 2015-06-26] () [brak podpisu cyfrowego] S3 Microsoft SharePoint Workspace Audit Service; "C:\Program Files (x86)\Microsoft Office\Office14\GROOVE.EXE" /auditservice [X] S3 BRDriver64_1_3_3_E02B25FC; \??\C:\ProgramData\BitRaider\support\1.3.3\E02B25FC\BRDriver64.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] S3 XFDriver64; \??\C:\Program Files (x86)\Xfire2\XFDriver64.sys [X] Task: {07A0B982-3ECD-4A0C-A986-7611B82CDA36} - System32\Tasks\SnackAttack => c:\programdata\{f651b2f1-d89e-200e-f651-1b2f1d89cbc7}\3871845655588411977b.exe [2014-06-22] () Task: {0A7C6E9C-5DBF-448B-A9C9-31ECA1C021E2} - System32\Tasks\{F6A937A9-B4A5-4513-A613-88550E282F92} => pcalua.exe -a "C:\Microsoft.Office.2007.PL\Microsoft.Office.2007.PL\Microsoft.Office.2007.PL\Office 07\setup.exe" -d "C:\Microsoft.Office.2007.PL\Microsoft.Office.2007.PL\Microsoft.Office.2007.PL\Office 07" Task: {3275DA4A-7B55-4BC7-B4A8-25091CB689D1} - System32\Tasks\{1140DFB7-008E-4228-BA5E-A3F8AF2FFC58} => pcalua.exe -a C:\Users\Sigon\Documents\ventriloMIX05.exe -d C:\Users\Sigon\Documents Task: {6C9EAE2B-22F9-4E71-89BA-071F6C3654FF} - System32\Tasks\{D165490E-6D9D-4D53-A245-28D958131279} => C:\Program Files (x86)\Samsung\Kies\Kies.exe Task: {9AB12123-AA59-4A19-98EC-594B557C602A} - System32\Tasks\{A848CBCA-101D-428F-8084-001F75B0F553} => C:\Program Files (x86)\Samsung\Kies\Kies.exe Task: {B5861956-8560-409B-9013-09C2370695C4} - System32\Tasks\FatBuster => c:\programdata\{0ae3418f-435d-11d7-0ae3-3418f435063d}\3029916761563842797b.exe [2014-06-26] () Task: {C99EDA62-813A-467E-B75D-E9D41D3DF88F} - System32\Tasks\Bidaily Synchronize Task[973b] => c:\programdata\{2892869b-89d7-3c78-2892-2869b89d1a6e}\sowa i przyjaciele - podsluchy - akta sprawy nr1.pdf.exe [2014-06-10] () Task: C:\Windows\Tasks\Bidaily Synchronize Task[973b].job => c:\programdata\{2892869b-89d7-3c78-2892-2869b89d1a6e}\sowa i przyjaciele - podsluchy - akta sprawy nr1.pdf.exe Task: C:\Windows\Tasks\FatBuster.job => c:\programdata\{0ae3418f-435d-11d7-0ae3-3418f435063d}\3029916761563842797b.exe Task: C:\Windows\Tasks\SnackAttack.job => c:\programdata\{f651b2f1-d89e-200e-f651-1b2f1d89cbc7}\3871845655588411977b.exe HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" HKLM-x32\...\Run: [fst_pl_41] => [X] HKLM-x32\...\Run: [bCSSync] => "C:\Program Files (x86)\Microsoft Office\Office14\BCSSync.exe" /DelayServices Winlogon\Notify\AutorunsDisabled: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1666849123-2050503175-1494362175-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1666849123-2050503175-1494362175-1001 -> {E3972092-C2EA-46AE-AC2E-C8D41F362280} URL = BHO-x32: Office Document Cache Handler -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> C:\PROGRA~2\MICROS~1\Office14\URLREDIR.DLL => Brak pliku C:\Program Files (x86)\Asprate C:\Program Files (x86)\Mozilla Firefox C:\Programdata\{0ae3418f-435d-11d7-0ae3-3418f435063d} C:\Programdata\{f651b2f1-d89e-200e-f651-1b2f1d89cbc7} C:\ProgramData\Dell\Dell Stage\deleted_shortcuts\SyncUP.lnk C:\ProgramData\Dell\Dell Stage\deleted_shortcuts\Zinio Reader 4.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Asprate C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Carom3D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA\BioWare\Star Wars - The Old Republic\View License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mumble C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tibia\Tibia Website.lnk C:\Users\Sigon\AppData\Local\Google\Chrome\User Data\Profile 1\Preferences C:\Users\Sigon\AppData\Local\Google\Chrome\User Data\Profile 1\Web Data C:\Users\Sigon\AppData\Local\Mozilla C:\Users\Sigon\AppData\Roaming\Annoyed History C:\Users\Sigon\AppData\Roaming\Microsoft\Word\Tytuly302896461249450560\Tytuly.docx.lnk C:\Users\Sigon\AppData\Roaming\Mozilla Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AccuWeatherWidget" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gadu-Gadu 10" /f CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Osoby > usuń poprzedni profil całkowicie. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Skanuj (Scan) na następującym ustawieniu: w sekcji Filtrowanie odznaczona opcja Internet + zaznaczone pole Addition. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy nadal występują.

Wszystko pomyślnie wykonane. Drobne poprawki. Otwórz Notatnik i wklej w nim: S3 WinDivert1.1; C:\Program Files\KMSpico\WinDivert.sys [35376 2015-04-16] (Basil Projects) CHR DefaultSearchKeyword: Default -> q C:\Program Files\KMSpico C:\ProgramData\ntuser.pol C:\WINDOWS\SysWOW64\GroupPolicy\gpt.ini Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt. Przedstaw go. Nie polecam. Są tu dwa aspekty: - Firma IOBit jako taka. Odradzam instalacje jakichkolwiek produktów tej marki. Firma o niskim morale, znana z podejrzanych związków partnerskich, notorycznie umieszczająca adware w instalatorach wersji free, a w przeszłości złapana na kradzieży bazy MBAM (podróbna wstawiona do ich programu anty-malware). - Typ programu. Automaty aktualizujące sterowniki mogą wyrządzić szkody instalując wersje niepasujące do systemu. Tak, zdarza się to. Tu na forum było wiele takich przypadków, gdy po operacji automatu trzeba było cofać cały system wstecz. Sterowniki powinno się aktualizować precyzyjnie ręcznie.

