picasso

Foldery tych martwych kont zapewne mają zablokowane obiekty (np. linki symboliczne). Tym się nie martw, jest do tego sposób w skrypcie, ale to podam dopiero po uzyskaniu wyników zadanych powyżej działań.

Temat przenoszę do działu Windows. To nie jest problem infekcji. ComboFix został uruchomiony niepotrzebnie, zupełnie nie ten rodzaj narzędzia i nie adresuje problemów na innych dyskach. FRST również notuje braki plików na rekordach kierujących na ścieżkę E:\progi: S3 ComarchAutomatSynchronizacji; E:\progi\Comarch ERP Optima\ComarchOptimaSerwisOperacjiAutomatycznych.exe [X] S2 RBMS_OptimaBI; E:\progi\Comarch ERP Optima\Analizy BI\bin\reports book\Comarch.BI.Mobile.Service.exe [X] S2 RBSS_OptimaBI; E:\progi\Comarch ERP Optima\Analizy BI\bin\reports book\Comarch.Msp.ReportsBook.Subscriptions.Service.exe [X] Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Comarch ERP Optima\Aktualizacje Comarch ERP Optima.lnk -> E:\progi\Comarch ERP Optima\Aktualizacje\Aktualizacje Comarch OPT!MA.exe (Brak pliku) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Comarch ERP Optima\Comarch ERP Optima.lnk -> E:\progi\Comarch ERP Optima\Comarch OPT!MA.exe (Brak pliku) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Comarch ERP Menadżer Kluczy\Monitor Menadżera Kluczy.lnk -> C:\Program Files (x86)\Comarch\Comarch ERP Menadżer Kluczy\ComarchMLTray.exe (Comarch) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\foobar2000.lnk -> E:\progi\foobar2000\foobar2000.exe (Brak pliku) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NapiProjekt\Informacje o zmianach.lnk -> E:\progi\NapiProjekt\changelog.txt (Brak pliku) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NapiProjekt\NapiProjekt.lnk -> E:\progi\NapiProjekt\napisy.exe (Brak pliku) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NapiProjekt\Napisy oczekujące na pobranie.lnk -> E:\progi\NapiProjekt\napisy.exe (Brak pliku) Shortcut: C:\Users\admin\Desktop\SpeedFan.lnk -> E:\progi\SpeedFan\speedfan.exe (Brak pliku) Shortcut: C:\Users\admin\Desktop\TeamSpeak 3 Client.lnk -> E:\progi\ts3\ts3client_win64.exe (Brak pliku) Shortcut: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TeamSpeak 3 Client\TeamSpeak 3 Client.lnk -> E:\progi\ts3\ts3client_win64.exe (Brak pliku) Shortcut: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TeamSpeak 3 Client\Uninstall.lnk -> E:\progi\ts3\Uninstall.exe (Brak pliku) Shortcut: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mio\MioMore Desktop 7.50.lnk -> E:\progi\mio\MioMore Desktop 7.50\MioMore.exe (Brak pliku) Shortcut: C:\Users\Public\Desktop\Comarch ERP Optima.lnk -> E:\progi\Comarch ERP Optima\Comarch OPT!MA.exe (Brak pliku) O jakich ukrytych folderach mowa? Jeśli masz na myśli foldery od tych aplikacji w C:\ProgramData, %Appdata% i %LocalAppdata%, to jest to normalne. Foldery tego typu i tak lądują na dysku C, nawet jeśli instalujesz program na innym dysku niż systemowy. Skoro twierdzisz, że utraciłeś uprawnienia do określonego folderu na dysku E, to przedstaw jakie są uprawnienia głównych folderów. Tzn. otwórz Notatnik i wklej w nim: ListPermissions: E:\ ListPermissions: E:\progi CMD: dir /a E:\progi Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Na przyszłość: lepiej jest robić skan FRST po całkowitym ukończeniu skanu MBAM i zamknięciu programu (lub restarcie systemu po skanie). Gdy skan FRST jest robiony w trakcie skanu MBAM, w logach widać tymczasowe replikaty rejestru będące skutkiem podmontowania przez MBAM rejestru. W raportach nie widać oznak infekcji. Przeklej z dziennika MSE jaki plik i w jakiej ścieżce został usunięty. I czy komputer nadal wolno się uruchamia?

