Miszel03

W pkt. 3 mojego poprzedniego posta prosiłem tylko o wykonanie skanowania, bez stosowania opcji Oczyść. AdwCleaner jest bardzo dobrym narzędziem, ale trzeba z nim uważać, dlatego zawsze proszę o sam skan, by zweryfikować wyniki. W tym przypadku wyniki nadawały się do usunięcia, więc pół biedy. Z mojej strony sytuacja wygląda już w porządku, napisz teraz jak wygląda to z Twojej strony, czy problem ustąpił itd.

W raportach brak oznak infekcji. Rucek dobrze mówi, - to może być jakiś problem sprzętowy. Zaraz ktoś przeniesie Twój temat do działu Hardware, w którym dołączysz wymagane raporty - KLIK.

OK, będziemy kończyć. W razie dalszych problemów z szybkością pracy komputera załóż temat w dziale Pozostałe zagadnienia komputerowe. Usuń narzędzia diagnostyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) oraz zaktualizuj ważne programy - KLIK / KLIK.

Raport uzupełniony, więc możemy iść dalej. W raportach widoczne szkodliwe obiekty czyli m.in ustawione szkodliwe proxy, infekcja adware Albireo + wspomniany przez Ciebie UCGuard. Zaczynamy. 1. Włącz przywracanie systemu - KLIK. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [win_en_77] => [X] AutoConfigURL: [s-1-5-21-2293639786-2994818483-2183426564-1001] => hxxp://stoppblock.org/wpad.dat?4392482e72d26e5e142518eb8af879d514536945 ManualProxies: 0hxxp://stoppblock.org/wpad.dat?4392482e72d26e5e142518eb8af879d514536945 S3 Origin Client Service; "C:\Program Files (x86)\Origin\OriginClientService.exe" [X] S2 Origin Web Helper Service; "C:\Program Files (x86)\Origin\OriginWebHelperService.exe" [X] R1 UCGuard; C:\WINDOWS\System32\DRIVERS\ucguard.sys [81792 2016-08-02] (Huorong Borui (Beijing) Technology Co., Ltd.) S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\IObit\Game Booster 3\Driver\WinRing0x64.sys [X] 2016-07-30 12:48 - 2016-07-30 12:48 - 7129600 _____ () C:\Users\Dom\AppData\Roaming\agent.dat 2016-07-30 12:48 - 2016-07-30 12:48 - 0067968 _____ () C:\Users\Dom\AppData\Roaming\Config.xml 2016-07-30 12:48 - 2016-07-30 12:48 - 2279413 _____ () C:\Users\Dom\AppData\Roaming\Freshlight.bin 2016-07-30 12:47 - 2016-07-30 12:48 - 0014400 _____ () C:\Users\Dom\AppData\Roaming\InstallationConfiguration.xml 2016-07-30 12:47 - 2016-07-30 12:47 - 0129024 _____ () C:\Users\Dom\AppData\Roaming\Installer.dat 2016-07-30 12:48 - 2016-07-30 12:48 - 0018432 _____ () C:\Users\Dom\AppData\Roaming\Main.dat 2016-07-30 12:48 - 2016-07-30 12:47 - 0683520 _____ () C:\Users\Dom\AppData\Roaming\MatHotex.exe 2016-07-30 12:48 - 2016-07-30 12:48 - 1903257 _____ () C:\Users\Dom\AppData\Roaming\MatHotex.tst 2016-07-30 12:48 - 2016-07-30 12:48 - 0005568 _____ () C:\Users\Dom\AppData\Roaming\md.xml 2016-07-30 12:48 - 2016-07-30 12:48 - 0126464 _____ () C:\Users\Dom\AppData\Roaming\noah.dat Task: {014AE0B8-ECE3-4DB4-BF80-5B68E369F052} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe C:\Program Files (x86)\UCBrowser Task: {7878945C-058E-483B-BE81-EC762C0F86FF} - System32\Tasks\ComputerZLite => C:\Program Files (x86)\LdsLite\LdsLite.exe C:\Program Files (x86)\LdsLite Task: {5EA3EDBA-53A2-47E6-AE95-BC6E3BA18E65} - System32\Tasks\{FBDA17B3-D69F-4DF1-B7AA-55A6800E8C60} => pcalua.exe -a "C:\Program Files\SpaceSoundPro\uninstaller.exe" C:\Program Files\SpaceSoundPro WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Dom\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Dom\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9501e18d7c2ab92e\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 2" ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Dom\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://yeabests.cc CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Dom\AppData\Local CMD: dir /a C:\Users\Dom\AppData\LocalLow CMD: dir /a C:\Users\Dom\AppData\Roaming Hosts: RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy). 3. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut). Dołącz też plik fixlog.txt (raport wynikowy).

