picasso

Niepożądana wyszukiwarka jest zablokowana na bazie polityk oprogramowania. Próbując rozwiązać problem instalowałeś wątpliwe programy: skaner naciągacz SpyHunter oraz badziew gpedt.msc. Fałszywe gpedit nie działa poprawnie na edycji Home: KLIK. Paczki rzekomo instalujące sprawne gpedit w edycji Home zostały zrobione przez dyletantów. Nie jest możliwa instalacja gpedit na edycji która tego nie obsługuje. Akcje do wdrożenia: 1. Odinstaluj stary zbędny Adobe Flash Player 20 NPAPI (to wersja dla Firefox, który tu nie jest zainstalowany) oraz wspominany lewy gpedt.msc. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\...\Chrome\Extension: [ncadhpiimldiaggdmgilboibgpkamcdf] - C:\Users\Kancelaria\AppData\Local\Google\Chrome\User Data\Default\Extensions\ncadhpiimldiaggdmgilboibgpkamcdf.crx [2015-11-18] CHR HKLM-x32\...\Chrome\Extension: [ncadhpiimldiaggdmgilboibgpkamcdf] - C:\Users\Kancelaria\AppData\Local\Google\Chrome\User Data\Default\Extensions\ncadhpiimldiaggdmgilboibgpkamcdf.crx [2015-11-18] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617911&ResetID=130928609252134454&GUID=FEA63531-41C2-4C16-9581-D1C79FB7DF68 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617911&ResetID=130928609252134454&GUID=FEA63531-41C2-4C16-9581-D1C79FB7DF68 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1445617405&z=508afea9624e7204377cabcg4z6z9weqeg7m7z9eew&from=cornl&uid=wdcxwd3200aakx-00erma0_wd-wcc2em91258712587&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.v9.com/?type=hp&ts=1448266997&from=mych123&uid=wdcxwd3200aakx-00erma0_wd-wcc2em91258712587&z=00cfff4e48db42852cc774egfzdz4beocq9qbt0q7c HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1445617405&z=508afea9624e7204377cabcg4z6z9weqeg7m7z9eew&from=cornl&uid=wdcxwd3200aakx-00erma0_wd-wcc2em91258712587&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-578725689-3606790149-3352773718-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-578725689-3606790149-3352773718-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-578725689-3606790149-3352773718-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKU\S-1-5-21-578725689-3606790149-3352773718-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-578725689-3606790149-3352773718-1000 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE BHO-x32: Jungle Net -> {7b8998fa-3c1d-46b6-b939-fec402d2a05d} -> C:\Program Files (x86)\Jungle Net\Extensions\7b8998fa-3c1d-46b6-b939-fec402d2a05d.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-578725689-3606790149-3352773718-1000_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\Kancelaria\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-578725689-3606790149-3352773718-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\Kancelaria\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-578725689-3606790149-3352773718-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Kancelaria\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku Task: {35232F13-FF1F-4195-916E-8530D81F4B3F} - System32\Tasks\{9DE16397-2B18-4CF4-B882-7D45D6A9A3C9} => pcalua.exe -a C:\Users\Kancelaria\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=cor Task: {5A972BFC-B922-44FB-8694-FFD1F51D35B6} - System32\Tasks\SpyHunter4Startup => C:\Users\Kancelaria\AppData\Local\Temp\RarSFX0\SpyHunter4.exe [2015-04-17] (Enigma Software Group USA, LLC.) Task: {DB08DF85-B8E7-4BF5-B3D8-17D99BCE490A} - System32\Tasks\PriceFountainUpdateVer => C:\Users\KANCEL~1\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: {F07284C1-183E-45FF-A899-EFF44DD6A7CF} - System32\Tasks\KancelariaAccusatoryAeronauticsV2 => Rundll32.exe EditorializersRelabelling.dll,main 7 1 BootExecute: autocheck autochk * sh4native Sh4Removal S2 MustangService_2015_10_10; C:\ProgramData\TempMoudleSet\MustangSer1846.exe [236816 2015-10-09] (MustangService) DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AdobeFlashPlayerUpdateSvc DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main C:\spyhunter.fix C:\ProgramData\TempMoudleSet C:\Users\Kancelaria\AppData\Local\AMR-Player_1356.rar C:\Users\Kancelaria\AppData\Local\amrplayer_setup.exe C:\Users\Kancelaria\AppData\Roaming\*.* C:\Users\Kancelaria\AppData\Roaming\Microsoft\Word\*.lnk C:\Users\Kancelaria\Desktop\Kancelaria\C\Desktop\Stany, Karaiby Pani Mec zdjęcia — skrót.lnk C:\Users\Kancelaria\Desktop\Kuba\pen 2\Skrót do aneks[1a]widzew.lnk C:\Windows\SysWOW64\sh4native.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Po odblokowaniu opcji Chrome w/w skryptem FRST przeczyść preferencje: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Kancelaria\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz spację i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