robertop Fałszywe klony tworzą więcej wpisów w rejestrze niż to widać w raportach FRST. Uruchom FRST ponownie, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt. Tooltony Jessika Drobna uwaga, skoro wyrzucasz całe katalogi z fałszywym Firefoxem, to nie ma potrzeby usuwania żadnych rozszerzeń i ustawień z tych katalogów:

W raportach nie widać żadnych oznak infekcji. Ale o jakich reklamach i gdzie mówisz? Serwis filmy.to jest oblepiony reklamami i podczas otwierania filmów pojawiają się nowe karty z przekierowaniami. Jest to problem strony a nie urządzenia.

Pro forma: ten wpis pochodził od adware PriceFountain. Poprawki: 1. Do deinstalacji: Adobe AIR (stara wersja z lukami), Apple Software Update + QuickTime 7 + Obsługa programów Apple (poważne luki), Java SE Development Kit 7 Update 67 (64-bit) (stara wersja), Pando Media Booster (wątpliwy program), Podstawowe programy Windows Live (brak wsparcia), Visual Studio 2012 x64 Redistributables + Visual Studio 2012 x86 Redistributables (po odinstalowanym AVG) 2. Do usunięcia jeszcze inne puste wpisy (i odpadki po migracji z Windows 7 na Windows 10) oraz niepodpisane cyfrowo rozszerzenie Adobe w Firefox (jest blokowane). Zrób w Notatniku skrypt fixlist.txt o zawartości: U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath Task: {01A045AE-546E-40C8-AAA2-6EDA420C35A9} - System32\Tasks\DriverToolkit Autorun => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Task: {11AEB51C-21C6-450E-B756-5EC4AB84045A} - System32\Tasks\CreateExplorerShellUnelevatedTask => C:\WINDOWS\explorer.exe /NOUACCHECK Task: {2D9E67FC-950C-4007-ADC4-A6F3F7F35A3B} - System32\Tasks\Microsoft\Microsoft Antimalware\Microsoft Antimalware Scheduled Scan => C:\Program Files\Microsoft Security Client\MpCmdRun.exe Task: {C8A9E1B9-9CB2-4CA9-8F79-87490089A883} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => %SystemRoot%\ehome\ehrec.exe Task: C:\WINDOWS\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe HKLM\...\StartupApproved\Run32: => "Adobe Creative Cloud" HKLM\...\StartupApproved\Run32: => "ADSK DLMSession" HKU\S-1-5-21-914296858-1329583620-193235316-1000\...\StartupApproved\StartupFolder: => "Dropbox.lnk" FF HKLM-x32\...\Firefox\Extensions: [web2pdfextension@web2pdf.adobedotcom] - C:\Program Files (x86)\Adobe\Acrobat 10.0\Acrobat\Browser\WCFirefoxExtn DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Windows\Media Center RemoveDirectory: C:\Program Files\Microsoft Security Client CMD: netsh advfirewall reset Wyłącz Comodo na czas przetwarzania skryptu. Przedstaw wynikowy fixlog.txt.