W raportach widać szczątki adware, raczej nie mającego związku z problemem. 1. Przez panel sterowania odinstaluj: Update for PriceFountain CloseProcesses:CreateRestorePoint: HKU\S-1-5-21-3789591651-800968812-4008709694-1001\...\Policies\Explorer: [] SearchScopes: HKU\S-1-5-21-3789591651-800968812-4008709694-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = S3 dbx; system32\DRIVERS\dbx.sys [X] Task: {13BCB9A3-F772-41D8-A8A0-2A33F8663D5C} - \WPD\SqmUpload_S-1-5-21-3789591651-800968812-4008709694-1001 -> Brak pliku Task: {35AB51A5-2184-4DFC-8FE7-162C5FEBC9F8} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {76845743-0E88-4674-9D2E-11FF0912D116} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {860ABD85-5A71-42E7-AEBE-DF82EFB055B1} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {C4AC48EB-0C92-4E22-90AC-4CA84D0C8D58} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {CF05495D-16DC-4B35-A2C6-4E69B72888DD} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy). 2. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 3. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt (raport wynikowy).

A jak wygląda sytuacja na innym pendrive?

W raportach brak oznak infekcji, system jest praktycznie w stanie świeżości. W raporcie UsbFix wykonanego z opcji Listing nie widzę żadnych podejrzanych obiektów. Rozważ zainstalowanie oprogramowania zabezpieczającego zamię Ci to dosłownie kilka minut, a w przyszłości może Ci naprawdę pomóc. Przy wyborze możesz posługiwać się serwisowym, autorskim materiałem na ten temat: Lista darmowych i komercyjnych programów zabezpieczających. Zdejmujemy z urządzenia F:\ wszystkie atrybuty, czyli: "tylko do odczytu" "systemowy" oraz "ukryty". 1. Otwórz menu Start, wyszukaj aplikację wiersza poleceń (CMD.EXE) > z prawokliku wybierasz "Uruchom jako administrator" i w oknie wklej attrib /d /s -r -s -h F:\* (pendrive ma być podłączony) 2. Sprawdź pendrivia i napisz jak wygląda sytuacja po tym działaniu?

Spróbuj z poziomu trybu awaryjnego (kliknij F8 przed startem systemu). Jeśli nie przyniesie to żadnych rezultatów to przejdź do następnego punktu.

Czy temat jest nadal aktualny?

Problem powoduję nowy wariant infekcji adware (modyfikujący usługę Themes). Przykład z forum: KLIK. Do tego w raportach widać jeszcze inne rodzaje adware. Moja pomoc ogranicza się do usunięcia infekcji z systemu, czyli: m.in naprawa kompozycji Aero. Zaczynamy. 1. Przez panel sterownia odinstaluj: amuleC YAC (Yet Another Cleaner!) 2. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 3. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt (raport wynikowy).

