picasso

Wg pliku Local State bieżącym profilem jest zgodnie z podejrzeniem Profile 2: "last_used":"Profile 2","profiles_created":3} Potwierdza to też nowy log FRST, co dopiero skonfigurowałeś preferencje w tym profilu, dlatego teraz widać w logu, że Profile 2 jest domyślnym: CHR DefaultSearchURL: Profile 2 -> hxxp://www.fixitpc.pl/topic/30470-chrome-ca%C5%82kowity-reset-moich-ustawie%C5%84-w%C5%82%C4%85czaj%C4%85ce-si%C4%99-samoczynnie-strony/ Na dysku jest jednak katalog starszego profilu Default, który być może jest tym właściwym, o ile on w ogóle działa i jest intepretowany przez Chrome. Powiedz mi co widzisz w opcjach Google Chrome w tym miejscu: menu Ustawienia > karta Ustawienia > Osoby > czy widać więcej niż jedną pozycję. Dla jasności dorzuć zrzut ekranu z tego fragmentu opcji.

Drobna aktualizacja. Obecnie w narzędziu Trend Micro Ransomware File Decryptor jest możliwe częściowe odkodowanie określonych plików (z wyłączeniem archiwów i czysto tekstowych plików) nie większych niż 13MB. Oznacza to, że wynikowo uzyskujemy uszkodzony plik, który ewentualnie można obrabiać dalej jakimiś narzędziami do odzyskiwania / "regeneracji" danych. W praktyce oznacza to niestety raczej utratę danych. Ponadto, pojawił się nowy wariant dodający rozszerzenie .cryp1 lub .crypz, również inna szata graficzna i przejęta tapeta: KLIK / KLIK.

W temacie wystąpiło aż podwójne szyfrowanie CryptoWall > TeslaCrypt, więc tu raczej nic nie zdziałamy. Na wszelki wypadek jednak podaję informację: Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor. * Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.

W temacie wystąpiło aż podwójne szyfrowanie CryptoWall > TeslaCrypt, więc tu raczej nic nie zdziałamy. Na wszelki wypadek jednak podaję informację: Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor. * Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.

W temacie wystąpiło aż podwójne szyfrowanie CryptoWall > TeslaCrypt, więc tu raczej nic nie zdziałamy. Na wszelki wypadek jednak podaję informację: Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor. * Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.

Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor. * Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.

Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor. * Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.

Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor. * Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.

Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor. * Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html. Te ocalone tu pliki identyfikacyjne recover_file_*.txt to pliki używane w tym procesie.

Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor. * Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.

Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor. * Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.

Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor. * Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.

Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor. * Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.

Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor. * Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.

Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor. * Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.

Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor. * Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.

To był prawdopodobnie tymczasowy stan, blokada przeglądarki / systemu po otworzeniu określonej szkodliwej strony, ustępująca po przeładowaniu systemu. W raportach brak oznak infekcji. SpyHunter (wątpliwy skaner) także pomyślnie usunięty. Do wykonania tylko drobne poboczne działania: 1. Odinstaluj starą niebezpieczną wersję Adobe Flash Player 10 ActiveX. 2. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 3. Mini skrypt czyszczący głównie lokalizacje tymczasowe. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X] RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files\HitmanPro EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.

Prawdopodobnie przesadziłeś. Należało zostawić domyślną (optymalną) konfigurację. Przywróć ją. Dodatkowo, im więcej filtrów, tym bardziej ociężała przeglądarka (dotyczy każdego blokera reklam) i wycisk zasobów.