Zabrakło trzeciego obowiązkowego pliku FRST Shortcut.txt. MPC Cleaner jest bardzo trudno usunąć jeśli jest aktywny i wymagana jest jego poprawna deinstalacja. W jaki sposób była ona wykonywana? A jeśli MPC Cleaner rzeczywiście się odinstalował, a po tym wrócił, to pewnie go odbudowało zadanie adware ChelfNotify zlokalizowane w Harmonogramie zadań. FRST nie przetworzy obiektów MPC Cleaner z poziomu załadowanego systemu, gdyż MPC Cleaner chroni własne komponenty. A w raporcie widać też inne problemy wynikające z adware, w tym uszkodzony łańcuch Winsock i fałszywy Firefox. Poza tym, przeglądarka Googe Chrome jest niepoprawnie odinstalowana lub zainstalowana: nie widnieje jako zainstalowana, ale na dysku są definitywnie jej komponenty i będę je usuwać. Wstępne działania do przeprowadzenia: 1. Wejdź do folderu C:\Program Files (x86)\MPC Cleaner. Jeśli jest tam nadal plik uninstall, to z prawokliku na plik "Uruchom jako administrator". Po akcji zresetuj system. Jeśli pliku nie będzie lub deinstalacja się nie powiedzie, podam potem inny typ usuwania z poziomu niezaładowanego systemu. 2. Jeśli Google Chrome działa i masz w nim cenne zakładki, to je wyeksportuj, gdyż poniższy skrypt usunie elementy Chrome. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] BootExecute: autocheck autochk * sdnclean64.exe MSCONFIG\Services: FirefoxU => 2 MSCONFIG\Services: InstallerWrapperService => 2 MSCONFIG\Services: MPCProtectService => MSCONFIG\startupreg: AvgUi => "C:\Program Files (x86)\AVG\Framework\Common\avguirna.exe" /lps=fmw S3 BEDaisy; \??\C:\Program Files (x86)\Common Files\BattlEye\BEDaisy.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] Task: {0F74C6A7-4056-475D-9E4D-C182B4BCDD83} - System32\Tasks\BirdsarahUpdateTaskMachineUA => C:\Program Files (x86)\Birdsarah\Update\BirdsarahUpdate.exe Task: {2F6BB819-A820-441B-AD57-4FFB1F9B0848} - System32\Tasks\{4947FFE5-AD90-4208-8F47-BF5D5A394F5B} => pcalua.exe -a "C:\Users\Adrian\Downloads\Mario Bros.exe" -d C:\Users\Adrian\Downloads Task: {30E58CE5-80EB-41F5-9937-F324D28227EB} - System32\Tasks\{38B5F331-531C-4474-A74A-5852623C1011} => pcalua.exe -a C:\Users\Admin\Desktop\MinecraftZyczu.exe -d C:\Users\Admin\Desktop Task: {33AD8994-DF38-4E71-8325-94EDE58243ED} - System32\Tasks\Overwolf Updater Task => C:\Program Files (x86)\Overwolf\OverwolfUpdater.exe Task: {4406763A-D2F1-4F99-B02F-6B32989589C5} - System32\Tasks\PED_Torrent_Search => Rundll32.exe ARWOMlQ.dll,#67 Task: {4C743893-AF61-4ABC-BB19-61FD00391EED} - System32\Tasks\HPCustParticipation HP Deskjet 2510 series => C:\Program Files\HP\HP Deskjet 2510 series\Bin\HPCustPartic.exe Task: {59298CF3-1A68-4DD5-9842-FAA931FCC1CC} - System32\Tasks\Browser Updater Task(Core) => C:\Program Files (x86)\TXQQBrowser\Update\A39D5258EC5643F62A682A04474188BF\Update\BrowserUpdate.exe [2016-04-25] (Tencent) Task: {5DBD724B-3552-4F51-BFCF-514D8D08126E} - \BirdsarahUpdateTaskMachineCore -> Brak pliku Task: {938720D2-B31E-4A2E-99D2-A83805F4A252} - System32\Tasks\{C9C28585-8B96-4321-AD12-542D4C12FB71} => pcalua.exe -a C:\Users\Adrian\Desktop\MinecraftZyczu.exe -d C:\Users\Adrian\Desktop Task: {A442EE28-2823-4857-A5AF-B636A0A750AA} - System32\Tasks\ChelfNotify Task => C:\ProgramData\ChelfNotify\BrowserUpdate.exe [2016-06-30] (Tencent) Task: {C6836C85-FBC9-404F-BAB6-1A160093CA46} - System32\Tasks\Dravsynlether Core => C:\Program Files (x86)\Dravsynlether\Drvcoretsk.exe [2016-04-26] () GroupPolicy: Ograniczenia - Chrome HKU\S-1-5-21-606423241-2395403675-1338386720-1007\...