romala

Witam raz jeszcze - czy po tym skanie AdwClenera - dać usuń - czekam na info - nic nie zmieniałem okno programu wciąż aktywne.

Witam ponownie - plik log za duży wiec : http://kurierplikow.pl/pub/tekstowe/4an6887d03t6 dodatkowo AdwCleaner Aktualizacje działają ale wszystkich nie aktualizuje - czasem tak bywa, pewnie trzeba ręcznie kilka pobrac. Odinstalowałem tego antyvirusa premier (zkrakowany albo coś) wycioł mi z pena AdwCleanera. Czekam na dalsze instrukcje. Tapeta jest normalnie usytuowana i daje sie zmieniać itp. AdwCleanerR0.txt

Witam ponownie. Dotarło do mie że może nie potrzebnie ale wykonałem za instrukcą z rekonstrukcji zapory: Wyniki : BFE - Nie można zaimportować F:\Naprawa BFEreg:nie wszystkie dane zostały pomyślnie zapisane w rejestrze. Niektóre klucze otwarte są przez system lub inne procesy. -- napęd usb sprawny Mpsdrv.reg - ok MpsSvc - ok SharedAccess - ok Skrypty wykonane. Odbudowa ręczna MpsSvc oraz SharedAccess - succesfully. Log FSS- załącznik : Czekam na dalsze instrukcje. Zapora załaczyła się, windows defender załaczył się i pobrał aktualizacje skanuje, windows update załaczyło się pobiera aktualizacje i instaluje. Zapora dostępna i można ją ustawiać również zaawansowane ustawienia. FSS.txt

Witam ponownie wykonałem skrypt oto wynik: Dalej nie działają usługi zapora etc te same kody błedów i brak możliwości uruchomienia usług. Fixlog.txt

Witam ponownie. Przesyłam logi - chyba nic się nie zmieniło Fixlog.txt FSS.txt

Usługi się nie zmieniają - jakby nie były zainstalowane. Co do ServicesRepair- włączyłem jako administrator- pojawiło sie okno : This ultility will reinstall Services commonly removed by exploits. Do you want to proceed? klikam yes kopjuje jakieś pliki - pojawiło sie też okno Services Repair is running.... a w nim napis Services Repair Complete. Kolejne okienko : Multiple Services have been reinstalled. You will need to reboot your computer. Rebot now? - klikam tak. Komputer się restartuje normalnie loguję się i uruchamiam FSS. Działa normalnie a oto wynik: Sprawdzam zaporę Kod 0x80070424 Windows Update - Usługa Windows Update nie może obecnie wyszukać aktualizacji, ponieważ usługa nie jest uruchomiona. Konieczne może być ponowne uruchomienie komputera. Windows Defender -Określona usługa nie istnieje jako usługa zainstalowana Kod błędu 0x80070424. Mam nadzieję że teraz wiecej informacji o które prosisz. Czekam co dalej Fixlog.txt FSS.txt

Witam ponownie - działania wykonane. Pliki - proszę Czekam na dalsze instrukcje:) Fixlog.txt FSS.txt

Witam ponownie i podaję pliki logu. Czekam na dalsze instrukcje Addition.txt Fixlog.txt FRST.txt

Witam ponownie. Komputer żyje po restarcie załaczam więc pliki - zaległy i nowe FRST i TDSSKiler. Czekam na dalsze instrukcje Addition.txt FRST.txt Shortcut.txt tdsskiler 14012015 po restarcie.txt tdsskiler 14012015.txt