Temat przenoszę do działu Windows, żadnych oznak infekcji. Sugestie: 1. W Dzienniku zdarzeń rozmnożone błędy wyprodukowane przez usługę Fastboot Lenovo. Sprawdź czy deinstalacja programu Nsd coś wniesie do sprawy. Dziennik Aplikacja: ================== Error: (06/01/2016 10:28:05 AM) (Source: NSDSvc) (EventID: 256) (User: ) Description: An error has occurred (---query POLICYVT key success failed with 0, The Code is:0x424.). Error: (06/01/2016 10:28:05 AM) (Source: NSDSvc) (EventID: 256) (User: ) Description: An error has occurred (---Get Poicy Open key suc failed with 0, The Code is:0x422.). vs. ==================== Usługi (filtrowane) ======================== S2 NSDSvc; C:\Windows\System32\NSDSvc.exe [120160 2011-12-23] (Lenovo) ===================== Sterowniki (filtrowane) ========================== R1 Nsdfltr; C:\Windows\System32\drivers\Nsdfltr.sys [59488 2011-12-21] (Lenovo Corporation) ==================== Zainstalowane programy ====================== Nsd (HKLM-x32\...\{4677B88C-CE16-4CBB-A2CB-B76E9D456C7F}) (Version: 1.0.1.7 - Lenovo) 2. Jeśli powyższe nie okaże się powiązane, sprawdź zachowanie systemu na tzw. "czystym rozruchu": KLIK. 3. W przypadku braku rezultatów przetestuj co się stanie po deinstalacji Kaspersky Internet Security. To starsza wersja z 2014.

Oceniając podane archiwalne materiały, na pewno tych obiektów nie było w finałowych raportach FRST, usuwałam jedynie drobne martwe odpadki po tej infekcji. Sądzę, że problem jest rozwiązany. Jeśli nie nastąpią żadne nawroty choroby, wykonasz końcowe kroki, tzn. zastosowanie DelFix oraz czyszczenie folderów Przywracania systemu: KLIK.