Brojacz Problem powoduję zarażona przez adware usługa. Przykład z forum: KLIK. Do tego dochodzą jeszcze inne modyfikacje np.: podmiana ścieżki uruchomienia Google Chrome na szkodliwą prefabrykowaną. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: C:\Program Files (x86)\Easthas FirewallRules: [{63F16A48-95DB-401C-9A8C-F5A647C5C84E}] => C:\Program Files (x86)\Easthas\Application\chrome.exe HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-2969896548-308945159-3511119151-1000\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = CHR HomePage: Default -> hxxp://www.nicesearches.com?type=hp&ts=1472447001&from=c1980826&uid=wdcxwd6400bpvt-75hxzt3_wd-wxr1a810262702627&z=461f51ca2199f4f3386f5c6gbzemfo3z2z7m6ece4g CHR StartupUrls: Default -> "hxxp://www.nicesearches.com?type=hp&ts=1472447001&from=c1980826&uid=wdcxwd6400bpvt-75hxzt3_wd-wxr1a810262702627&z=461f51ca2199f4f3386f5c6gbzemfo3z2z7m6ece4g" CHR DefaultSearchURL: Default -> hxxp://www.nicesearches.com/search.php?type=ds&ts=1472447001&from=c1980826&uid=wdcxwd6400bpvt-75hxzt3_wd-wxr1a810262702627&z=461f51ca2199f4f3386f5c6gbzemfo3z2z7m6ece4g&q={searchTerms} CHR DefaultSearchKeyword: Default -> nice S2 Themes; C:\Windows\system32\themeservice.dll [44544 2009-07-14] (Microsoft Corporation) [DependOnService: iThemes5] S3 aswHdsKe; \??\C:\Windows\system32\drivers\aswHdsKe.sys [X] U0 aswVmm; Brak ImagePath S3 X6va063; \??\C:\Windows\SysWOW64\Drivers\X6va063 [X] Task: {17303062-0492-4201-8615-5DD70EEFCE76} - Brak ścieżki do pliku Task: {C93F5B50-4539-462E-B6D9-095E5CA086C1} - Brak ścieżki do pliku AlternateDataStreams: C:\ProgramData\TEMP:56E2E879 [118] C:\ProgramData\Microsoft\Windows\GameExplorer\{7DFDE4CA-5AE3-426E-AF54-95F364A2AEED}\PlayTasks\0\The Sims™ 3 Studenckie życie.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{7DFDE4CA-5AE3-426E-AF54-95F364A2AEED}\PlayTasks\1\Przeczytaj.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{7DFDE4CA-5AE3-426E-AF54-95F364A2AEED}\PlayTasks\2\Umowa Użytkownika.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{7DFDE4CA-5AE3-426E-AF54-95F364A2AEED}\PlayTasks\3\Centrum Pomocy.lnk Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\Themes /s Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. Ustaw przeglądarkę Google Chrome jako domyślną. 3. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt (raport wynikowy). 4. Napisz czy problem ustąpił.

Już byśmy kończyli, ale wkradła mi się literówka do skryptu. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint:FirewallRules: [{2606A3D9-EF0C-4BD2-8D86-0500C706C8B1}] => C:\Program Files (x86)\Coldjob\Application\chrome.exe FirewallRules: [TCP Query User{4A0FFA52-48D4-4D72-90C3-BD52962368F3}C:\program files (x86)\bedhat\application\chrome.exe] => C:\program files (x86)\bedhat\application\chrome.exe FirewallRules: [uDP Query User{E534F20B-DB8C-497B-A754-E55646B75AAD}C:\program files (x86)\bedhat\application\chrome.exe] => C:\program files (x86)\bedhat\application\chrome.exe RemoveDirectory: C:\ProgramData\ficfi RemoveDirectory: C:\ProgramData\cficf RemoveDirectory: C:\Users\MAG\AppData\Roaming\ibfib RemoveDirectory: C:\ProgramData\hadga RemoveDirectory: C:\ProgramData\hbeha RemoveDirectory: C:\ProgramData\hps RemoveDirectory: C:\ProgramData\jcfic RemoveDirectory: C:\ProgramData\jdgjc RemoveDirectory: C:\ProgramData\ttff EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt (raport wynikowy). 3. Podsumuj obecną sytuację.

