picasso

Zoek wykonał roboty deinstalacyjne, więc Fix-it Microsoftu już nie jest potrzebny. AdwCleaner wykrył ogromną ilość obiektów, wykazuje też ślady adware na profilu Rodzice. 1. Uruchom AdwCleaner ponownie, tym razem dobierz opcje Szukaj + Usuń. 2. Zaloguj się na konto Rodzice poprzez pełny restart systemu (a nie "Wyloguj" lub "Przełącz użytkownika") i zrób nowy log FRST z opcji Scan (zaznacz Addition, ale Shortcut nie jest już potrzebny).

Czy nie przypominasz sobie co robiłeś tuż przed ponownym pojawieniem się Surfvox - odwiedzenie określonej strony, pobranie i uruchomienie czegoś konkretnego? Tak jak poprzednio wszystko zostało pomyślnie usunięte. 1. Usuń pobrany FRST z H:\x. Następnie zastosuj DelFix. 2. Wykonaj pełne skanowanie za pomocą Malwarebytes Anti-Malware. Dostarcz raport, o ile coś zostanie wykryte.

1. Przejdź w Tryb awaryjny Windows i zastosuj Avira Registry Cleaner oraz AVG Remover. 2. Następnie wejdź w Tryb normalny i zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. Skrypt został wykonany poprawnie, nie usuwał nic z dysku D - tylko z dysku C było usuwanie plików. Jeśli partycja zniknęła, jest to związane z czymś innym. W FRST Additon będzie rozpisany układ partycji. Podaj też zrzut ekranu z przystawki diskmgmt.msc.

Wszystko gładko poszło, za wyjątkiem jednego wpisu (bug FRST). Kolejna porcja zadań: 1. Pobierz najnowszą wersję FRST. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3326234350-4050991087-374296464-1000\...\Policies\Explorer\Run: [Wistron] => C:\Users\Wujo\AppData\Roaming\CAD8B9\CAD8B9.exe C:\Program Files\AdTrustMedia C:\Program Files\Google C:\Program Files (x86)\1ClickDownload C:\Program Files (x86)\AdBlocknWatchu C:\Program Files (x86)\ExxsTriaSaviungs C:\Program Files (x86)\Zealot Software C:\ProgramData\AdBlocknWatchu C:\ProgramData\Adtrustmedia C:\ProgramData\c2d6b65770b43203 C:\ProgramData\COMODO C:\ProgramData\DAEMON Tools Lite C:\ProgramData\ExxsTriaSaviungs C:\ProgramData\Gadu-Gadu 10 C:\ProgramData\Google C:\ProgramData\InstallMate C:\ProgramData\Kaspersky Lab Setup Files C:\ProgramData\McAfee C:\ProgramData\Mozilla C:\ProgramData\savensshaeRe C:\ProgramData\SoftSafe C:\ProgramData\Uniblue C:\Users\Wujo\AppData\Local\AdTrustMedia C:\Users\Wujo\AppData\Local\ChomikBox C:\Users\Wujo\AppData\Local\Chromium C:\Users\Wujo\AppData\Local\Lollipop C:\Users\Wujo\AppData\Local\Opera C:\Users\Wujo\AppData\Local\Opera Software C:\Users\Wujo\AppData\Local\The Witcher C:\Users\Wujo\AppData\Local\The Witcher 2 C:\Users\Wujo\AppData\Local\Torch C:\Users\Wujo\AppData\Local\womble C:\Users\Wujo\AppData\LocalLow\Google C:\Users\Wujo\AppData\LocalLow\SimplyTech C:\Users\Wujo\AppData\LocalLow\Temp C:\Users\Wujo\AppData\Roaming\*.dat C:\Users\Wujo\AppData\Roaming\mcp.ico C:\Users\Wujo\AppData\Roaming\LiveSupport.exe_log.TXT.itqjnld C:\Users\Wujo\AppData\Roaming\regsvr32.exe_log.TXT.itqjnld C:\Users\Wujo\AppData\Roaming\EurekaLog C:\Users\Wujo\AppData\Roaming\Gadu-Gadu 10 C:\Users\Wujo\AppData\Roaming\GoforFiles C:\Users\Wujo\AppData\Roaming\Google C:\Users\Wujo\AppData\Roaming\IrfanView C:\Users\Wujo\AppData\Roaming\Opera C:\Users\Wujo\AppData\Roaming\Opera Software C:\Users\Wujo\AppData\Roaming\Softland C:\Users\Wujo\AppData\Roaming\uTorrent C:\Users\Wujo\AppData\Roaming\YourFileDownloader CMD: for /d %f in (C:\Users\Wujo\AppData\Local\{*}) do rd /s /q "%f" CMD: for /d %f in (C:\Users\Wujo\AppData\LocalLow\{*}) do rd /s /q "%f" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom ServicesRepair. Po operacji zresetuj system i zrób nowy log z Farbar Service Scanner.