Na przyszłość: nazwy raportów FRST (główny + Addition) wskazują, że je wyciągnąłeś z folderu C:\FRST\Logs. To jest archiwum, bieżące powstają tam skąd uruchamiasz FRST, czyli tu katalog Pobrane. W starcie jest szkodliwy wpis "Draughts". Poza tym widać inne odpadki z tego miotu adware, ale nie wyglądają na czynne. Objawy sugerują uruchamianie innego profilu. Sytuacja w logu wygląda następująco: Chrome: ======= CHR Profile: C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default CHR Extension: (Przelewy24) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\aiicmmpkicnndkhlnnloilpgncbpkbjj [2015-10-03] CHR Extension: (Dokumenty Google) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2015-02-04] CHR Extension: (Dysk Google) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-10-21] CHR Extension: (YouTube) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-10-01] CHR Extension: (Adblock Plus) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2016-03-09] CHR Extension: (Google Search) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-11-04] CHR Extension: (Adobe Acrobat) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\efaidnbmnnnibpcajpcglclefindmkaj [2016-01-15] CHR Extension: (Aktualizacja dodatku Flash) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\ekjjdohpclmnphcgdgdmhoikilfcaabe [2016-05-24] CHR Extension: (Transferuj.pl) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\gamjcgdmfcciglelnlngnknalhbhmkif [2015-09-07] CHR Extension: (Dokumenty Google offline) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-03-18] CHR Extension: (AdBlock) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2016-05-31] CHR Extension: (PoE Helper) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\lpdnfedfopfbealaokkpjbngaphfceoi [2014-11-18] [updateUrl: hxxps://raw.github.com/njs50/poe_ext/master/poe_updates.xml] CHR Extension: (Płatności w sklepie Chrome Web Store) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2016-04-13] CHR Extension: (Gmail) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-03-28] CHR Profile: C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 1 CHR Profile: C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 2 CHR Extension: (Prezentacje Google) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2016-05-31] CHR Extension: (Dokumenty Google) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\aohghmighlieiainnegkcijnfilokake [2016-05-31] CHR Extension: (Dysk Google) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\apdfllckaahabafndbhieahigkjlhalf [2016-05-31] CHR Extension: (YouTube) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2016-05-31] CHR Extension: (Adobe Acrobat) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\efaidnbmnnnibpcajpcglclefindmkaj [2016-05-31] CHR Extension: (Arkusze Google) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2016-05-31] CHR Extension: (Dokumenty Google offline) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-05-31] CHR Extension: (Płatności w sklepie Chrome Web Store) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2016-05-31] CHR Extension: (Gmail) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2016-05-31] CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx Są trzy profile (w opcjach Chrome widać inne nazwy): stary Default, pusty Profile 1 (prawdopodobnie nieistniejący), Profile 2 (przypuszczalnie bieżący). Nie jest pewne czy widać tu wszystkie profile, gdyż wczoraj wykryłam, że FRST nie widzi wszystkich i będę to sprawdzać. W każdym razie danych będziemy szukać w profilu który nie jest bieżącym, a na razie nie jest pewne który z nich nim jest. Wstępnie usuwanie widocznych śmieci (wliczając wpisy puste) oraz pobór dokładniejszych informacji o Chrome który profil jest bieżącym: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj: Adobe Shockwave Player 12.1 (stara wersja), Akamai NetSession Interface (zbędny downloader produktów Autodesk), Checkers (wygląda na adware), Facebook Video Calling 2.0.0.447 (stara wersja), Shared C Run-time for x64 (odpadek po odinstalowanym McAfee). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-543564396-1890180113-2280842612-1002\...\Run: [Draughts] => C:\Users\Mateusz\AppData\Roaming\Checkers\Draughts\Draughts.exe [1719960 2016-05-30] (Draughts) HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [332BigDog] => C:\Program Files (x86)\USB Camera2\VM332STI.EXE HKLM\...\Run: [synLenovoGestureMgr] => "%ProgramFiles%\Synaptics\SynTP\SynLenovoGestureMgr.exe" /m Winlogon\Notify\igfxcui: igfxdev.dll [X] HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 Task: {020C5683-6168-4A7E-8167-89FB6CADD175} - System32\Tasks\{009A842B-BFDA-4C8B-8E2D-D991C7196773} => pcalua.exe -a C:\Users\Mateusz\Downloads\dsj3_skoczkowie_[www.pobieralnia.org].exe -d C:\Users\Mateusz\Downloads Task: {0A2417FF-5623-48F7-8641-F03C196F3D4B} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {0D1ED7BA-414D-458D-B414-74902A8BED1B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {19B147D3-C847-4C70-BAFC-C6F98FBC3729} - System32\Tasks\{DC2981FF-1787-4F1C-AAD1-8CEF35FECDFB} => pcalua.exe -a "C:\ProgramData\Download keepuer\LM5_OuoK.exe" -c /s /n /i:"ExecuteCommands;UninstallCommands" "" Task: {27B60221-2A0E-4555-B765-DE4B6278B342} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {2A162675-79EC-4BE6-AE81-87B2BA376BFC} - System32\Tasks\Ateredomkefisp Cache => C:\Program Files (x86)\Ateredomkefisp\AteredomkefispCchtask.exe