picasso

Pierwszy post > Edytuj > Użyj pełnego edytora> poprawić pole tytułu na problem zasadniczy ... o ile tu jest jakiś problem, bo ten tekst sugeruje raczej niezrozumienie o co chodzi z "fixlist": Nie za bardzo rozumiem ten wątek. Podstawą analizy jest określenie problemu z jakim mam do czynienia i w zależności od tego dobiera się stosowne metody naprawcze. Analiza raportów wymaga potężnej wiedzy o Windows i programach oraz infekcjach, i nie polega ona na tworzeniu "fixlist". Plik "fixlist" to tylko konsekwencja ustalenia co naprawiam i w jaki sposób. Przy jego budowie nie ma żadnej ogólnej "matrycy". Plik "fixlist" może lecz nie musi być podany, wszystko zależy od tego co widać w raportach i z jakim problemem mam do czynienia. Dodam też, że doszło do choroby, głównie notowalnej na polskich portalach, gdzie są robione dziwne pliki Fixlist w ogóle z pominięciem adresowania problemów zasadniczych, często zawierające też niezrozumiałe decyzje. Mnie aż głowa boli od tego w jaki sposób posługują się FRST. Twoja sytuacja jest następująca: Pytam jaki masz problem, bo tu raporty wykazują, że nie mam się czym zajmować.

Próbowałam deinstalacji tylko na jednym zgłaszanym wejściu, by sprawdzić czy da radę. Ale problem będzie z prawie wszystkimi instancjami Creative, bo mają podobną komendę deinstalacji kierującą w to samo miejsce. Problem zdaje się być podwójny: błędne składnie bez poprawnych zamknięć (to da się skorygować) oraz brak powiązanego pliku Ctor.dll na dysku (a to już oznacza grubsze uszkodzenie). Wg FRST folder gdzie ma być plik używany w komendzie deinstalacyjnej nawet nie istnieje na dysku. Jeszcze na wszelki wypadek podaj szukanie na ten plik czy on nie siedzi w jakimś innym katalogu. Uruchom FRST, w polu Szukaj wklej ctor.dll, klik w Szukaj plików i dostarcz wynikowy log.

rasa, zasady działu: KLIK. Proszę popraw tytuł tematu oraz pierwszy post opisując jaki jest problem.

Jeśli i to zwraca błąd, to może rzeczywiście nie ma na dysku potrzebnego modułu. Podaj spis katalogu, w którym jest spodziewany potrzebny plik. Do Notatnika wklej: Folder: C:\PROGRA~2\COMMON~1\INSTAL~1 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

O której przeglądarce mowa? Wg raportów adware jest głównie w Firefox (rozszerzenie deskCut i przekierowania globasearch.com). Jeśli problem jest jednak w Google Chrome, to jest tu grubsza sprawa niewykrywalna w raportach. Na razie przeprowadź działania tyczące tego co widać (odpadki adware, puste skróty, stare wersje): 1. Odinstaluj stare wersje i zbędniki: Adobe AIR, Adobe Flash Player 11 ActiveX, Adobe Flash Player 16 NPAPI, Adobe Reader X (10.1.16), HP Deskjet 2050 J510 series Badanie ulepszeń produktu, Java 7 Update 51, Malwarebytes Anti-Malware wersja 1.70.0.1100. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.globasearch.com/?serie=219&b=3&installkey=R205ERhakGhveLWemg10 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-2801442270-617576118-1268728334-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.globasearch.com/?serie=219&b=3&installkey=R205ERhakGhveLWemg10 SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.globasearch.com/?serie=219&installkey=R205ERhakGhveLWemg10&b=3&q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.globasearch.com/?serie=219&installkey=R205ERhakGhveLWemg10&b=3&q={searchTerms} SearchScopes: HKU\S-1-5-21-2801442270-617576118-1268728334-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.globasearch.com/?serie=219&installkey=R205ERhakGhveLWemg10&b=3&q={searchTerms} SearchScopes: HKU\S-1-5-21-2801442270-617576118-1268728334-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.globasearch.com/?serie=219&installkey=R205ERhakGhveLWemg10&b=3&q={searchTerms} FF Plugin-x32: @esn/npbattlelog,version=2.3.2 -> C:\Program Files (x86)\Battlelog Web Plugins\2.3.2\npbattlelog.dll [brak pliku] FF Plugin HKU\S-1-5-21-2801442270-617576118-1268728334-1000: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [brak pliku] FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\lms6c6ux.default\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\lms6c6ux.default\extensions\deskCutv2@gmail.com CustomCLSID: HKU\S-1-5-21-2801442270-617576118-1268728334-1000_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\user\AppData\Roaming\Dropbox\bin\Dropbox.exe /autoplay => Brak pliku CustomCLSID: HKU\S-1-5-21-2801442270-617576118-1268728334-1000_Classes\CLSID\{4CEEAF57-0208-4CA4-A473-914C2D2FFC23}\InprocServer32 -> C:\Program Files (x86)\trademanager\AliIMX_64.dll (Alibaba software (Shanghai) Corporation.) CustomCLSID: HKU\S-1-5-21-2801442270-617576118-1268728334-1000_Classes\CLSID\{5D09DD40-CDC4-4C56-B615-0D1E3B357C2B}\InprocServer32 -> C:\Program Files (x86)\trademanager\AliIMX_64.dll (Alibaba software (Shanghai) Corporation.) CustomCLSID: HKU\S-1-5-21-2801442270-617576118-1268728334-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\user\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku Task: {0622AF78-ACE7-4A95-BE85-7869F9179CA3} - System32\Tasks\{1637B148-C28D-4152-A2EF-39A6958E2DBB} => pcalua.exe -a C:\Users\user\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor Task: {0FB7767F-E8A8-4272-A8C6-2DAAC291CD8F} - System32\Tasks\Bluetooth Driver Installer => C:\Users\user\AppData\Local\Temp\is-DICJV.tmp\prsetup.exe Task: {2F73A655-D0CD-4EFF-B94A-48C217BC0CFC} - System32\Tasks\{0F6FBBFD-CA66-4932-AA2A-C95445E8D65D} => pcalua.exe -a C:\PROGRA~2\NEOSTR~1\INSTAL~1.EXE -d C:\PROGRA~2\NEOSTR~1 -c ListeModeAcces=ADSLUSB,DriverADSLUSB=SAGEMFAST800USB Task: {4359FADE-6554-445C-B55D-ADBFF375FA38} - System32\Tasks\{3FD652C8-0550-4621-ADED-F1594D03438A} => pcalua.exe -a C:\Users\user\AppData\Local\Temp\Temp1_pbsetup.zip\pbsetup.exe Task: {96D22DB1-2AF3-44F9-9B95-9727D2508A34} - System32\Tasks\{20907C6A-E91E-44C5-8FA1-9866AB1E7512} => pcalua.exe -a C:\Users\user\AppData\Local\Temp\Temp1_pbsetup(1).zip\pbsetup.exe Task: {C8009093-7B10-4B29-8928-639C68C26043} - System32\Tasks\{7C88FE9E-D567-424D-87EF-900FFC98B4A4} => Chrome.exe hxxp://ui.skype.com/ui/0/7.2.0.103/pl/abandoninstall?source=lightinstaller&page=tsBing Task: {D12D064A-721D-4536-AAFE-4427A8DAA7D4} - System32\Tasks\elbyExecuteWithUAC => D:\Program Files (x86)\VirtualCloneDrive\ExecuteWithUAC.exe Task: {D3B9F7A2-57B0-49A9-9AEC-E921197A1B4B} - System32\Tasks\{6C801717-2CD4-4BB5-A327-5D364EB83B0B} => d:\Program Files (x86)\CorelDRAW Graphics Suite X4\Programs\CorelDRW.exe Task: {E98E411D-60D0-48B5-8429-CEA8F46C5E7C} - System32\Tasks\{215362C5-7A22-492D-BAC0-E0E51DABD6D7} => C:\gjetea\gta_sa.exe Task: {FC290702-7387-49A7-835A-B613BF6246BF} - System32\Tasks\{A867C7D9-6898-4670-83F5-2CCEA6B32EB4} => Chrome.exe hxxp://ui.skype.com/ui/0/6.11.59.102/pl/abandoninstall?page=tsBing S3 BRSptStub; "C:\ProgramData\BitRaider\BRSptStub.exe" [X] S3 BRDriver64_1_3_3_E02B25FC; \??\C:\ProgramData\BitRaider\support\1.3.3\E02B25FC\BRDriver64.sys [X] S1 wafd_vt_1_10_0_20; system32\drivers\wafd_vt_1_10_0_20.sys [X] S3 XFDriver64; \??\C:\Program Files (x86)\Xfire2\XFDriver64.sys [X] C:\Program Files (x86)\trademanager C:\ProgramData\vsloops.pad C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nero\Instrukcje C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LED Center C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LedshowTW 2013 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LedshowTW 2013 Simple C:\Users\user\Gadu-Gadu 10.lnk C:\Users\user\AppData\Local\Microsoft\Windows\GameExplorer\{A6720810-D74A-463A-BA2F-26AC61298A7F} C:\Users\user\AppData\Roaming\default.rss C:\Users\user\Downloads\Bluetooth*.exe C:\Users\user\Downloads\SkypeWebPlugin (*).msi Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. Dołącz też plik fixlog.txt. Wypowiedz się dokładnie czy nadal są problemy i w której przeglądarce.

