picasso

Może to był przejściowy problem. Jeśli dobry stan się utrzyma, nie ma oczywiście sensu deinstalować Bitdefender.

Zrób jeszcze raport USBFix z opcji Listing przy podpiętym pendrive.

Temat przenoszę do działu Windows. Nic tu nie wskazuje na problem infekcji. Kosmetyczne akcje z pustymi wpisami / odpadkami potem, gdyż na razie nie jest to istotne. Cóż, obawiam się że czynnikiem wpływającym na samopoczucie systemu jest pakiet Bitdefender Internet Security 2015 (z firewallem) per se. Jest to bardzo złożona aplikacja, ładowana przy udziale wielu usług/sterowników, filtrująca wiele sfer i ingerująca w komponenty internetowe. - Wstępnie sprawdź czy wnosi coś do sprawy deaktywacja poszczególnych modułów Bitdefender. Jednak: - By się przekonać na 100% czy wina leży w BitDefender, wykonaj kompletną deinstalację dla testu. Wyłączanie w opcjach nie jest do końca wiarygodne i nie znosi wszystkich czynności.

W takim przypadku sądzę, że to była robota Kasperskiego i załapałeś się na moment, gdy partycja była tymczasowo podmontowana, a w późniejszym czasie została ponownie przez narzędzie zwolniona. Nie wiedzę innego wytłumaczenia dla samoistego przestawianie się widoczności.

No cóż, nie jestem pewna czy w tej sytuacji jest sens trzymać to oprogramowanie, tzn. czy powyłączeniu usług są dostępne wszystkie funkcje. Czy ten soft jest bardzo potrzebny? I tu jeszcze nie koniec. Działania poprawkowe na śmieci: 1. Otwórz Notatnik i wklej: URLSearchHook: HKU\S-1-5-21-1794262908-2250097603-3940592659-1002 - (Brak nazwy) - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - Brak pliku Toolbar: HKU\S-1-5-21-1794262908-2250097603-3940592659-1002 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku Handler: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - Brak pliku Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - Brak pliku S1 avgtp; \??\C:\windows\system32\drivers\avgtpx64.sys [X] RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\InstallMate RemoveDirectory: C:\Users\Emilka\AppData\Roaming\Systweak Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Zaprezentuj wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz Skanuj (nie stosuj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Na zakończenie posłuż się DelFix, by dokasować fragmenty używanych narzędzi.

Pokaż mi obrazek z diskmgmt.msc.

Spodziewałam się tych wyników. Malware nabijało pliki w różnych folderach aplikacji, adresowałam i szukałam nazw które były widoczne w raporcie. Byłam jednak przekonana, że jest więcej. Oczywiście wszystko usuń za pomocą programu. Po usunięciu zresetuj system i ponów skan, by się upewnić że nic nowego nie powstało.

Ta partycja powinna być ukryta i niedostępna. Zadana operacja ma na celu przywrócić domyślne ustawienie systemu (zresztą widziane tu na początku w temacie). Proszę usuń literę wg wskazówek. Tu nie chodzi o usuwanie partycji tylko jej widoczności w Komputerze.

Cały skrypt pomyślnie wykonany, włącznie z usunięciem wartości wskazywanej przez MBAM. Nie było żadnej blokady uprawnień (ani innego typu), wpis został usunięty podstawowym narzędziem Reg wbudowanym w Windows. Nie wiem o co chodzi, że MBAM nie mógł takiej prostej rzeczy usunąć... Zresetuj system, uruchom MBAM i opróżnij poprzednie raporty, ponów skan i powiedz czy ten wpis jest ponownie wykrywany.

