picasso

Czy to log z właściwego konta, a może już coś było usuwane? W starcie nie ma skrótu tej infekcji, widać na dysku pliki ale nie linię uruchomienia.

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe
C:\Documents and Settings\All Users\Dane aplikacji\dsgsdgdsgdsgw.pad
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. System zostanie zrestartowany.

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

.

Skoro wydzieliłam temat w osobny, nie należało robić duplikatu ...

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\Users\Czeng\Documents\Startup\ctfmon.lnk
C:\ProgramData\lsass.exe
C:\ProgramData\dsgsdgdsgdsgw.pad
C:\Users\Czeng\AppData\Roaming\mozilla\firefox\profiles\yz0rqbgm.default\searchplugins\askcom.xml
C:\Users\Czeng\AppData\Roaming\mozilla\firefox\profiles\yz0rqbgm.default\searchplugins\yahoo-zugo.xml
 
:OTL
IE - HKU\S-1-5-21-1829530251-1756597012-3481016109-1000\..\SearchScopes\{0388404D-6072-4CEB-B521-8F090FEAEE57}: "URL" = "http://klit.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=741&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.4.0&install_country=PL&install_date=20120202&user_guid=51D8F4924C894D41B4B2C6BC829A8145&machine_id=85e3130b1f7a324a8fd698cb14eacce8&browser=IE&os=win&os_version=6.1-x86-SP1&iesrc={referrer:source}"
IE - HKU\S-1-5-21-1829530251-1756597012-3481016109-1000\..\SearchScopes\{31ADA11A-A289-40C8-9D1D-DE8FB2B1C711}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_NL&apn_ptnrs=U3&apn_dtid=OSJ000YYNL&apn_uid=5D3CF019-0C84-4FCA-88A5-5A6232CF59B3&apn_sauid=40423A67-14E5-4F24-8C4B-481E3F399082"
O4 - HKLM..\Run: []  File not found
O4 - HKLM..\Run: [NWEReboot]  File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab" (Reg Error: Value error.)
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany.

2. Przez Panel sterowania odinstaluj adware Ask Toolbar, Ask Toolbar Updater.

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

.

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:OTL
IE - HKU\S-1-5-21-1371275200-5856987-1658389378-1000\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found
IE - HKU\S-1-5-21-1371275200-5856987-1658389378-1000\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = "http://search.v9.com/web/?q={searchTerms}"
IE - HKU\S-1-5-21-1371275200-5856987-1658389378-1000\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = "http://search.v9.com/web/?q={searchTerms}"
O4 - HKU\S-1-5-21-1371275200-5856987-1658389378-1000..\Run: [ejdlprhlxnuwhxe] C:\ProgramData\ejdlprhl.exe ()
[2012-11-06 08:09:31 | 000,010,240 | ---- | C] (Microsoft Corporation) -- C:\ProgramData\zzzmsdrm.dll
[2012-11-06 08:04:41 | 000,000,000 | ---D | C] -- C:\ProgramData\xuznhgrdxuppyvh
[2012-11-06 08:04:40 | 000,078,043 | ---- | M] () -- C:\ProgramData\caneidtypjwitkd
[2012-09-03 19:25:11 | 000,000,402 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\v9.xml
[2011-12-31 22:55:26 | 000,460,624 | ---- | C] () -- C:\Users\Marek\AppData\Local\promo.exe
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main]
"Default_Page_URL"=-
"Start Page"="about:blank"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{1E7C4275-C6F6-4321-B076-09D67465E722}"
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany.

2. Przez Panel sterowania odinstaluj Splashtop Connect IE, Splashtop Connect for Firefox.

3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

.

przywracanie systemu nie mam tam zadnych dat tylko dzisiejsze czy moge jakos ustwic date

Niestety to oznacza, że modyfikacje musisz odwrócić ręcznie:

- Napraw komputer > Wiersz polecenia > wpisz regedit.

- Podświetl gałąź HKEY_LOCAL_MACHINE, z menu Plik wybierz Załaduj gałąź rejestru, wskaż do montowania plik systemu: C:\Windows\system32\config\SOFTWARE, przy pytaniu o nazwę roboczą wpisz byle co np. NAPRAWA.

- Pojawi się nowa ścieżka HKEY_LOCAL_MACHINE\NAPRAWA i wykonujesz w niej odwrotność tego, przywracając literkę C:

modyfikacje robilam przez regedit pokolei klucze az do c program files i w to miejsce wpisalam d

- Po edycji podświetl klucz HKEY_LOCAL_MACHINE\NAPRAWA i z menu Plik > Zwolnij gałąź rejestru

- Startujesz do Windows, w celu sprawdzenia efektywności wykonanej edycji ...

.