Niezależnie od tego w jaki sposób były opisane wyniki, większość z tych "2700" to musiał być wirus Ramnit. Kaspersky oznacza go pod inną nazwą kodową "Nimnul". Raporty są prawdopodobnie w katalogu C:\Kaspersky Rescue Disk 10.0, tylko że Kaspersky domyślnie szyfruje pliki raportów, więc dostarczenie wersji zaszyfrowanej mija się z celem. Do czyszczenia jeszcze mamy pewne rzeczy, ale pojawił się tu nowy problem po czyszczeniu, tzn. utrata dostępu do konta. Obecnie Twój profil ma charakter tymczasowy, rozlinkowany z poprzednim katalogiem: Uruchomiony z C:\Users\TEMP\Downloads Admin (S-1-5-21-4127351139-3218798602-2645746064-1000 - Administrator - Enabled) => C:\Users\TEMP 2015-11-08 21:35 - 2015-11-08 21:41 - 00000000 ____D C:\Users\TEMP\AppData\Local\Mozilla 2015-11-08 21:35 - 2015-11-08 21:35 - 00001434 _____ C:\Users\TEMP\Desktop\firefox — skrót.lnk 2015-11-08 21:35 - 2015-11-08 21:35 - 00000000 ____D C:\Users\TEMP\AppData\Roaming\Mozilla 2015-11-08 21:34 - 2015-11-08 21:42 - 00000000 ____D C:\Users\TEMP 2015-11-08 21:34 - 2015-11-08 21:34 - 00000020 ___SH C:\Users\TEMP\ntuser.ini 2015-11-08 21:34 - 2015-11-08 21:34 - 00000000 _SHDL C:\Users\TEMP\Ustawienia lokalne 2015-11-08 21:34 - 2015-11-08 21:34 - 00000000 _SHDL C:\Users\TEMP\Szablony 2015-11-08 21:34 - 2015-11-08 21:34 - 00000000 _SHDL C:\Users\TEMP\Moje dokumenty 2015-11-08 21:34 - 2015-11-08 21:34 - 00000000 _SHDL C:\Users\TEMP\Menu Start 2015-11-08 21:34 - 2015-11-08 21:34 - 00000000 _SHDL C:\Users\TEMP\Documents\Moje wideo 2015-11-08 21:34 - 2015-11-08 21:34 - 00000000 _SHDL C:\Users\TEMP\Documents\Moje obrazy 2015-11-08 21:34 - 2015-11-08 21:34 - 00000000 _SHDL C:\Users\TEMP\Documents\Moja muzyka 2015-11-08 21:34 - 2015-11-08 21:34 - 00000000 _SHDL C:\Users\TEMP\Dane aplikacji 2015-11-08 21:34 - 2015-11-08 21:34 - 00000000 _SHDL C:\Users\TEMP\AppData\Roaming\Microsoft\Windows\Start Menu\Programy 2015-11-08 21:34 - 2015-11-08 21:34 - 00000000 _SHDL C:\Users\TEMP\AppData\Local\Historia 2015-11-08 21:34 - 2015-11-08 21:34 - 00000000 _SHDL C:\Users\TEMP\AppData\Local\Dane aplikacji 2015-11-08 21:34 - 2009-07-14 05:42 - 00000000 ___RD C:\Users\TEMP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories 2015-11-08 21:34 - 2009-07-14 05:37 - 00000000 ___RD C:\Users\TEMP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Maintenance Należy ponownie przekierować konto na właściwy folder: 1. Włącz tymczasowo wbudowane konto Administrator. Start > w polu szukania wpisz lusrmgr.msc > z prawokliku Uruchom jako Administrator. Dwuklik w Użytkownicy > dwuklik w Administratora i włącz konto. 2. Wyloguj się całkowicie z obecnego konta poprzez pełny restart komputera a nie opcje Wyloguj / Przełącz użytkownika. Zaloguj się na Administratora. Uruchom na nim Reprofiler. Rozłącz konto Admin z folderem C:\Users\TEMP (opcja Detach), następnie połącz konto z poprzednim folderem C:\Users\Admin. 3. Zresetuj komputer. Zaloguj się na swoje konto. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale Shortcut już zbędny.

W tle aktywnie działają usługi adware. Ponadto, są zainfekowane wszystkie przeglądarki. W Firefox są aż dwie infekcje. Podróbka rozszerzenia delicioustechragacom oraz hijack matrycy preferencji: FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\browser\defaults\preferences\prefs.js [2015-11-03] FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\cfg [2015-11-03] W Google Chrome również są podróbki rozszerzeń. Prócz tego są różne odpadki, w tym po wykonaniu aktualizacji Windows 7 > Windows 10. Wszystkim się zajmę. Akcje do wdrożenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > Odinstaluj stare wersje Acrobat.com, Adobe AIR, Kaspersky Endpoint Security 10 for Windows, Podstawowe programy Windows Live, vShare.tv plugin 1.3 (adware), Win7x64 Components v1.2.4, Windows Live Sync, Windows Media Player Firefox Plugin. Sugeruję także pozbyć się firmowych programów MyWinLocker Suite (o ile nie robiono w nim szyfrowania danych) oraz wszystkie pozycje NTI (jeśli z nich nie korzystasz). - Przejdź w Tryb awaryjny i zastosuj Kaspersky Remover. Po jego użyciu opuść Tryb awaryjny. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 swsedrvr_vw_1_10_0_25; C:\Windows\System32\drivers\swsedrvr_vw_1_10_0_25.sys [57720 2015-09-22] (SS) R2 NetTcpHandler; C:\Users\user\AppData\Roaming\NetService\netservice.exe [173088 2015-07-09] () U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [mbot_pl_014010126] => [X] HKLM-x32\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot HKLM-x32\...\Run: [gmsd_pl_005010126] => [X] HKU\S-1-5-21-173458695-754960654-3623925198-1000\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot GroupPolicy: Ograniczenia - Chrome CHR HKLM-x32\...\Chrome\Extension: [kpionmjnkbpcdpcflammlgllecmejgjj] - C:\Program Files (x86)\vShare.tv plugin\vshareplg.crx [2011-08-31] FF HKLM-x32\...\Firefox\Extensions: [ff-bmboc@bytemobile.com] - C:\Program Files\T-Mobile\InternetManager_H\OCx64\addon => nie znaleziono SearchScopes: HKLM-x32 -> {98859D5F-9BC6-4047-98EB-D5A6F5A4D139} URL = hxxp://startsear.ch/?aff=1&src=sp&cf=7fb07d16-f63a-11e0-8ba7-206a8a25f6f8&q={searchTerms} Toolbar: HKU\S-1-5-21-173458695-754960654-3623925198-1000 -> Brak nazwy - {7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} - Brak pliku Task: {1066539A-9455-44EA-9AC7-14D731AB1366} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {12B9E2DD-387A-4B2A-B8E3-81D4B6F8AA7D} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {187835C1-1EEC-4807-BA07-6D31DA71BB6F} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {1A400B94-20D6-444A-89B1-616FA6004155} - System32\Tasks\{9153F979-F196-4783-988A-4D82C4D2B495} => Iexplore.exe hxxp://ui.skype.com/ui/0/6.1.0.129.272/pl/abandoninstall?page=tsProgressBar Task: {1B0F704C-9EB4-464E-B417-9A3DC87E343A} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {32BA5F48-E203-4FA0-ADA8-0D89448E065F} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {3AFCADAE-326B-44FB-95B3-8E92A6EE60D6} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {3DDAF2DB-6E24-498E-989C-C0F43A7E8B3F} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {3EC7EA53-94A3-4CA1-9EA1-52C8F4901579} - System32\Tasks\SmartWeb Upgrade Trigger Task => C:\Users\user\AppData\Local\SmartWeb\SmartWebHelper.exe Task: {461A57BE-05A7-48F0-9898-68EC567C114E} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {4D59C131-64C6-459A-A033-FC162808F5F7} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {53662B75-1CBC-4D4C-90D7-3C47673CEB26} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {62BFD991-3309-4DD5-B24A-B9E4B8193DA4} - System32\Tasks\{E662730B-36F9-4981-92D6-E6F19F64E78C} => pcalua.exe -a "C:\Program Files (x86)\YTDownloader\YTDUninstall.exe" Task: {64D3BA78-CFA0-4CA8-A0B4-E64CF4866931} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {6569E1E0-E920-4470-84F2-B904A1B289AA} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {69A5800A-3F83-4D91-B5BC-535E6AD15B5C} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {71294760-8641-49DE-B9F4-760896B2BC00} - System32\Tasks\SPBIW_UpdateTask_Time_313034343633363334382d234a784132345b2a346c2d5a => Wscript.exe //B "C:\ProgramData\ShopperPro\spbihe.js" spbiu.exe /invoke /f:check_services /l:0 Task: {7713ECAA-4965-43EE-BB40-75A7F7C8BB71} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {78679368-AB73-4CCD-ADA3-768E7E33FF33} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {7AD7772F-5ED7-4996-87A2-28D0101B9A5C} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {81249C5C-F403-445A-937C-69BAFEBA5ADA} - System32\Tasks\{E08CC4C0-D705-465A-8FE0-6AFE0BB4E297} => pcalua.exe -a "C:\Program Files (x86)\Common Files\Nero\Nero ProductInstaller 4\SetupX.exe" -c REMOVESERIALNUMBER="XM02-508X-MHAT-19WU-9Z3Z-0CH0-3U6E-85W5-MMHH-6647-1Z5L-7M8C-0U45-758P-0000" Task: {89E47A8D-0935-4EE8-BAD9-F8D227890D9B} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {8E4C2FBE-4BCC-4FD0-90B1-DC3250FEE6F3} - System32\Tasks\ShopperProJSUpd => C:\Program Files (x86)\ShopperPro\updater.exe Task: {97B43E29-F0DE-4997-BB5E-520F36F66EAF} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {97E8958D-6E50-45A4-A6DB-70F2B1023E7B} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {9B8B7F0D-619F-4CAA-9806-21285EC6C0E7} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {9E712D4D-8132-42F7-9C17-3DAA1E5E653C} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {A3DE8C14-77AC-4709-A582-E4FD325AF28D} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {A5242098-0C99-4DD2-B54E-08F5DBB7B725} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {B39A73A5-0A18-4A30-98DE-EFFB67C6DDC1} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {B70D1669-6065-438A-B174-98DDD0324ACD} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {C55623AE-E542-4599-807C-F8A2B1712B94} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {CFAA5632-3BD7-487F-B2C3-D2A6BC135756} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {D12AB06D-CCB8-4B53-8E53-600FF6C2B5CE} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {DE6A4A96-9CFB-4B2A-BD2B-3FAAB2319019} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {DF3AB43A-D42D-4AA9-B8B5-5D365945B8D7} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {F62839C1-0ADE-41FC-A997-3B2A7FFBC6A9} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {F795F17D-CF62-420D-B4E0-3B40C12F8070} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {FFF2D0CE-AC12-41BA-8C47-0445E0E148E4} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC} C:\END C:\Program Files\Common Files\ShopperPro C:\Program Files (x86)\A0131610-1445882937-DF11-9ABD-F4FD025DC913 C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\Mozilla Firefox\cfg C:\Program Files (x86)\Mozilla Firefox\browser\defaults C:\Program Files (x86)\Mozilla Firefox\extensions C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\Opera C:\ProgramData\ShopperPro C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kaspersky Endpoint Security 10 for Windows C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Win7codecs C:\Users\user\AppData\Local\{A9711B20-C0C7-4534-847F-5A633520D6C8} C:\Users\user\AppData\Local\Bron.tok.A12.em.bin C:\Users\user\AppData\Local\Kosong.Bron.Tok.txt C:\Users\user\AppData\Local\A0131610-1445886623-DF11-9ABD-F4FD025DC913 C:\Users\user\AppData\Local\BrowserHelper C:\Users\user\AppData\Local\CrashRpt C:\Users\user\AppData\Local\Crsoft C:\Users\user\AppData\Local\globalUpdate C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Web Data C:\Users\user\AppData\Local\Microsoft\Windows\GameExplorer\{0D90C1DB-8BF4-4A41-AFDC-0F762AA78CB4} C:\Users\user\AppData\Local\Opera software C:\Users\user\AppData\Local\SmartWeb C:\Users\user\AppData\Roaming\NetService C:\Users\user\AppData\Roaming\Opera software C:\Users\user\AppData\Roaming\RunDir C:\Users\user\Desktop\Continue Live Installation.lnk C:\Users\user\Downloads\Ninite Inkscape Installer.exe C:\Users\Public\Documents\ShopperPro C:\Windows\ehome C:\Windows\System32\drivers\swsedrvr_vw_1_10_0_25.sys C:\WINDOWS\System32\Drivers\etc\hp.bak C:\WINDOWS\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 Folder: C:\WINDOWS\system32\GroupPolicy Folder: C:\WINDOWS\SysWOW64\GroupPolicy CMD: type C:\ProgramData\ntuser.pol CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie widoczne rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. Ale widzę, że Firefox jest ustawiony jako domyślna. Jeśli to główna przeglądarka, to lepiej Google Chrome w całości odinstalować niż czyścić. Jeśli wybierzesz tę drogę, to przy deinstalacji zaznacz opcję usuwania profilu Usuń także dane przeglądarki. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

To jest program z czarnej listy, niepożądany w systemie! Jest namolnie reklamowany w wysoko pozycjonowanych na Google "opisach usuwania infekcji" jako ich "specjalizowany" usuwacz. Przy czym tu chodzi tylko o jego instalację, bo się okazuje że trzeba uiszczać opłaty. Zaszyfrowane pliki z przyrostkiem helpme@freespeechmail.org jest w stanie odkodować RakhniDecryptor od Kasperskiego. Wg logów infekcja nie jest już aktywna, więc zajmij się odkodowaniem plików i zgłoś z wynikami działań. PS. Potem zajmę się doczyszczaniem drobnych śmieci. A FRST został uruchomiony ze złego miejsca, czyli z Tymczasowych plików internetowych: Uruchomiony z C:\Documents and Settings\Betty\Ustawienia lokalne\Temporary Internet Files\Content.IE5\BST0L5CC Pobierz ponownie i zapisz na Pulpicie. FRST będzie tu jeszcze używany do usuwania.