Ta partycja była już od momentu instalacji Windows 7, tylko nagle się odkryła. Może to Kaspersky ją tymczasowo podmontował do skanu. Początkowo w temacie ta partycja była ukryta - chodzi o tę 100MB: ==================== Dyski ================================ Drive c: () (Fixed) (Total:195.21 GB) (Free:30.64 GB) NTFS Drive d: () (Fixed) (Total:736.2 GB) (Free:222.36 GB) NTFS ==================== MBR & Tablica partycji ================== ======================================================== Disk: 0 (MBR Code: Windows 7 or 8) (Size: 931.5 GB) (Disk ID: C3FFC3FF) Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=195.2 GB) - (Type=07 NTFS) Partition 3: (Not Active) - (Size=736.2 GB) - (Type=07 NTFS) Podobny wątek: KLIK. Postąp w identyczny sposób, tzn. usuń literę.

Zadane akcje wykonane, drobne poprawki na wpisy puste potem, bo nie jest to istotne. W Dzienniku zdarzeń widzę nowy błąd: Dziennik Aplikacja: ================== Error: (10/17/2015 06:40:23 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: Seagate.Dashboard.Uploader.exe, wersja: 4.2.0.0, sygnatura czasowa: 0x55a601d0 Nazwa modułu powodującego błąd: NOSWebDSPlugin.dll, wersja: 11.1.0.45, sygnatura czasowa: 0x556ea661 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x002fb7e7 Identyfikator procesu powodującego błąd: 0xe3c Godzina uruchomienia aplikacji powodującej błąd: 0xSeagate.Dashboard.Uploader.exe0 Ścieżka aplikacji powodującej błąd: Seagate.Dashboard.Uploader.exe1 Ścieżka modułu powodującego błąd: Seagate.Dashboard.Uploader.exe2 Identyfikator raportu: Seagate.Dashboard.Uploader.exe3 Seagate Dashboard to jedna ze świeżych instalacji - wprowadziła dużo wpisów startowych. Sprawdź jak system startuje w tzw. "czystym rozruchu": KLIK.

Tak, tym razem zadanie pomyślnie wykonane. Wygląda na to, że kończymy: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Jeśli po użyciu DelFix nie zniknie folder Kasperskiego C:\KVRT_Data, dokasuj ręcznie. 2. Na wszelki wypadek zmień hasła logowania w serwisach online: bank, poczta, serwisy społecznościowe, etc.

To nieczynny mikro odpadek. Być może to problem uprawnień i przed usunięciem sprawdzę to. W raporcie FRST jest także powiązany wpis rejestru (ta sama klasa) nie wykrywany przez MBAM: ShellIconOverlayIdentifiers: [Fatlfn] -> {646BAAE7-7538-4866-8EEE-974C0AA910AB} => Brak pliku Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [Fatlfn] -> {646BAAE7-7538-4866-8EEE-974C0AA910AB} => Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-4233494923-3357577127-3169329625-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = Task: {191916DE-3933-4DF3-A2E0-1224263222C1} - System32\Tasks\{0E79ECFF-168E-4833-A84A-FE4179123D5E} => Chrome.exe hxxp://ui.skype.com/ui/0/7.8.73.102.456/pl/abandoninstall?page=tsProgressBar Task: {4072AF2B-C61A-4C47-9823-7C313F3F63A0} - \amiupdaterExd -> Brak pliku Task: {4EA44B8D-E314-4227-A4D3-160BCC970E78} - \SPBIW_UpdateTask_Time_323937353732303339342d2d37505a2a6c55326c342341 -> Brak pliku Task: {55D1A40F-548E-442F-98D1-F00D5FD906EA} - \SPDriver -> Brak pliku Task: {7EFFA523-C9C0-4768-81A2-F24C3B3FF6AD} - System32\Tasks\{C0C7D700-506B-4FC2-8ABD-4BD77E0642E0} => Chrome.exe hxxp://ui.skype.com/ui/0/6.18.73.106.456/pl/abandoninstall?page=tsMain Task: {A249BD24-E084-4DC2-BC99-5F2E8A5F6D54} - \Inst_Rep -> Brak pliku Task: {ACEF77F9-767F-48E2-BA96-C766B2552696} - \amiupdaterExi -> Brak pliku Task: {B904259A-D061-42C4-BB45-4E88A76DBEDB} - \ShopperProJSUpd -> Brak pliku Task: {ED2273FF-449E-4404-A4E0-AE3A41378913} - System32\Tasks\{FA3A1D46-51DD-41DD-9E5C-5D92C9B64D49} => Chrome.exe hxxp://ui.skype.com/ui/0/7.8.73.102.456/pl/abandoninstall?page=tsWLM Task: {FD1F9DCC-82D2-4386-9508-87200208C020} - \ShopperPro -> Brak pliku C:\ProgramData\inf.dat C:\Users\Przemek\AppData\Local\CrashRpt C:\Users\Public\QiYi ListPermissions: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved" /v {646BAAE7-7538-4866-8EEE-974C0AA910AB} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f nointegritychecks: ==> "IntegrityChecks" - funkcja wyłączona. EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Dostarcz ten plik. Nowy skan FRST nie jest mi potrzebny.

Plik fixlog.txt jest całkowicie pusty - nic nie zapisałeś w Notatniku... Powtarzaj zadanie podane wcześniej w punkcie 1.

Na zakończenie zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zainstaluj IE11: KLIK.

Skasuj z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam.

Oceniam co mówią logi - Brontok nie jest aktywny. Część wpisów z raportu MBAM właśnie była już uwzględniona w skrypcie FRST, część nie, bo log FRST ich nie pokazywał (nie ma ich). Skoro jednak nic nie usuwałeś za pomocą MBAM, to dołożyłam na wszelki wypadek dodatkowe komendy na kilka plików które mogą być poza widocznością raportu FRST.

Tekst z synchronizacją był na wszelki wypadek, z raportu nie można rozpoznać czy ta funkcja jest włączona. Wszystko zgodnie z planem. FRST usunął sporo plików tymczasowych: 9.4 GB. Kolejna porcja zadań: 1. Otwórz Notatnik i wklej: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\TDSSKiller_Quarantine RemoveDirectory: C:\Users\Admin\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Piotr.Admin-Komputer.001 CMD: del /q C:\Users\Admin\Desktop\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe CMD: del /q C:\Users\Admin\Desktop\xgqjmcd9.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Pokaż wynikowy fixlog.txt. 2. Po wykonaniu powyższego uruchom Kaspersky Virus Removal Tool (KVRT). Wykonaj skan i dostarcz obrazki z wynikami, o ile coś zostanie wykryte.

Wszystko pomyślnie usunięte, pendrive zdowodowane jako czyste. Kolejna porcja zadań: 1. Odinstaluj USBFix. Do Notatnika wklej: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\UsbFix RemoveDirectory: C:\Users\Rafal\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\Rafal\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe CMD: del /q C:\Users\Rafal\Downloads\ozm2xe5x.exe CMD: del /q C:\Users\Rafal\Downloads\SPTDinst-v187-x64.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Pokaż wynikowy fixlog.txt. 2. Dopiero po wykonaniu powyższego uruchom Kaspersky Virus Removal Tool (KVRT). W konfiguracji zaznacz pełny skan dysku C. Wykonaj skan i dostarcz obrazki z wynikami, o ile coś zostanie wykryte.

Wszystko naprawione. Na zakończenie: 1. Zastosuj DelFix (pokaż z niego log) oraz wyczyść foldery Przywracania systemu: KLIK. Pobrany GMER i jego log oraz narzędzia które nie zostaną usunięte skasuj ręcznie. 2. Na wszelki wypadek zmień hasła logowania w serwisach online (bank, poczta, serwisy społecznościowe...).