Zrobiłeś listę zanim poprawiłam jedną z komend, ale akurat nie tego programu który zgłaszasz jako wadliwy, więc to nie ma już znaczenia. Ten program ma następującą składnię deinstalacyjną: UninstallString REG_SZ RunDll32 C:\Program Files (x86)\Common Files\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{AF229311-D6FD-4ED5-A446-9C44B96380A9}\setup.exe" -l0x15 /remove Wygląda na to, że problem stanowi zakreślony brak zamknięcia pierwszej części komendy, dlatego na błędzie figuruje urwanie do "C:\Program". Sprawdź czy da się uruchomić deinstalację po "poprawce" składni (zmiana na 8+3). Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej: RunDll32 C:\PROGRA~2\COMMON~1\INSTAL~1\PROFES~1\RunTime\09\01\Intel32\Ctor.dll,LaunchSetup "C:\Program Files (x86)\InstallShield Installation Information\{AF229311-D6FD-4ED5-A446-9C44B96380A9}\setup.exe" -l0x15 /remove ENTER

1. Na koncie żony nie ma nic widocznego. Tu tylko drobna operacja w Google Chrome: Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy śmieci qone8.com, odin.softonic.pl, qone8. Skasuj też FRST i jego logi z Pulpitu. 2. Przełącz się na konto Artek. Skasuj cały folder frst z Pobranych. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Na razie jeszcze czyścimy. O antywirusach na końcu. Podejrzewałam, że został zastosowany bardzo stary AdwCleaner (v3.017), w przeciwnym wypadku część z widocznych obiektów adware (ale z wyłączeniem tytułowego problemu) byłaby usunięta. Proszę przez SHIFT+DEL skasuj folder C:\AdwCleaner, następnie pobierz najnowszą wersję z przyklejonego: KLIK. Wybierz opcję Skanuj (nic nie usuwaj) i dostarcz wynikowy log.

Poprawki: 1. Nie zostały odinstalowane programy Adobe AIR, Safari. Adobe AIR jest dostępny w nowszej wersji 19. A Safari to stara niełatana przeglądarka, nie ma szans na aktualizacje zabezpieczeń. 2. Otwórz Notatnik i wklej w nim: S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll => Brak pliku FF Plugin-x32: @java.com/DTPlugin,version=10.7.2 -> C:\Windows\SysWOW64\npDeployJava1.dll [2012-10-20] (Oracle Corporation) FF Plugin-x32: @java.com/JavaPlugin -> C:\Program Files (x86)\Java\jre6\bin\new_plugin\npjp2.dll [brak pliku] RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\FoxTabPDFConverter RemoveDirectory: C:\ProgramData\Kaspersky Lab RemoveDirectory: C:\Users\Diana\Documents\Alcohol 120% CMD: del /q C:\Users\Diana\Documents\ax_files.xml CMD: netsh advfirewall reset Reg: reg delete HKLM\SOFTWARE\Clients\StartMenuInternet\FIEXPLORE.EXE /f Reg: reg add HKLM\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command /ve /t REG_SZ /d "\"C:\Program Files\Internet Explorer\iexplore.exe"" /f Reg: reg add HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command /ve /t REG_SZ /d "\"C:\Program Files (x86)\Opera\Launcher.exe"" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt. Przedstaw go. 3. Był tu też używany AdwCleaner, ale mam silne wątpliwości co to była za wersja. Dostarcz logi z folderu C:\AdwCleaner. "Odczyt" raportów wynika po prostu z wiedzy o Windows, budowie programów, etc. Sam log FRST to tylko pomoc przedstawiająca te dane w uproszczonym formatowaniu. Nie ma "instrukcji obsługi" do analizy. Jest instrukcja obsługi FRST, ale to tylko opis możliwości co potrafi program.

Komunikat świadczy o uszkodzeniu instalacji lub złej ścieżce deinstalacyjnej w rejestrze. O której pozycji mowa, tej ostatniej? ==================== Zainstalowane programy ====================== Automatyczna aktualizacja oprogramowania Creative (HKLM-x32\...\Creative Software AutoUpdate) (Version: 1.41 - Creative Technology Limited) Creative Live! Central 3 (HKLM-x32\...\Creative Live! Central 2) (Version: 3.01.28 - Creative Technology Ltd) Informacje o systemie Creative (HKLM-x32\...\SysInfo) (Version: 1.10 - Creative Technology Limited) Live! Cam Sync HD VF0770 Driver (1.00.02.00) (HKLM\...\Creative VF0770) (Version: - Creative Technology Ltd.) Podaj wyciąg powiązanych kluczy, by było wiadome jakie komendy deinstalacyjne są aktualnie przypisane. Do Notatnika wklej: Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Creative VF0770" /s Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Creative Live! Central 2" /s Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Creative Software AutoUpdate" /s Reg: reg query HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SysInfo /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). przedstaw wynikowy fixlog.txt. PS. Do deinstalacji crak aktywacyjny KMSpico. Powoduje problemy w postaci notorycznych błędów: Dziennik System: ============= Error: (11/02/2015 05:23:58 PM) (Source: Service Control Manager) (EventID: 7034) (User: ) Description: Usługa Service KMSELDI niespodziewanie zakończyła pracę. Wystąpiło to razy: 1.