Witam ponownie zgodnie z emailem piszę nowy post. Za bardzo poszedłem w regulamin i coś pokręciłem. Przepraszam. Faktyczie nie dołączyłem logu Gmer moja wina - instaluję net framework 4.5.2 i Kasperskiego TDSS wieczorem zrobię. Po instalacji netframework właczyłem IDtoll widzę że główne okno nie zawiera na razie żadnych wpisów. Już wiem co z tym Logiem Gmer - nie mogłem zaznaczyć wszystkich opcji po prawej stronie i dlatego zrezygnowałem. Wieczorem popracuję nad tym. Co do gmera nie udaje się załaczyć ptaszków po prawej stronie programu i nie generuje raportu - nie wiem czemu - prubowałem kilka razy. Witam ponownie: mam pliki logu TDSS i FSS Pliki które przesyłam do analizy wykonane w trybie awaryjnym. Przeglądałem Podgląd zdarzeń systemu i dziwna sprawa od października kolega ma kłopoty z dyskiem --na czerwono prawie cały dzienik systemu. Poza tym jest jeszcze jeden ciekawy wpis : Cyt: Na potrzeby każdej aplikacji ładowane są niestandartowe biblioteki dll. Administrator systemu powinien przejżeć listę bibliotek, aby upewnić się że są związane z zaufanymi aplikacjami. W sumie tyle - czekam na analizę logów i ewentualne sugestie co dalej. Jeszcze jedna sprawa - w mskonfigu wyłaczyłem kilka usług miedzy innymi taką: usługa szyfrowania dysków usługą Bitlocker, zdalne zarządzanie systemem Windows ws-management, usługi pulpitu zdalnego, usługi podstawowe modułu TPM, Steam client srevice, GReg service. Jeszcze raz dołaczam pliki FSS 08012015.txt TDSS 08012015 log.txt

Witam i dziękuję za zainteresowanie moim tematem. Więc - mamy 8:33 Koomputer uruchomiony - "normalnie" chyba jednak tak jest jak mówisz mam wrażenie braku kontroli. Po usunięciu śmieci wspomnianym wcześniej SpyHunterem (poczekałem jeszcze trochę) 24 wpisy w tym 8 ZeroAccess reszta Adavare - Helpers, Saltarmsmart, Win32/Lolipop, Web Sawe, Pup Optimizer pro, i YontoLayers - zrestartowałem system. Okno wspomniane wyżej CAD8B9.exe nie pojawiło się. Jest jeszcze okno o sterowniku cyt. : Sterownik Tages Protection wydawca Tages SA został zablokowany z powodu problemu ze zgodnością - zamknąłem okno. W tym momencie prubuję uruchomić IDTool ale nie załacza się Myślę że może spy - nie zrobił wszystkiego. Jest jeszcze jedna kwestia. Po ponownym uruchomieniu w trybie normalnym antyvirus zgłosił że znalazł MBR:\\.\PHYSICAL DRIVE 0\BOOT ---- MBRCidox-E[rtk]. Opcja usunięcie ze scanem, przerabiałem to 3 razy i nic nie dawało. Obecnie brak dostępu do czegokolwiek w trybie normalnym wyświetla mi okno menagera zadań i widzę że idtoll uruchomiło 3 razy- nie mogę nic wiecej zrobić wiec wcisnę guzik i sprubuję raz jeszcze. Udało się uruchomić instalację IDToll ale- Program Net Ramework4 nie został zainstalowany ponieważ Określona usługa nie istnieje jakko usługa zainstalowana faktycznie w systemie jest zainstalowane Net framework 1.1 i Netframework 4 klient. trzeba coś doinstalować. Kończy mi się czas na tę chwilę - po wyłączeniu kilku usług w msconfigu komputer włączył sie i działa narazie do wieczora tak zostawię. Pomyślę nad netframework jak wrócę sprubuję pobrać na innym kompie i zainstalować oraz ponowię instalację idtoll.