Task: {317C5032-67EA-472B-916C-ED062B08D81C} - System32\Tasks\Synaptics TouchPad Enhancements => Program Files\Synaptics\SynTP\SynTPEnh.exe Task: {31915649-D4E1-405B-93FD-65CBFB00CE0E} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {4C6341A0-9672-4DC3-BA88-8957CC359CCE} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {56B99869-37F2-43AE-B139-4EA673E0B3D3} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {597E9041-E96C-4F38-AD12-FC9A35CD3A26} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {5E770B03-1937-4892-AD85-A5FB76945FF7} - System32\Tasks\{7D31756F-263E-4B5F-8BDD-4B9285691539} => pcalua.exe -a "C:\Users\Mateusz\Downloads\user_files (1).exe" -d C:\Users\Mateusz\Downloads Task: {5FEE9EFB-86E7-4064-887A-DDE6E1278C8B} - \CCleanerSkipUAC -> Brak pliku Task: {808096E1-9F8F-456A-97FA-8D577767AEE7} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-543564396-1890180113-2280842612-1002UA => C:\Users\Mateusz\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: {9587C137-EFD3-498A-BC20-291578EB2A75} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-543564396-1890180113-2280842612-1002Core => C:\Users\Mateusz\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: {AAA2AF8C-9EC2-4263-8E37-2E93D92C305A} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {CEF0505E-6B8E-4148-980F-E58D8FF14326} - System32\Tasks\{CBD4585B-6D24-4B3C-985A-DC56320EF94E} => pcalua.exe -a C:\WINDOWS\lsb_un20.exe -c /C=UC /N=Tunatic Task: {D21434B4-1ADB-428B-BDEB-078A653C2D75} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {DAB10B24-3C90-427F-8C21-47388CA7E881} - System32\Tasks\{51F15548-928A-4BD7-AC11-A15A1BE9FEB6} => pcalua.exe -a C:\Users\Mateusz\Downloads\dsj3_skoczkowie_.exe -d C:\Users\Mateusz\Downloads Task: {E4726C40-79A7-4A4A-A41A-8474E9DCBF78} - \FoxTab -> Brak pliku Task: {E643D43B-8A7E-4BE9-9321-89DCCD21E12C} - System32\Tasks\{D5DC2E01-A36D-44D5-87FE-FE91CD4C8EDF} => Chrome.exe hxxp://ui.skype.com/ui/0/6.14.73.104.456/pl/abandoninstall?page=tsProgressBar Task: {F3FBF589-4FE2-4085-AF4E-4B4E52BDE7D5} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {F8AFF733-75A1-4CE3-A9D0-EFE131BFC689} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku S2 AGSService; "C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGSService.exe" [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKU\S-1-5-21-543564396-1890180113-2280842612-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=166 SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-543564396-1890180113-2280842612-1002 -> DefaultScope {0D4E4FA4-840F-43EA-9909-8099981EB9FB} URL = SearchScopes: HKU\S-1-5-21-543564396-1890180113-2280842612-1002 -> {0D4E4FA4-840F-43EA-9909-8099981EB9FB} URL = FF HKLM-x32\...\Firefox\Extensions: [FFPDFArchitectConverter@pdfarchitect.com] - C:\Program Files (x86)\PDF Architect\FFPDFArchitectExt FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird => nie znaleziono DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Akamai NetSession Interface" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Autodesk Sync" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v HotKeysCmds /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IgfxTray /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Persistence /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Avira Systray" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Dolby Home Theater v4" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v mcpltui_exe /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v mcui_exe /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v Bluetooth.lnk /f C:\Program Files (x86)\Amazon C:\Program Files (x86)\Ateredomkefisp C:\Program Files (x86)\Nimaiedchdsp C:\Program Files (x86)\Pucupy C:\ProgramData\Temp C:\Users\Mateusz\AppData\Roaming\Checkers C:\Users\Mateusz\Desktop\Checkers.lnk CMD: dir /a "C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data" CMD: type "C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Local State" RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Ten Fix FRST (a konkretnie komenda ipconfig /flushdns) to miał być wykonany dopiero po czyszczeniu właściwego routera siedząc dokładnie w środowisku w którym występowały reklamy. W razie czego będzie do powtórzenia ta konkretna linia ze skryptu. Nie wiem do czego to podpiąć. Ja nie widzę żadnego aktywnego malware w raportach, poza już zakreślonymi adresami DNS.

Malware w firmware (BIOS/UEFI) owszem możliwe, z tym że to rozwiązania bardzo rzadkie, niekiedy tylko koncepcja teoretyczna, a celem są raczej instytucje a nie pojedyncze komputery domowe. Orientacyjnie ten i ten materiał. Osobiście nigdy nie natknęłam się na taki przypadek na komputerze domowym. Bardzo wątpię, że z tym mam tu do czynienia.

Nie ma raportów z okresu który opisujesz. Podany w pierwszym poście log AdwCleaner to był ostatni z serii i w nim nie było żadnych detekcji (a dwa resety Tracing + Winsock tam figurują, bo to ogólne resety robione "w ciemno", jeśli wybrano opcje dodatkowe w menu). Jak mówiłam, w raportach FRST również nie było żadnego aktywnego elementu. Tak więc oczekuję teraz na potwierdzenie, że żadne śmieci się nie odtwarzają. A skrypt FRST pomyślnie wykonany.

Skrypt pomyślnie wykonany. Kolejna porcjaczynności: 1. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu z folderu POBRANE FRST oraz jego logi. 2. Przeprowadź skan za pomocą Hitman Pro. Dostarcz log tylko jeśli narzędzie coś wykryje.