1. Przez panel sterowania odisntaluj: amuleC, McAfee Security Scan Plus. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {1890E3A3-B36B-43C2-911B-72DE0C8F8989} - System32\Tasks\d064844f7814ad7c35be8f9196931919 => Rundll32.exe "C:\Program Files (x86)\DOSBox-0.72\gj5voc.dll",e62dc6c6547f46bda862da2d05af6862 Task: {4C71A57B-B49B-45F0-B4EF-C2542BF79DEF} - \PPI Update -> Brak pliku Task: {8484F60D-7F7C-452C-B9E3-C2BCD892DF7C} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: {E3D4FAA7-8CA5-4B2A-A5E8-414D0F76CDC7} - System32\Tasks\ChelfNotify Task => C:\ProgramData\ChelfNotify\BrowserUpdate.exe [2016-06-30] (Tencent) C:\Program Files (x86)\UCBrowser C:\ProgramData\ChelfNotify ShortcutWithArgument: C:\Users\biartyy\Desktop\Wurm Online.lnk -> C:\Program Files (x86)\Java\jre1.8.0_111\bin\javaws.exe (Oracle Corporation) -> -localfile -J-Djnlp.application.href=hxxp://www.wurmonline.com/client/wurmclient.jnlp "C:\Users\biartyy\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41\5fef8269-5fc80b7e" ShortcutWithArgument: C:\Users\biartyy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wurm Online\Wurm Online.lnk -> C:\Program Files (x86)\Java\jre1.8.0_111\bin\javaws.exe (Oracle Corporation) -> -localfile -J-Djnlp.application.href=hxxp://www.wurmonline.com/client/wurmclient.jnlp "C:\Users\biartyy\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\41\5fef8269-5fc80b7e" ShortcutWithArgument: C:\Users\biartyy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Setmy\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 1" ShortcutWithArgument: C:\Users\biartyy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5993945003975900\Google Chrome.lnk -> C:\Program Files (x86)\Setmy\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 1" C:\Users\biartyy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk C:\Users\biartyy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\biartyy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\Public\Desktop\Google Chrome.lnk HKU\S-1-5-18\...\Run: [] => 0 Startup: C:\Users\biartyy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\monhost.lnk [2016-10-27] ShortcutTarget: monhost.lnk -> C:\Users\biartyy\AppData\Roaming\VDI\Shared\Product Updater\monhost.exe (Brak pliku) GroupPolicy: Ograniczenia - Chrome HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms} HKU\S-1-5-21-1339383410-1821958394-229966200-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537 HKU\S-1-5-21-1339383410-1821958394-229966200-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms} SearchScopes: HKU\S-1-5-21-1339383410-1821958394-229966200-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms} SearchScopes: HKU\S-1-5-21-1339383410-1821958394-229966200-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1478246785&z=181e37f4ee4b9a5f6c6df30gezemfbeo1zcqcm9b4w&from=che0812&uid=SanDiskXSDSSDA120G_153282404537&q={searchTerms} BHO: Brak nazwy -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> Brak pliku BHO: Brak nazwy -> {95E84BD3-3604-4AAC-B2CA-D9AC3E55B64B} -> Brak pliku BHO-x32: Brak nazwy -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> Brak pliku S2 WISvc; C:\ProgramData\Microsoft\Blend\14.0\1033\ResourceCacher.dll [X] R2 ed2kidle; C:\Program Files (x86)\amuleC\ed2k.exe [237568 2016-11-02] (hxxp://www.amule.org/) [brak podpisu cyfrowego] C:\Program Files (x86)\amuleC R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-02] (Huorong Borui (Beijing) Technology Co., Ltd.) S3 MSICDSetup; \??\E:\CDriver64.sys [X] S3 NAVENG; \??\C:\Program Files (x86)\Norton Security\NortonData\22.5.0.124\Definitions\VirusDefs\20160128.003\ENG64.SYS [X] S3 NAVEX15; \??\C:\Program Files (x86)\Norton Security\NortonData\22.5.0.124\Definitions\VirusDefs\20160128.003\EX64.SYS [X] S3 NTIOLib_1_0_C; \??\E:\NTIOLib_X64.sys [X] Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\.DEFAULT\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-21\Software\Microsoft\Internet Explorer\SearchScopes" /f DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\biartyy\AppData\Local\Mozilla C:\Users\biartyy\AppData\Roaming\Mozilla C:\Users\biartyy\AppData\Roaming\Profiles C:\Program Files (x86)\Mozilla Firefox C:\Programdata\Mozilla CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\biartyy\AppData\Local CMD: dir /a C:\Users\biartyy\AppData\LocalLow CMD: dir /a C:\Users\biartyy\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. Ustaw Google Chrome jako domyślną przeglądarkę. 4. Użyj (najnowszej wersji) AdwCleaner (teraz powinno Ci się udać) uruchom go i kliknij szukaj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. 5. Wygeneruj nowe raporty FRST (bez GMER).

OK.

Jaka akcja została podjęta dla plików znalezionych przez Malwarebytes? Kazałeś je usunąć czy przenieść do kwarantanny (tak jak prosiłem)? Kolejna część walki z adware. 1. Otwórz Notatnik w nim wklej: CloseProcesses:CreateRestorePoint: IFEO\MRT.exe: [Debugger] C:\ProgramData\ficfi\Gubed.exe -Yrrehs RemoveDirectory: C:\ProgramData\ficfi RemoveDirectory: C:\ProgramData\cficf RemoveDirtectory: C:\Users\MAG\AppData\Roaming\ibfib RemoveDirtectory: C:\ProgramData\hadga RemoveDirtectory: C:\ProgramData\hbeha RemoveDirtectory: C:\ProgramData\hps RemoveDirtectory: C:\ProgramData\jcfic RemoveDirtectory: C:\ProgramData\jdgjc RemoveDirtectory: C:\ProgramData\ttff R3 iThemes5; C:\Program Files (x86)\Common Files\Services\iThemes.dll [568320 2016-12-07] () [brak podpisu cyfrowego] R2 Themes; C:\WINDOWS\system32\themeservice.dll [70656 2016-07-16] (Microsoft Corporation) [DependOnService: iThemes5] S2 Convxxxx; "C:\Users\MAG\AppData\Roaming\ibfib\UvConverter.exe" {2C8E8C85-942B-451C-8243-97A089265577} [X] C:\ProgramData\QQBrowser FirewallRules: [{28CE2551-AF7A-4A6B-8DF0-F97D17FA3F03}] => C:\ProgramData\Nosemay\Nosemay.exe File: C:\WINDOWS\system32\Drivers\etc\hosts EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W FireFox: klawisz z flagą Windows + R > wklej komendę "C:\Program Files\Mozilla Firefox\firefox.exe" -p > skasuj wszystkie widoczne profile i załóż nowy. 3. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt (raport wynikowy).

