Trojan.Agent.xeh - Mks_vir online

[hoodedman]

1/ Witam serdecznie Wszystkich na Forum. Poniżej najprecyzyjniej, jak umiałem i starając się postępować zgodnie z regulaminem przedstawiam moje opowiadane (gatunek dreszczowiec)

 

2/ Problem rozpoczął się w połowie lutego przy otwieraniu strony, właściwie dowolnej (tvn24, onet, wp...) zainstalowany wówczas Awast wyświetlał komunikat o przerwaniu połączenia w związku z zagrożeniem zainstalowania konia trojańskiego. Próba neutralizacji Awastem (scan komputera i usunięcie plików nie przyniosły rezultatu). Awast o ile dobrze pamiętam, awanturował się o plik ntuser.dat. Pojawiły się dziwne foldery w C:\documents&settings\dane aplikacji\antoś\ ciągi niezrozumiałych cyfr i literek. Foldery te z jednoplikową zawartością udało mi się usunąć. To również nie przyniosło pożądanego rezultatu. W dalszym ciągu na stronach o małym prawdopodobieństwie zainfekowania awast przerywał połączenie i blokował zaciąganie konia trojańskiego.

 

3/ System został potraktowany combofixem.

 

4/ Znaleziona (online) i zastosowana cudowna kuracja/kombinacja gwarantująca 100% skuteczność

-Malwarebytes’ Anti-Malware

-Dr Web

-Combofix.

 

5/ Odinstalowany Awast, zainstalowany Microsoft Essentials Security i próby neutralizacji paskudztwa-też podpowiedź z sieci.

 

6/ Sytuacja poprawiła się(?!) na tyle, że komputer działa normalnie(?!) strony otwierają się bez żadnych alertów, Microsoft Essentials Security siedzi cicho, SpyBot nic nie pokazuje i tylko MKS Vir skaner online wyświetla do czasu do czasu następujące komunikaty:

c:\system volume information\_restore{…..}\RP1\A0000063.com <-Znaleziono: Trojan.Agent.xeh

Termin od czasu do czasu - kilka skanów w ciągu dnia i czysto, następnego dnia , lub tego samego później komunikat o Trojan.Agent.xeh-oczywiście foldery RP zmieniają się, nazwa pliku (A00…) również. Skaner online bez problemu usuwa wskazane pliki. W jednym skanowaniu od 1 do 9 takich samych komunikatów, często 0.

 

7/ Kolejna spektakularna akcja: Wyłączenie przywracania systemu (i oczywiście skasowanie wszystkich dotychczasowych punktów) komputer w trybie awaryjnym i skanowanie tercetem z punktu 4, włączenie możliwości przywracania systemu, start komputera w trybie normalnym. I …

 

8/ Wracamy do punktu 6

 

9/ Odinstalowany ComboFix-też podpowiedź z sieci

 

10/ Mam jeszcze jeden tak samo zachowujący się komputer i tak samo potraktowany - komputery połączone w sieć. Do punktu 5 działania przy rozłączonej sieci. Ogólnie sieć stworzona z 4 komputerów, ale dwa praktycznie nie włączane od niepamiętnych czasów.

 

11/ Niestety dopiero wczoraj znalazłem Forum Fixitpc, więc pewnie zdążyłem narobić niemało głupot (przynajmniej w świetle tego, co zdążyłem już na Waszym Forum przeczytać. Jeżeli kogoś rozbawiła do łez moja radosna twórczość to też dobrze-potrafię znaleźć dystans do własnej wiedzy (właściwie indolencji) w temacie. Będę wdzięczny za jakąkolwiek informację, nawet jeżeli najprościej będzie obydwa komputery zaorać.

 

12/ Pozdrowienia dla Wszystkich - Darek.

 

OTL.Txt

Extras.Txt

gmer.txt

 

CHECKUP

Results of screen317's Security Check version 0.99.9

Windows XP Service Pack 3

Internet Explorer 8

``````````````````````````````

Antivirus/Firewall Check:

Microsoft Security Essentials

Antivirus up to date!

```````````````````````````````

Anti-malware/Other Utilities Check:

Malwarebytes' Anti-Malware

CCleaner (remove only)

Java 6 Update 20

Out of date Java installed!

Adobe Flash Player 10.1.53.64

Adobe Reader 9.1.3 - Polish

Out of date Adobe Reader installed!

Mozilla Firefox (3.6.14)

````````````````````````````````

Process Check:

objlist.exe by Laurent

Windows Defender MSMpEng.exe

Microsoft Security Essentials msseces.exe

Microsoft Security Client Antimalware MsMpEng.exe

``````````End of Log````````````

[picasso]

Log z GMER robiony w nieprawidłowych warunkach, podczas aktywności sterownika emulacji napędów wirtualnych:

 

DRV - [2009-09-03 15:49:27 | 000,721,904 | ---- | M] () [Kernel | Boot | Running] -- C:\WINDOWS\System32\Drivers\sptd.sys -- (sptd)

 

W podanych raportach nie notuję żadnych śladów infekcji czynnej, jedynie statyczne ostałe się zapisy trojanów w konfiguracji zapory:

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Documents and Settings\Antoś\Dane aplikacji\xmxfvssx3nprlufjnbkjfqmzrdqflptu2\svcnost.exe" = C:\Documents and Settings\Antoś\Dane aplikacji\xmxfvssx3nprlufjnbkjfqmzrdqflptu2\svcnost.exe:*:Enabled:ldrsoft
"C:\Documents and Settings\Antoś\Dane aplikacji\lzmzvr1gn3x2ttruidr1utqvkfmnufa2\csrss.exe" = C:\Documents and Settings\Antoś\Dane aplikacji\lzmzvr1gn3x2ttruidr1utqvkfmnufa2\csrss.exe:*:Enabled:ldrsoft

Prócz powyższego, możemy wyczyścić Firefox i Internet Explorer pogwałcone przez śmiecia "Fast Browser Search" i posprzątać miejsca tymczasowe.

 

1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej:

 

:OTL
FF - prefs.js..browser.search.defaultenginename: "Fast Browser Search"
FF - prefs.js..browser.search.defaultthis.engineName: "Fast Browser Search"
FF - prefs.js..browser.search.defaulturl: "http://www.fastbrowsersearch.com/results/results.aspx?s=DEF&v=19&q="
FF - prefs.js..browser.search.order.1: "Fast Browser Search"
FF - prefs.js..browser.search.selectedEngine: "Fast Browser Search"
FF - prefs.js..keyword.URL: "http://www.fastbrowsersearch.com/results/results.aspx?s=NAUS&v=19&tid={D16EAD86-7D5D-313A-D48C-174921C7A376}&q="
[2009-12-03 11:58:37 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\Antoś\Dane aplikacji\Mozilla\Firefox\Profiles\yafjuyvs.default\extensions\{C2DCA7EB-22D2-4FD2-86A9-F99FCC8122BB}
[2009-12-03 11:40:35 | 000,005,413 | ---- | M] () -- C:\Documents and Settings\Antoś\Dane aplikacji\Mozilla\Firefox\Profiles\yafjuyvs.default\searchplugins\fast-browser-search.xml
O3 - HKLM\..\Toolbar: (no name) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - No CLSID value found.
O3 - HKU\S-1-5-21-1202660629-1993962763-682003330-1003\..\Toolbar\WebBrowser: (no name) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - No CLSID value found.
 
:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"C:\Documents and Settings\Antoś\Dane aplikacji\xmxfvssx3nprlufjnbkjfqmzrdqflptu2\svcnost.exe"=-
"C:\Documents and Settings\Antoś\Dane aplikacji\lzmzvr1gn3x2ttruidr1utqvkfmnufa2\csrss.exe"=-
 
:Commands
[emptyflash]
[emptytemp]

Rozpocznij przyciskiem Wykonaj skrypt. System zostanie zresetowany i otrzymasz log z czyszczenia.

 

2. Do oceny: nowe logi z OTL z opcji Skanuj + log uzyskany z czyszczenia.

 

 

6/ Sytuacja poprawiła się(?!) na tyle, że komputer działa normalnie(?!) strony otwierają się bez żadnych alertów, Microsoft Essentials Security siedzi cicho, SpyBot nic nie pokazuje i tylko MKS Vir skaner online wyświetla do czasu do czasu następujące komunikaty:

c:\system volume information\_restore{…..}\RP1\A0000063.com

Termin od czasu do czasu - kilka skanów w ciągu dnia i czysto, następnego dnia , lub tego samego później komunikat o Trojan.Agent.xeh-oczywiście foldery RP zmieniają się, nazwa pliku (A00…) również. Skaner online bez problemu usuwa wskazane pliki. W jednym skanowaniu od 1 do 9 takich samych komunikatów, często 0.

 

Należy sobie zadać pytanie: czy MKS na pewno ma rację i jest to prawdziwe zagrożenie. Ten plik *.com wygląda na kopię jednego z narzędzi ekstraktowanych z ComboFix. Tak się składa, że MKS właśnie wykrywa w ComboFix hasło "Trojan.Agent.xeh", a skoro ComboFix był tu stosowany, logicznym przypuszczeniem jest, że MKS nadziewa się na składnik ComboFixa. Tu masz wyniki z MKS na flakach narzędzia, wykrywa jako trojana narzędzie pv.com:

 

 

Można także wytłumaczyć fakt, że zmieniają się katalogi w System Volume Information = składnik wyekstraktowany z ComboFix przypuszczalnie nadal siedzi gdzieś na dysku w lokalizacji obejmowanej przez Przywracanie systemu, a Przywracanie systemu tworzące na bieżąco punkty uwzględnia ten plik i jest on powielany w każdym kolejnym punkcie. Mówiłeś, że ComboFix odinstalowałeś zgodnie z instrukcją. W takim przypadku:

 

• Przeszukaj dysk systemowy na nazwę pv.com, a jeśli coś znajdziesz, usuń.
  
• Usuń też katalog z kopią rejestru wytworzoną przez ComboFix C:\WINDOWS\ERDNT
  
• Na koniec ręcznie wyczyść foldery Przywracania systemu: INSTRUKCJE
  

 

Notabene: MKS to przestarzały i upadły skaner i można poddawać w wątpliwość jego skuteczność w dzisiejszych czasach. Podobnie: Spybot Search & Destroy to archaizm i sugeruję deinstalację. Dziś antywirusy już adresują zagadnienie "spyware" i wystarczy jako uzupełnienie tylko dobry skaner na żądanie, a za taki uważam MBAM. Ponadto, na przyszłość: pobierałeś Dr. Web CureIt chyba z dobreprogramy.pl, o czym może świadczyć stała nazwa pliku "launch.exe". Strona domowa narzędzia (KLIK) proponuje całkiem co innego, odporniejszy na wyłączenie plik, bo o zmiennej losowej nazwie. Niestety ostatnio strona domowa dodała uciążliwość do pobierania, czyli należy wypełnić nazwę użytkownika + e-mail (można wpisać fałszywe dane, gdyż nie jest to potwierdzane) oraz serię idiotycznych pytań i anty-spambot kod weryfikacji Captcha.

 

 

 

.

[hoodedman]

Witam serdecznie. Opis zgodny z chronologią działań.

 

1/ Wykonany skrypt w OTL.

otlskrypt_20110307_0933.txt

 

2/ Przeszukany dysk systemowy na obecność pv.com - nic nie znaleziono/nic nie usunięto.

 

3/ Usunięty katalog C:\WINDOWS\ERDNT

 

4/ Zgodnie z instrukcją wyczyszczone foldery przywracania systemu.

 

5/ Za pomocą panelu administracyjnego /dodaj usuń programy deinstalacja:

-skaner online MKS_vir

-Spy Bot Search & Destroy

-HiJack This

 

6/ Pobrane ze wskazanej strony domowej Dr. Web CureIt

 

7/ Skan OTL przy zalecanych nastawach. Niestety mimo podwójnej próby nie został wygenerowany raport Extras.txt, nie mogę znaleźć błędu (pewnie banalnego) po mojej stronie.

OTL.Txt

 

7/ Dziękuję i pozdrawiam.

[picasso]

Skrypt prawidłowo wykonany, ale w OTL "Fast Browser Search" jak stoi tak stało, konfiguracja Firefox znów została przejęta:

 

FF - prefs.js..browser.search.defaultenginename: "Fast Browser Search"
FF - prefs.js..browser.search.defaultthis.engineName: "Fast Browser Search"
FF - prefs.js..browser.search.defaulturl: "http://www.fastbrowsersearch.com/results/results.aspx?s=DEF&v=19&q="
FF - prefs.js..browser.search.order.1: "Fast Browser Search"
FF - prefs.js..browser.search.selectedEngine: "Fast Browser Search"
FF - prefs.js..keyword.URL: "http://www.fastbrowsersearch.com/results/results.aspx?s=NAUS&v=19&tid={D16EAD86-7D5D-313A-D48C-174921C7A376}&q="
[2011-03-07 09:33:53 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\Antoś\Dane aplikacji\Mozilla\Firefox\Profiles\yafjuyvs.default\extensions\{C2DCA7EB-22D2-4FD2-86A9-F99FCC8122BB}
[2011-03-07 09:33:57 | 000,005,455 | ---- | M] () -- C:\Documents and Settings\Antoś\Dane aplikacji\Mozilla\Firefox\Profiles\yafjuyvs.default\searchplugins\fast-browser-search.xml

Już miałam kiedyś taki przypadek na innym forum i stanęło na niczym. "Z powietrza" ten śmieć się rekonstruował w Lisku. Otwórz przeglądarkę, w pasku adresów wklep about:config i zapuść szukanie na ciągi Fast Browser Search + fastbrowsersearch.com. Przedstaw wyniki.

 

 

Skan OTL przy zalecanych nastawach. Niestety mimo podwójnej próby nie został wygenerowany raport Extras.txt, nie mogę znaleźć błędu (pewnie banalnego) po mojej stronie.

 

Oj, chyba nieuważny jesteś. Extras jest tylko wtedy generowane, gdy opcja "Rejestr - skan dodatkowy" jest ustawiona na "Użyj filtrowania". Uruchomienie OTL więcej niż raz powoduje samoprzestawienie się tej opcji na "Brak" i należy ręcznie to przestawić. Extras po raz drugi w tym konkretnym przypadku nie jest mi jednak już potrzebny, umiem sobie "dośpiewać" dane na podstawie raportów.

 

 

Za pomocą panelu administracyjnego /dodaj usuń programy deinstalacja:

-skaner online MKS_vir

-Spy Bot Search & Destroy

 

1. Kontrolka nie została wymontowana z Internet Explorer:

 

O16 - DPF: {68282C51-9459-467B-95BF-3C0E89627E55} "http://www.mks.com.pl/skaner/SkanerOnline.cab" (MksSkanerOnline Class)

- Uruchom Opcje internetowe > Programy > Zarządzaj dodatkami > wyszukaj MKS i Wyłącz.

- Przejdź do folderu C:\Windows\Downloaded Program Files, z prawokliku na MksSkanerOnline Class z menu kontekstowego wybierz opcję usuwania kontrolki.

 

2. Jeszcze usuń wszystkie pliki o modelu nazwy hosts.*.backup, to kopie pliku HOSTS utworzone przez Spybota, oraz katalogi:

 

[2011-02-28 11:46:11 | 000,429,281 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.20110228-150711.backup
[2011-02-28 09:57:48 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.20110228-114611.backup
[2011-02-18 11:25:13 | 000,429,996 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.20110225-104656.backup
[2011-02-18 10:00:02 | 000,429,996 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.20110218-112513.backup
[2011-02-16 14:58:45 | 000,429,996 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.20110218-100002.backup
 
[2011-02-16 14:51:29 | 000,000,000 | ---D | C] -- C:\Program Files\Spybot - Search & Destroy
[2011-02-16 14:51:29 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy
[2011-02-16 13:36:03 | 000,000,000 | ---D | C] -- C:\Program Files\SkanerOnline

 

Pobrane ze wskazanej strony domowej Dr. Web CureIt

 

Podawałam to na przyszłość. W aktualnej chwili nieużyteczne, już nim skanowałeś. Zaś sam skaner jest tzw. "jednorazowego użytku", nie potrafi się aktualizować i musi być pobierany za każdym razem od początku.

 

 

.

[hoodedman]

1/ Wyniki z Firefox'a - about:config

 

2/ Odnośnie braku raportu EXTRAS.txt - Oj, oj NIEUWAŻNY JESTEM - oczywiście masz rację! Dwa razy się wpatrywałem i ...Pozostaje przeprosić za gapowatość własną (poniedziałkową tylko mam nadzieję... )

 

3/ Kontrolka wymontowana, wskazane przez Ciebie pliki i foldery usunięte!

 

4/ Odnośnie Dr.Web pozostaje wiedza na przyszłość, którą wysoce sobie cenię.

 

5/ Pozdrawiam Darek

[picasso]

Te wyniki z about:config to już mi znane, widoczne w OTL. Wydaje mi się, że tam musi być więcej tego szajsu. Może zróbmy inaczej: dostarcz pełny plik konfiguracji Firefox, a ja sama go sobie obejrzę w całości. Wejdź do katalogu C:\Documents and Settings\Antoś\Dane aplikacji\Mozilla\Firefox\Profiles\yafjuyvs.default, przekopiuj na Pulpit plik prefs.js, zapakuj do ZIP > na jakiś hosting > podaj link.

[hoodedman]

W podanej lokalizacji znalazłem dwa pliki, nie wiem czy to to samo podaję linki do obu:

hxxp://rh.antonnet.pl/fixitpc/prefs.js.rar

hxxp://rh.antonnet.pl/fixitpc/prefs.rar

[picasso]

W podanej lokalizacji znalazłem dwa pliki, nie wiem czy to to samo podaję linki do obu

 

Ten drugi plik to kopia zapasowa *.BAK.

 

 

---

Tak jak przypuszczałam, jest więcej zapisków tego reklamiarza, czyli jeszcze kolekcja dodanych wtórnie wartości fbstoolbar oraz zmodyfikowany User Agent z dostawionym FBSMTWB.

 

1. Firefox musi być zamknięty podczas operacji.

 

2. Usuń z dysku przez SHIFT+DEL te dwa komponenty "Fast Browser Search":

 

C:\Documents and Settings\Antoś\Dane aplikacji\Mozilla\Firefox\Profiles\yafjuyvs.default\extensions\{C2DCA7EB-22D2-4FD2-86A9-F99FCC8122BB}

C:\Documents and Settings\Antoś\Dane aplikacji\Mozilla\Firefox\Profiles\yafjuyvs.default\searchplugins\fast-browser-search.xml

 

3. Plik prefs.js (właściwy a nie BAK) otwórz do edycji w Notatniku i wytnij z niego cały ten blok:

 

user_pref("fbstoolbar.Var1", "0");
user_pref("fbstoolbar.Var10", "0");
user_pref("fbstoolbar.Var2", "0");
user_pref("fbstoolbar.Var3", "0");
user_pref("fbstoolbar.Var4", "0");
user_pref("fbstoolbar.Var5", "0");
user_pref("fbstoolbar.Var6", "0");
user_pref("fbstoolbar.Var7", "0");
user_pref("fbstoolbar.Var8", "0");
user_pref("fbstoolbar.Var9", "0");
user_pref("fbstoolbar.cl_fbst", "0");
user_pref("fbstoolbar.guid", "%7BD16EAD86-7D5D-313A-D48C-174921C7A376%7D");
user_pref("fbstoolbar.homeURL", "http%3A//lps.mytattoons.com");
user_pref("fbstoolbar.installationType", "1");
user_pref("fbstoolbar.langID", "23");
user_pref("fbstoolbar.popupblockedcnt", "68");
user_pref("fbstoolbar.settings.fbsdefaultprovider", "1");
user_pref("fbstoolbar.toolbarType", "1");
user_pref("fbstoolbar.vValue", "19");
user_pref("fbstoolbar.wHomePage", "0");