Zakładam, że pendrivy są podpięte i widoczne pod tymi samymi literami G:, I:. Otwórz Notatnik i wklej w nim: S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] AlternateDataStreams: C:\Users\Rafal\Cookies:gs5sys AlternateDataStreams: C:\Users\Rafal\Szablony:gs5sys AlternateDataStreams: C:\Users\Rafal\AppData\Local\Historia:gs5sys C:\AMD\Support\13-9-legacy_vista_win7_64_dd_ccc\Bin64\lucoms.exe C:\AMD\AMD-Catalyst-15.7.1-With-DOTNet45-Win7-64bit\Bin64\wisptis.exe C:\Program Files\DAEMON Tools Lite C:\Program Files (x86)\AMD APP\download.exe C:\Program Files (x86)\AMD APP\jucheck.exe C:\Program Files (x86)\AMD APP\bin\download.exe C:\Program Files (x86)\AMD APP\bin\mscorsvw.exe C:\Program Files (x86)\AMD APP\bin\x86_64\launch.exe C:\Program Files (x86)\AMD AVT\bin\jucheck.exe C:\Program Files (x86)\AMD AVT\lucoms.exe C:\Program Files (x86)\AMD AVT\mscorsvw.exe C:\Program Files (x86)\AMD AVT\bin\mscorsvw.exe C:\Program Files (x86)\AMD AVT\bin\wisptis.exe C:\Program Files (x86)\Alcohol Soft C:\Program Files (x86)\Application Verifier\download.exe C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\hkcr.exe C:\Program Files (x86)\ATI Technologies\ATI.ACE\Graphics-Previews-Common\winlogon.exe C:\Program Files (x86)\ATI Technologies\ATI.ACE\Graphics-Previews-Common\wisptis.exe C:\Program Files (x86)\ASUS\IO\lucoms.exe C:\Program Files (x86)\ASUS\AsSysCtrlService\1.00.02\avguard.exe C:\Program Files (x86)\ASUS\AsSysCtrlService\1.00.02\nvxdsync.exe C:\Program Files (x86)\ASUS\AsSysCtrlService\1.00.02\jucheck.exe C:\Program Files (x86)\Google\Update\1.3.28.15\winlogon.exe C:\Program Files (x86)\Java\jre1.8.0_60\bin\launch.exe C:\Program Files (x86)\Java\jre1.8.0_60\bin\client\jucheck.exe C:\Program Files (x86)\Java\jre1.8.0_60\bin\dtplugin\hkcr.exe C:\Program Files (x86)\Java\jre1.8.0_60\bin\plugin2\run.exe C:\Program Files (x86)\IObit\wisptis.exe C:\Program Files (x86)\IObit\Driver Booster\lucoms.exe C:\Program Files (x86)\IObit\Driver Booster\mscorsvw.exe C:\Program Files (x86)\IObit\Driver Booster\winlogon.exe C:\Program Files (x86)\IObit\Surfing Protection C:\Program Files (x86)\Smart File Advisor C:\ProgramData\DAEMON Tools Lite C:\Users\Rafal\AppData\Roaming\DAEMON Tools Lite C:\Users\Rafal\Documents\ax_files.xml C:\Users\Rafal\Downloads\q18lx0drb1b1900b.js C:\Users\Rafal\Downloads\100421458764.sdx C:\Users\Rafal\Downloads\SecureDownloadManager.log C:\Windows\agent.exe C:\Windows\jucheck.exe Folder: G:\ Folder: I:\ Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Dołącz wnikowy fixlog.txt.