Klucz wygląda w porządku. Jak wygląda aktualna sytuacja z pracą systemu? Tak jak poprzednio?

Zrób nowy log FRST (bez Addition i Shortcut).

Raport wygląda w porządku, ale poproszę jeszcze o pełny skan klucza winmgmt. Uruchom SystemLook i do okna wklej: :reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt /s Kliknij w Look, momentalnie pojawi się okienko z raportem, przekopiujesz wtedy jego treść i wkleisz na forum.

Nie ma tutaj za dużo do robienia. W działaniach: kasacja śmieciowego rozszerzenia Fast Serach ze wszystkich przeglądarek (Google Chrome / FireFox / Opera), kasacja pustych wpisów, oraz podejrzanych aplikacji PublicHotspot / 52U64IUBLR (jeśli znasz te aplikacje i im ufasz to nie wykonuj niczego, tylko mnie o tym poinformuj). 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: ShellExecuteHooks: - {B9320EEE-AB3C-11E6-BA01-64006A5CFC23} - C:\Users\Andreas\AppData\Roaming\Jaberge\Ckesuge.dll Brak pliku [ ] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku HKU\S-1-5-21-3424310977-905981195-1643685065-1000\...\Run: [Z9IV33V8VG] => C:\Program Files\52U64IUBLR\52U64IUBL.exe [369664 2016-12-06] () HKU\S-1-5-21-3424310977-905981195-1643685065-1000\...\Run: [LQ5OZUDT43] => "C:\Program Files (x86)\PublicHotspot\NL2Q52MB0W.exe" C:\Program Files\52U64IUBLR C:\Program Files (x86)\PublicHotspot HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = FF Extension: (Fast search) - C:\Users\Andreas\AppData\Roaming\Mozilla\Firefox\Profiles\6g9xw1bo.Domyślny użytkownik\Extensions\amcontextmenu@loucypher [2016-12-06] CHR Profile: C:\Users\Andreas\AppData\Local\Google\Chrome\User Data\ChromeDefaultData [2016-12-06] CHR Extension: (Fast search) - C:\Users\Andreas\AppData\Local\Google\Chrome\User Data\ChromeDefaultData\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-06] CHR Extension: (Fast search) - C:\Users\Andreas\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-06] OPR Extension: (Fast search) - C:\Users\Andreas\AppData\Roaming\Opera Software\Opera Stable\Extensions\pbdpajcdgknpendpmecafmopknefafha [2016-12-06] S2 0119751480613722mcinstcleanup; C:\Users\Andreas\AppData\Local\Temp\011975~1.EXE -cleanup -nolog [X] U0 aswVmm; Brak ImagePath ShortcutWithArgument: C:\Users\Andreas\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\69639df789022856\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory="Profile 1" C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AcmeBarGig\Cabinets\Set Redwires Folder.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AcmeBarGig\Install Head.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AcmeBarGig\Curve Designer.lnk C:\Users\Andreas\Desktop\Play WarThunder.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cyberfox.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Engine 2\Engine 2.lnk C:\Users\Andreas\Desktop\PuL\Vuze.lnk C:\Users\Andreas\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\XeroBank\Activate your Account.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikwoy). 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Wyczyść FireFox: Odłącz synchronizację (o ile włączona): KLIK Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 4. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt (raport wynikowy).

W raportach brak oznak infekcji. Jednak musimy rozszerzyć diagnostykę, bo poniższe wpisy sugerują uszkodzenie usługi winmgmt. Sprawdź usługę "winmgmt" lub napraw WMI. Niepowodzenie przy listowaniu urządzeń. Sprawdź usługę "winmgmt" lub napraw WMI. Wykonaj raport z narzędzia Farbar Service Scanner (FSS).