Temat przenoszę do działu leczenia infekcji. Błąd generują zadania w Harmonogramie utworzone przez adware. Prócz tego jest widoczna cała masa infekcji adware. Akcje do przeprowadzenia: 1. Odinstaluj stare wersje: Acrobat.com, Adobe AIR, Adobe Flash Player 15 ActiveX, Adobe Shockwave Player, Avira, Java 8 Update 45, JavaFX 2.1.1. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {0B969D67-9BAD-4F68-BFF3-0087B28D6215} - System32\Tasks\{3402A0BE-26EE-461D-A4DE-4A5D47B1B490} => pcalua.exe -a C:\Users\Pawel\Downloads\lbz3D.exe -d C:\Users\Pawel\Downloads Task: {0F54ED1F-2F8D-46B1-ACBB-4CEE6EEB1BF6} - System32\Tasks\Microsoft\Windows\Maintenance\SMupdate2 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update2 Task: {11F08DE6-C245-454B-B162-E88FFC3CC4FC} - System32\Tasks\00bbbb9b-e12c-4490-bb3b-61913c0919ab-4 => C:\Program Files (x86)\App Lid\00bbbb9b-e12c-4490-bb3b-61913c0919ab-4.exe Task: {158E686C-BA35-4EEC-AA6E-11EE764DF83A} - System32\Tasks\{AB7EE947-F6EA-4E44-906B-89F719911463} => pcalua.exe -a "C:\Program Files (x86)\ShopperPro\SPremove.exe" Task: {1F267B77-1017-4CD4-BDE2-7DD8428F68E7} - System32\Tasks\ca91e4a6-ab07-4dc2-9156-7c7e5962e962-2 => C:\Program Files (x86)\Sense\ca91e4a6-ab07-4dc2-9156-7c7e5962e962-2.exe Task: {2344E912-9AEE-4EE7-AFE6-E234C1E442C9} - System32\Tasks\74275bdc-96a9-440e-8569-aaf52624e348-5 => C:\Program Files (x86)\iWebar\74275bdc-96a9-440e-8569-aaf52624e348-5.exe Task: {2EA5EE15-8E36-405B-B96C-4702268B2F01} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {33744532-0993-41FE-938F-F83000473483} - System32\Tasks\{C4725CF3-4E09-4BAD-A764-3569B1AD62C5} => pcalua.exe -a C:\Users\Pawel\Downloads\Mody\inne\allinon1\wog358f.part01.exe -d C:\Users\Pawel\Downloads\Mody\inne\allinon1 Task: {33D6A8BE-BE21-4A5D-9B08-CD77456724F4} - System32\Tasks\ShopperProJSUpd => C:\Program Files (x86)\ShopperPro\updater.exe Task: {61D4D773-688F-424F-AD72-ABE812E44E0F} - System32\Tasks\SMupdate1 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update1 Task: {683085A4-4E00-4669-834C-291377A66694} - System32\Tasks\Microsoft\Windows\Multimedia\SMupdate3 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update3 Task: {6896E81E-A647-4F9B-98B4-0F3AACFEEF51} - System32\Tasks\ca91e4a6-ab07-4dc2-9156-7c7e5962e962-5 => C:\Program Files (x86)\Sense\ca91e4a6-ab07-4dc2-9156-7c7e5962e962-5.exe Task: {734E92DC-3E19-4590-9CEA-AD7F8A09E1CE} - System32\Tasks\ca91e4a6-ab07-4dc2-9156-7c7e5962e962-1 => C:\Program Files (x86)\Sense\Sense-codedownloader.exe Task: {75C7BD0C-6695-49C6-9C7E-CD53F8707199} - System32\Tasks\ca91e4a6-ab07-4dc2-9156-7c7e5962e962-3 => C:\Program Files (x86)\Sense\ca91e4a6-ab07-4dc2-9156-7c7e5962e962-3.exe Task: {97F32FEE-BECC-4616-9FD9-2E76345C7BC9} - System32\Tasks\ca91e4a6-ab07-4dc2-9156-7c7e5962e962-4 => C:\Program Files (x86)\Sense\ca91e4a6-ab07-4dc2-9156-7c7e5962e962-4.exe Task: {9BA0E7AD-03A6-45E4-933A-1C4AFD91D741} - System32\Tasks\Go for FilesUpdate => C:\Program Files (x86)\GoforFiles\GFFUpdater.exe Task: {A1C0F561-45AB-4131-9C55-6F07EDDDBA28} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {A44B629A-749D-470C-9324-3E7B370BAD0F} - System32\Tasks\{90AA5F43-D794-4FE1-AD8A-8D59BB7C9E05} => pcalua.exe -a C:\Users\Pawel\Downloads\MinecraftZyczu.exe -d C:\Users\Pawel\Downloads Task: {B547AC9F-D8CA-41DE-BBC8-5C8DD2C7DC97} - System32\Tasks\{32B629BD-76EC-416F-A01D-B91306CBEA88} => pcalua.exe -a "C:\Program Files (x86)\YTDownloader\YTDUninstall.exe" Task: {C3AE94A3-F5E3-4DE9-A158-921957B09C34} - System32\Tasks\{B4FB08DD-8BDE-4C2A-9F0C-93CB516995EC} => pcalua.exe -a "C:\Program Files (x86)\Sense\Uninstall.exe" -c /fcp=1 Task: {CDFA0850-AA41-426E-A20D-CFB4943A5581} - System32\Tasks\ShopperPro => C:\Program Files (x86)\ShopperPro\ShopperPro.exe Task: {D0DED8EB-8D1E-4871-A981-332CB1195209} - System32\Tasks\{1919DF66-ED62-4ADE-BFDB-0A0B16E298BC} => pcalua.exe -a D:\SPORESetup.exe -d D:\ Task: {D4A0E338-D5B5-40C4-8A4B-F3275C9FECFD} - System32\Tasks\FoxTab => C:\Users\Pawel\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE Task: {E18C444C-B61D-42D2-96DD-1ED8EE82E37F} - System32\Tasks\WiseCleaner\WDCSkipUAC => C:\Program Files (x86)\Wise\Wise Disk Cleaner\WiseDiskCleaner.exe Task: {F452E64A-96E1-42A2-A732-FCEC3F94E83F} - System32\Tasks\{8F1146F2-E2C8-4A11-A27B-DB6EA166C47F} => pcalua.exe -a C:\Users\Pawel\Downloads\pitdemo.exe -d C:\Users\Pawel\Downloads Task: {F88E0781-9943-4421-BE24-43A41C13BC36} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {FD155703-FE3C-45E1-B235-77BA3CAE84D7} - System32\Tasks\{9FBFBFBD-C478-471A-9399-971A669F6ADE} => pcalua.exe -a "C:\Program Files (x86)\iWebar\Uninstall.exe" -c /fcp=1 Task: C:\Windows\Tasks\00bbbb9b-e12c-4490-bb3b-61913c0919ab-4.job => C:\Program Files (x86)\App Lid\00bbbb9b-e12c-4490-bb3b-61913c0919ab-4.exe Task: C:\Windows\Tasks\74275bdc-96a9-440e-8569-aaf52624e348-5.job => C:\Program Files (x86)\iWebar\74275bdc-96a9-440e-8569-aaf52624e348-5.exeʸ/yochGqlS /dyqGeJy='iWebar' /hhBQjVc=35510 /JGSkT='000170' /YTHbNkmX='0' /ciHdRpSZ='eyJkYXRhIjp7ImRhdGUiOiJFNU16YWRrY0FnMCxlZThjM2MyMy1iYWNkLTQ5YzgtOTc0Ny0yZDYzOWM0YTUwMzEsIiwidW5xIjoiZWU4YzNjMjMtYmFjZC00OWM4LTk3NDctMmQ2MzljNGE1MDMxIn19' /rluRGxYUp=58DD3E803AB242C98271B81F931CF449IE /WJOPj=07a70ecbaba126777b94e9118529481c /WMSqXF=1_34_05_12 /CRFsAs=1400772934 /xqzkUn=hxxp:/stats.clientstatsservice.com /ZYlkDu=hxxp:/errors.clientstatsservice.com /MLIMI=hxxp:/ipgeoapi.com/ /jXJieqAhe=hxxp:/update.clientstatsservice.com /HiJzz=2 /OmnqxP=hxxp:/logs.clientstatsservice.com /LWpHklfn='hxxp:/update.clientstatsservice.com/updater_agent_updates/{CAMP_ID}/update.jso Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\ca91e4a6-ab07-4dc2-9156-7c7e5962e962-1.job => C:\Program Files (x86)\Sense\Sense-codedownloader.exeʗ/qaqULmSaW /vtZDfS=task /VAmcp='Sense' /TZTXDg=48292 /MAoyRZ='000803' /KGeGeeFa='0' /xltyY='eyJkYXRhIjp7ImRhdGUiOiJFNU16YWRrYyxkNzNkNDZlYi1iYTlhLTRmMmItOTcwMy1iMWM1OWNhZmY3NjYsIiwidW5xIjoiZDczZDQ2ZWItYmE5YS00ZjJiLTk3MDMtYjFjNTljYWZmNzY2In19' /ruaMcPLw=9D15744B216645399A936883497945C7IE /dPzFZgZeD=f8bb6b6f5c756f2a23ce4f84c083cbcf /EEAKbmzL=1_34_05_12 /ppRuMSrd=1.34.5.12 /fscaRs=1400776555 /XzgCCiKMW=hxxp:/stats.clientstatsservice.com /lKAdizU=hxxp:/errors.clientstatsservice.com /JPcNR=hxxp:/js.clientstatsservice.com /nKtzS=ff /UwvYXXUA /jemdS='hxxp:/update.clientstatsservice.com/ie_code_agent_updates/{CAMP_ID}/update.jso