Rootkit pomyślnie usunięty. Teraz możemy się zabrać za wyłączenie "Trybu testu" wprowadzonego przez Necurs oraz "kosmetykę" (stare programy, odpadki, wpisy puste). Akcja: 1. Deinstalacje: - Przez Panel sterowania odinstaluj stare wersje i zbędniki: Adobe Flash Player 18 ActiveX, Adobe Flash Player 18 PPAPI, Adobe Reader XI (11.0.12) - Polish, Akamai NetSession Interface, GeekBuddy, McAfee Security Scan Plus, Panda Security Toolbar. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadek Google Update Helper > Dalej. Takie wpisy są dwa, czyli dwa razy narzędzie uruchamiasz. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: testsigning: ==> Ustawiony "Tryb testu". Sprawdź obecność niepodpisanego sterownika HKU\S-1-5-21-3933479072-2540534226-446759770-1000\...\Policies\Explorer: [] Task: {88BE9984-E976-4B91-895E-B198D85C98DF} - System32\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-3933479072-2540534226-446759770-1000 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe Task: {8CD45570-DF1F-43D3-9B7F-2900D117FE91} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {B5E1CEC7-9748-42C7-8186-6A45A5194BD1} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {E72EF9C9-1C76-48E7-BB64-CEC82256C6EE} - System32\Tasks\CIS_{15198508-521A-4D69-8E5B-B94A6CCFF805} => C:\ProgramData\cisE510.exe Task: {F941B106-96D6-45D6-BB6A-D8569A48C509} - System32\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-3933479072-2540534226-446759770-1000 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe FF HKLM-x32\...\Firefox\Extensions: [{ABDE892B-13A8-4d1b-88E6-365A6E755758}] - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext => nie znaleziono HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141031 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120141031 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-3933479072-2540534226-446759770-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://pl.yahoo.com?fr=fp-comodo SearchScopes: HKU\S-1-5-21-3933479072-2540534226-446759770-1000 -> DefaultScope {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = hxxp://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo SearchScopes: HKU\S-1-5-21-3933479072-2540534226-446759770-1000 -> {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = hxxp://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo CustomCLSID: HKU\S-1-5-21-3933479072-2540534226-446759770-1000_Classes\CLSID\{6D7AE628-FF41-4CD3-91DD-34825BB1A251}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2011\acad.exe /Automation => Brak pliku CustomCLSID: HKU\S-1-5-21-3933479072-2540534226-446759770-1000_Classes\CLSID\{C92FB640-AD4D-498A-9979-A51A2540C977}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2011\acad.exe /Automation => Brak pliku CustomCLSID: HKU\S-1-5-21-3933479072-2540534226-446759770-1000_Classes\CLSID\{D70E31AD-2614-49F2-B0FC-ACA781D81F3E}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2011\acad.exe => Brak pliku C:\Program Files (x86)\Google C:\ProgramData\AVAST Software C:\ProgramData\Microsoft\Windows\Start Menu\Programs\T-Mobile Ekstraklasa Update C:\Users\Admin\AppData\Local\Google C:\Windows\Installer\{0334BD8A-C205-F60B-F831-77B2D7FD5DB7} C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\system32\Drivers\ftuyzdin.sys C:\Windows\system32\Drivers\jkthibwk.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. Menu Historia > Wyczyść historię przeglądania 4. W systemie są dwa konta: ==================== Konta użytkowników: ============================= Admin (S-1-5-21-3933479072-2540534226-446759770-1000 - Administrator - Enabled) => C:\Users\Admin Piotr (S-1-5-21-3933479072-2540534226-446759770-1004 - Administrator - Enabled) => C:\Users\Piotr.Admin-Komputer.001 - Na koncie Admin (które właśnie obrabiamy) zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. - Jeśli Piotr to jakieś bezużyteczne konto, całkowicie usuń. Jeśli nie, potrzebne też logi z tego konta. W takiej sytuacji zaloguj się na nie przez pełny restart kompa (a nie Wyloguj czy Przełącz użytkownika) i zrób nowy log FRST z opcji Skanuj (Scan), z Addition, bez Shortcut. Dołącz też plik fixlog.txt.

Wszystko wygląda dobrze. Na koniec jeszcze usunięcie odpadków po odinstalowanych Firefox. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Tomek\AppData\Local\Mozilla RemoveDirectory: C:\Users\Tomek\AppData\Roaming\Mozilla RemoveDirectory: C:\Users\Tomek\Desktop\FRST-OlderVersion CMD: del /q C:\AdwCleaner[C2].txt CMD: del /q C:\Users\Tomek\Desktop\mrbe7bfl.exe CMD: del /q C:\Users\Tomek\Downloads\mrbe7bfl.exe Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt.

Ten skopiowany raport nie odpowiada operacji usuwania. Na dysku C:\ powinny być wszystkie raporty TDSSKiller.