Wcześniej był inny nadawca (aretuza ... małpa ... fixitpc.nl), teraz jest picasso małpa i polska domena. Radzę Wam poczekać dobę i zrobimy nowe testy.

PS. Nie umieszczaj e-mail wprost w poście. Gratka dla botów spamujących.

Sprawdziłam na testowym koncie i otrzymałam powiadomienie e-mail o PW, tylko że wiadomość jest oflagowana jako "spam".

Dlaczego tak się dzieje już mówiłam i aktualizacja rekordów zajmie do 24 godzin.

Wysłałam testową PW, sprawdź czy e-mail doszedł.

Cytat

Z tym zapisywaniem kilkusekundowym nowego posta wszystko się zgadza.

Wątpię, bym tu coś zaradziła (i ja tego nie zauważyłam u siebie). Szczerze mówiąc nie widzę problemu. To tylko kilka sekund, post w bazie musi się zapisać. Może to "zasobność" posta ma coś do rzeczy.

Cytat

przy przeładowywaniu w czasie wspomnianego zapisywania już kilka razy zdublowało mi wpis, ale taka przypadłość chyba powinna być usuwana z automatu po krótkiej chwili. Może się mylę?

A tu nie wiem o czym mówisz. Czy to oznacza, że post jest tylko "wirtualnie" widziany jako podwójny i dubel sam zanika? Nie zauważyłam na forum rzeczywistych podwójnych postów.

Nie rozumiem o co pytasz. Należy bootować płytę i na ekranie instalacji Windows jest opcja "Napraw komputer".

"Kazałeś" = jestem kobietą. Zadania pomyślnie wykonane, wymagane tylko drobne poprawki.

1. Otwórz Google Chrome i wejdź do ustawień. W zarządzaniu wyszukiwarkami przestaw domyślną z Web Search na Google, po tym Web Search usuń z listy.

2. Otwórz Notatnik i wklej w nim:

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{C756EFEE-8575-4627-A6FC-0B5E2CB82738}"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{C756EFEE-8575-4627-A6FC-0B5E2CB82738}"
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{872B5B88-9DB5-4310-BDD0-AC189557E5F5}"=-
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{872b5b88-9db5-4310-bdd0-ac189557e5f5}"=-

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

3. Porządki po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie, "Stare dane programu Firefox" usuń z Pulpitu.

4. Wyczyść foldery Przywracania systemu: KLIK.

5. Zaktualizuj Windows i wyliczone poniżej programy: KLIK. Wg raportu brak SP1+IE9 dla Windows 7 oraz są zainstalowane wersje:

64bit- Home Premium Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216035FF}" = Java™ 6 Update 35
"{26A24AE4-039D-4CA4-87B4-2F83217007FF}" = Java 7 Update 7
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
"Adobe Shockwave Player" = Adobe Shockwave Player 11.5
"Google Chrome" = Google Chrome
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_287.dll ()

Skrót: pełna aktualizacja Windows, deinstalacja starych Adobe i Java przed wprowadzeniem najnowszych wersji.

.

Czy Ty na pewno uruchamiasz płytę przez bootowanie zanim załaduje się Windows a nie spod Windows?

Nie skończyliśmy przecież. Mówiłam wyraźnie:

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

.

Niewiem czemu drugi raz mi to wyskoczyło? Może przez antywirus? Możesz mi doradzić jak się uchronić przed ty problemem?

Dyskusja o tej infekcji: KLIK.

A te stare dane programu firefox to mam je usunąć czy moge je "wkleić" do przeglądarki bo miałem tam sporo zapisanych haseł oraz stron?

Przecież po to był właśnie reset, by wyczyścić Firefox z adware. Reset tworzy "Stare dane programu Firefox", które są już do wyrzucenia a nie do wstawiania na powrót (to zniszczy cały reset). Jak działa reset: KLIK. Zakładki i hasła są zachowane po resecie, nadal je masz, ale już na czystym nowym profilu Firefox.

Zadania wykonane i przechodzimy do wykończeń:

1. Wyczyść po narzędziach: w AdwCleaner użyj Uninstall, w OTL uruchom Sprzątanie.

2. Wyczyść foldery Przywracania systemu: KLIK.

3. Zaktualizuj Windows i poniżej wyliczone aplikacje: KLIK. Wg Twojego raportu są tu wersje:

64bit- Ultimate Edition  (Version = 6.1.7600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.7600.16385)
 
========== HKEY_LOCAL_MACHINE Uninstall List ==========
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]
"{26A24AE4-039D-4CA4-87B4-2F83216031FF}" = Java™ 6 Update 31
"{AC76BA86-7AD7-1045-7B44-AA1000000001}" = Adobe Reader X (10.1.0) - Polish
"{BB21B808-F784-4883-A4D4-B1473384C1C6}" = LibreOffice 3.5
"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)
"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Firefox)
 
FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_287.dll ()

Windows zupełnie nieaktualizowany (brak SP1+IE9), stara 32-bitowa Java™ 6 Update 31 do wyrzucenia, Adobe do zastąpienia najnowszymi wersjami, LibreOffice do aktualizacji.