Witam ponownie na naszym forum wszystkich pomagających i tych co potrzebują pomocy. Dzisiaj Ja występuję w roli tego drugiego Proszę o pomoc w dwóch kwestiach o ile to możliwe komputer kolegi - pomagam jak mogę. 1) Pomoc w odszyfrowaniu plików na dysku. 2) Postawienie na nogi systemu operacyjnego. Sprawa zaczęła się według mojego kolegi przed sylwestrem, 29-30 grudnia 2014. Wtedy zauważył dziwnie zachowujące się ikony i zmieniające się nazwy rozszerzeń plików nad którymi pracował. Pliki Worda i Excela a także pliki zdjęć w dokumentach zaczęły mieć po kropce (itgjnld). Minęło kilka chwil i na ekranie pojawiło się okno którego treść pozwolę sobie przytoczyć: Your personal files are encrypted by CTB-Locker. Your dokuments, photos, databases and other important files have been encrypted with strongest encryption and uniqe key, generated for this computer. Priwate decryption key is stored on a secret internet server and nobody can decrypt your files until you pay and obtain the privat key. If you see the main locker window, follow the instruction on the locker. Overwise, it s seems that you or your antyvirus deleted the locker program. Now you have the last chanse to decrypt files. Open Hxxp://5kiuc45pat3qr6gd.onion.cab or hxxp://5kiuc45pat3qr6gd.tor2web.org in your browser. They are public gates to the secret server. 1. Download Tor Browser from hxxp://torprojekt.org/ 2. In the tor browser open the Hxxp://5kiuc45pat3qr6gd.onion/ Note that this server is avaible via Tor Browser only. Retry in 1 hour if site is not reachable. Write in the following public key in the input from on server. Avoid missprints. UCA4YE-ETZNGJ-HTW3GN-J43KCV-Q6WA60-JR3MIN-OAWFDB-WKL5HG ODKYTF-2A7HWI-JAEW4G-7SVVTV-2ZCXFK-M32FVF-6C52QN-OYM3XY M7IHAC-4BQAR4-LXDOY6-5ULLAV-G3ZNKE-ZNIJGJ-EKT6W4-YNQ7CV Follow the instructions on the serwer. The instructions are also saved to file named DecryptAllFilles.txt in Dokuments folder. You can open it and use copy paste for adres and key. Znalazłem pliki tekstowei 2KB z takim tekstem oraz pliki bitmapy z obrazem tej treści 3076KB są w kilku miejscach na całym dysku. Pliki tekstowe są zainfekowane (Win32/Filecoder.EA.Gen) ale bitmapy nie - tak informuje mnie mój nod32 z aktualną bazą - na komputerze. Co było robione : Malwarebytes Anti-Malware -1.0.1.711 tym kolega pozbył się komunikatów. Ja na jednym ze swoich komputerów a mam ich kilka przeskanowałem nodem online dysk za pomocą przystawki Esata wynik plik: Nod online (Win32/Filecoder.EA.Gen) Jako że mam na tym komputerze antywirusa AVG też zapuściłem. Wynik plik: AVGaswBoot (Win32:Malware-gen) W czasie pisania tego tekstu - w trybie awaryjnym na komputerze zainfekowanym leci Spyhanter4 z najnowszą bazą. Wyłapuje sporo tych śmieci widzę zeroacces 8 infekcji, usuwał też rokity kilka było jeden w MFT. Nie namierzyłem gdzie SpyHunter zapisuje logi - w jego folderze są jakieś ale to jakiś bełkot nienadający się do dalszej publikacji Jakby zaszyfrowany) chyba że się mylę w razie czego mogę dołączyć. Sprzęt zainfekowany: Komputer kolegi Packard Bell Easynote Tj65 system Win7 Home Premium 64bity 4GB ram Intel 2duo 2,13GHz, jeden dysk systemowy C Packard Bell 286,27GB, drugi 100MB System Reserved oraz trzeci partycja odzyskiwania 11,72 GB . Ogólnie komputer działa, grzeje się. Wentylator mocno pracuje ale jest stabilny.System ma zainstalowany program AWAST wersja premier, wspomniane wcześniej Malwarebytes Anti-Malware oraz SpyHunter4, Wise Disk Cleaner 8.39 oraz WiseRegistry Cleaner 8.31 - tych ostatnich nie używałem. Tyle wyczytałem w programach (dodaj