Usuń także te linie (to wartości występujące w Firefox, ale przy domyślnych ustawieniach nie są obecne w prefs.js strony użytkownika):

 

user_pref("browser.search.defaultenginename", "Fast Browser Search");
user_pref("browser.search.defaultthis.engineName", "Fast Browser Search");
user_pref("browser.search.defaulturl", "http://www.fastbrowsersearch.com/results/results.aspx?s=DEF&v=19&q=");
user_pref("browser.search.order.1", "Fast Browser Search");
user_pref("browser.search.selectedEngine", "Fast Browser Search");
user_pref("keyword.URL", "http://www.fastbrowsersearch.com/results/results.aspx?s=NAUS&v=19&tid={D16EAD86-7D5D-313A-D48C-174921C7A376}&q=");
user_pref("general.useragent.override", "Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.14) Gecko/20110218 Firefox/3.6.14 FBSMTWB");

4. Zastartuj Firefox > zamknij go > zastartuj ponownie i zrób log z OTL, który ma poświadczać zaistniałe zmiany.

 

 

 

.

[hoodedman]

Witam, wykonane według zaleceń.

OTL.Txt

Extras.Txt

[picasso]

Zakładam, że się nie pomyliłeś i: edycja prefs.js odbywała się przy całkowicie zamkniętym Firefox oraz na właściwym pliku (a nie BAK). Problem - śmieć wrócił:

 

FF - prefs.js..browser.search.defaultenginename: "Fast Browser Search"
FF - prefs.js..browser.search.defaultthis.engineName: "Fast Browser Search"
FF - prefs.js..browser.search.defaulturl: "http://www.fastbrowsersearch.com/results/results.aspx?s=DEF&v=19&q="
FF - prefs.js..browser.search.order.1: "Fast Browser Search"
FF - prefs.js..browser.search.selectedEngine: "Fast Browser Search"
FF - prefs.js..keyword.URL: "http://www.fastbrowsersearch.com/results/results.aspx?s=NAUS&v=19&tid={436D0D8E-5551-AAA4-E1EE-734D5DC98894}&q="
[2011-03-08 11:02:04 | 000,000,000 | ---D | M] (No name found) -- C:\Documents and Settings\Antoś\Dane aplikacji\Mozilla\Firefox\Profiles\yafjuyvs.default\extensions\{C2DCA7EB-22D2-4FD2-86A9-F99FCC8122BB}
[2011-03-08 11:02:05 | 000,005,407 | ---- | M] () -- C:\Documents and Settings\Antoś\Dane aplikacji\Mozilla\Firefox\Profiles\yafjuyvs.default\searchplugins\fast-browser-search.xml

Nie widzę innego wyjaśnienia niż to, że jest tego o wiele więcej i nie tylko w prefs.js. Cóż, zaczynamy szukanie.

 

1. Uruchom OTL, wszystkie sekcje ustaw na Brak / Żadne, w polu Własne opcje skanowania / skrypt wklej:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla /S
HKEY_LOCAL_MACHINE\SOFTWARE\MozillaPlugins /S
HKEY_CURRENT_USER\Software\MozillaPlugins /S
DIR /S /A "C:\Documents and Settings\Antoś\Dane aplikacji\Mozilla\Firefox" /C
DIR /S /A "C:\Program Files\Mozilla Firefox" /C

Klik w Skanuj (a nie Wykonaj skrypt!)

 

2. Przedstaw log wynikowy.

 

 

 

.

[hoodedman]

Firefox był zamknięty i plik też właściwy. Sprawdzałem dokładnie.

Log skanowania:

OTL.Txt

Edytowane 28 Kwietnia 2011 przez picasso
28.04.2011 - Temat FBS rozwiązany w kontynuacji http://www.fixitpc.pl/topic/3855-wybierz-program-ktorego-chcesz-uzyc/. Zamykam. //picasso