Ad "prosiłeś" = jestem kobietą. Wszystkie zalecenia wykonane. Na koniec: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

1. MBAM wykrył głównie szczątki reklamiarzy. Wszystkie wskazane w skanie obiekty do usunięcia za pomocą programu. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj (na razie nie stosuj Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Nastąpiła zmiana i obecnie jest już najnowsza wtyczka ActiveX dla Internet Explorer: ==================== Installed Programs ====================== Adobe Flash Player 16 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 16.0.0.257 - Adobe Systems Incorporated) Zadania pomyślnie wykonane. Tylko drobne korekty: 1. Napraw uszkodzony specjalny skrót Internet Explorer: Shortcut: C:\Users\Alexis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Alexis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 2. Otwórz Notatnik i wklej w nim: HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm HKU\S-1-5-21-1817701526-1401173901-2305217273-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.msn.com/?pc=AV01 CMD: del /q "C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk" DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Nowe skany FRST nie są już potrzebne.

Czy są jeszcze jakieś problemy w systemie? Zadana pula akcji gładko wykonana, usługi Windows pomyślnie zrekonstruowane. Ostatni skrypt do FRST. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Niestety mam niedobre wieści. Deszyfracja plików jest niemożliwa. Opis infekcji i dyskusja: KEYHolder.

Nazwy logów wskazują, że je wyciągasz z folderu C:\FRST\Logs. To archiwum logów. Bieżący log jest zawsze w tej samej lokalizacji skąd uruchamiano FRST - w tym przypadku katalog Pobrane. I nie odinstalowałeś SpyHunter - to jest program z czarnej listy. Chodzi o to, że plik skryptu i FRST mają siedzieć w tym samym folderze. Niby w nowym logu jest zmiana, tzn. wartość DhcpNameServer (pobierana z routera) wskazuje już adres routera. Ale wykonałeś dodatkowe polecenia, których nie zadałam - jest zmodyfikowana wartość NameServer (ustawienia po stronie Windows) na serwery Google. Serwery w Windows nas nie interesują, bo to nie tu jest problem. Tcpip\Parameters: [DhcpNameServer] 192.168.1.1 Tcpip\..\Interfaces\{58D1F063-6E9E-4A9E-94A1-DC27F83EB27E}: [NameServer] 8.8.8.8,8.8.4.4 Poproszę o zrzut ekranu konfiguracji routera pokazujący aktualne ustawienia DNS.

Zadanie ukończone zgodnie z planem. Skasuj z dysku plik C:\Delfix.txt. Temat rozwiązany. Zamykam.

Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. To tyle.

Nie, Dropbox jest OK w kontekście "szkodliwości". Z Dropboxem już było coś nie tak, gdy otrzymałam pierwsze logi - w pierwszym Shortcut prawie wszystkie skróty Dropbox były oznaczone jako "No file" (brak pliku). Dlatego też te wpisy usuwałam. Po prostu na każdym koncie z osobna "odinstalujcie" uszkodzony wpis i zainstalujcie Dropbox ponownie. Z zakresu czyszczenia systemu wszystko wykonane. Kończymy: Posuwaj ze wszystkich kont pobrane narzędzia. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. PS. Nie ma potrzeby dzielić wiadomości (skleiłam), w logach przecież widać z którego konta.