Task: C:\Windows\Tasks\ca91e4a6-ab07-4dc2-9156-7c7e5962e962-2.job => C:\Program Files (x86)\Sense\ca91e4a6-ab07-4dc2-9156-7c7e5962e962-2.exeɽ/SlLVkpNhy /VAmcp='Sense' /TZTXDg=48292 /MAoyRZ='000803' /KGeGeeFa='0' /xltyY='eyJkYXRhIjp7ImRhdGUiOiJFNU16YWRrYyxkNzNkNDZlYi1iYTlhLTRmMmItOTcwMy1iMWM1OWNhZmY3NjYsIiwidW5xIjoiZDczZDQ2ZWItYmE5YS00ZjJiLTk3MDMtYjFjNTljYWZmNzY2In19' /ruaMcPLw=9D15744B216645399A936883497945C7IE /dPzFZgZeD=f8bb6b6f5c756f2a23ce4f84c083cbcf /EEAKbmzL=1_34_05_12 /fscaRs=1400776555 /XzgCCiKMW=hxxp:/stats.clientstatsservice.com /lKAdizU=hxxp:/errors.clientstatsservice.com /zVXWKd=11111111-1111-1111-1111-110411821192 /nKtzS=ff /UwvYXXUA /jemdS='hxxp:/update.clientstatsservice.com/ie_enable_agent_updates/{CAMP_ID}/update.jso Task: C:\Windows\Tasks\ca91e4a6-ab07-4dc2-9156-7c7e5962e962-3.job => C:\Program Files (x86)\Sense\ca91e4a6-ab07-4dc2-9156-7c7e5962e962-3.exe Task: C:\Windows\Tasks\ca91e4a6-ab07-4dc2-9156-7c7e5962e962-4.job => C:\Program Files (x86)\Sense\ca91e4a6-ab07-4dc2-9156-7c7e5962e962-4.exeЃ/EOGjGw /VAmcp='Sense' /edrSKUxM C:\Program Files (x86)\Sense\48292.xpi' /TZTXDg=48292 /MAoyRZ='000803' /KGeGeeFa='0' /xltyY='eyJkYXRhIjp7ImRhdGUiOiJFNU16YWRrYyxkNzNkNDZlYi1iYTlhLTRmMmItOTcwMy1iMWM1OWNhZmY3NjYsIiwidW5xIjoiZDczZDQ2ZWItYmE5YS00ZjJiLTk3MDMtYjFjNTljYWZmNzY2In19' /ruaMcPLw=9D15744B216645399A936883497945C7IE /dPzFZgZeD=f8bb6b6f5c756f2a23ce4f84c083cbcf /EEAKbmzL=1_34_05_12 /ppRuMSrd=1.34.5.12 /fscaRs=1400776555 /XzgCCiKMW=hxxp:/stats.clientstatsservice.com /lKAdizU=hxxp:/errors.clientstatsservice.com /LiPtWCQH=300 /ySndYdYu=143f44cf-d99c-4e45-8cd9-ef929de77aa8@bdbf6038-0097-480c-8d8e-fc48e28131a8.com /FYbRp=0.94 /nfDRClgWe=a143f44cfd99c4e458cd9ef929de77aa8bdbf60380097480c8d8efc48e28131a8com48292 /zhGhJrI=hxxps:/w9u6a2p6.ssl.hwcdn.net/plugin/ff/update/48292.rdf /LROYPL='Sense' /TTGOrFy='.' /nlDOZhxYh='Object Browser' /nKtzS=ff /iedAZBfB='{asw:[4, 12582980]}' /UwvYXXUA /cHUqJhhy /uwOAU /jemdS='hxxp:/update.clientstatsservice.com/ff_agent_updates/{CAMP_ID}/update.jso Task: C:\Windows\Tasks\ca91e4a6-ab07-4dc2-9156-7c7e5962e962-5.job => C:\Program Files (x86)\Sense\ca91e4a6-ab07-4dc2-9156-7c7e5962e962-5.exeʴ/JcHMH /VAmcp='Sense' /TZTXDg=48292 /MAoyRZ='000803' /KGeGeeFa='0' /xltyY='eyJkYXRhIjp7ImRhdGUiOiJFNU16YWRrYyxkNzNkNDZlYi1iYTlhLTRmMmItOTcwMy1iMWM1OWNhZmY3NjYsIiwidW5xIjoiZDczZDQ2ZWItYmE5YS00ZjJiLTk3MDMtYjFjNTljYWZmNzY2In19' /ruaMcPLw=9D15744B216645399A936883497945C7IE /dPzFZgZeD=f8bb6b6f5c756f2a23ce4f84c083cbcf /EEAKbmzL=1_34_05_12 /fscaRs=1400776555 /XzgCCiKMW=hxxp:/stats.clientstatsservice.com /lKAdizU=hxxp:/errors.clientstatsservice.com /nZPWG=hxxp:/ipgeoapi.com/ /qAaImMm=hxxp:/update.clientstatsservice.com /TFCFs=2 /lMVPRu=hxxp:/logs.clientstatsservice.com /jemdS='hxxp:/update.clientstatsservice.com/updater_agent_updates/{CAMP_ID}/update.jso Task: C:\Windows\Tasks\FoxTab.job => C:\Users\Pawel\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE S1 F06DEFF2-5B9C-490D-910F-35D3A91196222; \??\C:\Program Files (x86)\Settings Manager\systemk\x64\systemkmgrc1.cfg [X] S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe /medsvc [X] S2 SmartViewService; C:\Program Files (x86)\DeviceVM\SmartView\SmartViewService.exe [X] S1 qknfd; system32\drivers\qknfd.sys [X] HKLM-x32\...\Run: [fst_pl_117] => [X] HKLM-x32\...\Run: [blueStacks Agent] => C:\Program Files (x86)\BlueStacks\HD-Agent.exe HKU\S-1-5-21-3559932244-3399408863-269001800-1000\...\Run: [ASRockXTU] => [X] HKU\S-1-5-21-3559932244-3399408863-269001800-1000\...\Run: [zASRockInstantBoot] => [X] HKU\S-1-5-21-3559932244-3399408863-269001800-1000\...\Run: [] => [X] GroupPolicy: Ograniczenia - Chrome HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank HKU\S-1-5-21-3559932244-3399408863-269001800-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.default-search.net?sid=492&aid=109&itype=a&ver=12692&tm=355&src=hmp SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2492} URL = hxxp://www.default-search.net/search?sid=492&aid=109&itype=a&ver=12692&tm=355&src=ds&p={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2492} URL = hxxp://www.default-search.net/search?sid=492&aid=109&itype=a&ver=12692&tm=355&src=ds&p={searchTerms} SearchScopes: HKU\S-1-5-21-3559932244-3399408863-269001800-1000 -> {27275D08-BAC0-48d8-AEBD-48413175404A} URL = hxxp://www.google.com/cse?cx=partner-pub-3794288947762788%3A6976579318&ie=UTF-8&q=&sa=Search&siteurl=www.google.com%2Fcse%2Fhome%3Fcx%3Dpartner-pub-3794288947762788%3A6976579318&q={searchTerms} SearchScopes: HKU\S-1-5-21-3559932244-3399408863-269001800-1000 -> {4CB9CEAB-CDC3-4158-9455-18FEFCB74B03} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=ASRK SearchScopes: HKU\S-1-5-21-3559932244-3399408863-269001800-1000 -> {54E6F98C-61B9-464F-9EC0-D4F07C9DF024} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=AVR-3&o=APN10401&src=kw&q={searchTerms}&locale=en_PL&apn_ptnrs=^ABZ&apn_dtid=^YYYYYY^YY^PL&apn_uid=6611b216-542f-4502-8412-e4a25d549a77&apn_sauid=2B6B725C-CF50-417C-B372-A5386AE50BED SearchScopes: HKU\S-1-5-21-3559932244-3399408863-269001800-1000 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2492} URL = hxxp://www.default-search.net/search?sid=492&aid=109&itype=a&ver=12692&tm=355&src=ds&p={searchTerms} BHO: SmileysWeLoveToolbar -> {E4EF8A64-0A30-48F5-B3FE-5FDA978DA775} -> C:\Program Files (x86)\Smileys We Love Toolbar for IE\adxloader64.dll => Brak pliku BHO-x32: SmileysWeLoveToolbar -> {E4EF8A64-0A30-48F5-B3FE-5FDA978DA775} -> C:\Program Files (x86)\Smileys We Love Toolbar for IE\adxloader.dll => Brak pliku Toolbar: HKLM - SmileysWeLove - {CF0F43AB-9C23-4D7B-8040-201B82844854} - C:\Program Files (x86)\Smileys We Love Toolbar for IE\adxloader64.dll Brak pliku Toolbar: HKLM-x32 - SmileysWeLove - {CF0F43AB-9C23-4D7B-8040-201B82844854} - C:\Program Files (x86)\Smileys We Love Toolbar for IE\adxloader.dll Brak pliku Toolbar: HKU\S-1-5-21-3559932244-3399408863-269001800-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku Toolbar: HKU\S-1-5-21-3559932244-3399408863-269001800-1000 -> Brak nazwy - {D4027C7F-154A-4066-A1AD-4243D8127440} - Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://start.qone8.com/?type=sc&ts=1383144437&from=cor&uid=WDCXWD5000AAKX-001CA0_WD-WMAYUW85787857878 FF Session Restore: -> [funkcja włączona] FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll [brak pliku] FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll [brak pliku] FF HKLM-x32\...