W systemie jest aktywna infekcja DNS, są zainfekowane pliki systemowe dnsapi.dll. Działania do przeprowadzenia: 1. Uruchom RepairDNS. Na Pulpicie powstanie log RepairDNS.txt. 2. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj wątpliwy skaner: SpyHunter 4. Następnie zastosuj SpyHunterCleaner. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 Bempocth; "C:\Users\Andrzej\AppData\Roaming\ArhsufKihpeht\Chiakiw.exe" -cms [X] S2 Dofles; "C:\Users\Andrzej\AppData\Roaming\YphdyMesli\Rabaf.exe" -cms [X] S2 dufyvuqezbt; Brak ImagePath S2 Ewurjydw; Brak ImagePath S2 Hhjerlydc; Brak ImagePath S2 QQRepairFixSVC; C:\Program Files (x86)\Tencent\QQPCMGR\QQRepairFixSVC [X] S2 Quoteex; Brak ImagePath S2 Thlrprservice; "C:\Program Files (x86)\Thalepharck\Thlrprservice.exe" {79740E79-A383-47A7-B513-3DF6563D007F} {A16B1AF7-982D-40C3-B5C1-633E1A6A6678} [X] S0 mfeelamk; C:\Windows\System32\drivers\mfeelamk.sys [82072 2015-09-23] (McAfee, Inc.) R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [80768 2016-04-25] (Huorong Borui (Beijing) Technology Co., Ltd.) S1 tfycgwhc; \??\C:\WINDOWS\system32\drivers\tfycgwhc.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" HKLM\...\Run: [iDSCCOMXOX] => "C:\Program Files (x86)\EasyHotspot\idsccom_XOX.exe" HKLM\...\Run: [LenovoUtility] => "C:\Program Files\Lenovo\LenovoUtility\utility.exe" HKU\S-1-5-21-2858278435-3680462583-434968480-1001\...\Run: [svchost0] => C:\Program Files (x86)\UCBrowser\Application\UUC0789.exe AppInit_DLLs: C:\ProgramData\Quoteex\StatFax.dll => Brak pliku BootExecute: autocheck autochk * bootdelete Task: {2FBE2DA5-98F0-45CA-B941-F786302C1235} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe Task: {32ED38F4-3A02-4DC2-A316-3521EA5815D3} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {3D421CCA-0DC4-436C-A3B7-028F1B467330} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {50499D16-0669-4589-960A-A8A41D99BBBF} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2015-08-17] (Lenovo) Task: {55624B48-CA86-4FE5-BB44-EE3E8B06F8F4} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {6A2CB3D2-5404-4D67-9FAA-F7EA2C083C1F} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {6E640987-594E-4780-AFE0-182104563234} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {7C0D1AFD-A7B0-4453-8FDB-67C351E982A9} - System32\Tasks\Thalepharck Reports => C:\Program Files (x86)\Thalepharck\Thlrprtask.exe Task: {83E2806A-FDD2-4738-8F4B-B6D274A1ED7B} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {A8B0E4B4-B732-4AF5-BE8C-87912CF01099} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {AB9ADE20-F13C-43FD-9EF2-F47E7806DF57} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {EC4918AF-7392-42E6-99AD-B4035ACA7E42} - System32\Tasks\McAfee\McAfee Idle Detection Task Task: {EE059F3A-26A9-45E8-969C-90EAD6D6193C} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {EE76D6A9-2C39-4E06-9B41-1C1841F96997} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {F88219F4-3E89-41EB-9F5F-663407A71DC6} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Metric Collection SDK 35 (x32 Version: 1.2.0001.00 - Lenovo Group Limited) Hidden Tcpip\..