Fix wykonany. Natomiast wymagane poprawki będąc zalogowanym na konkretnym koncie: NA KONCIE BUMIDA: 1. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 2. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420978967&from=cor&uid=ST1000DM003-1CH162_W1D3GVNXXXXXW1D3GVNX&q={searchTerms} HKU\S-1-5-21-3075525339-4195542920-1684508868-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420978967&from=cor&uid=ST1000DM003-1CH162_W1D3GVNXXXXXW1D3GVNX&q={searchTerms} SearchScopes: HKU\S-1-5-21-3075525339-4195542920-1684508868-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002 -> {1B1B1377-758A-4FA7-9AC9-B81AAC31856D} URL = SearchScopes: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420978967&from=cor&uid=ST1000DM003-1CH162_W1D3GVNXXXXXW1D3GVNX&q={searchTerms} CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\bumida\AppData\Roaming\Dropbox\bin\Dropbox.exe /autoplay No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002_Classes\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\bumida\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002_Classes\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\bumida\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002_Classes\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\bumida\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002_Classes\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\bumida\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002_Classes\CLSID\{FB314EDD-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\bumida\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002_Classes\CLSID\{FB314EDE-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\bumida\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002_Classes\CLSID\{FB314EDF-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\bumida\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1002_Classes\CLSID\{FB314EE0-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\bumida\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File Task: {3E5EBE54-6DDB-4C87-9658-6313218BF42B} - \avastBCLRestartS-1-5-21-3075525339-4195542920-1684508868-1002 No Task File RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. NA KONCIE DARIUSZ: Otwórz Notatnik i wklej w nim: CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1005_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\Dariusz\AppData\Roaming\Dropbox\bin\Dropbox.exe /autoplay No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1005_Classes\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Dariusz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1005_Classes\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Dariusz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1005_Classes\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Dariusz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1005_Classes\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Dariusz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1005_Classes\CLSID\{FB314EDD-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Dariusz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1005_Classes\CLSID\{FB314EDE-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Dariusz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1005_Classes\CLSID\{FB314EDF-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Dariusz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File CustomCLSID: HKU\S-1-5-21-3075525339-4195542920-1684508868-1005_Classes\CLSID\{FB314EE0-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Dariusz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Temat przenoszę do działu Windows. Nie jest to problem infekcji. - Na początek upewnij się, że problemu nie tworzy Norton Internet Security, a weryfikacja nastąpi przy udziale pełnej deinstalacji. - Dodatkowo odinstaluj jeszcze stare wersje i zbędniki firmowe: Acrobat.com, Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Flash Player 10 Plugin, Adobe Reader 9.1 MUI, ASUS WebStorage, Bing Bar, Google Toolbar for Internet Explorer. Po tym zrób nowy raport FRST (główny + Addition) i opisz czy są zmiany.

Zadania wykonane pomyślnie. Kolejne czynności: 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\KSIEGOWY\AppData\Local\ESET Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Wykonaj pełne skanowanie systemu za pomocą Malwarebytes Anti-Malware. Jeśli coś wykryje, dostarcz raport.

Nadal nie odpowiedziałeś o jaki program Ci chodzi. Shortcut.txt podaje, że skrót deinstalacji jest w Menu Start: ShortcutWithArgument: C:\Documents and Settings\Osia\Start Menu\Programs\SpyHunter\Uninstall.lnk -> C:\Documents and Settings\Osia\Dane aplikacji\Enigma Software Group\sh_installer.exe (Enigma Software Group USA, LLC.) -> -r sh

Na koniec zastosuj DelFix (GMER dokasuj ręcznie), odinstaluj starą wtyczkę Adobe Flash Player 15 ActiveX oraz wyczyść foldery Przywracania systemu: KLIK.

1. AdwCleaner czepia się aplikacji Acer Updater. Fałszywy alarm, ale jest to owszem zbędnik i go po prostu w poprawny sposób odinstaluj. 2. Uruchom AdwCleaner ponownie, zastosuj sekwencję Szukaj + Usuń. Gdy ukończy działanie: 3. Otwórz Notatnik i wklej w nim: RemoveDirecrory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj fixlog.txt.