\ChromeHTML: -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.avast.com/AV772/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.avast.com/AV772/ HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.nuesearch.com/search/?type=ds&ts=1470396557&z=ba065b26a59768892f51c7dg9zbm4eec7tcqeweq5z&from=wpm0802&uid=WDCXWD2500AAJS-22RYA0_WD-WCAPZ341199811998&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://search.avast.com/AV772/search/web?q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://search.avast.com/AV772/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://search.avast.com/AV772/ HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1470396557&z=ba065b26a59768892f51c7dg9zbm4eec7tcqeweq5z&from=wpm0802&uid=WDCXWD2500AAJS-22RYA0_WD-WCAPZ341199811998&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-606423241-2395403675-1338386720-1007\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.avast.com/AV772/ HKU\S-1-5-21-606423241-2395403675-1338386720-1007\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://search.avast.com/AV772/ SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1470396557&z=ba065b26a59768892f51c7dg9zbm4eec7tcqeweq5z&from=wpm0802&uid=WDCXWD2500AAJS-22RYA0_WD-WCAPZ341199811998&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1470396557&z=ba065b26a59768892f51c7dg9zbm4eec7tcqeweq5z&from=wpm0802&uid=WDCXWD2500AAJS-22RYA0_WD-WCAPZ341199811998&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {8C31F27B-BE8A-4e4b-A478-17760AF1F5D9} URL = hxxps://search.avast.com/AV772/search/web?q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1470396557&z=ba065b26a59768892f51c7dg9zbm4eec7tcqeweq5z&from=wpm0802&uid=WDCXWD2500AAJS-22RYA0_WD-WCAPZ341199811998&q={searchTerms} SearchScopes: HKLM-x32 -> {8C31F27B-BE8A-4e4b-A478-17760AF1F5D9} URL = hxxps://search.avast.com/AV772/search/web?q={searchTerms} SearchScopes: HKU\S-1-5-21-606423241-2395403675-1338386720-1007 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Google Update Helper (x32 Version: 1.3.31.5 - Google Inc.) Hidden DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files\TrueKey C:\Program Files (x86)\Google C:\Program Files (x86)\Firefox C:\Program Files (x86)\TXQQBrowser C:\ProgramData\ChelfNotify C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk C:\Users\Admin\Downloads\*-dp*.exe C:\Users\Admin\AppData\Local\Google C:\Users\Dominik\AppData\Local\Google C:\Users\Mati\AppData\Local\AVG C:\Users\Mati\AppData\Local\Google C:\Users\Mati\AppData\Local\Firefox C:\Users\Mati\AppData\Local\LogMeIn Hamachi C:\Users\Mati\AppData\Roaming\Firefox C:\Users\Mati\AppData\Roaming\Mozilla C:\Users\Mati\AppData\Roaming\TuneUp Software C:\Users\Mati\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Mozilla Firefox.lnk C:\Users\Mati\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Mati\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome (2).lnk C:\Users\Mati\Desktop\Google Chrome.lnk C:\Users\Public\Desktop\Mozilla Firefox.lnk CMD: netsh advfirewall reset CMD: netsh winsock reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Po przetworzeniu w/w skryptu na liście zainstalowanych programów ujawni się Google Update Helper, odinstaluj to. 4. Na razie nie instaluj żadnej przeglądarki i ustaw jako domyślną Internet Explorer. Aktualnie domyślną jest nieistniejąca w systemie Opera. 5. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym polem Shortcut. Dołącz też plik fixlog.txt. I pytaniem jest czy można usunąć foldery C:\Users\Admin + C:\Users\Dominik, gdyż takich kont w systemie nie ma.

Problemem jest szkodliwe proxy noneblock.info. Działania do wykonania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: RemoveProxy: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] HKU\S-1-5-21-1314801178-279852694-44916582-1000\...\Policies\Explorer: [] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Users\Slawek\AppData\Roaming\mswinaplic.dll C:\Users\Slawek\Downloads\Niepotwierdzony 970452.crdownload EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Problem z komunikatem generują zmodyfikowane skróty przeglądarki (i przeładowuje infekcję skrypt osadzony we WMI), a tego nie czyści resetowanie ustawień. Jest też kupa innych elementów adware/PUP. Działania do przeprowadzenia: 1. Deinstalacje: -> Poprzez Panel sterowania odinstaluj wątpliwy skaner SpyHunter 4. Niezależnie od tego czy usuwanie się powiedzie, zastosuj po tym również SpyHunterCleaner. -> Z prawokliku na plik C:\Program Files (x86)\Maoha\MaohaAP\Uninstall.exe "Uruchom jako administrator". Jeśli deinstalacja się nie powiedzie, i tak poniższy skrypt powinien się zająć tym gagadkiem. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe S2 GoogleChromeUpService; C:\ProgramData\service.exe [1620992 2017-02-16] () [brak podpisu cyfrowego] S2 KuaizipUpdateChecker; C:\Program Files\żěŃą\X86\kuaizipUpdateChecker.dll [219032 2017-02-16] () R2 MaohaWifiSvr; C:\Program Files (x86)\Maoha\MaohaAP\MaohaWifiSvr.exe [168992 2016-11-26] (深圳市猫哈网络科技发展有限公司) R2 UCBrowserSvc; C:\Program Files (x86)\UCBrowser\Application\UCService.exe [597208 2017-02-14] () R2 KuaiZipDrive; C:\Windows\system32\drivers\KuaiZipDrive.sys [92832 2017-02-16] (WinMount International Inc) R1 MaohaWifiNetPro; C:\Program Files (x86)\Maoha\MaohaAP\MaoHaWiFiNet64.sys [1030496 2016-11-26] () S1 ucdrv; C:\Program Files (x86)\UCBrowser\Security:ucdrv-x64.sys [25444 ] (UC Web Inc.) S3 PCDSRVC{9D5F6500-B9473007-06020200}_0; \??\c:\pcdoctor_depot_tools\pcdr\pcdsrvc_x64.pkms [X] ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2017-02-16] () Task: {0BD5E646-A1C0-44A0-918F-7BAB81AF61AC} - System32\Tasks\UCBrowserUpdaterCore => C:\Program Files (x86)\UCBrowser\Application\update_task.exe [2017-02-14] (UCWeb Inc) Task: {35B25727-64E1-4C9A-8FAE-E215BAD1244C} - System32\Tasks\UCBrowserSecureUpdater => C:\Program Files (x86)\UCBrowser\Security\uclauncher.exe [2017-02-16] (UC Web Inc.) Task: {BE9B6F53-1C10-4B66-B8DC-D06DADBBBDF7} - System32\Tasks\Microsoft\Windows\Multimedia\Manager => C:\Users\oem2\AppData\Roaming\Adobe\Manager.exe [2017-02-16] () Task: C:\Windows\Tasks\UCBrowserUpdaterCore.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe GroupPolicy: Ograniczenia - Chrome WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\oem2\Desktop\Osoba 1 - Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\oem2\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\oem2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\oem2\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\oem2\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\oem2\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\oem2\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\oem2\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\oem2\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\oem2\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\oem2\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ FirewallRules: [{E552ADB6-A876-4068-A7E5-0E9B612C06F5}] => (Allow) C:\Users\oem2\AppData\Local\Temp\is-O4GBJ.tmp\download\MiniThunderPlatform.exe FirewallRules: [{011B0C5F-5FC5-4746-BA50-365619B76B1C}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe FirewallRules: [{121ECCD0-2462-4375-BD86-CF82D608CAE5}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\Downloader\download\MiniThunderPlatform.exe FirewallRules: [{7D451836-7630-4E71-B5B7-7FF7E6AFB91A}] => (Allow) C:\Program Files (x86)\UCBrowser\Application\UCBrowser.exe FirewallRules: [{B4795632-88D2-4A54-A5E0-EAF14983B2F7}] => (Allow) C:\Program Files (x86)\Maoha\MaohaAP\MaohaWifiSvr.exe DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x64.sys [25444] AlternateDataStreams: C:\Windows\system32\drivers:x64 [371912] AlternateDataStreams: C:\Windows\system32\drivers:x86 [1213218] Folder: C:\Users\oem2\AppData\Roaming\Adobe Folder: C:\Users\Public\Documents\AdobeGC