AdwCleaner nie będzie używany do usuwania. Jeden z wyników to poważny fałszywy alarm, AdwCleaner chce usuwać cały folder C:\WINDOWS\Installer związany z Instalatorem Windows, co uszkodziłoby już istniejące poprawne instalacje. Wyniki kierujące na adresy mystart.lenovo.com nie stanowią zaś problemu, to firmowe przekierowania. Kolejna porcja czynności: 1. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj imgur Extension by Metronomik, OneTab. AdwCleaner czepia się obu rozszerzeń i nie jestem pewna dlaczego, bo są hostowane w Chrome Web Store. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone, więc wszystko aktywuj ponownie. 2. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\GlobalUpdate DeleteKey: HKCU\Software\InstalledBrowserExtensions DeleteKey: HKCU\Software\Tutorials DeleteKey: HKLM\SOFTWARE\InstalledBrowserExtensions DeleteKey: HKLM\SOFTWARE\ShopperPro DeleteKey: HKLM\SOFTWARE\Wow6432Node\GlobalUpdate DeleteKey: HKLM\SOFTWARE\Wow6432Node\InstalledBrowserExtensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\NtSvcHandler DeleteKey: HKLM\SOFTWARE\Wow6432Node\26b8caad-2da8-46ff-91d7-9ae42d65bb09 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{3278F5CF-48F3-4253-A6BB-004CE84AF492} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{577975B8-C40E-43E6-B0DE-4C6B44088B52} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3278F5CF-48F3-4253-A6BB-004CE84AF492} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3B5702BA-7F4C-4D1A-B026-1E9A01D43978} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{577975B8-C40E-43E6-B0DE-4C6B44088B52} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{5E89ACE9-E16B-499A-87B4-0DBF742404C1} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{69F256DF-BA98-45E9-86EA-FC3CFECF9D30} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{6E87FC94-9866-49B9-8E93-5736D6DE3DD7} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{7E49F793-B3CD-4BF7-8419-B34B8BD30E61} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{834469E3-CA2B-4F21-A5CA-4F6F4DBCDE87} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{8529FAA3-5BFD-43C1-AB35-B53C4B96C6E5} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{ADBC39BE-3D20-4333-8D99-E91EB1B62474} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{E06CA7F5-BA34-4FF6-8D24-B1BDC594D91F} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{F6421EE5-A5BE-4D31-81D5-C16B7BF48E4C} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{FD8E81D0-F5FE-4CB1-9AEA-1E163D2BAB78} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{6EDBF8C0-C94C-4A13-956F-E393BCA5BA4B} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{61AB12E1-A5FF-11D1-B2E9-444553540000} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{82351441-9094-11D1-A24B-00A0C932C7DF} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{A8F7D0A5-7074-40B8-9BDC-1174BDD0A132} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{D14D64BC-A0E4-42E3-BB72-FB41EA43C198} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{DD1F043F-ABC8-4643-8B95-D2C5B22BB019} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{E3F3E8F9-F747-4DD6-BA6B-82A6CE1E0860} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{ED0B64D4-BF27-4521-AD27-190F49BF5EA7} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{023E9EC8-B147-40EB-B0B3-DF90618FB371} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{0522D9A4-4D57-437D-978D-E5B3B6C9005D} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{07F41522-AF7D-4F26-B394-094F059FDB8A} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{0C40F472-7407-4467-8914-1DEA7C326972} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{212E6D43-6062-492A-B8CC-144669FF11ED} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{224FE662-1E6D-4BC0-AEBB-9E2FB4057BE9} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{3A807417-B46D-4D37-8C9A-19AC6DE204F9} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{3CC60715-D6C5-429D-830E-43FA3F86C61D} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{4517D94C-19BA-46FA-BE66-2A30CEAC4A85} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{555D7146-94A8-4C94-AE76-C39CDC7F7705} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{59D188FA-757A-424E-8C93-F58FFD896BD7} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{8120D9D6-785C-4413-9C0C-DF2028C56FAD} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{823AE2EB-E62C-4847-B192-C99B91B92416} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{9B4F7CFE-987D-410E-A8E4-20182E0B3C24} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{9B9A45F4-18FC-484A-BACA-076D78273D8E} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{A6D54287-7939-466A-8579-92546D946C8C} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{A78EDAFB-926F-4D93-AB13-8232D7378EB1} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{82351433-9094-11D1-A24B-00A0C932C7DF} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{5E89ACE9-E16B-499A-87B4-0DBF742404C1} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\App Paths\jg.exe DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\Stats\{5645E0E7-FC12-43BF-A6E4-F9751942B298} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\Stats\{C7BF8F4B-7BC7-4F42-B944-3D28A3A86D8A} DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\NetTcpHandler DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Class\{0014298C-A9BA-440D-AAA8-AD12C7010EE5} DeleteKey: HKLM\SYSTEM\CurrentControlSet\Control\Class\{181A06EA-B82C-47DE-B851-E20FD0E1CC7D} RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Artek\AppData\Local\Installer RemoveDirectory: C:\zoek_backup CMD: del /q "C:\Users\Artek\AppData\Local\Google\Chrome\User Data\Default\databases\chrome-extension_lkadffjmnaiokkdncgdlecdegajoiemi_0" CMD: del /q "C:\Users\Artek\AppData\Local\Google\Chrome\User Data\Default\Local Extension Settings\lkadffjmnaiokkdncgdlecdegajoiemi" CMD: del /q "C:\Users\Artek\Documents\gmer przed startem.txt" CMD: del /q C:\Users\Artek\Downloads\FRST64*.exe CMD: del /q C:\Users\Artek\Downloads\sprc9fd7.exe CMD: del /q C:\Users\Artek\Downloads\zoek.exe CMD: del /q C:\WINDOWS\Minidump\*.dmp CMD: del /q C:\zoek-results.txt Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 3. Zresetuj system i zaloguj się na limitowane konto agathq. Pobierz na nim FRST, uruchom przez dwuklik (a nie za pomocą "Uruchom jako Administrator", co zmieni kontekst konta) i dostarcz log FRST z Addition (Shortcut nie jest mi potrzebny).

Ale tu nie koniec działań! Wszystko musi być sprawdzone i pewnie jeszcze poprawki będą wymagane. Dostarcz dane:

Poleciłam użycie tylko narzędzia SPTDinst. Nie zajmuj się ręcznym usuwaniem klucza z rejestru. To akcja którą w pełni zautomatyzuję w kolejnym kroku.

Tu nie mamy do czynienia z infekcją CryptoLocker tylko z nową linią TeslaCrypt w wyższej wersji. Bardzo mi przykro, ale nie ma żadnej możliwości odszyfrowania plików metodami z trzeciej ręki. Jedyna (niepolecana) możliwość odkodowania plików to uiszczenie opłaty przestępcom i otrzymanie od nich dekodera. Ów plik "RSA-2048.txt" pokazuje Twoje osobiste instrukcje kontaktowe. Cisco TeslaDecrypt, którym próbowałeś się posłużyć, to stare narzędzie adresujące tylko i wyłącznie pierwotną serię wariantów (dane z przyrostkami *.ecc). Nowszym narzędziem jest TeslaDecoder, ale i on nie zdziała tu nic. Pliki z przyrostkiem *.ccc oznaczają infekcję jednym z najnowszym wariantów TeslaCrypt 2.1.0a. Ta grupa ma "poprawkę" uniemożliwiającą odkodowanie plików narzędziem TeslaDecoder i innymi. Nie ma już prywatnego klucza zapisywanego na dysku, dlatego nie możesz znaleźć "key.dat". Autor TeslaDecoder o tym wariancie: "Unfortunately there is no solution for .ccc variant of TeslaCrypt. This variant can be decrypted only by their private key except your randomly generated and never stored private key." Objawy nie wskazują na infekcję tylko na uszkodzenie danych. Na urządzeniu pasującym do opisu jest znak wykonania operacji sprawdzania struktury systemu plików narzędziem checkdisk i ukryty katalog I:\found.000, który gromadzi wadliwe dane "obcięte" przez procedury naprawcze checkdisk. Skoro miejsce jest zajęte, to pewnie ten katalog ścinków danych waży sporo. Katalog zobaczysz po odznaczeniu w Opcjach folderów Ukryj chronione pliki systemu operacyjnego. Są wprawdzie narzędzia typu Chk-Back służące konwersji odpadków po pracy checkdiska do poprzedniej postaci, ale dobre wyniki zależą od tego jak bardzo był uszkodzony materiał wyjściowy. I:\ - Fixed drive (NTFS) [01/11/2015 - 18:00:33 | RASHD] - I:\Autorun.inf [24/10/2015 - 11:32:53 | SHD] - I:\$RECYCLE.BIN [24/10/2015 - 01:15:18 | SHD] - I:\found.000 [17/03/2014 - 20:04:55 | N | 0 Ko] - I:\instalki z dysku [28/02/2015 - 17:09:52 | N | 0 Ko] - I:\Kornelcia [13/04/2015 - 18:16:38 | N | 0 Ko] - I:\Gra o tron [13/05/2015 - 07:02:23 | N | 0 Ko] - I:\zdjęcia [13/05/2015 - 07:16:54 | N | 0 Ko] - I:\Gry [25/05/2015 - 12:20:28 | N | 0 Ko] - I:\Programy muzyczne [03/08/2015 - 13:13:51 | N | 0 Ko] - I:\Telefunken W 258 [19/09/2015 - 11:11:43 | N | 0 Ko] - I:\Muzyka [19/09/2015 - 11:51:24 | N | 0 Ko] - I:\Programy [19/09/2015 - 15:14:18 | N | 0 Ko] - I:\DRIVERy [09/10/2015 - 22:20:17 | SH | 0 Ko] - I:\System Volume Information [24/10/2015 - 01:08:14 | N | 0 Ko] - I:\Filmy [01/11/2015 - 15:46:59 | D] - I:\[sESJE Z KOMPA] [01/11/2015 - 16:08:28 | D] - I:\Programy z KOMPA PS. Masz zainstalowany wątpliwy program z czarnej listy SpyHunter, używałeś też wątpliwych produktów ParetoLogic. Są do wykonania też działania stricte "kosmetyczne", tylko że na razie to nie ma znaczenia i odsuwam akcję na późniejszy termin.

Wszystkie wtyczki to i ja widzę w raportach, nie tu leży problem. Problemem jest strona kinoman.tv per se. Gdy przemieszam się po niej na przeglądarce bez Adblocka, otwierają mi się rozmaite karty z przekierowaniami reklamowymi. Zainstaluj bloker reklam w przeglądarkach. Propozycje: Adblock Plus, AdFender (Free), uBlock Origin.

Pomimo błędu Zoek wykonał zadanie. I poprawki: 1. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [DivXMediaServer] => C:\Program Files (x86)\DivX\DivX Media Server\DivXMediaServer.exe HKLM-x32\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot HKU\S-1-5-21-2917318248-312038480-3579672598-1001\...\Run: [YTDownloader] => "C:\Program Files (x86)\YTDownloader\YTDownloader.exe" /boot Task: {618AB36A-6E9E-42EB-94E0-19921B6EA8AF} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2014-09-10] (Lenovo) Task: {77CC3713-F10F-481B-BBA2-955CDDF49451} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-09-02] (Lenovo) C:\Program Files (x86)\DivX C:\ProgramData\DivX C:\Users\Artek\AppData\Roaming\DivX Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz wynikowy log z folderu C:\AdwCleaner.

Poprawki: 1. Ten punkt nie został wykonany: 2. Otwórz Notatnik i wklej w nim: Tcpip\..\Interfaces\{C5B26D24-1A3D-4DBB-BDA9-01E44462AF61}: [NameServer] 199.203.131.152,82.163.143.182 Tcpip\..\Interfaces\{E26AE228-94F9-4950-BAC1-FBA8B0C30B11}: [NameServer] 199.203.131.152,82.163.143.182 CMD: netsh advfirewall reset Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 3. Start > w polu szukania wpisz certmgr.msc > z prawokliku Uruchom jako Administrator > rozwiń gałąź Zaufane główne urzędy certyfikacji > Certyfikaty > zrób zrzut ekranu obejmujący wszystkie pozycje w oknie.

Temat przenoszę do działu Windows. Tu raczej nie chodzi o infekcję (potem będzie doczyszczanie szczątków, na razie jest to bez znaczenia). FRST jest niekompletny - log Addition jest pusty (pewnie z powodu błędu FRST). Proszę ponów próbę skanu FRST z zaznaczonym polem Addition i dostarcz brakujący log. Pytanie: czy opisywane problemy występują w Trybie awaryjnym Windows.

Temat przenoszę do działu Windows. Żadnych podstaw do podejrzewania infekcji jako przyczyny zachowań. Są tu owszem szczątki adware, ale to na 100% nie ma związku z objawami. Z raportów nic konkretnego nie wynika. Owszem, mało pamięci fizycznej i to bardzo ogranicza dywagacje: ==================== Statystyki pamięci =========================== Procesor: Intel® Atom™ CPU N450 @ 1.66GHz Procent pamięci w użyciu: 94% Całkowita pamięć fizyczna: 1014.18 MB Dostępna pamięć fizyczna: 51.75 MB Całkowita pamięć wirtualna: 2764.18 MB Dostępna pamięć wirtualna: 607.16 MB W Dzienniku zdarzeń jest jeden błąd który się powtarzał dużo razy, produkowany przez antimalware Microsoftu: Dziennik System: ============= Error: (10/29/2015 10:10:14 PM) (Source: Microsoft Antimalware) (EventID: 2001) (User: ) Description: Produkt %ZARZĄDZANIE NT60 napotkał błąd podczas próby aktualizacji podpisów. Nowa wersja podpisu: Poprzednia wersja podpisu: 0.0.0.0 Źródło aktualizacji: %ZARZĄDZANIE NT51 Etap aktualizacji: 4.8.0204.00 Ścieżka źródła: 4.8.0204.01 Typ podpisu: %ZARZĄDZANIE NT602 Typ aktualizacji: %ZARZĄDZANIE NT604 Użytkownik: ZARZĄDZANIE NT\USŁUGA SIECIOWA Bieżąca wersja aparatu: %ZARZĄDZANIE NT605 Poprzednia wersja aparatu: %ZARZĄDZANIE NT606 Kod błędu: %ZARZĄDZANIE NT607 Opis błędu: %ZARZĄDZANIE NT608 Wstępnie: 1. Deinstalacje: ----> Odinstaluj antywirusa oraz inne aplikacje (stare lub zbędniki): Acrobat.com, Adobe Flash Player 15 ActiveX, Adobe Flash Player 15 Plugin, Adobe Reader 9.1 MUI, AsusVibe2.0, Microsoft Security Essentials, Java 7 Update 71, Windows Media Player Firefox Plugin. ----> Jest tu DAEMON Tools Lite operujący na strasznie starym sterowniku SPTD. Uruchom z Menu Start skrót deinstalacyjny DAEMON. A po przeprowadzeniu deinstalacji zastosuj SPTDInst. 2. Poszukaj aktualizacji paczki Intel. Jest tu stara wersja Intel Matrix Storage Manager, którą należałoby wymienić nowszym Intel Rapid Storage Technology. Porównawczo ten temat: KLIK. 3. W spoilerze kosmetyka (usunięcie wpisów pustych i szczątków po oidinstalowanym Firefox): 4. Wyczyść Dzienniki zdarzeń, by nagrały się tylko bieżące błędy: Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator > w sekcji Dzienniki systemu Windows opróżnij Aplikacja i System. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy po wykonaniu punktów 1+2 jest jakaś poprawa.

Jest tu więcej odpadków adware niż tylko tytułowy "Zonzap". Poza tym, działa w tle stary ESET (sterowniki z 2012). Akcje do przeprowadzenia: 1. Odinstaluj stare wersje i zbędniki: Acrobat.com, Adobe AIR, Adobe Reader 9.4.5, Browser Configuration Utility, ESET NOD32 Antivirus, Flvto Youtube Downloader, Java™ 6 Update 26, Java™ 7 Update 5 (64-bit), Pando Media Booster. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csFy5h4Iijv9HeKjr80rjox2W9QXQuuVDrJhKAmfqmM5kdDleUDQoATIeNOBZd2OrLDfNP0ZX3ByO0tHKDfVsYLToNtoieXwnKc-KqXBPgiOb-UGAyw2-G-r8vYm3jYjsP_2SI861Rc4pw,, CHR DefaultSearchURL: Default -> hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csFy5h4Iijv9HeKjr80rjox2W9QXQuuVDrJhKAmfqmM5kdDleUDQoATIeNOBZd2OrLDTbOQgkgmXRi-1zgdZQ6VFLMH3CYjvnfaAyvAj6tSrE8YieRSKQIFZ5xRFp_2-ayPs9wcu_DjjuA,,&q={searchTerms} CHR DefaultSearchKeyword: Default -> feed.sonic-search.com CHR DefaultSuggestURL: Default -> hxxps://search.yahoo.com/sugg/chrome?output=fxjson&appid=crmas&command={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKU\S-1-5-21-2615079214-517858906-3610730154-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csFy5h4Iijv9HeKjr80rjox2W9QXQuuVDrJhKAmfqmM5kdDleUDQoATIeNOBZd2OrLDEOz8OkQrrxKO9wsoqdyQMc83n24lyynJqpPWVWUSl3hMtt2nXk-Q0YR0mUsiHgneMfHY07v7hwQ,,&q={searchTerms} HKU\S-1-5-21-2615079214-517858906-3610730154-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csFy5h4Iijv9HeKjr80rjox2W9QXQuuVDrJhKAmfqmM5kdDleUDQoATIeNOBZd2OrLwX1TOY8ue_Hl-LyF-4VTJEycX4ilzuSCw2zkLzfQ-MCy3Uhd4aULtdEel1mgFxgMglpuHQ5ylTNA,, HKU\S-1-5-21-2615079214-517858906-3610730154-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csFy5h4Iijv9HeKjr80rjox2W9QXQuuVDrJhKAmfqmM5kdDleUDQoATIeNOBZd2OrLDEOz8OkQrrxKO9wsoqdyQMc83n24lyynJqpPWVWUSl3hMtt2nXk-Q0YR0mUsiHgneMfHY07v7hwQ,,&q={searchTerms} HKU\S-1-5-21-2615079214-517858906-3610730154-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csFy5h4Iijv9HeKjr80rjox2W9QXQuuVDrJhKAmfqmM5kdDleUDQoATIeNOBZd2OrLDEOz8OkQrrxKO9wsoqdyQMc83n24lyynJqpPWVWUSl3hMtt2nXk-Q0YR0mUsiHgneMfHY07v7hwQ,,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csFy5h4Iijv9HeKjr80rjox2W9QXQuuVDrJhKAmfqmM5kdDleUDQoATIeNOBZd2OrLDEOz8OkQrrxKO9wsoqdyQMc83n24lyynJqpPWVWUSl3hMtt2nXk-Q0YR0mUsiHgneMfHY07v7hwQ,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-2615079214-517858906-3610730154-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csFy5h4Iijv9HeKjr80rjox2W9QXQuuVDrJhKAmfqmM5kdDleUDQoATIeNOBZd2OrLDEOz8OkQrrxKO9wsoqdyQMc83n24lyynJqpPWVWUSl3hMtt2nXk-Q0YR0mUsiHgneMfHY07v7hwQ,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-2615079214-517858906-3610730154-1000 -> {00015CD2-5EB1-4141-9B72-FC74E586A143} URL = hxxp://searchhub.eu?q={searchTerms}&ib=&hl=pl SearchScopes: HKU\S-1-5-21-2615079214-517858906-3610730154-1000 -> {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} URL = hxxp://www.crawler.com/search/dispatcher.aspx?tp=bs&qkw={searchTerms}&tbid=60446 SearchScopes: HKU\S-1-5-21-2615079214-517858906-3610730154-1000 -> {B2DBAFC3-4A83-4c09-A6C8-1C550DF9DE1C} URL = hxxp://www.google.com/custom?client=pub-3794288947762788&forid=1&channel=5369970905&ie=UTF-8&oe=UTF-8&safe=active&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1&hl=pl&q={searchTerms} SearchScopes: HKU\S-1-5-21-2615079214-517858906-3610730154-1000 -> {B7C32196-D1D4-4a50-9B10-0AEFD5E49D68} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=EGMB SearchScopes: HKU\S-1-5-21-2615079214-517858906-3610730154-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csFy5h4Iijv9HeKjr80rjox2W9QXQuuVDrJhKAmfqmM5kdDleUDQoATIeNOBZd2OrLDEOz8OkQrrxKO9wsoqdyQMc83n24lyynJqpPWVWUSl3hMtt2nXk-Q0YR0mUsiHgneMfHY07v7hwQ,,&q={searchTerms} Toolbar: HKU\S-1-5-21-2615079214-517858906-3610730154-1000 -> Brak nazwy - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - Brak pliku Toolbar: HKU\S-1-5-21-2615079214-517858906-3610730154-1000 -> Brak nazwy - {D4027C7F-154A-4066-A1AD-4243D8127440} - Brak pliku FF Plugin HKU\S-1-5-21-2615079214-517858906-3610730154-1000: ubisoft.com/uplaypc -> D:\The Settlers 7 - Droga do królestwa\Data\Base\_Dbg\Bin\Release\orbit\npuplaypc.dll [brak pliku] AppInit_DLLs: C:\ProgramData\Zonzap\TempHotin.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Zonzap\Drip-Cof.dll => Brak pliku S2 Zonzap; C:\ProgramData\\Zonzap\\Zonzap.exe -f "C:\ProgramData\\Zonzap\\Zonzap.dat" -l -a S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] BootExecute: autocheck autochk * Task: {3795C075-8754-41FF-A7A5-712A11A1247C} - System32\Tasks\RealUpgradeLogonTaskS-1-5-21-2615079214-517858906-3610730154-1000 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe Task: {991F7F7F-133D-4684-A7BD-F1B1B6A377E5} - System32\Tasks\{E55F1275-4D3F-4AB0-8BE1-3C4B9B9D3767} => pcalua.exe -a "D:\Call of Duty Black Ops II\t6sp.exe" -d "D:\Call of Duty Black Ops II" Task: {CFF064EE-0468-4131-B5FC-A602568804DD} - System32\Tasks\ASUS\ASUS SIX Engine => C:\Program Files (x86)\ASUS\EPU-4 Engine\FourEngine.exe Task: {D519A615-77E5-44AB-B918-4E7FD9ECF511} - System32\Tasks\{F4F508E4-5D6A-4B6A-8952-C63FE9436913} => pcalua.exe -a J:\autorun.exe -d J:\ Task: {E43E36CC-C3FC-4BD9-80B8-EFBA968501CA} - System32\Tasks\RealUpgradeScheduledTaskS-1-5-21-2615079214-517858906-3610730154-1000 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe Task: {EDADADEA-85F5-4978-9DE5-84A21404A7AE} - System32\Tasks\ESET Windows 10 upgrade – Refresh settings => C:\Program Files\Common Files\AV\ESET NOD32 Antivirus 5.2\upgrade.exe [2015-09-09] (ESET) HKU\S-1-5-21-2615079214-517858906-3610730154-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-2615079214-517858906-3610730154-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Program Files\Common Files\AV\ESET NOD32 Antivirus 5.2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Flvto Youtube Downloader C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Komputerowa Gratka C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SopCast C:\Users\Marek\Programer Faktura.lnk C:\Users\Marek\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Marek\AppData\Local\Google\Chrome\User Data\Default\Web C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\FoxTab PDF Reader C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Flvto Youtube Downloader C:\Users\Marek\Desktop\GRY\Sid Meiers Civilization V.lnk C:\Users\Marek\Desktop\GRY\Silent Hunter 5.lnk C:\Users\Marek\Desktop\PROGRAMY\Flvto Youtube Downloader.lnk C:\Users\Marek\Desktop\PROGRAMY\Malwarebytes Anti-Malware.lnk C:\Users\Marek\Documents\Inne\Modelarstwo\TurboCAD 2D v6.5.lnk C:\Users\Marek\Downloads\*-dp*.exe C:\Windows\SysWOW64\findit.xml Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla\Firefox\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\sp_rssrv" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ALLUpdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpywareTerminator" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TkBellExe" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. Dołącz też plik fixlog.txt.

Na temat pobierania z portali: KLIK. Problem "Ads by name" w Firefox tworzy sztuczka z hijackiem domyślnych preferencji: FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\browser\defaults\preferences\prefs.js [2015-10-30] FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\cfg [2015-10-30] Ale jest więcej obiektów adware/PUP oraz problemów do zaadresowania, m.in.: - Świeżo doinstalowany niepożądany program Smart File Advisor, który wszedł z instalacją Alcohol. Jest to instalacja wiązana, tzn. podczas instalacji nie można tego odznaczyć, a przy deinstalacji jest usuwany też Alcohol. Na przyszłość: Alcohol instaluj przy niepołączonej sieci, co uniemożliwi instalację tego śmiecia. - Próbując rozwiązać problemy zaionstalowałaś niepożądany skaner z czarnej listy SpyHunter. To naciągacz promowany w tendencyjnych "opisach usuwania adware" jako rzekomo specjalizowany ich usuwacz. - Poza tym, w systemie jest zainstalowany strasznie stary Kaspersky Internet Security 2010! Akcje do przeprowadzenia: 1. Deinstalacje: ----> Odinstaluj niepożądane programy, stare wersje i zbędniki: Adobe AIR, Adobe Reader 9.5.2, Bonjour, FoxTab PDF Converter, Gadu-Gadu 10, Java 7 Update 7, Java™ 6 Update 14 (64-bit), Java™ 6 Update 14, Kaspersky Internet Security 2010, McAfee Security Scan Plus, Norton Online Backup, RadarSync PC Updater 2011 (driver updates & patches), Safari, Smart File Advisor 1.1.8 (usunie też Alcohol), SpyHunter 4, VAIO Marketing Tools, VAIO Premium Partners. ----> Odinstaluj sterownik SPTD posługując się narzędziem SPTDInst. ----> Wejdź w Tryb awaryjny Windows i zastosuj narzędzie Kaspersky Remover. Po wykonaniu akcji opuść Tryb awaryjny. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 NetTcpHandler; C:\Users\Diana\AppData\Roaming\NetService\netservice.exe [173088 2015-07-09] () R2 WdsManPro; C:\ProgramData\rWMiniPror\WMiniPro.exe [301704 2015-10-26] (DTools LIMITED) S3 AndGps; system32\DRIVERS\lgandgps64.sys [X] S3 ANDModem; system32\DRIVERS\lgandmodem64.sys [X] S3 androidusb; System32\Drivers\lgandadb.sys [X] S1 itdrvr_vt_1_10_0_25; system32\drivers\itdrvr_vt_1_10_0_25.sys [X] S3 massfilter; system32\drivers\massfilter.sys [X] S2 MgAssistService; C:\Program Files (x86)\Mobogenie\MgAssist.exe [X] S2 Update Kozaka; "C:\Program Files (x86)\Kozaka\updateKozaka.exe" [X] S1 wafd_1_10_0_19; system32\drivers\wafd_1_10_0_19.sys [X] S3 ZTEusbmdm6k; system32\DRIVERS\ZTEusbmdm6k.sys [X] S3 ZTEusbnmea; system32\DRIVERS\ZTEusbnmea.sys [X] Task: {00AA55DF-D55B-40C4-98E5-6622B1E1826E} - System32\Tasks\{B799146A-B1DE-4673-A2AF-BB75C53CD3D5} => Iexplore.exe hxxp://ui.skype.com/ui/0/5.8.0.158/pl/abandoninstall?page=tsProgressBar Task: {1277C0FF-0741-43BF-840E-F83FCA20789A} - System32\Tasks\c358ec45-af48-4b35-a153-f7a10b3b7c98-5 => C:\Program Files (x86)\CinemaP-1.9cV25.10\c358ec45-af48-4b35-a153-f7a10b3b7c98-5.exe Task: {39E76AB9-B561-40EB-AB22-2D04A60A8BE2} - System32\Tasks\c358ec45-af48-4b35-a153-f7a10b3b7c98-1-7 => C:\Program Files (x86)\CinemaP-1.9cV25.10\c358ec45-af48-4b35-a153-f7a10b3b7c98-1-7.exe Task: {430AE2FA-B399-4E19-8CAE-D09DD8A8AACF} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe [2015-11-02] (Enigma Software Group USA, LLC.) Task: {444C06C4-4619-43F4-8FE9-1564DA8B0922} - System32\Tasks\c358ec45-af48-4b35-a153-f7a10b3b7c98-11 => C:\Program Files (x86)\CinemaP-1.9cV25.10\c358ec45-af48-4b35-a153-f7a10b3b7c98-11.exe Task: {57D8AA6E-6744-460F-BA5F-28DE7AF2C502} - System32\Tasks\c358ec45-af48-4b35-a153-f7a10b3b7c98-5_user => C:\Program Files (x86)\CinemaP-1.9cV25.10\c358ec45-af48-4b35-a153-f7a10b3b7c98-5.exe Task: {6E30316C-5482-4DAA-8CAC-3EC170C056B5} - System32\Tasks\c358ec45-af48-4b35-a153-f7a10b3b7c98-10_user => C:\Program Files (x86)\CinemaP-1.9cV25.10\c358ec45-af48-4b35-a153-f7a10b3b7c98-10.exe Task: {7385BD88-74B8-4D2F-9CDC-314B7DC24207} - System32\Tasks\{FA28C698-3A75-4A22-89C0-344F8F362960} => pcalua.exe -a C:\ProgramData\Uninstall\{537BF16E-7412-448C-95D8-846E85A1D817}\setup.exe -c /x {537BF16E-7412-448C-95D8-846E85A1D817} Task: {7DB0C8CE-9D39-4C85-A4F6-290BA73CF7A6} - \BitGuard -> Brak pliku Task: {7E216ACD-06DD-4EBE-A64B-D1A601935FB5} - \GoforFilesUpdate -> Brak pliku Task: {A5CFE3A0-D951-4356-9E57-A075148C80CA} - System32\Tasks\{A51B0369-E11E-4627-9C9D-822BFB09EE1B} => Iexplore.exe hxxp://ui.skype.com/ui/0/5.5.0.124/en/abandoninstall?page=tsPlugin&installinfo=google-toolbar:notoffered;notincluded,google-chrome:notoffered;disabled Task: {A65275FF-DCB4-452E-A444-51623F9B1911} - \AmiUpdXp -> Brak pliku Task: {BDA1ED0D-0051-42A9-8EDA-B0B0241F4DCD} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {C795133A-0EBC-49EF-9053-8FF47C75965D} - System32\Tasks\{FA22059C-B66B-4021-8448-05D505682BFB} => pcalua.exe -a D:\Diana\Desktop\ie6setupOe.exe -d D:\Diana\Desktop Task: {CED5E804-D19D-4ED0-95C9-0D10354F54FB} - System32\Tasks\{B2659796-6055-45D4-BEEA-DED67FFED9DB} => Iexplore.exe hxxp://ui.skype.com/ui/0/5.1.0.112/en/abandoninstall?page=tsChrome&installinfo=google-toolbar:notoffered;toolbarpresent,google-chrome:offered-installed;madedefault Task: {D023437C-D241-4465-B6D3-824FFCB2FF30} - System32\Tasks\c358ec45-af48-4b35-a153-f7a10b3b7c98-1-6 => C:\Program Files (x86)\CinemaP-1.9cV25.10\c358ec45-af48-4b35-a153-f7a10b3b7c98-1-6.exe Task: {E65218CE-D172-4F16-AD35-C8C1142046F6} - System32\Tasks\{25E7D1C6-07C3-4C27-8CD3-97B4FB94A17D} => Iexplore.exe hxxp://ui.skype.com/ui/0/5.8.0.158/pl/abandoninstall?page=tsProgressBar Task: {E86850DF-A116-4213-BD40-4D2DDF209CAB} - System32\Tasks\{BCE0C4C9-22F3-4591-85BB-F4BA26BD9738} => pcalua.exe -a D:\Diana\Desktop\belisama4crm_file_server.exe -d D:\Diana\Desktop Task: {F23DD0E5-C365-4271-99FD-FB4BB1651F60} - System32\Tasks\c358ec45-af48-4b35-a153-f7a10b3b7c98-4 => C:\Program Files (x86)\CinemaP-1.9cV25.10\c358ec45-af48-4b35-a153-f7a10b3b7c98-4.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" HKLM-x32\...\Run: [PDF Seven] => C:\Program Files\PDFSeven\PDF.exe Winlogon\Notify\VESWinlogon-x32: VESWinlogon.dll [X] HKU\S-1-5-21-4212178081-510564998-173580646-1001\...\Run: [ALLUpdate] => "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" HKU\S-1-5-21-4212178081-510564998-173580646-1001\...\Run: [Twoje TVN24] => "C:\Program Files (x86)\Pasek TVN24\pasektvn24.exe" HKU\S-1-5-21-4212178081-510564998-173580646-1001\...\Run: [msnmsgr] => "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background HKU\S-1-5-21-4212178081-510564998-173580646-1001\...\Run: [ZedgeToneSync] => C:\Users\Diana\AppData\Local\Apps\2.0\Data\JXXNMG8G.8WR\9H83PPB6.KA5\zedg..tion_4cd56dcfd1799009_0001.0002_ea3f01849f5e16c3\Data\ZedgeToneSync.appref-ms -startup AppInit_DLLs-x32: c:\progra~3\bitguard\271832~1.68\{c16c1~1\bitguard.dll => Brak pliku HKU\S-1-5-21-4212178081-510564998-173580646-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=128 SearchScopes: HKLM-x32 -> DefaultScope - brak wartości BHO-x32: HistoryTriggerBHO Class -> {21A88CB9-84D2-4020-A2D1-B25A21034884} -> D:\Program Files (x86)\LG Electronics\LG PC Suite IV\LinkAir\LinkAirBrowserHelper.dll => Brak pliku BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku DPF: HKLM-x32 {68282C51-9459-467B-95BF-3C0E89627E55} hxxp://www.mks.com.pl/skaner/SkanerOnline.cab DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab DPF: HKLM-x32 {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab FStartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1445858312&z=0e28f95757a7b88402c2a79g4z0zawfb9w7b0e2wfb&from=cor&uid=TOSHIBAXMK5055GSX_Z97LS9ESSXXZ97LS9ESS StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.istartsurf.com/?type=sc&ts=1445858312&z=0e28f95757a7b88402c2a79g4z0zawfb9w7b0e2wfb&from=cor&uid=TOSHIBAXMK5055GSX_Z97LS9ESSXXZ97LS9ESS C:\$360Section C:\Program Files (x86)\360 C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\Mozilla Firefox\cfg C:\Program Files (x86)\Mozilla Firefox\browser\defaults C:\Program Files (x86)\Mozilla Firefox\extensions C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\360Quarant C:\ProgramData\Nero C:\ProgramData\rWMiniPror C:\ProgramData\Microsoft\Windows\Start Menu\GoforFiles C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Pasek TVN24 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RadarSync C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smart File Advisor C:\Users\Diana\AppData\Local\Temp*.html C:\Users\Diana\AppData\Local\15094 C:\Users\Diana\AppData\Local\globalUpdate C:\Users\Diana\AppData\Local\Sparta C:\Users\Diana\AppData\Local\Microsoft\Windows\GameExplorer\{1CB3B26E-BD58-48D7-AB1C-36134EF485D7} C:\Users\Diana\AppData\Roaming\istartsurf C:\Users\Diana\AppData\Roaming\Nero C:\Users\Diana\AppData\Roaming\NetService C:\Users\Diana\AppData\Roaming\RunDir C:\Users\Diana\AppData\Roaming\WarThunder C:\Users\Diana\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\Diana\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox (2).lnk C:\Users\Diana\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Users\Diana\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FoxTab PDF Converter C:\Users\Diana\AppData\Roaming\Opera Software\Opera Stable\Extensions\lkadffjmnaiokkdncgdlecdegajoiemi C:\Users\Diana\Desktop\Pasek TVN24.lnk C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Toolbar" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania Opera:CTRL+SHIFT+E i na liście rozszerzeń upewnij się, że nie widać jakiegoś obiektu bez nazwy (teoretycznie nazwą powinno być coś z Cinema Plus...) 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. Dołącz też plik fixlog.txt.