\Interfaces\{06e8373a-b1b1-4e93-a019-8ed2a50a08f7}: [DhcpNameServer] 150.213.1.2 Tcpip\..\Interfaces\{4e438b44-2451-424e-b55b-70a68362eeeb}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{8718928d-cbeb-45ea-a621-800a9249001d}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{b2bcd732-6369-4e33-907b-4e757c64e8b5}: [DhcpNameServer] 192.168.1.1 Tcpip\..\Interfaces\{bd7798d7-a1a9-11e5-b67f-806e6f6e6963}: [NameServer] 104.197.191.4 HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKU\S-1-5-21-2858278435-3680462583-434968480-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131084323135078955&GUID=2C919B93-21CD-4B8F-B673-87833E822606 SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYpQziEoQ97lZKvfzUeSnvTaiFkXD4kXsYYcJmckSGfDb2wODbi8BaEpjBV1C0pH_rj2DUaErfODPhXuXmmuPTaLnNXxQcJsTlzZUiOl9h0m5ltTVNXdqRHzGlIJRQ0KkDBSkHtlSj0yzbuKY80EE9ma7-ciuYE&q={searchTerms} SearchScopes: HKU\S-1-5-21-2858278435-3680462583-434968480-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYpQziEoQ97lZKvfzUeSnvTaiFkXD4kXsYYcJmckSGfDb2wODbi8BaEpjBV1C0pH_rj2DUaErfODPhXuXmmuPTaLnNXxQcJsTlzZUiOl9h0m5ltTVNXdqRHzGlIJRQ0KkDBSkHtlSj0yzbuKY80EE9ma7-ciuYE&q={searchTerms} Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v LMCSSTART1 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v LMCSSTART2 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v LMCSSTART3 /f C:\Program Files (x86)\7C20BD0E-1463958272-11E4-A961-68F728D08E93 C:\ProgramData\xldl.dll C:\ProgramData\download C:\ProgramData\Quoteex C:\ProgramData\Quoteexs C:\uninst C:\Users\Andrzej\AppData\Local\app C:\Users\Andrzej\AppData\Local\Tempfolder C:\Users\Andrzej\AppData\Local\tuto_monetize_120160522 C:\Users\Andrzej\AppData\LocalLow004B6DE8 C:\Users\Andrzej\AppData\LocalLow000001EC4FA0F848 C:\Users\Andrzej\AppData\Roaming\*.* C:\Users\Andrzej\AppData\Roaming\ArhsufKihpeht C:\Users\Andrzej\AppData\Roaming\Kujpidfo C:\Users\Andrzej\AppData\Roaming\MCorp C:\Users\Andrzej\AppData\Roaming\WebApp C:\Users\Andrzej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件 C:\Users\Andrzej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\KWHotel C:\WINDOWS\system32\gayg C:\WINDOWS\System32\Drivers\mfeelamk.sys C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys C:\WINDOWS\system32\Drivers\ucguard.sys C:\WINDOWS\system32\Drivers\etc\hp.bak C:\WINDOWS\SysWOW64\Drivers\TS888x64.sys CMD: ipconfig /flushdns CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. W Firefox odmontuj wszystkie adbloki (a AdBlocker Ultimate nie jest polecany przeze mnie, jest coś w nim podejrzanego). W zamian zainstaluj uBlock Origin. Podobną akcję zalecam w Google Chrome. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. Dołącz też pliki fixlog.txt i RepairDNS.txt.