W raporcie Farbar Service Scanner żadnych oznak dyskonfiguracji Przywracania systemu. Natomiast nowe logi nadal pokazują wpisy infekcji i szczątki adware. To właśnie z tego konta się inicjowała infekcja. Kolejne działania - wszystko w kontekście konta KSIEGOWY: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-3668452077-1106565234-3799211801-1002\...\Run: [YTVPack] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\KSIEGOWY\AppData\Local\Ektion\rvvbobqwdyjcc.dll HKU\S-1-5-21-3668452077-1106565234-3799211801-1002\...\Run: [Ezztion] => regsvr32.exe C:\Users\KSIEGOWY\AppData\Local\Ezztion\plc4.dll HKU\S-1-5-21-3668452077-1106565234-3799211801-1002\...\Run: [bluetoothS] => rundll32.exe "%appdata%\BtvStack.dll",BTHF_Register URLSearchHook: HKU\S-1-5-21-3668452077-1106565234-3799211801-1002 - (No Name) - {D8278076-BC68-4484-9233-6E7F1628B56C} - No File SearchScopes: HKU\S-1-5-21-3668452077-1106565234-3799211801-1002 -> 7B25F7A08463410AB1D6D9C86FEB050F URL = http://search.babylon.com/?q={searchTerms}&AF=100480&babsrc=SP_ss&mntrId=aa814c8600000000000064315023b703 SearchScopes: HKU\S-1-5-21-3668452077-1106565234-3799211801-1002 -> {2AE70A0E-39B8-48D4-9229-9E2C0E150E4B} URL = http://www.search.ask.com/web?p2=^ADN^OSJ000^YY^PL&gct=&itbv=12.0.1.100&o=APN10616&tpid=ORJ-V7&apn_uid=43BDBA54-CA96-429E-8979-478EFC4398ED&apn_ptnrs=ADN&apn_dtid=^OSJ000^YY^PL&apn_dbr=ie_9.0.8112.16476&doi=2013-10-11&trgb=IE&q={searchTerms}&psv= SearchScopes: HKU\S-1-5-21-3668452077-1106565234-3799211801-1002 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=CMDTDF SearchScopes: HKU\S-1-5-21-3668452077-1106565234-3799211801-1002 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search-results.com/sr?src=ieb&appid=102&systemid=406&sr=0&q={searchTerms} SearchScopes: HKU\S-1-5-21-3668452077-1106565234-3799211801-1002 -> {ec29edf6-ad3c-4e1c-a087-d6cb81400c43} URL = Toolbar: HKU\S-1-5-21-3668452077-1106565234-3799211801-1002 -> No Name - {4F524A2D-5637-006A-76A7-7A786E7484D7} - No File HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\35355970.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\57130876.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\35355970.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\57130876.sys => ""="Driver" C:\Users\Administrator\temp C:\Users\KSIEGOWY\AppData\Roaming\Babylon Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: dir /a C:\Users\KSIEGOWY\AppData\Local Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart i powstanie nowy fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

1. Uruchom AdwCleaner. Klik w Szukaj (nie stosuj jeszcze Usuń) i dostarcz raport z C:\AdwCleaner. 2. Uruchom Zoek i w oknie wklej: Google Update Helper;u Shared C Run-time for x64;u Klik w Run Script i dostarcz wynikowy log. 3. Otwórz Notatnik i wklej w nim: Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Windows.old Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz fixlog.txt.

Skrypt wykonany. Na koniec: Usuń folder D:\Tools\FRST. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Akcje pomyślnie wykonane, z wyjątkiem pierwszej komendy - błąd tworzenia punktu Przywracania systemu. 1. Poproszę o log z Farbar Service Scanner. 2. W systemie są dwa konta, a Ty dostarczałeś logi z wbudowanego Administratora (niedawno aktywowany): ========================= Accounts: ========================== Administrator (S-1-5-21-3668452077-1106565234-3799211801-500 - Administrator - Enabled) => C:\Users\Administrator KSIEGOWY (S-1-5-21-3668452077-1106565234-3799211801-1002 - Administrator - Enabled) => C:\Users\KSIEGOWY Proszę zaloguj się na właściwe konto KSIEGOWY poprzez pełny restart komputera (a nie "Wyloguj" czy "Przełącz użytkownika") i zrób z poziomu tego kota nowe logi FRST (główny + Addition, Shortcut zbędny).