Obrazek wskazuje, że Hitman wykrył, iż już był używany wcześniej przez 30 dni (tylko przez ten zakres czasu usuwanie jest za darmo) i obecnie prosi o płatną aktywację. W związku z tym wykryte przez niego rzeczy zostaną usunięte w inny sposób: Pobierz ponownie FRST. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: DeleteKey: HKLM\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{9522B3FB-7A2B-4646-8AF6-36E7F593073C} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\ActiveX Compatibility\{9522B3FB-7A2B-4646-8AF6-36E7F593073C} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\APNSetup_RASAPI32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\APNSetup_RASMANCS DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\apnstub_RASAPI32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\apnstub_RASMANCS DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\AskPartnerCobrandingTool_RASAPI32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\AskPartnerCobrandingTool_RASMANCS DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\AskSLib_RASAPI32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\AskSLib_RASMANCS DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\BundleSweetIMSetup_RASAPI32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\BundleSweetIMSetup_RASMANCS DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\dsrlte_RASAPI32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\dsrlte_RASMANCS DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\dsrsetup_RASAPI32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\dsrsetup_RASMANCS DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\TBNotifier_RASAPI32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\TBNotifier_RASMANCS DeleteKey: HKU\S-1-5-21-2953119984-1137956692-2323332510-1000\Software\AppDataLow\Software\SmartBar Reg: reg delete "HKU\S-1-5-21-2953119984-1137956692-2323332510-1000\Software\Microsoft\Internet Explorer\Approved Extensions" /v {2EECD738-5844-4A99-B4B6-146BF802613B} /f Reg: reg delete "HKU\S-1-5-21-2953119984-1137956692-2323332510-1000\Software\Microsoft\Internet Explorer\Approved Extensions" /v {4D2D3B0F-69BE-477A-90F5-FDDB05357975} /f Reg: reg delete "HKU\S-1-5-21-2953119984-1137956692-2323332510-1000\Software\Microsoft\Internet Explorer\Approved Extensions" /v {98889811-442D-49DD-99D7-DC866BE87DBC} /f RemoveDirectory: C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\External Extensions\{EEE6C373-6118-11DC-9C72-001320C79847} CMD: del /q D:\torrenty\ElfBot\ElfCrack.exe EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt.