usuń z panelu sterowania) W komputerze nie można nic zrobić z zaporą. Nie da sie jej załączyć ani modyfikować ustawień. Szukałem możliwości przywrócenia ustawień systemu ale data jest po 1 stycznia - nic wcześniej nie ma. Zastanawiałem się nad recovery - tam też powinna być opcja przywracania systemu lecz tego jeszcze nie próbowałem. Ogólnie znam się trochę na komputerach i potrafię sobie z nimi radzić ale tu potrzeba mądrzejszych głów od mojej. Mam mocny stacjonarny komputer z Systemem Vista Ultimate wszystkie aktualizacje i płatny program antywirusowy Nod32, przystawkę do wpinania dysku na esata i teoretycznie mógłbym przeskanować nim dysk kolegi ale czytając posty na naszym forum narazie dałem sobie po łapkach, ponieważ Nod może usunąć wszystko co potrzeba do odszyfrowania danych jeżeli jeszcze się da. Teraz cały czas skanuję Spyhunterem przerywam jak coś znajdzie usuwam i na nowo skanuję. Kolega nie był w stanie określić dokładnie jak nastąpiła infekcja. Program antywirusowy z komputera zainfekowanego napisał w informacjach że Explorer.exe infekuje się z URL: hxxp://dodejsapi.com/opt29f19c39a355a418ed7b3bf1 może to jakaś informacja. Spy... wywalił już sporo śmieci może teraz da sie coś więcej naprawić. Jeszcze jedno z dzisiejszego dnia - po jednym ze skanowań zażądał restartu ale -- się go nie doczekałem - na wiele sposobów próbowałem wyłączyć system ale ostatecznie wyłączyłem przyciskiem. Proszę o pomoc może uda sie uratować dane z dysku, czytając na naszym forum wypowiedzi administratora nie mam zbyt wiele nadziei - ale może to inny przypadek i warto sie tym zająć. Przy komputerze jestem w tym tygodniu wieczorami - praca do 18 jeżeli ktoś ma pomysł jak to ruszyć czekam na propozycję. Chciałbym pomóc koledze może się uda. Dołączam pliki z programów OTL, FRST, Gmer, AVG i Nod online Witam ponownie chciałbym dodać nowe informacje : 1. Komputer po konserwacji - pasta.... działa lepiej to dobrze 2. W trybie normalnego uruchamiania załącza się okno konsoli - w górnej części okna widnieje wpis : C:\Users\\Wujo\AppData\Roaming\CAD8b9\CAD8B9.exe --- wirusek? w tym trybie nie było dojścia ale w awaryjnym wyciąłem plik i przeniosłem na pulpit i zapakowałem rarem. 3. Podczas skanowania w trybie awaryjnym znalazło narazie 3 infekcje ZeroAccessJP : HKLM\System\controlset001\services\gupdate HKLM\System\controlset002\services\gupdate HKLM\System\controlset\services\gupdate mam nadzieję usunąć po zakończeniu skanowania. 4. W trybie normalnym pruba uruchomienia zapory kończy się błędem 0x80070424 5. Podczas skanowania SpyHuntera zatrymywał się na długo przy kluczach rejestru : HKCU\Software\Microsoft\Windows\Curent version\Policies\Eksplorer\Run HKCU\Software\Microsoft\Windows\Curent version\Policies\Eksplorer\Shell Execute Hooks Po minięciu tych ostatnich pojawiła się informacja o ZeroAccess. Jeśli jescze coś ustalę napiszę - pozdrawiam. 21:56 Jeszcze dodatkowo znalazło narazie 5 plików zarażonych ZeroAccess są w : C:\programfiles(x86)\Google Desktop\instal......(dwie linijki bełkotu) na życzenie przedstawię. Zaglądnąłem do rejestru i zobaczyłem niecodzienny wpis Klucza w : HKEY_Local_Machine\software\wow6432Node\ANZATVK95C -- Jego dane w oknie po prawej stronie też wyglądają jak bezładny bełkot i są to dwu liniowe wpisy, ale może to nic nie znaczy czekam na koniec skanu. Jeszcze jedna ciekawostka - system w trybie awaryjnym ale w usługach systemu brak zapory i centrum zabezpieczeń - porównuję z moją vistą może się mylę ale powinny być. Addition.txt AVGaswBoot.txt FRST.txt Nod online.txt OTL.Txt Shortcut.txt