Opis problemu biedny, mógłbyś dokładniej przedstawić sprawy... Infekcja nie jest po stronie systemu i nie pomogą żadne skanery czy "fiksy". Tu jest infekcja routera - pierwszy adres jest ukraiński: Tcpip\Parameters: [DhcpNameServer] 91.212.124.159 8.8.8.8 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony pozostałe działania: 2. Deinstalacje: Przez Panel sterowania odinstaluj starą wersję Java 7 Update 67, zbędny przestarzały Spybot - Search & Destroy oraz wątpliwy skaner z czarnej listy SpyHunter. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście fałszywy wpis Google Update Helper (od adware BonanzaDeals) > Dalej. Zresetuj też cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Policies\Explorer: [TaskbarNoNotification] 0 HKLM\...\Policies\Explorer: [HideSCAHealth] 0 HKU\S-1-5-21-3842171764-2869596894-789366844-1001\...\Policies\Explorer: [TaskbarNoNotification] 0 HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-3842171764-2869596894-789366844-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=NAV&pvid=21.4.0.13 HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-3842171764-2869596894-789366844-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-3842171764-2869596894-789366844-1004\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=NAV&pvid=21.4.0.13 CustomCLSID: HKU\S-1-5-21-3842171764-2869596894-789366844-1001_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-3842171764-2869596894-789366844-1001_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> No File Path Task: {0BDD645A-1D6B-4DB2-B6C3-5E46C85DDF15} - System32\Tasks\{FABF9EBF-0DEA-4A71-A61A-27E3A41FFF8E} => pcalua.exe -a G:\SISetup.exe -d G:\ Task: {34654672-028F-4921-9FDA-A889A4D62CC0} - System32\Tasks\{155D6E6C-5A60-4166-83D1-9FD0F6EB8F31} => pcalua.exe -a C:\Users\-\IN1EGC18WW5.exe -d C:\Users\- Task: {444C6D3A-C651-4BD3-B49A-6E08C791B0BD} - System32\Tasks\{FC4BCAC9-72C6-4E5A-98F2-6A04B840146D} => Chrome.exe Task: {578E4744-B444-4CE4-9734-7CB3CB6CF146} - System32\Tasks\Google Updater and Installer => C:\Users\-\AppData\Local\Google\Update\GoogleUpdate.exe Task: {8D905414-46D3-4741-90A4-738DEDE09920} - System32\Tasks\{A0F0AF63-6FA9-4646-80CB-129CD5DD97DE} => pcalua.exe -a E:\HpSetup.exe -d E:\ Task: {AFC7AF39-D967-48E1-824F-7AA6F17A8247} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => C:\Program Files\Norton Identity Safe\Engine\2014.6.0.27\SymErr.exe Task: {BC6E7BAF-613D-4638-8979-EEE57C458DA8} - System32\Tasks\Norton Identity Safe\Norton Error Processor => C:\Program Files\Norton Identity Safe\Engine\2014.6.0.27\SymErr.exe Task: {CD1F8EAA-00CD-4262-951A-EB2FEC8A9FA1} - \Program aktualizacji online firmy Adobe. No Task File HKU\S-1-5-21-3842171764-2869596894-789366844-1001\Software\Classes\exefile: U5 AppMgmt; C:\Windows\system32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) S3 catchme; \??\C:\Users\-\AppData\Local\Temp\catchme.sys [X] S3 gfiark; system32\drivers\gfiark.sys [X] S3 RtsUIR; system32\DRIVERS\Rts516xIR.sys [X] S2 sbapifs; system32\DRIVERS\sbapifs.sys [X] S3 USBCCID; system32\DRIVERS\RtsUCcid.sys [X] U3 Winsock - Google Desktop Search Backup Before First Install; No ImagePath U3 Winsock - Google Desktop Search Backup Before Last Install; No ImagePath C:\ProgramData\mshaigu.exe C:\Users\-\*.exe C:\Users\-\Downloads\jxpiinstall*.exe C:\Windows\System32\Tasks\Norton Identity Safe CMD: ipconfig /flushdns Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Logi z FRST są nareszcie z kontektu właściwego konta Wujo. To było istotne, bo ujawniły się wpisy ZeroAccess oraz ten do