C:\autoexec.bat C:\Program Files\żěŃą C:\Program Files (x86)\Maoha C:\Program Files (x86)\PubHotspot C:\Program Files (x86)\Rewity C:\Program Files (x86)\UCBrowser C:\ProgramData\service.exe C:\ProgramData\IObit C:\ProgramData\ProductData C:\ProgramData\Thunder Network C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MaohaWiFi C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk C:\Users\oem2\AppData\Local\Himergh C:\Users\oem2\AppData\Local\svchost C:\Users\oem2\AppData\Local\UCBrowser C:\Users\oem2\AppData\LocalLow\IObit C:\Users\oem2\AppData\Roaming\Adobe\Manager.exe C:\Users\oem2\AppData\Roaming\IObit C:\Users\oem2\AppData\Roaming\KuaiZip C:\Users\oem2\AppData\Roaming\Softlink C:\Users\oem2\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\MaohaWiFi.lnk C:\Users\oem2\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk C:\Users\oem2\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器 (2).lnk C:\Users\oem2\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器.lnk C:\Users\oem2\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk C:\Users\oem2\Desktop\MaohaWiFi.lnk C:\Users\oem2\Desktop\żěŃą.lnk C:\Users\oem2\Downloads\*-dp*.exe C:\Users\oem2\Downloads\SpyHunter-Installer.exe C:\Users\Public\Thunder Network C:\Users\Public\Documents\AdobeGC C:\Windows\IObit C:\Windows\system32\Drivers\KuaiZipDrive.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny Windows *, co jest konieczne by ubić sterownik UCGuard. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. * Tryb awaryjny: Klawiszz flagą Windows + I > Zmień ustawienia komputera > Aktualizacja i odzyskiwanie > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekan z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > Tryb awaryjny. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Ustaw Chrome jako domyślną przeglądarkę. Obecnie jest chiński UCBrowser jako przeglądarka domyślna. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Nie widać oznak infekcji i z raportów nic kompletnie nie wynika. A jedyne co mi się kojarzy z problemami z przetwarzaniem stron z dużą ilością multimediów, to niedawna instalacja / aktualizacja sterowników nVidia. PS. Odinstaluj MyFreeCodec (to taki "PUP" Samsung Kies). I możesz wykonać skrypt kosmetyczny usuwający szczątki, nie będzie to mieć żadnego wpływu na poprawę działania przeglądarek. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs: C:\Windows\system32\nvinitx.dll => Brak pliku R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X] HKU\S-1-5-21-1888970853-945745684-2655438926-1001\...\StartupApproved\Run: => "Web Companion" CustomCLSID: HKU\S-1-5-21-1888970853-945745684-2655438926-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\MARCIN\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku Task: {0C573D1E-454F-4019-8710-ADE9502AEED9} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {128EEB2E-ECA1-446B-8D75-13B713A14D6F} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {2BE8CE76-2F28-49DE-A308-87CC8480974D} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {352E6CA0-7314-4DF4-89C4-682368D80D57} - System32\Tasks\Microsoft\Windows\Workplace Join\Automatic-Workplace-Join => %SystemRoot%\System32\AutoWorkplace.exe Task: {557D1B46-D6D4-4FCA-8863-827CD8B56A65} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {768B52FD-5305-42F6-8DC8-30ACDE694EA5} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {78D5F8CB-A8DB-4C10-B416-B753BFCDD8BE} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {7CA93530-0896-4442-BBCD-2DB12D15078A} - \WPD\SqmUpload_S-1-5-21-1888970853-945745684-2655438926-1001 -> Brak pliku Task: {A2595BA1-A8AC-4536-9B6B-0783284D2353} - System32\Tasks\{03290363-16BC-4534-9B53-DDAAEB248AC7} => pcalua.exe -a C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_17_0_0_188_Plugin.exe -c -maintain plugin Task: {D72FD5BC-869E-461D-A20A-1BC72FD023C9} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {D7C7C7B8-11DE-42E7-8643-A38ED6894A4D} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {E8F1B1CA-9188-470C-BF81-931AE1D09E32} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {FC1874B0-72EA-4E68-993D-41B6CC5ED854} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {FD0907D3-36AB-4ED9-91A8-9CE9158AAE02} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany nie są potrzebne.

W Google Chrome mało co widać (rosyjska strona domowa + reinstalatory rosyjskich rozszerzeń w rejestrze), za to Firefox ma zainstalowane różne rosyjskie adware. W systemie jest też crack aktywacji "KMSAuto Net" i w Dzienniku zdarzeń błędy związane z licencją, dla porównania ten temat. Cracki zaadresujesz samodzielnie. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia GroupPolicy\User: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__ HKU\S-1-5-21-2012787476-2681263979-3076844850-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=811013 SearchScopes: HKU\S-1-5-21-2012787476-2681263979-3076844850-1001 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B728D4C16-1D4E-47B4-B5CB-D889BF19A6A8%7D&gp=811014 SearchScopes: HKU\S-1-5-21-2012787476-2681263979-3076844850-1001 -> {D01B9FD1-7CDA-4F67-A367-0E9C19DEAFC7} URL = SearchScopes: HKU\S-1-5-21-2012787476-2681263979-3076844850-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7B728D4C16-1D4E-47B4-B5CB-D889BF19A6A8%7D&gp=811014 FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\local-settings.js [2016-04-04] FF ExtraCheck: C:\Program Files\mozilla firefox\mozilla.cfg [2016-05-10] DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Origin C:\ProgramData\kingsoft C:\ProgramData\Mail.Ru C:\ProgramData\Origin C:\Users\Tuscioch\AppData\Local\Вoйти в Интeрнет C:\Users\Tuscioch\AppData\Local\Поиcк в Интeрнете C:\Users\Tuscioch\AppData\Local\fupdate C:\Users\Tuscioch\AppData\Local\Mail.Ru C:\Users\Tuscioch\AppData\Roaming\kingsoft C:\Users\Tuscioch\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk C:\Users\Tuscioch\AppData\Roaming\Microsoft\Word\Upoważnienie%20do%20odbioru%20zarejestrowanych%20z305746322380348095\Upoważnienie%20do%20odbioru%20zarejestrowanych%20zaświadczen.docx.lnk C:\Users\Tuscioch\AppData\Roaming\Origin C:\Users\Tuscioch\Favorites\Mail.Ru Агент - используй для общения!.url C:\Users\Tuscioch\Favorites\Mail.Ru.url C:\Users\Tuscioch\Favorites\Links\Интернет.url C:\WINDOWS\System32\Tasks\fupdate CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal są reklamy w Google Chrome.

Nie. "Artefakt" (szerokie znaczenie słownikowe) został tu użyty w znaczeniu "sztucznego tekstu" doklejanego do treści, który nie powinien występować.

To częsty przypadek, że skan XPI jest "czysty" i wstawione skrypty lub podejrzane funkcje w rozszerzeniu nie są rozpoznane. Ba, takie rozszerzenia przechodzą walidację na Mozilla Add-ons, która jakoby jest "restrykcyjna" (a na pewno sprawdzają więcej niż potrafi Virus Total). Z doświadczenia wiem, że rozszerzenia które przykładowo gromadziły całą historię usera i wysyłały w eter do reklamodawców, w ogóle nie były wykrywane i dopiero po zgłoszeniu ekipie Mozilla na Bug trackerze nałożono blokadę na konkretne wersje lub ID (a skanery nadal nic). Patrząc na kod źródłowy, na pierwszy rzut oka wygląda że w chrome\content są skrypty js wstawiające adware (np. manipulujące z Amazon). EDIT: Usunięto funkcję podglądu kodu na Mozilla Add-ons, ale można go podejrzeć za pomocą rozszerzenia Extensions Source Viewer.

Nie wiem czy mówimy o tym samym downloaderze, ale rozszerzenie o tej samej nazwie zostało przeze mnie sklasyfikowane dawno temu w bazie SystemLookup FF (jestem oficjalnym opiekunem tej listy i dodaję tam nowe ID) jako bardzo podejrzane: lista rozszerzeń tej samej marki. W czasie gdy robiłam opis, funkcje śledzące i adware w rozszerzeniu. Mogli coś zmienić potem, ale na Mozilla Add-ons to jest sporo takich baboli. Jeśli to ten sam All Downloader Professional, to nie widzę zasadniczych zmian od czasów mojej klasyfikacji. W polityce prywatności nadal zdeklarowane adware, a pierwszy komentarz na spodzie podaje że MBAM wykrywa to rozszerzenie jako "PUP.Optional.StartPage24". Możliwe, że te numery to był wynik próby wstawiania jakiegoś kodu reklamowego przez rozszerzenie (być może zniwelowane przez aktywność uBlock).

Używam stabilnej wersji Firefox 51 z uBlock Origin, ale sprawdziłam instalację Firefox beta 52 i nadal nie jestem w stanie wygenerować tych numerów w postach. Tak, w Firefox 52 jest nowy element w menu logowania oznaczający że strona nie działa w https, ale to nie powinno mieć tu znaczenia. Czyli nie wydaje się, by przeglądarka per se ponosiła winę. W związku z tym sugeruję deaktywację po jednym rozszerzeniu + restart przeglądarki, być może w ten sposób wyłowisz który element wstawia te dziadostwa.

Dla Vista lista dostępna tutaj: KLIK.

Na forum nic nie było zmieniane od długiego czasu. Widzę tu numer w Twoim poście, ale nie jestem w stanie tego wygenerować w moich postach (niezależnie od użytego skinu forum). Jaka przeglądarka, jakie rozszerzenia / modyfikacje w niej doinstalowane? Szmat czasu temu jeden z użytkowników zgłaszał coś podobnego (tylko nie mogę sobie przypomnieć co doklejało mu się w postach) i dostawianie artefaktów okazało się wynikiem jakiegoś skryptu do modyfikacji stron / wycinania reklam.

Dziś forum było niedostępne przez jakiś czas z powodu prac konserwacyjnych dostawcy. Przepraszam za nieprzewidzianą przerwę.

Z okazji Świąt Bożego Narodzenia najlepsze życzenia dla wszystkich użytkowników Fixitpc. Dużo zdrowia i radości, obfitego stołu i świetnych znalezisk pod choinką.

Na wszelki wypadek zawiadamiam, że jakiś czas temu wyciekły master-klucze i RakhniDecryptor został zaktualizowany pod kątem dekodowania CrySiS: KLIK.

Changelog 2016-2021

Nowe wieści: KLIK. Kaspersky złowił określoną pulę kluczy do nowszych wariantów CryptXXX i zaktualizował dekoder RannohDecryptor pod kątem odkodowania wariantów o rozszerzeniach .crypt, .cryp1, .crypz. Niemniej nie ma gwarancji, że pliki da się odkodować.

Nowe wieści: KLIK. Kaspersky złowił określoną pulę kluczy do nowszych wariantów CryptXXX i zaktualizował dekoder RannohDecryptor pod kątem odkodowania wariantów o rozszerzeniach .crypt, .cryp1, .crypz. Niemniej nie ma gwarancji, że pliki da się odkodować.

Nowe wieści: KLIK. Kaspersky złowił określoną pulę kluczy do nowszych wariantów CryptXXX i zaktualizował dekoder RannohDecryptor pod kątem odkodowania wariantów o rozszerzeniach .crypt, .cryp1, .crypz. Niemniej nie ma gwarancji, że pliki da się odkodować.

Wszystkie operacje pomyślnie wykonane. Przez SHIFT+DEL (omija Kosz) skasuj FRST, by go nie wykrył skaner który mam w zamiarze użyć. Następnie uruchom Hitman Pro i dostarcz wynikowy log, o ile coś zostanie znalezione.