Wg pliku Local State bieżącym profilem jest zgodnie z podejrzeniem Profile 2: "last_used":"Profile 2","profiles_created":3} Potwierdza to też nowy log FRST, co dopiero skonfigurowałeś preferencje w tym profilu, dlatego teraz widać w logu, że Profile 2 jest domyślnym: CHR DefaultSearchURL: Profile 2 -> hxxp://www.fixitpc.pl/topic/30470-chrome-ca%C5%82kowity-reset-moich-ustawie%C5%84-w%C5%82%C4%85czaj%C4%85ce-si%C4%99-samoczynnie-strony/ Na dysku jest jednak katalog starszego profilu Default, który być może jest tym właściwym, o ile on w ogóle działa i jest intepretowany przez Chrome. Powiedz mi co widzisz w opcjach Google Chrome w tym miejscu: menu Ustawienia > karta Ustawienia > Osoby > czy widać więcej niż jedną pozycję. Dla jasności dorzuć zrzut ekranu z tego fragmentu opcji.

Drobna aktualizacja. Obecnie w narzędziu Trend Micro Ransomware File Decryptor jest możliwe częściowe odkodowanie określonych plików (z wyłączeniem archiwów i czysto tekstowych plików) nie większych niż 13MB. Oznacza to, że wynikowo uzyskujemy uszkodzony plik, który ewentualnie można obrabiać dalej jakimiś narzędziami do odzyskiwania / "regeneracji" danych. W praktyce oznacza to niestety raczej utratę danych. Ponadto, pojawił się nowy wariant dodający rozszerzenie .cryp1 lub .crypz, również inna szata graficzna i przejęta tapeta: KLIK / KLIK.

W temacie wystąpiło aż podwójne szyfrowanie CryptoWall > TeslaCrypt, więc tu raczej nic nie zdziałamy. Na wszelki wypadek jednak podaję informację: Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor. * Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.

W temacie wystąpiło aż podwójne szyfrowanie CryptoWall > TeslaCrypt, więc tu raczej nic nie zdziałamy. Na wszelki wypadek jednak podaję informację: Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor. * Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.

W temacie wystąpiło aż podwójne szyfrowanie CryptoWall > TeslaCrypt, więc tu raczej nic nie zdziałamy. Na wszelki wypadek jednak podaję informację: Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor. * Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.

Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor. * Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.

Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor. * Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.

Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor. * Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.

Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor. * Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html. Te ocalone tu pliki identyfikacyjne recover_file_*.txt to pliki używane w tym procesie.

Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor. * Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.

Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor. * Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.

Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor. * Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.

Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor. * Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.

Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor. * Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.

Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor. * Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.

Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor. * Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.

To był prawdopodobnie tymczasowy stan, blokada przeglądarki / systemu po otworzeniu określonej szkodliwej strony, ustępująca po przeładowaniu systemu. W raportach brak oznak infekcji. SpyHunter (wątpliwy skaner) także pomyślnie usunięty. Do wykonania tylko drobne poboczne działania: 1. Odinstaluj starą niebezpieczną wersję Adobe Flash Player 10 ActiveX. 2. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 3. Mini skrypt czyszczący głównie lokalizacje tymczasowe. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X] RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files\HitmanPro EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.

Prawdopodobnie przesadziłeś. Należało zostawić domyślną (optymalną) konfigurację. Przywróć ją. Dodatkowo, im więcej filtrów, tym bardziej ociężała przeglądarka (dotyczy każdego blokera reklam) i wycisk zasobów.

Temat przenoszę do działu Windows, żadnych oznak infekcji. Sugestie: 1. W Dzienniku zdarzeń rozmnożone błędy wyprodukowane przez usługę Fastboot Lenovo. Sprawdź czy deinstalacja programu Nsd coś wniesie do sprawy. Dziennik Aplikacja: ================== Error: (06/01/2016 10:28:05 AM) (Source: NSDSvc) (EventID: 256) (User: ) Description: An error has occurred (---query POLICYVT key success failed with 0, The Code is:0x424.). Error: (06/01/2016 10:28:05 AM) (Source: NSDSvc) (EventID: 256) (User: ) Description: An error has occurred (---Get Poicy Open key suc failed with 0, The Code is:0x422.). vs. ==================== Usługi (filtrowane) ======================== S2 NSDSvc; C:\Windows\System32\NSDSvc.exe [120160 2011-12-23] (Lenovo) ===================== Sterowniki (filtrowane) ========================== R1 Nsdfltr; C:\Windows\System32\drivers\Nsdfltr.sys [59488 2011-12-21] (Lenovo Corporation) ==================== Zainstalowane programy ====================== Nsd (HKLM-x32\...\{4677B88C-CE16-4CBB-A2CB-B76E9D456C7F}) (Version: 1.0.1.7 - Lenovo) 2. Jeśli powyższe nie okaże się powiązane, sprawdź zachowanie systemu na tzw. "czystym rozruchu": KLIK. 3. W przypadku braku rezultatów przetestuj co się stanie po deinstalacji Kaspersky Internet Security. To starsza wersja z 2014.

Oceniając podane archiwalne materiały, na pewno tych obiektów nie było w finałowych raportach FRST, usuwałam jedynie drobne martwe odpadki po tej infekcji. Sądzę, że problem jest rozwiązany. Jeśli nie nastąpią żadne nawroty choroby, wykonasz końcowe kroki, tzn. zastosowanie DelFix oraz czyszczenie folderów Przywracania systemu: KLIK.