CAD8B9.exe omawiany wcześniej inicjowane z tego konta. Ponadto, adware przekonwertowało przeglądarkę Google Chrome z wersji stabilnej do developerskiej i wymagana kompleksowa reinstalacja. Nie ruszam na razie plików zaszyfrowanych przez infekcję, ale coś trzeba będzie potem z tym zrobić (ale jak mówiłam, dekrypcja awykonalna): 2015-01-01 14:56 - 2014-12-09 08:31 - 00049936 _____ () C:\Users\Wujo\Downloads\ZWR_Specyfikacja_faktury_zbiorowej_761-494-4823-7996_14_12_F012_AA.PDF.itqjnld 2015-01-01 14:56 - 2014-11-15 09:27 - 00049408 _____ () C:\Users\Wujo\Downloads\ZWR_Specyfikacja_faktury_zbiorowej_761-494-4823-7996_14_11_F011_AA.PDF.itqjnld 2015-01-01 14:56 - 2014-11-03 16:33 - 00013600 _____ () C:\Users\Wujo\Downloads\J-Wi Jadłospis.DOC.itqjnld 2015-01-01 14:56 - 2014-10-13 10:15 - 00052368 _____ () C:\Users\Wujo\Downloads\ZWR_Specyfikacja_faktury_zbiorowej_761-494-4823-7996_14_10_F010_AA.PDF.itqjnld 2015-01-01 14:56 - 2014-08-31 08:14 - 00054112 _____ () C:\Users\Wujo\Downloads\obsada nr 3 27.08.2014 roda.XLS.itqjnld 2015-01-01 14:56 - 2014-08-31 08:14 - 00054112 _____ () C:\Users\Wujo\Downloads\obsada nr 3 27.08.2014 roda (1).XLS.itqjnld 2015-01-01 14:56 - 2014-08-11 13:56 - 00051824 _____ () C:\Users\Wujo\Downloads\ZWR_Specyfikacja_faktury_zbiorowej_761-494-4823-7996_14_08_F008_AA.PDF.itqjnld 2015-01-01 14:56 - 2014-07-29 07:43 - 00045152 _____ () C:\Users\Wujo\Downloads\ZWR_Specyfikacja_faktury_zbiorowej_761-494-4823-7996_14_07_F007_AA.PDF.itqjnld 2015-01-01 14:56 - 2014-05-23 16:46 - 00018096 _____ () C:\Users\Wujo\Documents\g1 kody.DOC.itqjnld 2015-01-01 14:56 - 2014-05-19 12:14 - 00048704 _____ () C:\Users\Wujo\Downloads\ZWR_Specyfikacja_faktury_zbiorowej_761-494-4823-7996_14_05_F005_Z.PDF.itqjnld 2015-01-01 14:56 - 2014-03-17 14:58 - 00072576 _____ () C:\Users\Wujo\Downloads\tmp1A0.PDF.itqjnld 2015-01-01 14:56 - 2014-02-10 19:04 - 00050960 _____ () C:\Users\Wujo\Downloads\ZWR_Specyfikacja_faktury_zbiorowej_761-494-4823-7996_14_02_F002_Z.PDF.itqjnld 2015-01-01 14:56 - 2013-10-15 10:38 - 00049632 _____ () C:\Users\Wujo\Downloads\ZWR_Specyfikacja_faktury_zbiorowej_761-494-4823-7996_13_10_F010_Y.PDF.itqjnld 2015-01-01 14:56 - 2013-06-01 08:55 - 00044352 _____ () C:\Users\Wujo\Downloads\statement_0245_20130527.PDF.itqjnld 2015-01-01 14:56 - 2013-05-03 16:01 - 00005440 _____ () C:\Users\Wujo\Documents\DATA.DOC.itqjnld 2015-01-01 14:56 - 2013-05-03 15:01 - 00073648 _____ () C:\Users\Wujo\Documents\Dokument1.PDF.itqjnld Kolejna porcja działań: 1. Ustaw adresy DNS w Windows na adresy Google 8.8.8.8 + 8.8.4.4: KLIK. 2. Odinstaluj Adobe Flash Player 12 ActiveX, Adobe Flash Player 12 Plugin, Adobe Reader X (10.1.0) - Polish, Google Chrome, Java 6 Update 37. Na razie nie instaluj żadnych nowych wersji. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: S4 *etadpug; "C:\Program Files (x86)\Google\Desktop\Install\{ac61f76f-e3bf-090c-101a-0e87fecfa713}\ \...\???\{ac61f76f-e3bf-090c-101a-0e87fecfa713}\GoogleUpdate.exe" < <==== ATTENTION (ZeroAccess) HKU\S-1-5-21-3326234350-4050991087-374296464-1000\...\Run: [Google Update**.d<*>] => "C:\Users\Wujo\AppData\Local\Google\Desktop\Install\{ac61f76f-e3bf-090c-101a-0e87fecfa713}\❤≸⋙\Ⱒ☠⍨\‮ﯹ๛\{ac61f76f-e3bf-090c-101a-0e87fecfa713}\GoogleUpdate.exe" > <===== ATTENTION (Value Name with invalid characters) HKU\S-1-5-21-3326234350-4050991087-374296464-1000\...