PS. Widzę też Gadu-Gadu 10. Program zasobożerny i ciężki. Poczytaj o alternatywach z obsługą sieci Gadu, mniej dręczących zasoby: WTW, Kadu, Miranda, AQQ. Opisy: KLIK.

.

Log z OTL nieprawidłowo zrobiony, opcja Rejestr ustawiona na Wszystko, a ma być Użyj filtrowania. Proszę zrobić nowy poprawny log i wymienić w poście powyżej. Wtedy przejdę do usuwania infekcji (widoczna w raporcie).

.

Na obrazku Ochrona systemu jest całkowicie wyłączona dla wszystkich dysków, to oznacza że nie ma czego czyścić... I nie polecam wyłączania Przywracania systemu dla dysku z Windows. To cenna funkcja naprawcza, możliwa wykonawczo nawet gdy system nie startuje: WinRE.

.

Czytając różne poradniki jak zażegnać problem trafiłem na program ComboFix. Postępowałem zgodnie z podanymi

instrukcjami na stronie, przeskanował wszystko, miałem już pisać temat i dać ten log z ComboFix'a...

 

Dobrze że jeszcze przed tym dla upewnienia się znalazłem wpis że log z ComboFix'a tu nie jest wymagany.

Nie doczytałeś. Jeśli niestety już użyłeś ComboFix, to jego raport jest wymagany, bo musimy sprawdzić co robił program ... Nie uruchamiaj narzędzia ponownie, podaj log, który utworzył przy tamtym uruchomieniu. W raporcie OTL nie widać oznak tej infekcji, czyli ComboFix usuwał (raportu nie podałeś, by to można było zweryfikować). Ale i tak jest tu co robić. Jest adware, pocięte zapewne przez ComboFix w mało elegancki sposób.

1. Przez Panel sterowania odinstaluj adware AVG Security Toolbar, My Web Search, V9 HomeTool.

2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox.

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner oraz ów ComboFix z tamtego uruchomienia.

.

Mati1422, do uzupełniania wypowiedzi, gdy nikt jeszcze nie odpisał, służy opcją Edytuj. Oba posty powyżej sklejam. Zresetuj system i przejdź dalej. Ten log z usuwania, który wyskoczył, możesz też podać, ale to już na końcu z wszystkimi wymaganymi raportami.

Zasady działu na temat obowiązkowego zestawu logów: KLIK. AdwCleaner nie jest logiem obowiązkowym, zadaje się go dopiero przy specyficznych krokach. Użycie AdwCleaner nie pod tą infekcję i nie na tym etapie, najpierw się deinstaluje adware naturalną drogą, dopiero po tym używa AdwCleaner. Użycie na odwrót może skutkować pozostawieniem martwych wpisów. Użyłeś wadliwą starą wersję:

# AdwCleaner v2.005 - Logfile created 11/07/2012 at 07:41:34

# Running from : C:\Users\SA\Downloads\AdwCleaner_www.INSTALKI.pl.exe

Pobrałeś program z innego serwisu, a należało ze strony domowej (KLIK), tylko tam jest zawsze najnowsza stale aktualizowana wersja. Najnowszy AdwCleaner to 2.007. Użyta tu wersja 2.005 ma też błąd i robi większe zamieszanie w domyślnych wyszukiwarkach Internet Explorer ... Trzeba będzie to poprawiać ...

Log z OTL niekompletny, brakuje pliku Extras (opcja "Rejestr - skan dodatkowy" nie została ustawiona na "Użyj filtrowania"). Poza tym, log z OTL zrobiłeś przed użyciem AdwCleaner, a to oznacza, że ma nieświeże dane. Zrób nowy poprawny log OTL z plikiem Extras.

.

Zacznij od zasad działu jakie raporty są tu obowiązkowe: KLIK.

Wczoraj zaraził mi się komputer wirusem weelsof Cyberprzestępczość, na szczęście ma dostęp do drugiego, z tym że obydwa komputery działają na

tym samym routerze sieci domowej, nie chciałbym zarazić jednego od drugiego.

To nie jest wirus, nie przenosi się "po sieci".

Po włączeniu komputera w trybie normalnym jest tło pulpitu bez ikon i pojawia się informacja o zablokowaniu komputera.

Zastartuj do Trybu awaryjnego i zrób wymagane logi z OTL.

Chciałem prosić o pomoc w pozbyciu się tego wirusa. Znalazłem instrukcje programu ComboFix, z tym że podane jest w niej aby

skonsultować się z kimś kto się na tym zna. Nie podjąłem jeszcze żadnych działań, chciałem prosić o jakieś wskazówki.

Na temat używania ComboFix: KLIK. Jest niepotrzebny i nie będzie używany tu.

.

Czy robisz to w Trybie awaryjnym? Jeśli tak, to ze skryptu usuń tę końcówkę:

:Commands

[emptytemp]

.

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\Users\Beata\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
C:\ProgramData\lsass.exe
C:\ProgramData\0tbpw.pad
C:\Users\Beata\khjbkujgkyufgkuvfkj.SV6
C:\Users\Beata\AppData\Roaming\Mozilla\Firefox\Profiles\d7ipl36p.default\searchplugins\askcom.xml
 
:OTL
IE - HKU\S-1-5-21-3467566812-2452634914-583649669-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = "http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=7D452B6E-C62A-4261-9810-2F0163238E18&apn_sauid=3FE37E16-2E08-4F0B-ACAB-A284B2DBC5A1"
IE - HKU\S-1-5-21-3467566812-2452634914-583649669-1000\..\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}: "URL" = "http://127.0.0.1:4664/search&s=zzQrU1WyJ9DoAoYgzp65z_w5GE8?q={searchTerms}"
O2 - BHO: (no name) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O4 - HKLM..\Run: []  File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} "http://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab" (Reg Error: Value error.)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} "http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab" (Reg Error: Key error.)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIMMP)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\drivers\BCM42RLY.sys -- (BCM42RLY)
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. System zostanie zrestartowany. Blokada zniknie.

2. Przez Panel sterowania odinstaluj paski Ask Toolbar, Ask Toolbar Updater, Yahoo! Toolbar.

3. Uruchom AdwCleaner i zastosuj Delete. Na dysku C powstanie log z usuwania.

4. Zrób nowy log OTL z opcji Skanuj (już bez Extras). Dołącz log utworzony przez AdwCleaner.

.

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

:Files
C:\Documents and Settings\Sikora\Menu Start\Programy\Autostart\ctfmon.lnk
C:\Documents and Settings\All Users\Dane aplikacji\lsass.exe
C:\Documents and Settings\All Users\Dane aplikacji\netdislw.pad
 
:OTL
IE - HKCU\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - SOFTWARE\Classes\CLSID\{08C06D61-F1F3-4799-86F8-BE1A89362C85}\InprocServer32 File not found
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {472734EA-242A-422B-ADF8-83D1E48CC825} - No CLSID value found.
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\UIUSYS.SYS -- (UIUSys)
DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\adiusbaw.sys -- (adiusbaw)
 
:Reg
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2]
 
:Commands
[emptytemp]

Klik w Wykonaj skrypt. System zostanie zrestartowany i odblokowany.

2. Zrób nowy log OTL z opcji Skanuj (już bez Extras).

.

Logi z OTL zrobione z poziomu nieprawidłowego konta, wbudowanego w system Administratora a nie konta użytkownika:

Computer Name: BACHORZ-FBA0242 | User Name: Administrator | Logged in as Administrator.

Konto świeżo inicjowane (nowy katalog na katalogu). Logi muszą być zrobione z poziomu konta na którym jest problem. Konta mają inne inne rejestry i foldery. Infekcja działająca po stronie bieżącego użytkownika nie jest widoczna z poziomu innego konta. Zaloguj się na właściwe konto, wytwórz nowe logi, podmień w pierwszym poście załączniki i na PW daj znać o edycji.

.

Nie, to nie jest normalne, chyba że masz ogromną ilość plików tymczasowych (wtedy może rzeczywiście mielić skrypt). Jeśli OTL nie daje oznak życia, wymuś restart, przejdź w Tryb awaryjny i powtórz zadanie ze skryptem. Ale już kolejne punkty instrukcji należy wykonać w Trybie normalnym.

.

Log z OTL zrobiony z poziomu złego konta, wbudowanego w system Administratora a nie konta użytkownika:

Computer Name: MATEUSZ-CH | User Name: Administrator | Logged in as Administrator.

To konto nawet nie było czynne przed akcją (świeży zrzut katalogu na dysk). Logi muszą być zrobione z poziomu konta na którym jest problem. Konta mają inne inne rejestry i foldery. Infekcja działająca po stronie bieżącego użytkownika nie jest widoczna z poziomu innego konta. Proszę zalogować się na właściwe konto, zrobić nowe logi, podmienić w pierwszym poście załączniki i na PW dać znać o edycji.

.