Na przyszłość: nazwy raportów FRST (główny + Addition) wskazują, że je wyciągnąłeś z folderu C:\FRST\Logs. To jest archiwum, bieżące powstają tam skąd uruchamiasz FRST, czyli tu katalog Pobrane. W starcie jest szkodliwy wpis "Draughts". Poza tym widać inne odpadki z tego miotu adware, ale nie wyglądają na czynne. Objawy sugerują uruchamianie innego profilu. Sytuacja w logu wygląda następująco: Chrome: ======= CHR Profile: C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default CHR Extension: (Przelewy24) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\aiicmmpkicnndkhlnnloilpgncbpkbjj [2015-10-03] CHR Extension: (Dokumenty Google) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2015-02-04] CHR Extension: (Dysk Google) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-10-21] CHR Extension: (YouTube) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-10-01] CHR Extension: (Adblock Plus) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2016-03-09] CHR Extension: (Google Search) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-11-04] CHR Extension: (Adobe Acrobat) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\efaidnbmnnnibpcajpcglclefindmkaj [2016-01-15] CHR Extension: (Aktualizacja dodatku Flash) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\ekjjdohpclmnphcgdgdmhoikilfcaabe [2016-05-24] CHR Extension: (Transferuj.pl) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\gamjcgdmfcciglelnlngnknalhbhmkif [2015-09-07] CHR Extension: (Dokumenty Google offline) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-03-18] CHR Extension: (AdBlock) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2016-05-31] CHR Extension: (PoE Helper) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\lpdnfedfopfbealaokkpjbngaphfceoi [2014-11-18] [updateUrl: hxxps://raw.github.com/njs50/poe_ext/master/poe_updates.xml] CHR Extension: (Płatności w sklepie Chrome Web Store) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2016-04-13] CHR Extension: (Gmail) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-03-28] CHR Profile: C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 1 CHR Profile: C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 2 CHR Extension: (Prezentacje Google) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2016-05-31] CHR Extension: (Dokumenty Google) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\aohghmighlieiainnegkcijnfilokake [2016-05-31] CHR Extension: (Dysk Google) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\apdfllckaahabafndbhieahigkjlhalf [2016-05-31] CHR Extension: (YouTube) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2016-05-31] CHR Extension: (Adobe Acrobat) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\efaidnbmnnnibpcajpcglclefindmkaj [2016-05-31] CHR Extension: (Arkusze Google) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2016-05-31] CHR Extension: (Dokumenty Google offline) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-05-31] CHR Extension: (Płatności w sklepie Chrome Web Store) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2016-05-31] CHR Extension: (Gmail) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2016-05-31] CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx Są trzy profile (w opcjach Chrome widać inne nazwy): stary Default, pusty Profile 1 (prawdopodobnie nieistniejący), Profile 2 (przypuszczalnie bieżący). Nie jest pewne czy widać tu wszystkie profile, gdyż wczoraj wykryłam, że FRST nie widzi wszystkich i będę to sprawdzać. W każdym razie danych będziemy szukać w profilu który nie jest bieżącym, a na razie nie jest pewne który z nich nim jest. Wstępnie usuwanie widocznych śmieci (wliczając wpisy puste) oraz pobór dokładniejszych informacji o Chrome który profil jest bieżącym: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj: Adobe Shockwave Player 12.1 (stara wersja), Akamai NetSession Interface (zbędny downloader produktów Autodesk), Checkers (wygląda na adware), Facebook Video Calling 2.0.0.447 (stara wersja), Shared C Run-time for x64 (odpadek po odinstalowanym McAfee). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-543564396-1890180113-2280842612-1002\...\Run: [Draughts] => C:\Users\Mateusz\AppData\Roaming\Checkers\Draughts\Draughts.exe [1719960 2016-05-30] (Draughts) HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [332BigDog] => C:\Program Files (x86)\USB Camera2\VM332STI.EXE HKLM\...