W raportach brak oznak aktywnej infekcji, widać tylko szczątki po innych infekcjach typu adware (czyli: szkodliwe zmodyfikowany plik Hosts oraz mapa domen w przeglądarce Internet Explorer). Mam jeszcze pytanie: czy jest Ci znany poniższy plik? C:\Users\Paulina2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\czysc_temp.bat 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-528719921-3342016946-942049042-1004\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKU\S-1-5-21-528719921-3342016946-942049042-1004\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Users\Paulina2\Desktop\filmora_setup_full846.exe.lnk DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt (raport wynikowy). 2. Nie musisz dostarczać nowych logów, ani raportu wynikowego.

Ten raport jest ze skanowania, a nie ze usuwania. Raport z usuwania oznaczony jest literką C, a nie S. Wygląda to już lepiej, niedługo będziemy kończyć. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: C:\ProgramData\fibfi C:\ProgramData\ficfi C:\ProgramData\hadga C:\ProgramData\hbeha C:\ProgramData\hps C:\ProgramData\icfib C:\ProgramData\jcfic C:\ProgramData\jdgjc C:\ProgramData\ttff AppInit_DLLs: , => Brak pliku FF ProfilePath: C:\Users\MAG\AppData\Roaming\Firefox\Firefox\Profiles\2263ujb8.default [2016-12-06] FF user.js: detected! => C:\Users\MAG\AppData\Roaming\Firefox\Firefox\Profiles\2263ujb8.default\user.js [2016-10-17] FF NewTab: Firefox\Firefox\Profiles\2263ujb8.default -> hxxp://www.nicesearches.com?type=hp&ts=1464610878&from=0d580530&uid=toshibaxmq01abd075_y34tpqedtxxy34tpqedt&z=9b32b6762b14a45560bc07cg8z9q5zcqag6e0b9m9z FF Homepage: Firefox\Firefox\Profiles\2263ujb8.default -> hxxp://www.searchinme.com/?type=hp&ts=1476877970752&z=050cfae7b4fa518f0cb8fc9g2z9b7eft0c3c3q0m3q&from=official&uid=TOSHIBAXMQ01ABD075_Y34TPQEDTXXY34TPQEDT FF SearchPlugin: C:\Users\MAG\AppData\Roaming\Firefox\Firefox\Profiles\2263ujb8.default\searchplugins\nice.xml [2016-10-17] FF SearchPlugin: C:\Users\MAG\AppData\Roaming\Firefox\Firefox\Profiles\2263ujb8.default\searchplugins\nuesearch.xml [2016-09-14] FF SearchPlugin: C:\Users\MAG\AppData\Roaming\Firefox\Firefox\Profiles\2263ujb8.default\searchplugins\searchinme.xml [2016-10-19] 2016-12-06 19:48 - 2016-12-06 19:48 - 00000000 ____D C:\Users\MAG\AppData\Local\Coldjob C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\MAG\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Public\Desktop\Google Chrome.lnk Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Użyj >> Malwarebytes Po uruchomieniu: Postępuj zgodnie z kreatorem instalacyjnym, przy instalacji odznacz okres testowy. Po instalacji uruchom ponownie komputer. Interfejs MalwareBytes > Skanowanie > Pełne Skanowanie systemu > Podczas skanowania nic nie rób, po prostu czekaj. Po zakończeniu skanu, jeżeli program coś wykryje to wszystkie zagrożenia przeniesiesz do kwaranntany Po tym będzie wymagane ponowne uruchomienie komputera, zaraz po tym wyskoczy raport ze skanowania, który zaprezentujesz na forum. 3. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt (raport wynikowy).

Tak jak podejrzewam po oznakach w raportach, ten wariant szkodnika (Ransomware Locky) nie jest do końca poznaną infekcją, - deszyfracja pików jest na tą chwilę nie wykonalna (i w przyszłości też raczej marne szanse na to, powodem jest bardzo silny szyfrator AES). Jeśli nie miałeś kopii zapasowej tych danych to one przepadły - dlatego tak ważne jest ich tworzenie. Z góry informuję, że zalecane jest wykonanie kompleksowe reinstalacji systemu (nie znamy dokładnie wszystkich możliwość wariantu). Jeśli jednak zdecydujesz się leczyć / czyścić system to dostarcz nowe raporty systemowe FRST.

W raportach brak oznak infekcji. Możesz już usunąć narzędzia diagnostyczno / dezynfekcyjne - KLIK.

Tak właśnie myślałem, kończymy. Usuń narzędzia diagnostyczno / dezynfekcyjne - KLIK.