Dziekuję slicznie za pomoc w ogarnięciu tego bałaganu Przepraszam za męskie wstawki nie zauważyłem poprostu sorry Przeinstalowuję programy o których Pisałaś komputer działa normalnie jeszcze raz dzieki -- temat zamknięty Mam nadzieję że jeszce razem ponaprawiamy co nie co, kompów sporo przewija sie u mnie ostatnimi laty ale pierwszy raz nie byłem pewien jakie będą skótki być może dlatego że mało czytam (brak czasu) ale będę sie starał.

Witam ponownie wykonałem usunięcie klucza w rejestrze który podałeś, wykonałem podany skrypt. Dodałem plik wynik scanu OTL. Jednak nie bardzo wiem czym wykonać scan services. Pobrałem program DLL Suite i podaję wynik scanu. Proszę o komentaż Czy innym programem wykonać scan? Plik jest długi chciałem dać worda ale napisało że nie mam uprawnień do wysyłania takich plików. Czekam na wypowiedź i pozdrawiam. SystemLook 30.07.11 by jpshortstuff Log created at 18:13 on 12/11/2012 by Wojciech Administrator - Elevation successful ========== filefind ========== Searching for "services.exe" C:\Windows\erdnt\cache\services.exe --a---- 279552 bytes [16:06 04/11/2012] [06:27 11/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B C:\Windows\System32\services.exe --a---- 279552 bytes [14:08 05/01/2012] [06:27 11/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6000.16386_none_cd28fe6bd05df036\services.exe --a---- 279552 bytes [08:35 02/11/2006] [09:45 02/11/2006] 329CF3C97CE4C19375C8ABCABAE258B0 C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a\services.exe --a---- 279040 bytes [10:48 12/11/2011] [22:33 18/01/2008] 2B336AB6286D6C81FA02CBAB914E3C6C C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe --a---- 279552 bytes [14:08 05/01/2012] [06:27 11/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B -= EOF =- OTL.Txt DLL Suite raport.txt