\Run: [synLenovoGestureMgr] => "%ProgramFiles%\Synaptics\SynTP\SynLenovoGestureMgr.exe" /m Winlogon\Notify\igfxcui: igfxdev.dll [X] HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 Task: {020C5683-6168-4A7E-8167-89FB6CADD175} - System32\Tasks\{009A842B-BFDA-4C8B-8E2D-D991C7196773} => pcalua.exe -a C:\Users\Mateusz\Downloads\dsj3_skoczkowie_[www.pobieralnia.org].exe -d C:\Users\Mateusz\Downloads Task: {0A2417FF-5623-48F7-8641-F03C196F3D4B} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {0D1ED7BA-414D-458D-B414-74902A8BED1B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {19B147D3-C847-4C70-BAFC-C6F98FBC3729} - System32\Tasks\{DC2981FF-1787-4F1C-AAD1-8CEF35FECDFB} => pcalua.exe -a "C:\ProgramData\Download keepuer\LM5_OuoK.exe" -c /s /n /i:"ExecuteCommands;UninstallCommands" "" Task: {27B60221-2A0E-4555-B765-DE4B6278B342} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {2A162675-79EC-4BE6-AE81-87B2BA376BFC} - System32\Tasks\Ateredomkefisp Cache => C:\Program Files (x86)\Ateredomkefisp\AteredomkefispCchtask.exe Task: {317C5032-67EA-472B-916C-ED062B08D81C} - System32\Tasks\Synaptics TouchPad Enhancements => Program Files\Synaptics\SynTP\SynTPEnh.exe Task: {31915649-D4E1-405B-93FD-65CBFB00CE0E} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {4C6341A0-9672-4DC3-BA88-8957CC359CCE} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {56B99869-37F2-43AE-B139-4EA673E0B3D3} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {597E9041-E96C-4F38-AD12-FC9A35CD3A26} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {5E770B03-1937-4892-AD85-A5FB76945FF7} - System32\Tasks\{7D31756F-263E-4B5F-8BDD-4B9285691539} => pcalua.exe -a "C:\Users\Mateusz\Downloads\user_files (1).exe" -d C:\Users\Mateusz\Downloads Task: {5FEE9EFB-86E7-4064-887A-DDE6E1278C8B} - \CCleanerSkipUAC -> Brak pliku Task: {808096E1-9F8F-456A-97FA-8D577767AEE7} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-543564396-1890180113-2280842612-1002UA => C:\Users\Mateusz\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: {9587C137-EFD3-498A-BC20-291578EB2A75} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-543564396-1890180113-2280842612-1002Core => C:\Users\Mateusz\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: {AAA2AF8C-9EC2-4263-8E37-2E93D92C305A} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {CEF0505E-6B8E-4148-980F-E58D8FF14326} - System32\Tasks\{CBD4585B-6D24-4B3C-985A-DC56320EF94E} => pcalua.exe -a C:\WINDOWS\lsb_un20.exe -c /C=UC /N=Tunatic Task: {D21434B4-1ADB-428B-BDEB-078A653C2D75} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {DAB10B24-3C90-427F-8C21-47388CA7E881} - System32\Tasks\{51F15548-928A-4BD7-AC11-A15A1BE9FEB6} => pcalua.exe -a C:\Users\Mateusz\Downloads\dsj3_skoczkowie_.exe -d C:\Users\Mateusz\Downloads Task: {E4726C40-79A7-4A4A-A41A-8474E9DCBF78} - \FoxTab -> Brak pliku Task: {E643D43B-8A7E-4BE9-9321-89DCCD21E12C} - System32\Tasks\{D5DC2E01-A36D-44D5-87FE-FE91CD4C8EDF} => Chrome.exe hxxp://ui.skype.com/ui/0/6.14.73.104.456/pl/abandoninstall?page=tsProgressBar Task: {F3FBF589-4FE2-4085-AF4E-4B4E52BDE7D5} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {F8AFF733-75A1-4CE3-A9D0-EFE131BFC689} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku S2 AGSService; "C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGSService.exe" [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKU\S-1-5-21-543564396-1890180113-2280842612-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=166 SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-543564396-1890180113-2280842612-1002 -> DefaultScope {0D4E4FA4-840F-43EA-9909-8099981EB9FB} URL = SearchScopes: HKU\S-1-5-21-543564396-1890180113-2280842612-1002 -> {0D4E4FA4-840F-43EA-9909-8099981EB9FB} URL = FF HKLM-x32\...\Firefox\Extensions: [FFPDFArchitectConverter@pdfarchitect.com] - C:\Program Files (x86)\PDF Architect\FFPDFArchitectExt FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird => nie znaleziono DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Akamai NetSession Interface" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Autodesk Sync" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v HotKeysCmds /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IgfxTray /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Persistence /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Avira Systray" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Dolby Home Theater v4" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v mcpltui_exe /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v mcui_exe /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v Bluetooth.lnk /f C:\Program Files (x86)\Amazon C:\Program Files (x86)\Ateredomkefisp C:\Program Files (x86)\Nimaiedchdsp C:\Program Files (x86)\Pucupy C:\ProgramData\Temp C:\Users\Mateusz\AppData\Roaming\Checkers C:\Users\Mateusz\Desktop\Checkers.lnk CMD: dir /a "C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data" CMD: type "C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Local State" RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Ten Fix FRST (a konkretnie komenda ipconfig /flushdns) to miał być wykonany dopiero po czyszczeniu właściwego routera siedząc dokładnie w środowisku w którym występowały reklamy. W razie czego będzie do powtórzenia ta konkretna linia ze skryptu. Nie wiem do czego to podpiąć. Ja nie widzę żadnego aktywnego malware w raportach, poza już zakreślonymi adresami DNS.

Malware w firmware (BIOS/UEFI) owszem możliwe, z tym że to rozwiązania bardzo rzadkie, niekiedy tylko koncepcja teoretyczna, a celem są raczej instytucje a nie pojedyncze komputery domowe. Orientacyjnie ten i ten materiał. Osobiście nigdy nie natknęłam się na taki przypadek na komputerze domowym. Bardzo wątpię, że z tym mam tu do czynienia.