DelFix wykonał zadanie. Skasuj z dysku plik C:\delfix.txt. Temat na poziomie infekcji rozwiązany. Zamykam.

To na pewno nie był "patronat Windowsa" tylko jakiś zewnętrzny downloader ze śmieciami. MBAM usunął większość, ale nadal są rzeczy wymagające interwencji. Akcje do przeprowadzenia: 1. Klawisz z glagą Windows + X > Programy i funkcje > odinstaluj DivX Setup, Lenovo Experience Improvement, YTDownloader. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {2D0F1E28-662C-4C5C-BDE3-5E1B41C020C8} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {5DBE6CD5-D342-444F-945F-90F8DA81A900} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {63473F0B-20A3-4E79-B13A-4FB900287DAB} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {765EC4E9-FCBD-4847-8242-C29CB7B56447} - System32\Tasks\DolbySelectorTask => C:\Program Files\Dolby Digital Plus\ddp.exe Task: {884A573E-C166-4098-89DA-71BD444091C4} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {A39518E1-AC7E-471C-9EC7-82421129EF0A} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {B37F8827-BDFD-49BF-B332-DEEED7344DCF} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {B88F7036-E41B-41C4-8F4B-16C08820B8E6} - \SwiftSearch Auto Updater 1.10.0.25 Pending Update -> Brak pliku Task: {BA62DB0D-BFED-4A61-A7A8-DA1E89AD0D22} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {BD717486-3AA1-4741-A9E2-A4EF0BBDAE16} - System32\Tasks\rM6tDeUqcice8BlkxxN => C:\Users\Artek\AppData\Roaming\rM6tDeUqcice8BlkxxN.exe Task: {C51936AF-E5B9-4052-AF5F-6197866FAA5B} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {D6C2DF30-9E50-4C1A-958D-3164377933C4} - \SPBIW_UpdateTask_Time_3431373836393938312d5555376c345a2d5732415b34 -> Brak pliku Task: {E10BA004-8998-4FF5-9CFF-6350F8D710A3} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {E7616676-6484-4192-A73A-B244EB62E236} - \SwiftSearch Auto Updater 1.10.0.25 Core -> Brak pliku Task: {E7993F4C-CF99-46F3-9816-310DD628D602} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {ECC1DB1E-1E1D-49E6-A5B1-32C44FF31673} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: C:\WINDOWS\Tasks\rM6tDeUqcice8BlkxxN.job => C:\Users\Artek\AppData\Roaming\rM6tDeUqcice8BlkxxN.exe HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank SearchScopes: HKU\S-1-5-21-2917318248-312038480-3579672598-1001 -> DefaultScope {32B65AEB-5645-494E-B171-D5A461F21AB7} URL = SearchScopes: HKU\S-1-5-21-2917318248-312038480-3579672598-1001 -> {32B65AEB-5645-494E-B171-D5A461F21AB7} URL = C:\Program Files (x86)\c8a346ee-cfc8-4a6e-8dbb-4c0a7e12254c C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\YTDownloader C:\Users\Artek\AppData\Local\BrowserHelper C:\Users\Artek\AppData\Local\CrashRpt C:\Users\Artek\AppData\Local\globalUpdate C:\Users\Artek\AppData\LocalLow\lpm.dat C:\Users\Artek\AppData\Roaming\rM6tDeUqcice8BlkxxN C:\Users\Artek\AppData\Roaming\RunDir C:\Users\Artek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\YTDownloader C:\WINDOWS\chromebrowser.exe C:\WINDOWS\system32\Drivers\etc\hp.bak C:\WINDOWS\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 File: C:\Programdata\Lenovo App Services\Engine\LenovoAppServices.exe Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\mbot_pl_014010132_is1 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Uruchom Zoek. W oknie wklej: globalupdate Helper;u Klik w Run Script. Powstanie log zoek-results.log. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. Dołącz też pliki fixlog.txt i zoek-results.txt (po zmianie nazwy z *.log)..

1. Hitman wykrył więcej szczątków. Do usunięcia wszystkie wyyniki z wyjątkiem grupy "Suspicious files" kierującej na katalog PunkBuster. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Nie wiadomo jaki był cel infekcji wprowadzonej przez crack. Na wszelki wypadek zmień hasła w serwisach online (bank, poczta, itd.).