\Firefox\Extensions: [quiknowledge@quiknowledge.com] - C:\Program Files (x86)\Mozilla Firefox\extensions\quiknowledge@quiknowledge.com => nie znaleziono CHR Session Restore: Default -> [funkcja włączona] CHR HKLM-x32\...\Chrome\Extension: [fdjkhamgopgokjmllcmpkiijndjeidcl] - C:\Users\Pawel\AppData\Local\Temp\twsfiles\trustedshopper.crx CHR HKLM-x32\...\Chrome\Extension: [fjbbjfdilbioabojmcplalojlmdngbjl] - C:\Users\Pawel\AppData\Local\Temp\swlfiles\smileyswelovetoolbar.crx C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Pitagoras 2000 Demo C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PokeBlock Launcher C:\Users\Pawel\AppData\Local\Microsoft\Windows\GameExplorer\{DAB05E6A-5755-41BE-B4D3-0D8DE82114DB} C:\Users\Pawel\AppData\Roaming\aps.uninstall.scan.results C:\Users\Pawel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\Pawel\Desktop\gry\PokeBlock Launcher.lnk C:\Users\Pawel\Desktop\Nieużywane programy\Adobe Reader 9.lnk Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Avira.OE.ServiceHost" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\globalUpdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\globalUpdatem " /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Arpoamo" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\avgnt" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Avira Systray" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Fontcore" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Firewall 2.9" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SmartViewAgent" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Sookfyzife" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YTDownloader" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będie przeinstalować. Menu Historia > Wyczyść historię przeglądania Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Pawel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. Dołącz też plik fixlog.txt.

Tak jest, masa śmieci. I prawdopodobnie przeglądarka Google Chrome ma zmodyfikowane globalne pliki, gdyż są zainstalowane rozszerzenia spoza Chrome Wen Store, a domyślnie jest to awykonalne (ustawiona blokada na Chrome Web Store). Trzeba będzie Google przeinstalować. Przed wykonaniem jakichkolwiek działań skopiuj na Pulpit poniższy folder, spakuj do ZIP, shostuj gdzieś i wyślij na PW link do paczki. C:\Program Files (x86)\Google\Chrome Po przesłaniu danych przejdź do usuwania infekcji: 1. Przez Panel sterowania odinstaluj: - Adware: Internet Speed Checker, Java Runtime Environment Packages, Search Protect, Sonic Train, Total Download, WindowsMangerProtect20.0.0.1270. Jeśli coś będzie niewidoczne lub zwróci błąd przy usuwaniu, kontynuuj dalej. - Starsze wersje: Adobe Reader XI (11.0.13) - Polish, Java 8 Update 31. Specjalne wytyczne tyczące deinstalacji Google Chrome: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. I na razie nie instaluj prezeglądarki ponownie. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: type "C:\Program Files (x86)\mozilla firefox\defaults\pref\!346A40195BA29390EE609A43195DD840346A.js" R1 {078ad437-dc9f-4228-9edb-b3d1c0246ff8}Gw64; C:\Windows\System32\drivers\{078ad437-dc9f-4228-9edb-b3d1c0246ff8}Gw64.sys [48784 2014-12-09] (StdLib) R1 {2bf1e193-df72-4e3c-9f15-d1dc6e2f810f}Gw64; C:\Windows\System32\drivers\{2bf1e193-df72-4e3c-9f15-d1dc6e2f810f}Gw64.sys [48784 2014-12-06] (StdLib) R1 {2fc9157e-7b3c-4ebf-95d1-57a9fdf20894}Gw64; C:\Windows\System32\drivers\{2fc9157e-7b3c-4ebf-95d1-57a9fdf20894}Gw64.sys [48784 2015-02-17] (StdLib) R1 {a16a1775-5ab3-4034-ac52-de0795db97f0}Gw64; C:\Windows\System32\drivers\{a16a1775-5ab3-4034-ac52-de0795db97f0}Gw64.sys [48784 2014-12-12] (StdLib) S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [68608 2015-07-01] (globalUpdate) [brak podpisu cyfrowego] S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [68608 2015-07-01] (globalUpdate) [brak podpisu cyfrowego] R2 Service Mgr SonicTrain; C:\ProgramData\1a0254e4-d458-47fa-82a0-6940ee729f6c\plugincontainer.exe [637152 2015-11-07] () R2 Update Mgr SonicTrain; C:\Program Files (x86)\Common Files\1a0254e4-d458-47fa-82a0-6940ee729f6c\updater.exe [546016 2015-11-07] () S3 SPPD; C:\Windows\system32\drivers\SPPD.sys [22512 2015-11-01] () S2 CltMngSvc; C:\Program Files (x86)\SearchProtect\Main\bin\CltMngSvc.exe [X] S1 ccnfd_1_10_0_2; system32\drivers\ccnfd_1_10_0_2.sys [X] S1 wfdrvr_vt_1_10_0_25; system32\drivers\wfdrvr_vt_1_10_0_25.sys [X] Task: {26C99AA4-E964-486E-8FBA-CBF20B41238E} - System32\Tasks\{A99B2AB9-C670-4420-ABA0-3E18EAABEB98} => pcalua.exe -a C:\Users\EWA\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor Task: {3CE23009-ACEC-4C6C-B961-840286B06549} - System32\Tasks\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-4 => C:\Program Files (x86)\Internet Speed Checker\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-4.exe Task: {46F86B6F-FDB5-49E4-ACB4-426233F15CD5} - System32\Tasks\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-5_user => C:\Program Files (x86)\Internet Speed Checker\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-5.exe Task: {4FA08929-BEFB-468C-9C85-9D7B37E10F13} - System32\Tasks\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-5 => C:\Program Files (x86)\Internet Speed Checker\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-5.exe Task: {81A1D653-6C41-42C9-A564-621F9B2E1F38} - System32\Tasks\Total Download => Rundll32.exe "C:\Users\EWA\AppData\Local\Total Download\Bin\TotalDownload.dll",#3 Task: {845E332D-A93A-4B65-AF25-37C5BF2CD8BB} - System32\Tasks\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-1-7 => C:\Program Files (x86)\Internet Speed Checker\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-1-7.exe Task: {8EDF2842-F9EB-46C2-9E66-86EE878B1228} - System32\Tasks\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-1-6 => C:\Program Files (x86)\Internet Speed Checker\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-1-6.exe Task: {B3382288-A7C8-4FEF-A510-ABCF813F83B0} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [2015-07-01] (globalUpdate) Task: {C4704AE7-C86B-45A6-BFE6-8AC93F1419FC} - System32\Tasks\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-6 => C:\Program