Witam serdecznie wszystkich którzy pomagają na tym forum a także tych co czytają pomocne informacje. Zacznę od początku Komputer Lenovo Think pad R61i mojego znajomego został zainfekowany, zaczęło sie od zniknięcia ikonek z trayu. Naprawiłem ikony (system vista busines sp2) 32bity antyvirus Eset Smart Secuity 5 system aktualizowany na bierząco tak jak i antywir. Parę dni temu znajomy zobaczył aktualizację antywira na ekranie inaczej niż zwykle klikął dalej i poleciało - odinstalowało program i teraz nie można go ponownie zainstalować. Wszystko wygląda podobnie jak tu :http://www.fixitpc.p...zji-zeroaccess/ czytałem i staram sie coś z tym zrobić. Mam dostep do internetu na tym koputerze oraz inne koputery stacjonarne potrzebne ewentualnie. Na nich mam możliwości przeglądania dysków za pomocą stacji dokującej dyski - tak dowiedziałem sie o infekcji (J:\Windows\Installer\{b5151880-5668-530d-48a2-c138ac1d34ae}\U\00000001.@ - Win32/Conedex.J koń trojański - wyleczony przez usunięcie - poddany kwarantannie [1]) , było to dziś rano na moim komputerze z podłączonym jego dyskiem. Prubowałem jak kolega odinstalować Eseta za pomocą deinstalatorów myśląc że to jest przyczyna niepowodzeń instalacji. Jednak bez powodzenia nadmienię że centrum zabezpieczeń uruchamia się, nie włącza sie zapora pisząc (nie można uruchomić usługi Centrum zabezpieczeń), nie działa też Windows Defender (nie można zainicjować aplikacji:0x80070006. Nieprawidłowe dojście). Instalacje Eset cofają się jak u kolegi zauważyłem w pdglądzie zdarzeń kod błedu tych nieudanych instalacji 1603 jeśli to coś pomorze. Jest jeszcze kwestia WMI które wciąż ma błędy 0x80004005 prawdopodobie to pokłosie infekcji ale nie jestem pewien. Idąc tym tropem dotarłem do windows instalera 3.11 chciałem go zainstalować ponownie i tu zaś ciekawostka bo system pisze że brak miejsca na dysku (wolne 250Gb). Uruhomiłem na nim do tej pory dwa programy :HitmanPro36 którego log załaczama obecnie leci na nim Comodo w trybie pełnego skanowania i znalazło (Disable UAC) ne tę chwilę. Proszę o pomoc w naprawie tego komputera i służę w miarę oczywiście czasu odpowiednimi logami etc programy się ściągnie zestaw już przygotowałem. Wklejam log z Hitmana : HitmanPro 3.6.2.173 [url="http://www.hitmanpro.com"]www.hitmanpro.com[/url] Computer name . . . . : NOTEBOOK-PC Windows . . . . . . . : 6.0.2.6002.X86/2 User name . . . . . . : Notebook-PC\Wojciech UAC . . . . . . . . . : Disabled License . . . . . . . : Trial (30 days left) Scan date . . . . . . : 2012-11-04 14:31:18 Scan mode . . . . . . : Normal Scan duration . . . . : 4m 19s Disk access mode . . : Direct disk access (SRB) Cloud . . . . . . . . : Internet Reboot . . . . . . . : No Threats . . . . . . . : 3 Traces . . . . . . . : 137 Objects scanned . . . : 1 665 014 Files scanned . . . . : 32 223 Remnants scanned . . : 358 560 files / 1 274 231 keys Miniport ____________________________________________________________________ Primary DriverObject . . . : 8A8D7B18 DriverName . . . . : \Driver\iaStor DriverPath . . . . : \SystemRoot\system32\DRIVERS\iaStor.sys StartIo . . . . . : 00000000 +0 IRP_MJ_SCSI . . . : 89E631E8 +0 Solution DriverObject . . . : 8A8D7B18 DriverName . . . . : \Driver\iaStor DriverPath . . . . : \SystemRoot\system32\DRIVERS\iaStor.sys StartIo . . . . . : 00000000 +0 IRP_MJ_SCSI . . . : 8D4A6C1A \SystemRoot\system32\DRIVERS\iaStor.sys+39962 Malware _____________________________________________________________________ C:\Users\Wojciech\AppData\Local\Temp\49EC.tmp -> Deleted Size . . . . . . . : 298 345 bytes Age . . . . . . . : 152.8 days (2012-06-04 19:48:20) Entropy . . . . . : 7.9 SHA-256 . . . . . : 9AA4E6959F9BDE8E7DF7FCE977C2C2F1E9D5A0D6C76290450E5D89718B865529 > G Data . . . . . . : Gen:Heur.FakeAV.2 (Engine A) > DrWeb . . . . . . : Trojan.Fakealert.30673 > Ikarus . . . . . . : Trojan.Win32.FakeAV!IK Fuzzy . . . . . . : 118.0 C:\Users\Wojciech\AppData\Local\Temp\8348.tmp -> Deleted Size . . . . . . . : 347 812 bytes Age . . . . . . . : 157.8 days (2012-05-30 18:42:02) Entropy . . . . . : 7.7 SHA-256 . . . . . : CBEB98B6C58E38AED52CFC2EEDB6ED9BBB881CF48165E0C9D788630501729A4F > G Data . . . . . . : Gen:Heur.FakeAV.2 (Engine A) > DrWeb . . . . . . : Trojan.Fakealert.30673 > Ikarus . . . . . . : Trojan-PWS.Win32.Tepfer!IK Fuzzy . . . . . . : 118.0 C:\Users\Wojciech\Downloads\SoftonicDownloader_dla_hitman-pro.exe -> Quarantined Size . . . . . . . : 373 416 bytes Age . . . . . . . : 0.0 days (2012-11-04 14:29:50) Entropy . . . . . : 8.0 SHA-256 . . . . . : AD2E53E617A85C7976A40742091377F5FF81B8FF267CBA9370E748B5D61EBB4B Product . . . . . : Softonic Downloader Publisher . . . . : Softonic Description . . . : Softonic Downloader Version . . . . . : 1.35.7.0 Copyright . . . . : Copyright (C) 2012 RSA Key Size . . . : 2048 Authenticode . . . : Valid Running processes : 3640 > DrWeb . . . . . . : Infected Fuzzy . . . . . . : 101.0 References HKU\S-1-5-21-1205817307-364171706-2712646163-1002\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\C:\Users\Wojciech\Downloads\SoftonicDownloader_dla_hitman-pro.exe Network Ports 173.194.70.113:80 2.21.36.220:80 208.91.168.36:80 209.85.148.149:80 217.110.110.231:80 90.84.55.33:80 90.84.55.73:80 94.127.76.140:80 95.110.163.141:80 Potential Unwanted Programs _________________________________________________ HKU\S-1-5-21-1205817307-364171706-2712646163-1002\Software\Softonic\ (Softonic) Cookies _____________________________________________________________________ C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Cookies:ad.yieldmanager.com C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Cookies:ads.idg.pl C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Cookies:doubleclick.net C:\Users\Administrator\AppData\Local\Google\Chrome\User Data\Default\Cookies:invitemedia.com C:\Users\Wojciech\AppData\Local\Google\Chrome\User Data\Default\Cookies:tradedoubler.com C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\17NJZK7D.txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\1K3G9128.txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\20ED86TE.txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\23M9YZ0V.txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\35DOR9LT.txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\3FYHW0B6.txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\5N17NLEL.txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\6EXOGM60.txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\6YAIA5YI.txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\70ZPXT26.txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\7UTSYM1G.txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\8UYVJRD0.txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\AXDVZE26.txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\CQNXTH27.txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\FVY4L5ZW.txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\GFJ5469A.txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\HN819TGY.txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\I2AFG2DQ.txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\JJ7CSONI.txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\LC8TAJTE.txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\M35NU4S6.txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\M872UABJ.txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\MYS6FVNQ.txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