picasso

W systemie jest zainstalowane adware, ponadto infekcja skryptowa się uruchamia via Harmonogram zadań. Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: () C:\Users\Artur\AppData\Local\fst_pl_41\upfst_pl_41.exe () C:\Program Files\fst_pl_41\fst_pl_41.exe HKLM\...\Run: [fst_pl_41] - C:\Program Files\fst_pl_41\fst_pl_41.exe [3996656 2014-01-27] () HKLM\...\RunOnce: [upfst_pl_41.exe] - C:\Users\Artur\AppData\Local\fst_pl_41\upfst_pl_41.exe -runonce [3154416 2014-01-27] () HKCU\...\Run: [AdobeBridge] - [x] HKCU\...\Run: [blazeServoTool] - "C:\Program Files\BlazeVideo\BlazeVideo HDTV Player 6.6 Standard\MediaDetector.exe" Task: {03D98EAD-7F6E-46FF-B51E-A62227DF5165} - System32\Tasks\SomotoUpdateCheckerAutoStart => C:\Users\Artur\AppData\Local\FilesFrog Update Checker\update_checker.exe Task: {181A6920-1BDA-4C2A-BE1A-3D488689820C} - System32\Tasks\{F869E823-B4E2-44B2-8577-ADF86998552A} => X:\Driver\Setup.exe Task: {3C9619D9-0540-44F0-8A70-269DD5EB444D} - System32\Tasks\4707 => Wscript.exe C:\Users\Artur\AppData\Local\Temp\launchie.vbs //B Task: {9E1A3D3E-43D9-45C4-B8CA-8B2C474BDFB9} - System32\Tasks\0 => Iexplore.exe Task: {BAED92AD-5BD4-43B7-982F-33A156ADC3DA} - System32\Tasks\{A854FC75-64F5-4A48-A6C6-6630F165343D} => C:\Program Files\AMACOM\AMC300-1.0\AMC-300 V1.0.exe Task: {C5876364-0C0F-4B17-A92D-730540A68EBF} - System32\Tasks\{3A724B31-1C61-475A-8E9E-454A2CABCED5} => C:\Program Files\AMACOM\AMC300-1.0\AMC-300 V1.0.exe S3 cpuz132; \??\C:\Users\Artur\AppData\Local\Temp\cpuz132\cpuz132_x32.sys [x] S0 PxHelp20; system32\DRIVERS\PxHelp20.sys [x] AlternateDataStreams: C:\Windows:EF812D8F5AE02BB0 C:\Users\cdt*.tmp C:\Users\Artur\AppData\Local\promo.exe C:\Users\Artur\AppData\Roaming\Mozilla\Firefox\Profiles\wdo6jpuw.default\Extensions\torntv@torntv.com.xpi Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f CMD: sc config "Mobile Partner. RunOuc" start= demand Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware fst_pl_41. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy pozycję Web. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Uruchom AdwCleaner. Już wcześniej był używany, chodzi o pobranie najnowszej wersji. Zastosuj Szukaj, a po tym Usuń. 5. Uruchom TFC - Temp Cleaner. 6. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt i świeży log z AdwCleaner utworzony w katalogu C:\AdwCleaner. .

Zasady działu. Nie zostały dostarczone obowiązkowe tu logi z FRST.

Zasady działu na temat zestawu obowiązkowych logów: KLIK. Podany tu log z OTL jest niekompletny (brak pliku Extras), brakuje także obowiązkowych logów z FRST. Wszystkie logi proszę dołączyć metodą załączników forum a nie na serwisie wklejto. .

Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście Ask Toolbar > Dalej. .

Zapomniałeś dołączyć plik fixlog.txt. Plik jest w tym samym katalogu, z którego uruchamiałeś FRST, czyli C:\Users\Maciek\Downloads.

jerry24, proszę dostosuj się do zasad działu (KLIK). Przecież zestaw logów niekompletny. Proszę o podanie raportów z FRST i GMER.

Oczywiście możesz dodać logi z innych systemów dla pewności.

Podpięcie innego użytkownika pod temat usunęłam. Skrypt wykonany, toteż możesz już przejść do ostatecznych zadań.

Czy te obawy mają jakieś bardziej namacalne podstawy, tzn. skąd mu to przyszło do głowy + czy są w systemie jakieś dziwne znaki? I na czym polegała ta "naprawa", w jakim obszarze się odbywała? Ja potrzebuję nieco więcej konkretów niż samo podejrzenie stworzone tylko na podstawie faktu, że komputer był w cudzych rękach. Owszem, taka możliwość nie wykrycia infekcji żadnym narzędziem istnieje. .

Akcja pomyślnie wykonana, więc możemy kończyć: 1. Usuń narzędzia: odinstaluj USBFix, przez SHIFT+DEL skasuj FRST i folder C:\FRST, w OTL uruchom Sprzątanie. 2. Po stronie systemu jeszcze: deinstalacja starej Java 7 Update 25 i czyszczenie plików Temp (KLIK). Zapewne to była reakcja na dostęp FRST do plików, FRST je przesuwał. Nie ma to znaczenia w kontekście sprawy. .

Niestety muszę Cię prosić o przehostowanie materiałów gdzie indziej: "nie może odnaleźć serwera www.przeklej.net". Jeden problem owszem z głowy, ale reszta problemów jest związana z omawianymi wcześniej uszkodzeniami, których zakres dopiero muszę ocenić. .

W związku z tym, że jednak na partycji D są ślady pobytu tak jakby Sality, ten błąd uruchomienia gry sugeruje uszkodzenie. Mówiłeś, że gra była reinstalowana. Pytania: - Jak to dokładnie wyglądało, co konkretnie usuwałeś od gry i skąd? - Z jakiego instalatora gra była odnawiana, czy był to instalator "zgromadzony na zapas" właśnie na dysku D, czy może świeżo pobrany? - Czy po reinstalacji gry była ona czymś "wzbogacana" (wstawiane jakieś dodatki / podmieniane pliki etc.)? I poproszę jeszcze o skan USBFix z opcji Listing pokazujący spis plików leżących bezpośrednio na dyskach. .

Właśnie dokładnie tam masz zapisać plik. W folderze Downloads ma być plik FRST64.exe oraz plik fixlist.txt.

Ten wynik z SystemLook jest dla mnie niejasny, w kontekście także faktu, że Windows został sztucznie przygotowany (trudno oceniać inne sumy kontrolne niż zwykle, bo część takich akcji może być pochodną owego preparowania płyty). Plik ma prawie że unikalną sumę kontrolną, a prawie oznacza dokładnie trzy wyniki na Google, w tym Twój log... Dwa pozostałe logi są stare z 2012. Na wszelki wypadek podmień plik moją kopią: 1. Przesyłam plik: KLIK. Przejdź w Tryb awaryjny i ręcznie podmień pliki. Nie biorę pod uwagę Ochrony systemu plików, bo tu prawdopodobnie jest ona ukatrupiona na tym sztucznie preparowanym XP, co widać choćby po braku replikatu pliku w dllcache. 2. Zastosuj ponownie TFC - Temp Cleaner. Zrób skan SystemLook na ten sam warunek co poprzednio. Wypowiedź się też wyraźnie co się obecnie dzieje: czy Avast coś nadal zgłasza, czy system się zacina. .

stam222 przecież Ci podałam ścieżkę.... Uruchomiłeś FRST z folderu pobierania C:\Users\Maciek\Downloads, więc skoro tam jest program FRST, to tam ma być zapisany plik fixlist.txt.

"Obok" to znaczy w tym samym folderze, z którego uruchamiasz FRST, czyli: Running from C:\Users\Maciek\Downloads A folder C:\FRST kompletnie nie związany z zadaniem. .

Jak sądzę błędy nadal występują? Co do czyszczenia z adware: Został podany log AdwCleaner z opcji Szukaj, a nie log z opcji Usuń (AdwCleanerS0.txt). Dodaj go. I jeszcze poprawki. Otwórz Notatnik i wklej w nim: FF Plugin ProgramFiles/Appdata: C:\Program Files (x86)\mozilla firefox\plugins\nppluginrichmediaplayer.dll () CHR Extension: (No Name) - C:\Users\Łukasz\AppData\Local\Google\Chrome\User Data\Default\Extensions\cekcjpgehmohobmdiikfnopibipmgnml [2014-01-25] 2014-01-25 12:36 - 2014-01-29 13:41 - 00000000 ____D C:\Program Files (x86)\SupTab Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

Główny log z FRST jest ucięty w połowie. Nie widzę tu infekcji czynnej, ale owszem ślady Brontok są, czyli zmodyfikowany plik HOSTS. A komunikaty ankiety Gemius są spowodowane pełną instalacją tego śmiecia. Na dodatek aplikacja sypie błędami: Error: (01/26/2014 03:38:42 PM) (Source: Application Hang) (User: ) Description: Program NetPanel.exe w wersji 2.24.0.1 zatrzymał interakcję z systemem Windows i został zamknięty. Aby zobaczyć, czy jest dostępnych więcej informacji dotyczących tego problemu, sprawdź historię problemu w panelu sterowania Centrum akcji. Identyfikator procesu: 894 Godzina rozpoczęcia: 01cf1aa3be8e291a Godzina zakończenia: 15 Ścieżka aplikacji: C:\Program Files\NetPanel\NetPanel.exe Dodatkowe błędy tworzy wtyczka Nuance PDF Reader w Internet Explorer: Error: (01/21/2014 08:18:57 AM) (Source: Application Error) (User: ) Description: Nazwa aplikacji powodującej błąd: IEXPLORE.EXE, wersja: 10.0.9200.16750, sygnatura czasowa: 0x5269c643 Nazwa modułu powodującego błąd: IEPDFPlus.ocx, wersja: 1.0.0.1, sygnatura czasowa: 0x4b5a5a9b Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x00003490 Identyfikator procesu powodującego błąd: 0x1384 Godzina uruchomienia aplikacji powodującej błąd: 0xIEXPLORE.EXE0 Ścieżka aplikacji powodującej błąd: IEXPLORE.EXE1 Ścieżka modułu powodującego błąd: IEXPLORE.EXE2 Identyfikator raportu: IEXPLORE.EXE3 Error: (01/21/2014 08:18:57 AM) (Source: Application Error)(User: ) Description: IEXPLORE.EXE10.0.9200.167505269c643IEPDFPlus.ocx1.0.0.14b5a5a9bc000000500003490138401cf16790b9f9ab5C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXEC:\Program Files (x86)\Nuance\PDF Reader\bin\IEPDFPlus.ocx49f8a2a6-826c-11e3-a44f-5404a671fefc Przeprowadź następujące akcje: 1. Otwórz Notatnik i wklej w nim: HKCU\...\Policies\system: [DisableCMD] 0 SearchScopes: HKCU - DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKCU - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = BHO-x32: Internet Panel - {CE7C3CF0-4B15-11D1-ABED-709549C10000} - C:\Program Files\NetPanel\IEHelper.dll (Gemius) FF Plugin-x32: @adobe.com/FlashPlayer - C:\Windows\system32\Macromed\Flash\NPSWF32.dll No File FF HKCU\...\Firefox\Extensions: [gemgecko@gemius.com] - C:\Program Files\NetPanel\gemgecko_ext\ FF Extension: Badanie Megapanel PBI/Gemius - C:\Program Files\NetPanel\gemgecko_ext\ [] C:\Users\Administrator\AppData\Local\*Bron* C:\Users\Administrator\AppData\Roaming\eIntaller CMD: sc config "PLAY ONLINE. RunOuc" start= demand Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Zresetuj plik HOSTS do postaci domyślnej narzędziem Fix-it: KLIK. 3. Przez Panel sterowania odinstaluj: NetPanel (to ten upierdliwy "ankieter"), Nuance PDF Reader (generuje błędy w IE) oraz ASUS WebStorage (zbędny, a znany z generowania błędów eksploratora Windows). 4. Uruchom TFC - Temp Cleaner. 5. Zrób nowy skan FRST, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz plik fixlog.txt. Wypowiedz się wyraźnie na czym stoimy. .

Ostatni skrypt wykonany, więc kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj FRST i foldery: C:\FRST C:\MATS C:\Users\Tommy\Downloads\FRST-OlderVersion W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Do aktualizacji poniżej wyliczone aplikacje oraz cały system: KLIK. Stan obecny: Microsoft® Windows Vista™ Home Premium Service Pack 1 (X86) OS Language: Italian Standard Internet Explorer Version 8 ==================== Installed Programs ====================== Adobe Flash Player 11 ActiveX (Version: 11.9.900.170 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 11 Plugin (Version: 11.9.900.170 - Adobe Systems Incorporated) ----> wtyczka dla Firefox/Opera Adobe Reader 8.3.1 (Version: 8.3.1 - Adobe Systems Incorporated) Adobe Shockwave Player 12.0 (Version: 12.0.5.146 - Adobe Systems, Inc.) Java™ 6 Update 20 (Version: 6.0.200 - Sun Microsystems, Inc.) ----> deinstalacja, najnowsza Java już jest Microsoft Office 2007 Service Pack 2 (SP2) (Version: - Microsoft) Hidden Nowe Gadu-Gadu (Version: - GG Network S.A.) W kwestii "Nowe Gadu-Gadu": proponuję się zainteresować alternatywnym programem WTW. Pełny opis komunikatora: KLIK. .

Temat przenoszę. To nie jest problem infekcji, również widok nie tego systemu, do którego dysk był pierwotnie podpięty (tak wnioskuję), kompletnie nieprzydatny. Nawiasem mówiąc podane tylko logi OTL, a narzędzie to ma obecnie różne braki i są już szersze obowiązki. W procesach był uruchomiony FRST i ciekawe dlaczego brak raportów. W spoilerze masz komentarz jak wyczyścić ten system z adware. - Komenda attrib w ogóle bez znaczenia dla sprawy i w niczym nie pomogła, te obiekty normalnie są ukryte i nie tu leży problem. To co było widoczne na urządzeniu to obiekty systemowe ($RECYCLE.BIN = Kosz, System Volume Information = Przywracanie systemu) oraz sztucznie dorobiony katalog autorun.inf (immunizacja, prawdopodobnie od USBFix). - Te zaginione dane w postaci "widocznej" co najwyżej mogły być w formie poszatkowanych ścinków w katalogu H:\FOUND.000, który utworzył checkdisk. Ten katalog powstaje, gdy checkdisk odcina wadliwe uszkodzone dane. Sprawdź jeszcze co powie Partition Find & Mount. .

Czy po przeprowadzonym tu czyszczeniu objawy nadal występują? Wszystko wykonane. W ramach finalizacji: 1. Pojawił się jakiś nowy dziwny odczyt wskazujący uszkodzenie pliku Preferences Google Chrome. Toteż dla pewności: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. 2. Przez SHIFT+DEL skasuj foldery: C:\FRST C:\Users\Kinga\Desktop\Stare dane programu Firefox W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. .

2GB Temp to nie aż tak dużo, tu były sytuacje z czyszczeniem 20GB Tempów! I kończymy: 1. Poprawki. Otwórz Notatnik i wklej w nim: C:\Users\Paweł\AppData\Roaming\{cfa6d4ba-66f7-abb1-460e-8940cfa6d4ba} C:\Users\Paweł\AppData\Local\InfoBirdPro.crx CHR HKLM\...\Chrome\Extension: [icanoneicgaahjbilcgdmnhoocddknbl] - C:\Users\PAWE~1\AppData\Local\InfoBirdPro.crx [2013-08-06] CHR HKCU\...\Chrome\Extension: [icanoneicgaahjbilcgdmnhoocddknbl] - C:\Users\PAWE~1\AppData\Local\InfoBirdPro.crx [2013-08-06] SearchScopes: HKLM - DefaultScope value is missing. Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wyniki fixlog.txt. A po tym już: 2. Przez SHIFT+DEL skasuj FRST i foldery: C:\FRST C:\Users\Paweł\Downloads\FRST-OlderVersion W AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Wyczyść foldery Przywracania systemu: KLIK. 4. Do aktualizacji poniższe pozycje: KLIK. ==================== Installed Programs ====================== Adobe Flash Player 11 ActiveX (Version: 11.9.900.117 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Reader 9.1 - Polish (Version: 9.1.0 - Adobe Systems Incorporated) Java 7 Update 25 (Version: 7.0.250 - Oracle) Mozilla Firefox 25.0.1 (x86 pl) (Version: 25.0.1 - Mozilla) .

Wszystko wykonane. Kończymy: 1. Małe poprawki. Otwórz Notatnik i wklej w nim: SearchScopes: HKLM - DefaultScope value is missing. FF Plugin: @java.com/JavaPlugin - C:\Program Files\Java\jre7\bin\new_plugin\npjp2.dll No File C:\Documents and Settings\All Users\Dane aplikacji\dd0bcbaaf174bd54 C:\Documents and Settings\All Users\Dane aplikacji\Fun2Savee C:\Documents and Settings\All Users\Dane aplikacji\SHoppDropp C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Documents and Settings\Tomek\Dane aplikacji\newnext.me C:\Program Files\Fun2Savee C:\Program Files\SHoppDropp Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. Po jego potwierdzeniu możesz przejść dalej: 2. Przez SHIFT+DEL skasuj FRST i folder C:\FRST, w AdwCleaner uruchom Odinstaluj, w OTL uruchom Sprzątanie. 3. Uruchom TFC - Temp Cleaner. 4. Wyczyść foldery Przywracania systemu: KLIK. 5. Sprawa z Java już załatwiona. Zostały jeszcze produkty Adobe, posiadasz już najnowszy Reader, to starszy odinstaluj, a obie wtyczki Adobe Flash zaktualizuj (są nowsze wersje): ==================== Installed Programs ====================== Adobe Flash Player 11 ActiveX (Version: 11.9.900.170 - Adobe Systems Incorporated) ----> wtyczka dla IE Adobe Flash Player 11 Plugin (Version: 11.9.900.170 - Adobe Systems Incorporated) ----> wtyczka dla Firefox Adobe Reader 8.3.1 (Version: 8.3.1 - Adobe Systems Incorporated) Adobe Reader XI (11.0.06) (Version: 11.0.06 - Adobe Systems Incorporated) .

Nie widzę tu żadnych oznak infekcji. Jedyne co jest zastanawiające, to dysfunkcja WMI (FRST nie może pobrać listy procesów). I zastanawiam się czy COMODO nie ma związku, to już drugi dziś temat z COMODO i defektem poboru listy procesów. Z logów nic nie wynika. Hmmm, a może COMODO ma coś do rzeczy? Na którym etapie mieli dysk (ekran z logo Windows, ekran logowania)? PS. Do usunięcia tylko drobne wpisy odpadkowe, bez związku z tematem. Otwórz Notatnik i wklej w nim: SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www.delta-search.com/?q={searchTerms}&affID=119816&babsrc=SP_ss&mntrId=889F8CA98206FCFD BHO: Expat Shield Class - {3706EE7C-3CAD-445D-8A43-03EBC3B75908} - No File BHO-x32: No Name - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No File BHO-x32: No Name - {DBC80044-A445-435b-BC74-9C25C1C588A9} - No File R3 ALSysIO; \??\C:\Users\luq92\AppData\Local\Temp\ALSysIO64.sys [x] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [x] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [x] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [x] S3 huawei_cdcecm; system32\DRIVERS\ew_jucdcecm.sys [x] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [x] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [x] S3 WinRing0_1_2_0; \??\D:\Programy\IObit\Game Booster 3\Driver\WinRing0x64.sys [x] C:\Windows\SysWOW64\tmp*.tmp C:\Users\luq92\AppData\Local\Temp\*.exe C:\Users\luq92\AppData\Roaming\systweak Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. .

Widzę tu w starcie CC Cleaner Updater.ex0 (+ na dysku dwa dodatkowe pliki C:\Windows\conhost.exe + C:\Windows\Autostart.ini utworzone w tym samym czasie), co powinno być wersją tego trojana: KLIK. Intryguje mnie też co to za podejrzany proces "Anna.exe": ==================== Processes (Whitelisted) =================== () C:\Users\Krystian\Downloads\batexpert\Anna.exe Przy okazji usunę też odpadki po już odinstalowanym Baidu. Akcja: 1. Otwórz Notatnik i wklej w nim: () C:\Users\Krystian\AppData\Local\Temp\avusbremove140156586.exe Startup: C:\Users\Krystian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CC Cleaner Updater.ex0 () C:\Windows\conhost.exe C:\Windows\Autostart.ini FF user.js: detected! => C:\Users\Krystian\AppData\Roaming\Mozilla\Firefox\Profiles\u0ux72xj.default-1390665535378\user.js SearchScopes: HKLM - DefaultScope value is missing. R0 Bhbase; C:\Windows\System32\drivers\Bhbase.sys [47456 2013-12-17] (Baidu, Inc.) C:\Windows\System32\drivers\Bhbase.sys C:\Windows\System32\drivers\TrufosAlt.sys C:\Program Files\Baidu Security C:\ProgramData\Baidu Security C:\ProgramData\Baidu C:\ProgramData\Log C:\Users\Krystian\AppData\Roaming\Baidu Security Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie plik fixlog.txt. 2. Uruchom TFC - Temp Cleaner. 3. Zrób nowy skan FRST (bez Addition). Dołącz plik fixlog.txt. .