Files (x86)\Internet Speed Checker\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-6.exe Task: {D5AA87CF-BCFA-47CB-AEB3-44A046727F53} - System32\Tasks\c8294fb5-131e-4f64-94e5-0b011c65b0f4 => C:\Program Files (x86)\Internet Speed Checker\c8294fb5-131e-4f64-94e5-0b011c65b0f4.exe [2015-07-01] () Task: {D5AD1400-5B8E-43C9-BE6B-5B2B41A55EC6} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [2015-07-01] (globalUpdate) Task: {DCBDADC5-2AB8-4640-BA33-47570B2AEFD9} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe Task: {ECF09BB0-45DB-4DBD-B0D8-9EAAC557AE1A} - System32\Tasks\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-7 => C:\Program Files (x86)\Internet Speed Checker\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-7.exe Task: {F06331E3-08A5-4149-B348-77B131D30D9F} - System32\Tasks\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-10_user => C:\Program Files (x86)\Internet Speed Checker\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-10.exe [2015-07-01] (Speedchecker) Task: C:\Windows\Tasks\c8294fb5-131e-4f64-94e5-0b011c65b0f4.job => C:\Program Files (x86)\Internet Speed Checker\c8294fb5-131e-4f64-94e5-0b011c65b0f4.exe Task: C:\Windows\Tasks\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-1-6.job => C:\Program Files (x86)\Internet Speed Checker\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-1-6.exe Task: C:\Windows\Tasks\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-1-7.job => C:\Program Files (x86)\Internet Speed Checker\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-1-7.exe Task: C:\Windows\Tasks\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-10_user.job => C:\Program Files (x86)\Internet Speed Checker\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-10.exe Task: C:\Windows\Tasks\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-4.job => C:\Program Files (x86)\Internet Speed Checker\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-4.exe Task: C:\Windows\Tasks\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-5.job => C:\Program Files (x86)\Internet Speed Checker\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-5.exe Task: C:\Windows\Tasks\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-5_user.job => C:\Program Files (x86)\Internet Speed Checker\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-5.exe Task: C:\Windows\Tasks\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-6.job => C:\Program Files (x86)\Internet Speed Checker\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-6.exe Task: C:\Windows\Tasks\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-7.job => C:\Program Files (x86)\Internet Speed Checker\df7bf2e1-5b17-4fc0-ad15-e24ad7aa33a1-7.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe HKU\S-1-5-21-3296446205-1995855480-105756977-1000\...\Policies\Explorer: [] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141123 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141123 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1416485098&from=cor&uid=ST320LM000XHM321HI_S26VJ9DC405788&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1416485098&from=cor&uid=ST320LM000XHM321HI_S26VJ9DC405788&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1416485098&from=cor&uid=ST320LM000XHM321HI_S26VJ9DC405788&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1416485098&from=cor&uid=ST320LM000XHM321HI_S26VJ9DC405788&q={searchTerms} HKU\S-1-5-21-3296446205-1995855480-105756977-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.trovi.com/?gd=&ctid=CT3321459&octid=EB_ORIGINAL_CTID&ISID=MDD4A5DD9-BB9D-4E59-9A4F-8A46E679C273&SearchSource=55&CUI=&UM=8&UP=SPD7E1A0B3-0D0A-4F40-BA10-BD229B57A67E&D=110115&SSPV=SP3080TB_sp_ie SearchScopes: HKU\S-1-5-21-3296446205-1995855480-105756977-1000 -> {015DB5FA-EAFB-4592-A95B-F44D3EE87FA9} URL = hxxp://www.trovi.com/Results.aspx?gd=&ctid=CT3321459&octid=EB_ORIGINAL_CTID&ISID=MDD4A5DD9-BB9D-4E59-9A4F-8A46E679C273&SearchSource=58&CUI=&UM=8&UP=SPD7E1A0B3-0D0A-4F40-BA10-BD229B57A67E&D=110115&q={searchTerms}&SSPV=SP3080TB_sp_ie SearchScopes: HKU\S-1-5-21-3296446205-1995855480-105756977-1000 -> {58F9ED86-C8E1-4E4D-B45B-4828EA49B87A} URL = hxxp://rts.dsrlte.com/?affID=na&q={searchTerms}&r=44 BHO-x32: Sonic Train -> {0c3ddfb7-4cdb-495b-b3e9-d59725b43dfc} -> C:\Program Files (x86)\Sonic Train\Extensions\0c3ddfb7-4cdb-495b-b3e9-d59725b43dfc.dll [2015-11-01] () StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1445793643&z=71241bfa70a2b2e82c76a29g4z1z6w5m8tdcbcctfg&from=cornl&uid=ST320LM000XHM321HI_S26VJ9DC405788 FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [2015-07-01] (globalUpdate) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [2015-07-01] (globalUpdate) FF HKLM-x32\...\Firefox\Extensions: [ff-bmboc@bytemobile.com] - C:\Program Files (x86)\T-Mobile\InternetManager_Z\Bin\addon FF HKLM-x32\...\Firefox\Extensions: [{190bc294-c8e5-471c-9466-3eb945b09542}] - C:\Program Files (x86)\Mozilla Firefox\extensions\{190bc294-c8e5-471c-9466-3eb945b09542} => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\EWA\AppData\Roaming\Mozilla\Firefox\Profiles\py962dn4.default\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\EWA\AppData\Roaming\Mozilla\Firefox\Profiles\py962dn4.default\extensions\deskCutv2@gmail.com => nie znaleziono StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.istartsurf.com/?type=sc&ts=1445793643&z=71241bfa70a2b2e82c76a29g4z1z6w5m8tdcbcctfg&from=cornl&uid=ST320LM000XHM321HI_S26VJ9DC405788 FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\!346A40195BA29390EE609A43195DD840346A.js [2015-09-11] C:\END C:\Program Files (x86)\91DB45C0-1444506265-11B2-8000-EED33C9661DE C:\Program Files (x86)\CinemaPlus-3.2cV10.10 C:\Program Files (x86)\DailyPCClean C:\Program Files (x86)\DailyPcClean Support C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\gmsd_pl_005010109 C:\Program Files (x86)\Internet Speed Checker C:\Program Files (x86)\mozilla firefox\plugins C:\Program Files (x86)\MyBrowser C:\Program Files (x86)\ORBTR C:\Program Files (x86)\SearchProtect C:\Program Files (x86)\Sonic Train C:\Program Files (x86)\WordWizard_1.10.0.24 C:\Program Files (x86)\Common Files\1a0254e4-d458-47fa-82a0-6940ee729f6c C:\ProgramData\1a0254e4-d458-47fa-82a0-6940ee729f6c C:\ProgramData\DAEMON Tools Pro C:\ProgramData\TEMP C:\Users\EWA\AppData\Local\{D2620FFE-6DF4-4327-B074-7737EC4E2466} C:\Users\EWA\AppData\Local\BIT5446.tmp C:\Users\EWA\AppData\Local\bvxvgxvyy C:\Users\EWA\AppData\Local\cache C:\Users\EWA\AppData\Local\DailyPcClean Support C:\Users\EWA\AppData\Local\gmsd_pl_005010109 C:\Users\EWA\AppData\Local\globalUpdate C:\Users\EWA\AppData\Local\Google\Chrome C:\Users\EWA\AppData\Local\MyBrowser C:\Users\EWA\AppData\Local\SearchProtect C:\Users\EWA\AppData\Local\Total Download C:\Users\EWA\AppData\Roaming\vSZQqQzcPrmmRtUGAWSKsH C:\Users\EWA\AppData\Roaming\zpB2DlCPDhOU0FuvCBzE0S C:\Users\EWA\AppData\Roaming\DAEMON Tools Pro C:\Users\EWA\AppData\Roaming\DailyPCClean C:\Users\EWA\AppData\Roaming\dlg C:\Users\EWA\AppData\Roaming\istartsurf C:\Users\EWA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\VOPackage C:\Users\EWA\AppData\Roaming\OpenCandy C:\Users\EWA\Documents\DailyPCClean C:\Users\EWA\Downloads\*-dp*.exe C:\Windows\System32\drivers\{078ad437-dc9f-4228-9edb-b3d1c0246ff8}Gw64.sys C:\Windows\System32\drivers\{2bf1e193-df72-4e3c-9f15-d1dc6e2f810f}Gw64.sys C:\Windows\System32\drivers\{2fc9157e-7b3c-4ebf-95d1-57a9fdf20894}Gw64.sys C:\Windows\System32\drivers\{a16a1775-5ab3-4034-ac52-de0795db97f0}Gw64.sys C:\Windows\system32\Drivers\SPPD.sys C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 C:\Windows\Tasks\SCHEDLGU(*).TXT Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKCU\Software\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKCU\Software\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f CMD: netsh advfirewwall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. Dołącz też plik fixlog.txt.

Przepinanie do innego portu to przypadek. Dane się pojawiły, bo została wykonana automatyczna naprawa chkdsk (czyli to samo co zadałam do uruchomienia ręcznie) i tak jak mówiłam powstał ukryty folder FOUND ze ścinkami wadliwych danych: [06/11/2015 - 22:40:44 | SHD] - J:\found.000 Na dodatek, wszystkie wirusy zostały przywrócone. Czyli należy wyczyścić urządzenie. Otwórz Notatnik i wklej w nim: RemoveDirectory: J:\$RECYCLE.BIN RemoveDirectory: J:\found.000 RemoveDirectory: J:\msdownld.tmp RemoveDirectory: J:\Recycled RemoveDirectory: J:\RECYCLER RemoveDirectory: J:\System Volume Information CMD: attrib /d /s -s -h -r J:\* CMD: del /q J:\*.exe CMD: del /q J:\*.scr Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Zgłoszenia te produkują pozostawione przez niedokładne wyczyszczenie adware dwa szkodliwe zadania w Harmonogramie, kierujące na katalog "Installer". Przypuszczalnie nie jest to jednak powiązane z powyższym. Prędzej można obstawiać stary ESET (komponenty z 2013) i będzie usuwany. Akcje do wdrożenia: 1. Odinstaluj stare wersje: Adobe Reader X (10.1.16) - Polish, Adobe Shockwave Player 11.6, ESET NOD32 Antivirus, Java 7 Update 67. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKU\S-1-5-21-2247296619-1886198515-484620822-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=170 BHO: plushd8.1 -> {11111111-1111-1111-1111-110511111108} -> C:\Program Files\plushd8.1\plushd8.1-bho.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.21.135\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{095A2EEC-F7FE-42E8-96FB-C20E53081908}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.21.99\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.25.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.27.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{29A96789-9595-4947-BEDB-0FCC776F7DB8}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.2.183.39\goopdate.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.23.9\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.28.1\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.21.145\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{634059C0-D264-4B2C-AE80-F73E48D33E5B}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.21.123\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.21.153\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.28.13\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.24.15\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.22.3\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.21.165\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.26.9\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{C5A2122B-A05B-4FD8-AE49-91990AE10998}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.21.115\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.25.11\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{EB06378B-ABB6-4B3C-9B40-D488DD8A6E93}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.22.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.21.111\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2247296619-1886198515-484620822-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Compaq\AppData\Local\Google\Update\1.3.24.7\psuser.dll => Brak pliku Task: {03890080-37D3-40E8-9638-59F19C7FAE30} - System32\Tasks\{3713C587-D7E6-4C68-931E-599CB1C6C1AB} => pcalua.exe -a "D:\Turbo C++ - instalka\Install.exe" -d "D:\Turbo C++ - instalka" Task: {7ED82D96-50C4-490C-8F87-175DC66BAE94} - System32\Tasks\Installer_iwebar => C:\Users\Compaq\AppData\Local\Installer\Installiwebar_1831\ytdieamodc_amodc_inst.exe [2015-11-01] () Task: {AAF7BB48-02FF-42FF-9B2C-69A9D63614F4} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe Task: {DAF718DF-FBED-473E-A0CF-5EDDA64E1459} - System32\Tasks\Installer_cr => C:\Users\Compaq\AppData\Local\Installer\Installcr_14183\ytdieamodc_amodc_inst.exe [2015-11-01] () C:\Program Files\GUT31C.tmp C:\Program Files\360 C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\JWMiniProJ C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\A-SWDE C:\Users\Compaq\AppData\Local\{C9C72F75-E1D5-4583-83EC-48D884231316} C:\Users\Compaq\AppData\Local\CrashRpt C:\Users\Compaq\AppData\Local\Installer C:\Users\Compaq\AppData\Local\Mozilla C:\Users\Compaq\AppData\Local\Sparta C:\Users\Compaq\AppData\Roaming\Mozilla C:\Users\Compaq\AppData\Roaming\Shortcut C:\Users\Compaq\AppData\Roaming\sparta111 C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MSC" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\YTDownloader" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Compaq\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy nastąpiła poprawa. PS. Odpowiadasz już oczywiście w nowym poście.