\OXFE87PY.txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\PAZK3CM6.txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\QCRLEVPA.txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\QTLN3IAI.txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\SFUZCH6Q.txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\TRF727VB.txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\U5DYMPEG.txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\USD0U2F2.txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\UVITEXVS.txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\UZEYCTZB.txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\VLNZB1I4.txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\WHD6T77T.txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\wojciech@ads.businessclick[1].txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\wojciech@ads.lzjl[2].txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\wojciech@adtech[1].txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\wojciech@atdmt[2].txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\wojciech@clicksor[2].txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\wojciech@content.yieldmanager[1].txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\wojciech@counter.hitslink[1].txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\wojciech@int.sitestat[1].txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\wojciech@int.sitestat[2].txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\wojciech@invitemedia[1].txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\wojciech@media6degrees[1].txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\wojciech@microsoftsto.112.2o7[1].txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\wojciech@myroitracking[1].txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\wojciech@yadro[2].txt C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Cookies\WY7D1R6U.txt C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:2o7.net C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ad.360yield.com C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ad.adocean.pl C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ad.fresh-market.pl C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ad.medigo.pl C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ad.yieldmanager.com C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ad.zanox.com C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:adbrite.com C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ads.businessclick.com C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ads.cyfrowe.pl C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ads.ecpm.pl C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ads.g24.pl C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ads.motmedia.pl C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ads.o2.pl C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ads.okazje.info.pl C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ads.ookla.com C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ads.otopr.pl C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ads.pointroll.com C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ads.szukajauto.pl C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ads.undertone.com C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:adserv.legitreviews.com C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:adserver.doba.pl C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:adserver.e-ipm.pl C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:advertising.com C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:adviva.net C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:apmebf.com C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:at.atwola.com C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:atdmt.com C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:bs.serving-sys.com C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:burstnet.com C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:casalemedia.com C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:counter.hitslink.com C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:cubegroup.122.2o7.net C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:daimlerag.122.2o7.net C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:doubleclick.net C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:edge.ru4.com C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:edsa.122.2o7.net C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:fastclick.net C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:getclicky.com C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:gmeurope.112.2o7.net C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:in.getclicky.com C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:int.sitestat.com C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:invitemedia.com C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:media6degrees.com C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:mediaplex.com C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:microsoftinternetexplorer.112.2o7.net C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:nissaneurope.112.2o7.net C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:pointroll.com C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:revsci.net C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:ru4.com C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:server.cpmstar.com C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:serving-sys.com C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:smartadserver.com C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:specificclick.net C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:stat.4u.pl C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:statcounter.com C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:static.getclicky.com C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:statse.webtrendslive.com C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:track.adform.net C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:tradedoubler.com C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:www.burstnet.com C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:www.etracker.de C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:www.googleadservices.com C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:yadro.ru C:\Users\Wojciech\AppData\Roaming\Mozilla\Firefox\Profiles\9lw7n5qm.default\cookies.sqlite:zedo.com Pozdrawiam i czekam na ewentualne sugestie. Witam ponownie wkleiłem dodatkowe plik logi programów. Nadmieniam iż po zainstalowaniu i przeskanowaniu programami których logi wkleiłem program antywirusowy zainstalował sie poprawnie i działa. Zapora zaaczyłe sie poprawnie i działa,jedynie windows defender nie uruchomił sie w ogóle. Zastanawiam sie czy mając program Eset smart Security walczyć o defendera - zasadniczo mogą sie zwalczać. Poradźcie co dalej z tym robić zaporę samodzielnie wyłaczyłem gdyż Eset smart security posiada swoją czy słusznie postępuję? Jest 20 z minutami po automatycznej aktualizacji windows defender pobrał aktualizację i właczył sie normalnie. Wygląda na to iż wrociło wszystko do normy. Pytanie -- co spowodowało te problemy i jak tego uniknąć w przyszłości. Pozdrawiam checkup.txt combofix.txt Extras.Txt OTL.Txt