\Policies\Explorer\Run: [Wistron] => C:\Users\Wujo\AppData\Roaming\CAD8B9\CAD8B9.exe S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X] S4 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S4 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S3 RtsUIR; system32\DRIVERS\Rts516xIR.sys [X] S3 USBCCID; system32\DRIVERS\RtsUCcid.sys [X] U2 wuaserv; No ImagePath GroupPolicy: Group Policy on Chrome detected <======= ATTENTION CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM-x32 -> DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = SearchScopes: HKLM-x32 -> {2F3F70DB-19ED-4AE2-829E-ED7ABDD6D638} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={71AE8812-1669-4581-B398-F540214F14E5} SearchScopes: HKLM-x32 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = http://search.certified-toolbar.com?si=44393&st=bs&tid=3820&ver=4.9&ts=1369248523355.000003&tguid=44393-3820-1369248523355-DA54B3E4B3DA9B82F6E7C5AAB0157A9E&q={searchTerms} SearchScopes: HKU\S-1-5-21-3326234350-4050991087-374296464-1000 -> {1DD5C10A-E446-4FEC-8511-6F13CDC8C221} URL = http://startsear.ch/?aff=1&src=sp&cf=52e8ba86-3711-11e1-bd44-001d6073c963&q={searchTerms} SearchScopes: HKU\S-1-5-21-3326234350-4050991087-374296464-1000 -> {2F3F70DB-19ED-4AE2-829E-ED7ABDD6D638} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={71AE8812-1669-4581-B398-F540214F14E5} SearchScopes: HKU\S-1-5-21-3326234350-4050991087-374296464-1000 -> {76893B59-8604-4843-9B97-7ECDADBE8CA8} URL = http://start.funmoods.com/results.php?f=4&a=nv1&q={searchTerms} SearchScopes: HKU\S-1-5-21-3326234350-4050991087-374296464-1000 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-3326234350-4050991087-374296464-1000 -> {D55E9BF4-1D7D-4C25-B1FD-C51D19102329} URL = http://mp3tubetoolbar.com/?tmp=toolbar_sb_results&prt=pinballtbfour01ie&Keywords={searchTerms}&clid=40e7c0cae985426988648692520b0dbe BHO: webSAive -> {2E3EFEDB-1DF5-5E5B-C5D7-630462260742} -> C:\Program Files (x86)\webSAive\nUkS3p.x64.dll No File BHO-x32: No Name -> {19a395c9-823b-4700-b817-396fc84ffb16} -> No File BHO-x32: webSAive -> {2E3EFEDB-1DF5-5E5B-C5D7-630462260742} -> C:\Program Files (x86)\webSAive\nUkS3p.dll No File BHO-x32: HomeTab -> {ca2fbf11-ffbb-49f8-b2fa-345f226e3a74} -> C:\Program Files (x86)\HomeTab\IE\HomeTab.dll No File Toolbar: HKLM - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File Toolbar: HKLM-x32 - HomeTab - {ca2fbf11-ffbb-49f8-b2fa-345f226e3a74} - C:\Program Files (x86)\HomeTab\IE\HomeTab.dll No File Toolbar: HKLM-x32 - No Name - {19a395c9-823b-4700-b817-396fc84ffb16} - No File Toolbar: HKU\S-1-5-21-3326234350-4050991087-374296464-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKU\S-1-5-21-3326234350-4050991087-374296464-1000 -> No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File Winsock: Catalog5 01 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5 08 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" Winsock: Catalog5-x64 01 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll" Winsock: Catalog5-x64 08 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll" Task: {07770E9D-F3B7-4B25-874D-3D6F3F3CBDC6} - \Funmoods No Task File <==== ATTENTION Task: {0CF3B116-DA65-430F-9FA1-7EAE2435E3F5} - System32\Tasks\{C26B5E61-26B9-47FD-AFE4-265FA498E912} => pcalua.exe -a "C:\z Rector\_CD\02 dotnet 01 i 02\dotnet2.0_polish_lang_pack.exe" -d "C:\z Rector\_CD\02 dotnet 01 i 02" Task: {0DAACB83-A04B-49B5-8315-0CD0A3024430} - \WS.Enabler-S-71009536 No Task File <==== ATTENTION Task: {105353A9-C15A-405A-9D8A-B889A9F5E576} - System32\Tasks\{6B62769A-FB6F-4B36-B81B-10076155899C} => pcalua.exe -a "D:\[PL] Gothic 3 Zmierzch Bogow\g3fg_106_pl.exe" -d "D:\[PL] Gothic 3 Zmierzch Bogow" Task: {14A661C3-358B-44FF-9415-0BAC9EA4E4B2} - System32\Tasks\{22116563-108C-42c0-A7CE-60161B75E508} => C:\Users\Wujo\AppData\Local\Temp\Ivj.exe <==== ATTENTION Task: {16A2D09C-C155-4D67-A276-2577E63ABA87} - System32\Tasks\nvbinif => C:\Windows\TEMP\wxsgcum.exe Task: {811D8666-AB43-4EBB-A3AF-68CBE1987A13} - System32\Tasks\GoforFilesUpdate => C:\Program Files (x86)\GoforFiles\GFFUpdater.exe <==== ATTENTION Task: {848E651E-3F94-437E-A939-3C5D9D3C3FCE} - System32\Tasks\{948FD25D-A0F4-4257-AE25-56927B4C82F3} => pcalua.exe -a D:\setup.exe -d D:\ Task: {8A50D08D-C7D8-4E89-A512-BA89703FFD7C} - System32\Tasks\YourFile Update => C:\Program Files (x86)\YourFileDownloader\YourFileUpdater.exe <==== ATTENTION Task: {92B73987-47CF-42AA-B2B0-8AAF466CBFED} - System32\Tasks\{4CE54CF7-CD67-49E1-9ABE-A168E0913C58} => pcalua.exe -a "C:\z Rector\_CD\02 dotnet 01 i 02\dotnetfx2.0.exe" -d "C:\z Rector\_CD\02 dotnet 01 i 02" Task: {B67CFFE1-7813-46ED-9F33-81F9CF1C3788} - System32\Tasks\{DC334AC1-DE93-43DE-B655-5F406268D5E4} => C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe Task: {C2A96D23-B831-4880-BB2C-1285BF313F1A} - System32\Tasks\{EBE60C5D-F0A2-4DD7-B8AA-D4CA3A683DE0} => pcalua.exe -a "C:\z Rector\_CD\02 dotnet 01 i 02\dotnetfx1.0.exe" -d "C:\z Rector\_CD\02 dotnet 01 i 02" Task: {E61AD748-BC3D-4ABD-AF8F-EA28EEB737CA} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {F0A7FF05-933F-4750-8006-433AAC7661E6} - System32\Tasks\{E4DBABE4-396F-467D-BBB3-8B4B4BC021E8} => C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe Task: {F474537D-3A24-4C8E-AB4F-78874B488DE2} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {F98EDEAE-7418-499C-8EC5-4C28DEA6EE65} - System32\Tasks\RunAsStdUser Task => C:\Program Files (x86)\ClickPotatoLite\bin\11.0.19.0\ClickPotatoLiteSA.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\WS.Enabler-S-71009536.job => c:\programdata\setapp\ws.enabler\WS.Enabler.exe <==== ATTENTION DeleteJunctionsIndirectory: C:\Program Files\Windows Defender C:\$AVG C:\how_decrypt.html C:\shldr C:\shldr.mbr C:\spyhunter.fix C:\Program Files\Enigma Software Group C:\Program Files (x86)\Enigma Software Group C:\Program Files (x86)\Gadu-Gadu 10 C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Opera C:\Program Files (x86)\PokerStars.EU C:\ProgramData\APN C:\ProgramData\efywb C:\ProgramData\Temp C:\ProgramData\Video Strip Poker Supreme C:\Users\Wujo\SSYPV C:\Users\Wujo\AppData\Local\Google C:\Users\Wujo\AppData\Local\Mozilla C:\Users\Wujo\AppData\Local\PokerStars.EU C:\Users\Wujo\AppData\Roaming\41710310.reg C:\Users\Wujo\AppData\Roaming\DAEMON Tools Lite C:\Users\Wujo\AppData\Roaming\ipla C:\Users\Wujo\AppData\Roaming\PhotoScape C:\Users\Wujo\AppData\Roaming\Mozilla C:\Users\Wujo\AppData\Roaming\Fosyryg C:\Users\Wujo\AppData\Roaming\Onbilo C:\Users\Wujo\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\Wujo\Desktop\SpyHunter4.exe — skrót.lnk C:\Users\Wujo\Desktop\programy\DAEMON Tools Lite.lnk C:\Users\Wujo\Desktop\programy\Packard Bell\Norton Internet Security.lnk C:\Users\Wujo\Documents\Decrypt All Files itqjnld.bmp C:\Users\Wujo\Documents\Decrypt All Files itqjnld.txt C:\Users\Wujo\Downloads\Extras.TXT.itqjnld C:\Windows\46B04D534E344388B6EE80FAB66AEF9B.TMP C:\Windows\system32\%LocalAppData% C:\Windows\system32\log Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SpyHunter 4 Service" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl" /f CMD: ipconfig /flushdns CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Wujo\AppData\Local CMD: dir /a C:\Users\Wujo\AppData\LocalLow CMD: dir /a C:\Users\Wujo\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt.