picasso

Tytuł tematu zmieniony na sygnalizujący problem zasadniczy. I to już kolejny temat dziś, który wskazuje, że zasady działu nie zostały przeczytane. Brakuje trzeciego obowiązkowego pliku FRST Shortcut. Prawdopodonie PriceFountain nabyłeś z dobrychprogramów: KLIK. Ale prócz PriceFountain są tu inne liczne odpadki adware, w tym poszkodowana przeglądarka Google Chrome przekształcona przez adware w wersję "developerską" (niezbędna reinstalacja od zera). Poza tym, w systemie jest zainstalowany potwornie stary pakiet McAfee z 2011. Działania do przeprowadzenia: 1. Odinstaluj: Google Chrome, Java 7 Update 40, Java 7 Update 51 (64-bit), McAfee Internet Security Suite, McAfee Security Scan Plus, McAfee SiteAdvisor, Norton Online Backup. Przy deinstalacji Google Chrome zaznacz opcję Usuń także dane przeglądarki, a resztę doczyści skrypt poniżej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {143B3868-4645-4555-8006-2AA499A7E31D} - System32\Tasks\SpaceUpgrade => c:\programdata\{3650e92b-232d-ce97-3650-0e92b232a4ac}\2850959861370831500b.exe Task: {1BAD748E-011F-4FC3-A74C-7AFB4765D733} - System32\Tasks\ScienceCrew => c:\programdata\{50a9d252-6ef0-a344-50a9-9d2526ef4949}\8115002811097907713b.exe Task: {1DD600E1-22B1-4864-B7A1-17C57BA65B56} - System32\Tasks\CaffeineCount => c:\programdata\{979074fc-0636-3380-9790-074fc063d3f0}\2715575361427690673b.exe Task: {269E3DAB-2C20-41E4-A8D6-E2432A4183C8} - System32\Tasks\PriceFountainUpdateVer => C:\Users\Jaco\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: {27DFD405-743A-4489-A7AF-3449AEC5729B} - System32\Tasks\e-pity2013_kwiecien => C:\Program Files (x86)\e-file\e-pity2013\Assets\signxml.exe Task: {2B834B6D-78C7-4104-ABAB-6165059F8468} - System32\Tasks\QuoteCatcher => c:\programdata\{a7e0c9a0-e246-0185-a7e0-0c9a0e242683}\2092140411279046342b.exe Task: {2D2335D9-1C31-4134-827D-A81E4E3AB5B8} - System32\Tasks\e-pity2013_styczen => C:\Program Files (x86)\e-file\e-pity2013\Assets\signxml.exe Task: {3E1720B9-4914-4604-9465-F8849E689DF9} - System32\Tasks\JacoRurallySoaksV2 => Rundll32.exe BullionsLambast.dll,main 7 1 Task: {4AC7DC5A-0F94-4454-80F3-1F4F302C5E91} - System32\Tasks\FileHider => c:\programdata\{a69813c5-a470-f3b6-a698-813c5a474f16}\3000372313332692301b.exe Task: {71A9BC71-5F45-4BF8-BDB5-1B5B588C12D1} - System32\Tasks\{BFEB8FC7-689C-4779-BDB8-68A055D1EDDF} => pcalua.exe -a C:\Users\Jaco\Downloads\Alcohol.120\AutoLoader_AxLaUn.exe -d C:\Users\Jaco\Downloads\Alcohol.120 Task: {7AE209ED-70CE-411C-8685-A97488B35137} - System32\Tasks\CleverThink => c:\programdata\{645a6226-e237-bfd4-645a-a6226e23889b}\moto gp 2015 mugello full.exe Task: {83666F90-A041-4623-8850-4A6BD70E0BAB} - System32\Tasks\PainSmack => c:\programdata\{f5bf13e4-b9e0-acdf-f5bf-f13e4b9e4f92}\672055291538168118b.exe Task: {84C80A84-E08B-4A45-B824-A8069C5D5DCC} - System32\Tasks\TaskKeeper => c:\programdata\{8cbca74d-ad2b-edf7-8cbc-ca74dad29d36}\8281833679892879650b.exe Task: {86EDA41F-5BAE-41A8-9737-E7CB958846E5} - System32\Tasks\FilmCricket => c:\programdata\{7383938e-b14f-ab40-7383-3938eb144e3a}\3413450890209954238b.exe Task: {A709047D-FD8F-42FA-9F2B-34D5AAD8186F} - System32\Tasks\MedTracker => c:\programdata\{befaa9a1-0d76-bee2-befa-aa9a10d7a684}\6782759397254004819b.exe Task: {DC6E8F6C-6A1E-4555-AD55-4EDD86BBB7A4} - System32\Tasks\{35F60B36-05FC-48FC-A3D7-337563308127} => pcalua.exe -a "C:\Program Files (x86)\Alcohol Soft\Alcohol 120\AutoLoader_AxLaUn.exe" -d "C:\Program Files (x86)\Alcohol Soft\Alcohol 120" Task: C:\Windows\Tasks\CaffeineCount.job => c:\programdata\{979074fc-0636-3380-9790-074fc063d3f0}\2715575361427690673b.exe Task: C:\Windows\Tasks\CleverThink.job => c:\programdata\{645a6226-e237-bfd4-645a-a6226e23889b}\moto gp 2015 mugello full.exe Task: C:\Windows\Tasks\FileHider.job => c:\programdata\{a69813c5-a470-f3b6-a698-813c5a474f16}\3000372313332692301b.exe Task: C:\Windows\Tasks\FilmCricket.job => c:\programdata\{7383938e-b14f-ab40-7383-3938eb144e3a}\3413450890209954238b.exe Task: C:\Windows\Tasks\FitMaster.job => c:\programdata\{7433785d-f2b2-e4ab-7433-3785df2be177}\4256740252038999490b.exe Task: C:\Windows\Tasks\MedTracker.job => c:\programdata\{befaa9a1-0d76-bee2-befa-aa9a10d7a684}\6782759397254004819b.exe Task: C:\Windows\Tasks\PainSmack.job => c:\programdata\{f5bf13e4-b9e0-acdf-f5bf-f13e4b9e4f92}\672055291538168118b.exe Task: C:\Windows\Tasks\PriceFountainUpdateVer.job => C:\Users\Jaco\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: C:\Windows\Tasks\QuoteCatcher.job => c:\programdata\{a7e0c9a0-e246-0185-a7e0-0c9a0e242683}\2092140411279046342b.exe Task: C:\Windows\Tasks\ScienceCrew.job => c:\programdata\{50a9d252-6ef0-a344-50a9-9d2526ef4949}\8115002811097907713b.exe Task: C:\Windows\Tasks\SpaceUpgrade.job => c:\programdata\{3650e92b-232d-ce97-3650-0e92b232a4ac}\2850959861370831500b.exe Task: C:\Windows\Tasks\TaskKeeper.job => c:\programdata\{8cbca74d-ad2b-edf7-8cbc-ca74dad29d36}\8281833679892879650b.exe HKU\S-1-5-21-1728362779-2423392276-1017299573-1001\...\Run: [NIRegistrationWizard] => C:\Nowy folder (2)\Shared\RegistrationWizard\Bin\RegistrationWizard.exe -autoDiscover 1 -displayIfNoneFound 0 -displayRegisterOptions 1 -sleepIfNoneFound 0 -locale 1045 HKU\S-1-5-21-1728362779-2423392276-1017299573-1001\...\Run: [Auth0_37] => C:\Users\Jaco\AppData\Roaming\api-ncpl\adsl-1-0.exe [675842 2016-02-27] () HKU\S-1-5-21-1728362779-2423392276-1017299573-1001\...\Run: [Auth9_24] => C:\Users\Jaco\AppData\Roaming\api-enum\adsl-1-0.exe GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKU\S-1-5-21-1728362779-2423392276-1017299573-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-1728362779-2423392276-1017299573-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-1728362779-2423392276-1017299573-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope - brak wartości BHO-x32: Gravity Space -> {8788dd2d-bed5-4071-8439-c822cef57bc8} -> C:\Program Files (x86)\Gravity Space\Extensions\8788dd2d-bed5-4071-8439-c822cef57bc8.dll => Brak pliku FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2012-10-01] (Microsoft Corporation) S2 CxAudMsg; C:\Windows\system32\CxAudMsg64.exe [X] S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S4 NIApplicationWebServer64; "C:\Program Files\National Instruments\Shared\NI WebServer\ApplicationWebServer.exe" -user [X] S3 OpcEnum; C:\Windows\SysWOW64\OpcEnum.exe [X] U3 DfSdkS; Brak ImagePath S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Norton Online Backup DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\Google RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox\plugins RemoveDirectory: C:\ProgramData\Temp RemoveDirectory: C:\Users\Jaco\AppData\Local\Google RemoveDirectory: C:\Users\Jaco\AppData\Local\RurallySoaks RemoveDirectory: C:\Users\Jaco\AppData\Roaming\api-enum RemoveDirectory: C:\Users\Jaco\AppData\Roaming\api-ncpl C:\Users\Jaco\AppData\Local\Temp.dat C:\Users\Jaco\AppData\Roaming\*.* Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt.

Brakuje trzeciego obowiązkowego pliku FRST Shortcut. Prawdopodobnie infekcję nabyłeś z "Asystenta pobierania" dobrychprogramów: KLIK. Operacje do wykonania: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj eBay Worldwide, Java 8 Update 51, McAfee Security Scan Plus. 2. Otwórz Notatnik i wklej w nim: CreateRestorePoint: Task: {308018C4-94E3-4753-AD44-73914E1CA519} - System32\Tasks\AcerSalvedFessedV2 => Rundll32.exe PuleSnarer.dll,main 7 1 Task: {432753D9-9FCD-48B4-A09A-9A2D94E5EB66} - System32\Tasks\{294FB0BC-5EEE-49AA-81AE-7FBDA2AED1E2} => pcalua.exe -a C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_21_0_0_213_Plugin.exe -c -maintain plugin Task: {7461555A-5677-4AB7-AD8B-8AF760D19819} - System32\Tasks\{A5B26730-5183-4C6B-9D19-DDEEB031EB70} => pcalua.exe -a "C:\Program Files (x86)\WildGames\Uninstall.exe" Task: {875A90F7-86E5-409A-A8D0-2B3AC709F150} - System32\Tasks\{073B7FA4-E63B-3557-606A-2A8AF4EAECA6} => C:\Users\Acer\AppData\Roaming\{073B7~1\UPDATE~1.EXE Task: {9212BFD6-82F9-4B93-8B7A-ED074F236010} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: C:\Windows\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: C:\Windows\Tasks\{073B7FA4-E63B-3557-606A-2A8AF4EAECA6}.job => C:\Users\Acer\AppData\Roaming\{073B7~1\UPDATE~1.EXE S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-01-16] () R2 themctrl; C:\Windows\SysWOW64\themctrl.dll [362496 2012-07-26] () [brak podpisu cyfrowego] R2 wbiosrvp; C:\Windows\SysWOW64\wbiosrvp.dll [290304 2012-07-26] () [brak podpisu cyfrowego] S3 massfilter; system32\drivers\massfilter.sys [X] S2 sbapifs; system32\DRIVERS\sbapifs.sys [X] U4 WMCoreService; Brak ImagePath S3 ZTEusbmdm6k; \SystemRoot\system32\DRIVERS\ZTEusbmdm6k.sys [X] S3 ZTEusbnmea; \SystemRoot\system32\DRIVERS\ZTEusbnmea.sys [X] S3 ZTEusbser6k; \SystemRoot\system32\DRIVERS\ZTEusbser6k.sys [X] HKU\S-1-5-21-3138840116-3487521251-3672860119-1002\Software\Classes\.exe: exefile => HKU\S-1-5-21-3138840116-3487521251-3672860119-1002\Software\Classes\exefile: HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey HKLM-x32\...\Run: [LManager] => [X] HKLM-x32\...\Run: [bEWINTERNET-PLSessionManager] => "C:\Program Files (x86)\OrangeBS\BEWInternet-PL\SessionManager\SessionManager.exe" HKU\S-1-5-21-3138840116-3487521251-3672860119-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.so-v.com/?type=ll&uid=92ddd5ce-7cd6-491a-906e-96ce819f3f6b ShortcutWithArgument: C:\Users\Acer\Desktop\iexplore — skrót.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.so-v.com/?type=ll&uid=92ddd5ce-7cd6-491a-906e-96ce819f3f6b DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKU\S-1-5-21-3138840116-3487521251-3672860119-1001\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-21-3138840116-3487521251-3672860119-1001\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\Acer\AppData\Local\SalvedFessed RemoveDirectory: C:\Users\Acer\AppData\Local\Opera Software RemoveDirectory: C:\Users\Acer\AppData\Roaming\Opera Software RemoveDirectory: C:\ProgramData\Temp C:\Windows\System32\DRIVERS\EsgScanner.sys C:\Windows\SysWOW64\themctrl.dll C:\Windows\SysWOW64\wbiosrvp.dll Hosts: CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pola Addition i Shortcu i powstały trzy logi. Dołącz też plik fixlog.txt.

Brakuje trzeciego obowiązkowego pliku FRST Shortcut. Infekcję wprowadził poniższy plik "Asystenta pobierania" dobrychprogramów. Więcej na temat praktyk tego serwisu: KLIK. 2016-03-29 18:38 - 2016-03-29 18:38 - 01023280 _____ (Hesudemo ) C:\Users\Łukasz\Downloads\Adobe-AIR-13092-dp.exe Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {186211EC-E92C-4CBD-914C-CF4781295BC6} - System32\Tasks\{D3166F84-2C6D-43C7-99F6-31D4994DFA0A} => pcalua.exe -a "C:\Program Files\Nikon\ViewNX 2\Nikon Movie Editor\UninstLauncher.exe" -d "C:\Program Files\Nikon\ViewNX 2\Nikon Movie Editor" Task: {3C000FEB-4E61-4B13-AC60-64F28EA695E4} - System32\Tasks\{9ADA0588-F740-4CF9-879B-AEB6DA8EBF65} => C:\Users\Łukasz\Desktop\House Siepień 13\e_48U_V142.exe Task: {3D71A4FE-447B-4E7B-9022-3E8D76E47940} - System32\Tasks\{AECC2C44-6E12-4698-B089-46E9C27E80E4} => pcalua.exe -a C:\Users\Łukasz\Downloads\jre-8u45-windows-i586-iftw.exe -d C:\Users\Łukasz\Downloads Task: {3F185FA2-200D-45B1-A4C1-B3FEF485AAEB} - System32\Tasks\{71B8EDEB-BF0E-4B31-B169-F1CA7C08C544} => pcalua.exe -a C:\Users\UKASZ~1\AppData\Local\Temp\jre-8u66-windows-au.exe -d C:\windows\system32 -c /installmethod=jau FAMILYUPGRADE=1 Task: {4C4DE613-FC68-49A7-BCFE-7C69EF0367F9} - System32\Tasks\{CB638CCF-4F0F-4143-94B1-C8645AADD90F} => C:\Users\Łukasz\Desktop\Mojosoft_BusinessCards_MX_4.84_Portable\Mojosoft_BusinessCards_MX_4.84_Portable\BusinessCardsMX.exe Task: {4C743435-DF71-4BD9-83C2-9DC5C5ACF869} - System32\Tasks\{197B5A63-D2FD-4DC3-9ECB-79CD8E744CA9} => pcalua.exe -a C:\Users\Łukasz\Downloads\jre-8u65-windows-i586-iftw(1).exe -d C:\Users\Łukasz\Downloads Task: {4E9E101A-3F6B-4F4A-ACF0-4B413FE3D2F2} - System32\Tasks\{10416630-9868-4FCB-85D5-562CEAC317AC} => C:\Users\Łukasz\Desktop\House Siepień 13\e_48U_V142.exe Task: {5D0A75A0-56F8-4E15-9CDD-9596DEE2E5DD} - System32\Tasks\{00C5C9DA-572F-4431-A02B-3C2381AFEFBD} => pcalua.exe -a C:\Users\Łukasz\Downloads\F-D7100-V102W.exe -d C:\Users\Łukasz\Downloads Task: {6AB504BF-21BE-499A-9D6C-ADAF22AE9FDE} - System32\Tasks\{9E46DC9F-57EF-47F8-8D67-252C12DF05E3} => C:\Users\Łukasz\Desktop\Pobrane\jxpiinstall.exe Task: {6F28FC66-4F2C-46E5-9C4E-25EA56C3EA42} - System32\Tasks\ŁukaszGormandPageantryV2 => Rundll32.exe RemittersHumanizer.dll,main 7 1 Task: {70F1E517-71C0-42A4-A1A5-806C4493AA74} - System32\Tasks\ŁukaszMaculateBathV2 => Rundll32.exe CouldestFeigned.dll,main 7 1 Task: {72866BC7-4697-4096-B46D-896109155334} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 35 => C:\Program Files\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe Task: {7F6F8A97-1CFC-4ACE-A84E-501CFAD6FE9F} - System32\Tasks\Scheduled scanning task => C:\PROGRA~1\PAKIET~1\apps\COMPUT~1\ANTI-V~1\fsav.exe Task: {8E7A9364-88C4-47F2-A233-EBCE9858D294} - System32\Tasks\{689F1882-6071-4863-9BCE-2910307F1378} => C:\Program Files\Adobe\Adobe Photoshop Lightroom 5.4\lightroom.exe Task: {9290551E-1D4B-4B3F-8214-0FB34E38DDB7} - System32\Tasks\DLL-Files.Com Fixer_Updates => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe Task: {9B48D38C-DAAF-4709-B485-F3BD2040B714} - System32\Tasks\DLL-Files.Com Fixer_MONTHLY => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe Task: {A4AD0297-AF4B-4B6F-AA1B-85C8E95ADBFA} - System32\Tasks\{7CF8AD5C-208A-45E2-8F0E-3943B1C41A68} => C:\Users\Łukasz\Desktop\House Siepień 13\e_48U_V142.exe Task: {A9FC2A1C-D713-4FD0-95C9-3454EA1FC3D7} - System32\Tasks\{ACAC7ADE-4511-466F-A245-1399625C8322} => C:\Program Files\NapiProjekt\napisy.exe Task: {B4B09BA2-FD21-4C2C-92DA-DEBD745CCC54} - System32\Tasks\{C0A33641-E8B5-4C11-AA3F-24947D3FCE59} => C:\Program Files\NapiProjekt\napisy.exe Task: {CD4DD588-43D5-4DC6-ADA7-57F9F84EF296} - System32\Tasks\{EAA2C7DC-500B-40E3-BA8A-F518B181BC03} => C:\Program Files\NapiProjekt\napisy.exe Task: {D193A266-682D-42C6-84D0-B15F53148BEE} - System32\Tasks\{8A7FFF42-6EB7-45C6-BB88-14B300F99288} => pcalua.exe -a "C:\Program Files\BabylonToolbar\BabylonToolbar\1.8.7.2\GUninstaller.exe" -c -uprtc -key "BabylonToolbar" Task: {E05E6B0C-4B97-43C8-A448-57466AF6636F} - System32\Tasks\{0FD1EA8B-436E-4E40-B22E-0EED5DEE798E} => C:\Program Files\Nikon\ViewNX 2\Nikon Movie Editor\UninstLauncher.exe Task: {F0062415-8A85-4F49-9FB8-14BF91BF6629} - System32\Tasks\TechSmith Updater => C:\Program Files\Common Files\TechSmith Shared\Updater\TSCUpdClt.exe Task: {F60C6A93-DDE1-48C5-8FE1-9C5813B57CFD} - System32\Tasks\{32BA01AE-A4F9-40D3-8A2C-0753ABF0052F} => C:\Users\Łukasz\Desktop\House Siepień 13\e_48U_V142(1).exe Task: C:\windows\Tasks\DLL-Files.Com Fixer_MONTHLY.job => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe Task: C:\windows\Tasks\DLL-Files.Com Fixer_Updates.job => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe HKU\S-1-5-21-604524677-2708395862-3557633927-1001\...\Run: [bingSvc] => C:\Users\Łukasz\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2016-02-29] (© 2015 Microsoft Corporation) HKU\S-1-5-21-604524677-2708395862-3557633927-1001\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-604524677-2708395862-3557633927-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-604524677-2708395862-3557633927-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=5.5&ar=msnhome HKU\S-1-5-21-604524677-2708395862-3557633927-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-604524677-2708395862-3557633927-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM -> DefaultScope - brak wartości CHR HKLM\...\Chrome\Extension: [jfhffdajidfgpobcfdgilfcgbngginod] - CHR HKU\S-1-5-21-604524677-2708395862-3557633927-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [jfhffdajidfgpobcfdgilfcgbngginod] - HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\Temp RemoveDirectory: C:\Users\Łukasz\AppData\Local\Google RemoveDirectory: C:\Users\Łukasz\AppData\Local\GormandPageantry RemoveDirectory: C:\Users\Łukasz\AppData\Local\Microsoft\BingSvc C:\Program Files\Mozilla Firefoxavg-secure-search.xml C:\Users\Łukasz\Downloads\*-dp*.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox ze sponsorowanych przekierowań Bing: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. 3. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Metric Collection SDK 35 pozostawiony po niechcianej instalacji sponsoringowego programu Lenovo > Dalej. 3. W systemie są dwa konta: - Na koncie Łukasz zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pola Addition i Shortcut, by powstały trzy logi. - Na drugim koncie zrób nowy log FRST z opcji Skanuj (Scan), ale nie zaznaczaj Addition i Shortcut. Dołącz też plik fixlog.txt.

Tak, problemem jest infekcja routera. Powinnaś mieć adresy związane z Netia (przynajmniej pod takim IP widzę Cię na forum), a bieżący adres IP pobierany z routera zakreślony na kolorowo jest brytyjski: KLIK. Tcpip\Parameters: [DhcpNameServer] 80.243.191.66 8.8.8.8 Tcpip\..\Interfaces\{D2A7267B-1BE7-4BD7-B07E-0F0D34B34D29}: [DhcpNameServer] 80.243.191.66 8.8.8.8 Podaj jakim modelem routera dysponujesz. Do czyszczenia będą też szczątki adware w systemie, ale instrukcje podam zbiorczo z wytycznymi dla routera.

1. Fix FRST wykonany. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK 2. Odrębna sprawa to zabezpieczenia, prócz dbania o aktualizacje programów typu Adobe Flash. Spójrz do tego tematu: KLIK. Pod kątem infekcji szyfrujących do rozważenia z darmowych: Oczywiście niezbędny krok to wykonanie kopii zapasowej ważnych danych, umieszczonej na odizolowanym nośniku (np. dysk który nie jest na stałe podłączony).

Fix FRST pomyślnie wykonany. W zakresie czyszczenia Windows ze śmieci skończyłyśmy. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Z Office tak właśnie przypuszczałam, że to może być problem ścieżek kierujących na D. W tej sytuacji po prostu spróbuj go przeinstalować. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj ten zestaw: ==================== Zainstalowane programy ====================== Aktualizacja produktu Microsoft Office Excel 2007 Help (KB963678) (HKLM-x32\...\{90120000-0016-0415-0000-0000000FF1CE}_ENTERPRISE_{04E205D6-88B1-4652-B162-42DF2C3B1228}) (Version: - Microsoft) Aktualizacja produktu Microsoft Office Powerpoint 2007 Help (KB963669) (HKLM-x32\...\{90120000-0018-0415-0000-0000000FF1CE}_ENTERPRISE_{442ECBCF-94A7-48CC-8CD9-D31FFFD5FA86}) (Version: - Microsoft) Aktualizacja produktu Microsoft Office Word 2007 Help (KB963665) (HKLM-x32\...\{90120000-001B-0415-0000-0000000FF1CE}_ENTERPRISE_{128A36ED-21BE-4547-9FFE-5B85AEC735DD}) (Version: - Microsoft) Microsoft Office 2007 Service Pack 3 (SP3) (HKLM-x32\...\{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{6E107EB7-8B55-48BF-ACCB-199F86A2CD93}) (Version: - Microsoft) Microsoft Office Enterprise 2007 (HKLM-x32\...\ENTERPRISE) (Version: 12.0.6612.1000 - Microsoft Corporation) Microsoft Office File Validation Add-In (HKLM-x32\...\{90140000-2005-0000-0000-0000000FF1CE}) (Version: 14.0.5130.5003 - Microsoft Corporation) Update for 2007 Microsoft Office System (KB967642) (HKLM-x32\...\{90120000-0030-0000-0000-0000000FF1CE}_ENTERPRISE_{C444285D-5E4F-48A4-91DD-47AAAA68E92D}) (Version: - Microsoft) Jeśli jednak będą jakieś błędy przy deinstalacji, podam dodatkowe kroki jak usunąć dane instalacyjne MSI.

Jak rozumiem, aktualizacja firmware przebiegła pomyślnie i wszytko też gładko skonfigurowałeś. Obecnie w raporcie FRST są wszędzie poprawne serwery DNS: Tcpip\Parameters: [DhcpNameServer] 8.8.8.8 8.8.4.4 Tcpip\..\Interfaces\{1382FDDA-8333-4C5C-991C-992485EDAF2F}: [NameServer] 8.8.8.8,8.8.4.4 Tcpip\..\Interfaces\{1382FDDA-8333-4C5C-991C-992485EDAF2F}: [DhcpNameServer] 8.8.8.8 8.8.4.4 Tcpip\..\Interfaces\{1E2A1F11-4A03-426F-8F5A-14DBD02B07CA}: [NameServer] 194.204.159.1 194.204.152.34 Tcpip\..\Interfaces\{5FC89302-4032-4B59-8CDB-A1DA9A751B5F}: [DhcpNameServer] 8.8.8.8 8.8.4.4 Pozostałe akcje też OK. Jako że były tu też odpadki adware, poproszę jeszcze o wykonanie tego: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

1. Czy na pewno usuwałeś wpis Metric Collection SDK 35? Ja go nadal widzę w FRST Addition. 2. Pozostałe zadania pomyślnie wykonane. Jeszcze drobna poprawka. Otwórz Notatnik i wklej w nim: HKLM-x32\...\RunOnce: [spUninstallCleanUp] => REG delete HKEY_LOCAL_MACHINE\Software\SearchProtect /f RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Public\Pokki Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Ostatecznie spróbuj programów do odzyskiwania danych takich jak DMDE, PhotoRec. Programy należy uruchomić z innego dysku niż ten na którym są zdefektowane dane. W Twoim przypadku może to być świeżo sformatowany dysk C, bo jak rozumiem te ważne dane są właśnie na D i E. Jednak podejrzewam, że wyników pomyślnych nie uzyskasz. Po pierwsze, infekcje szyfrujące przeważnie stosują tzw. "bezpieczne usuwanie danych", by właśnie zapobiec użyciu narzędzi tego rodzaju. Po drugie: dyski były aktywne (operacje zapisu i nadpisywanie struktur na dysku), nie wiadomo kiedy nastąpiła infekcja i w jakim przedziale czasowym wystąpiło szyfrowanie. Ofiara nie wie, że szyfrowanie jest w tle, dopóki nie pojawią się notatki ransom, gdy to już proces się po prostu ukończył. Zaszyfrowane dane zostaw na wszelki wypadek, choć obecnie szanse są zerowe. Złamanie klucza jest awykonalne przy obecnych parametrach sprzętowych i mocy obliczeniowej. Nawiasem mówiąc, sformatowałeś dysk C, czyli usunąłeś także dane identyfikacyjne infekcji używane m.in. w procesie uzyskiwania klucza od przestępców, więc nawet gdybyś zdecydował się teraz im zapłacić (nie polecane działanie), to może być już niemożliwe.

Po wstępnym czyszczeniu sytuacja wygląda o niebo lepiej. Nie włączyły się, gdyż usunęłam wpisy startowe. Było też spodziewane, że proces czyszczenia będzie wieloetapowy. Kolejna porcja działań: 1. W Google Chrome: Ustawienia > karta Ustawienia > Osoby > załóż nowy profil przeglądarki, zaloguj się na niego, a poprzednią Osobę usuń. 2. Otwórz Notatnik i wklej w nim: SearchScopes: HKU\S-1-5-21-3451131124-2045846987-1590504244-1001 -> DefaultScope {3672D504-4E65-4A9B-8153-E40B027FA20E} URL = DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\CleanBrowser RemoveDirectory: C:\Program Files (x86)\MPC Cleaner RemoveDirectory: C:\FRST\Quarantine CMD: del /q "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acer Games.lnk" CMD: del /q C:\Users\jan\Downloads\42wd5w3s.exe CMD: del /q C:\Users\jan\Downloads\kbirh3qo.exe CMD: del /q C:\Users\jan\Downloads\no0pol8z.exe CMD: del /q C:\Users\jan\Downloads\uk50tbun.exe CMD: del /q C:\Users\jan\Downloads\zsvprdjy.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Opisz czy nadal w przeglądarce (i której) pojawiają się reklamy.

Na teraz wykonaj podane działania. Potem dla pewności ponowisz skan Kasperskim, na każdym dysku po kolei. Nie może ostać się ani jeden plik z genem Sality, w przeciwnym wypadku nastąpi reinfekcja. Wszystkie pliki określone jako Sality muszą być wyleczone, a jeśli proces jest awykonalny, wyrzucone permanentnie z dysku. Skutkiem ubocznym infekcji i leczenia może być niedziałanie określonych programów i w takiej sytuacji należy je przeinstalować od zera ze świeżo pobranego instalatora. Inna sprawa to źródło infekcji. Przypuszczalnie zainfekowałeś system z jakiegoś urządzenia przenośnego. Czy posiadasz jakieś pendrivy i podobne, które były ostatnio podłączane?

Na przyszłość konfiguracja FRST obowiązująca tu na forum: KLIK. Opcje Lista BCD, MD5 sterowników i Pliki z 90-dni nie miały być zaznaczone. To funkcje pod szczególne infekcje, rzadko tu spotykane (niektóre stare i nie widziane od dawna). O zaznaczenie którejś z tych opcji prosi w określonych warunkach pomagający, gdy widzi podstawy do takiego kroku. W podanych tu raportach nie ma żadnych oznak infekcji powiązanej ze zgłoszeniami Facebooka, tylko mikro odpadki starych adware (nie mające związku). Działania do wykonania: 1. W kwestii Facebooka: - Do wglądu ten artykuł: KLIK. Czy uruchomiłeś skan F-Secure, który ma odblokować dostęp? - Na Facebooku sprawdź sekcję autoryzowanych aplikacji. Usuń stamtąd wszystkie nierozpoznane, nieużywane aplikacje. 2. Deinstalacje: - Przesadziłeś z oprogramowaniem zabezpieczającym, albo odinstaluj wszystko od AVG, albo Norton Internet Security. - Odinstaluj również Adobe Flash Player 21 NPAPI, Adobe Reader X (10.1.3) MUI, Java 7 Update 65. Pierwszy to wersja dla nieistniejącego tu Firefoxa, pozostałe to stare niebezpieczne wersje. Później zainstalujesz najnowsze z tego topiku: KLIK. 3. Usunięcie szczątków adware i pustych wpisów wtyczek z Google Chrome: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres searchgol.com, przestaw na "Otwórz stronę nowej karty". Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres searchgol.com. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Pozostała kosmetyka (puste wpisy, czyszczenie Temp). Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-4228095435-3539589198-294085663-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.searchgol.com/?babsrc=HP_ss&mntrId=9AB61A67B090FA81&affID=119357&tt=240913_238&tsp=5016 SearchScopes: HKU\S-1-5-21-4228095435-3539589198-294085663-1002 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://www.searchgol.com/?q={searchTerms}&babsrc=SP_ss&mntrId=9AB61A67B090FA81&affID=119357&tt=240913_238&tsp=5016 SearchScopes: HKU\S-1-5-21-4228095435-3539589198-294085663-1002 -> {60590C88-1622-486E-B747-262962D8010E} URL = BHO-x32: Norton Vulnerability Protection -> {6D53EC84-6AAE-4787-AEEE-F4628F01010C} -> Brak pliku HKLM\...\Run: [HotKeysCmds] => "C:\WINDOWS\system32\hkcmd.exe" HKLM\...\Run: [Persistence] => "C:\WINDOWS\system32\igfxpers.exe" HKLM\...\Policies\Explorer\Run: [btvStack] => C:\Program Files (x86)\Bluetooth Suite\BtvStack.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"="" Task: {0173BA3A-62CA-4CE4-8B68-FA41A70D014C} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {022446F3-F44D-49B6-B64E-2930990CDD3D} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {099DC917-FCFF-4010-9149-3AE2D2A1F2CC} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {0F8BF956-42B3-434A-920D-C4005B8A0E70} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {2E0EEE15-74FA-49C2-936F-8846C8DDB0B5} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {313CC494-4308-4EAE-A7C7-0A82FB7A6F26} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\BrowserChoice\browserchoice.exe Task: {3238624B-FF69-47B2-AD6C-2ED6B15331FD} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {3514D013-2EE0-449D-9D13-D3EA3B1E096F} - System32\Tasks\{77E25B86-A7DB-4F2B-AEE9-B7DFD207E190} => Chrome.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=7.0.0.102&LastError=12007 Task: {41D9D908-59C9-4DBE-A804-C40FC9168477} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {49EB086F-D186-4DE0-9E25-636C892335DB} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {5CF4E911-9E21-4B33-8ADF-D298121AAC2C} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {758FA601-1399-4AD2-B5E6-B2FBD949DB5C} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {7FBBAD64-06D1-444B-ADB1-D5018F7CB5D9} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {868F374A-109D-4319-AA2D-04ED6F636B2A} - System32\Tasks\AVG_SYS_TASK_0216piz_DELETE => C:\ProgramData\Avg_Update_0216piz\AVG-Secure-Search-Update_0216piz.exe [2016-02-16] () Task: {8F584FFE-D25B-47D8-84AE-3E5D39BCF09B} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {A47527C4-AA50-4E5A-95CA-942F810215C8} - \Program aktualizacji online firmy Adobe. -> Brak pliku Task: {A97D287B-7F35-4286-B695-9480E901C595} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku Task: {AD9F89CA-388B-4640-AA02-10A08993C9E7} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe Task: {B3094D41-2DC4-4FD0-9339-59B0292A3282} - System32\Tasks\SAgent => C:\Program Files\Samsung\S Agent\CommonAgent.exe Task: {BA50F2BB-DB69-4C51-8A8B-C44E001976D5} - System32\Tasks\{E64E5FCE-FD12-4B20-B0ED-CC381AB52BBE} => Chrome.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=7.1.0.105&LastError=404 RemoveDirectory: C:\ProgramData\DSearchLink DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Adobe Reader Speed Launcher" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się jak wygląda sytuacja po przeprowadzeniu kroków z punktu 1.

AdwCleaner wykrył jeszcze różne szczątki adware w rejestrze. Uruchom go ponownie, tym razem po kolei wybierz opcje Skanuj + Usuń, dostarcz wynikowy log z usuwania.

DelFix wykonał co należy. Skasuj plik C:\delfix.txt z dysku. To wszystko. Temat rozwiązany. Zamykam.

1. Za późno poprawiłam literówkę w jednej komendzie. Minimalna poprawka. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). 2. Na koniec zastosuj DelFix.

Pod kątem znalezisk AdwCleaner: 1. Program czepia się wyszukiwarek hairstore.pl, flightaware.com w Google Chrome. Moim zdaniem to fałszywy alarm. Ale opcjonalnie możesz je usunąć w Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami. 2. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\Software\Microsoft\Internet Explorer\Search DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchUrl DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Komputer\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Zadania pomyślnie wykonane. Kolejne poprawki: 1. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres www.wp.pl/?src01=dp2 (wprowadzony przez starszą wersję "Asystenta pobierania" dobrychprogramów), przestaw na "Otwórz stronę nowej karty". 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Opera RemoveDirectory: C:\Users\Admin\AppData\Local\Opera Software RemoveDirectory: C:\Users\Admin\AppData\Roaming\Opera Software RemoveDirectory: C:\Users\Admin\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Tym razem już wszystkie rekordy DNS usunięte. Teraz na wszelki wypadek jeszcze: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Sytuacja się zmieniła, pojawiły się nowe (liczne) obiekty adware/PUP.... Kolejna porcja zadań do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj Amazon Assistant, CleanBrowser, comoBoss version 1.1, eBay Worldwide, Hostify version 1.1, KokoMoss version 1.1, SafeFinder, SpaceSoundPro, sunnyday version 1.1, WizzWifiHotspot version 1.0, YellowSend. Jeśli coś będzie niewidoczne lub zwróci błąd, nie szkodzi, kontynuuj. - Wejdź do folderu C:\Program Files (x86)\MPC Cleaner, wyszukaj deinstalator, z prawokliku na plik "Uruchom jako Administrator". 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Winlogon: [userinit] wscript C:\WINDOWS\run.vbs, HKLM-x32\...\Winlogon: [userinit] wscript C:\WINDOWS\run.vbs, [X] AppInit_DLLs: C:\ProgramData\xedmal\Qvoin.dll => C:\ProgramData\xedmal\Qvoin.dll [363520 2016-03-31] () AppInit_DLLs-x32: C:\ProgramData\xedmal\Aptax.dll => C:\ProgramData\xedmal\Aptax.dll [257536 2016-03-31] () HKLM\...\Run: [spaceSoundPro] => C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe [4203520 2015-08-03] (Space Sound Pro) HKLM\...\Run: [WINCOMCDX] => C:\Program Files (x86)\sunnyday\wincom_CDX.exe [4050432 2016-03-31] () HKLM-x32\...\Run: [ic-0.89cd042281bce.exe -start] => C:\Users\jan\AppData\Local\Temp\349010750\ic-0.89cd042281bce.exe [2289664 2016-03-29] () HKLM-x32\...\Run: [comoBoss] => C:\Program Files (x86)\comoBoss\comowin.exe [4050432 2016-03-30] () HKLM-x32\...\Run: [KokoMoss] => C:\Program Files (x86)\KokoMoss\comowin.exe [4050432 2016-03-30] () HKLM-x32\...\Run: [WizzWifiHotspot] => C:\Program Files (x86)\WizzWifiHotspot\WizzWifiHotspot.exe [2814464 2016-03-31] (Wizzlabs) HKLM\...\RunOnce: [WINDOWS_SCREEN_MANAGER_UPDATER_1] => C:\Program Files\Windows Screen Manager\Windows screen manage updater.exe [16896 2016-03-31] (Wizzservices) Task: {54B821A7-135F-4B4F-9080-4D8944094DC3} - System32\Tasks\WinTaske => C:\Program Files (x86)\WinTaske\WinTaske\WinTaske.exe [2016-03-29] () S2 ggbugreport; C:\Program Files (x86)\SearchesToYesbnd\bugreport.exe [1609280 2016-03-29] () R2 ktip; C:\Program Files\ktip\ktip.exe [383488 2016-03-31] () [brak podpisu cyfrowego] S2 Winsere; C:\Program Files (x86)\Winsere\Winsere\Winsere.exe [316472 2016-03-29] () R2 wucotusy; C:\Program Files (x86)\158ACBD8-1459263401-1520-0220-181505000000\hnsyDAE0.tmp [416256 2016-03-29] () [brak podpisu cyfrowego] S2 CloudPrinter; C:\ProgramData\\CloudPrinter\\CloudPrinter.exe shuz -f "C:\ProgramData\\CloudPrinter\\CloudPrinter.dat" -l -a S2 gerocyni; C:\Program Files (x86)\158ACBD8-1459263401-1520-0220-181505000000\jnsuC468.tmp [X] S2 Konksolex; C:\ProgramData\\Konksolex\\Konksolex.exe shuz -f "C:\ProgramData\\Konksolex\\Konksolex.dat" -l -a S2 Update thirteen degrees; "C:\Program Files (x86)\thirteen degrees\updatethirteendegrees.exe" [X] S2 xedmal; C:\ProgramData\\xedmal\\xedmal.exe -f "C:\ProgramData\\xedmal\\xedmal.dat" -l -a GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKU\S-1-5-21-3451131124-2045846987-1590504244-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PfRuoh-oeV530K_Yv5vrAmct23uAI83ZTrXTTEJ0CnLZduPfTIgHh6vDAiWh-4NpfR3UvTcmozdKqDgwnQ88Xivl2ziZEoUm49AjZJR1c0bOWJAZ1pDPBOJ6E9UudN-pKVPmPedHf2I5AcyhC0vtDE,&q={searchTerms} HKU\S-1-5-21-3451131124-2045846987-1590504244-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PfRuoh-oeV530K_Yv5vrAmct23uAI83ZTrXTTEJ0CnLZduPfTIgHh6vDAiWh-4NpfR3UvTcmozdKqDgwnQ88Xivl2ziZEoUm49AjZJR1c0bOWJAZ1pDPBOJ6E9UudN-pKVPmPedHf2I5AcyhC0vtDE,&q={searchTerms} HKU\S-1-5-21-3451131124-2045846987-1590504244-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PfRuoh-oeV530K_Yv5vrAmct23uAI83ZTrXTTEJ0CnLZduPfTIgHh6vDAiWh-4NpfR3UvTcmozdKqDgwnQ88Xivl2ziZEoUm49AjZJR1c0bOWJAZ1pDPBOJ6E9UudN-pKVPmPedHf2I5AcyhC0vtDE,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PfRuoh-oeV530K_Yv5vrAmct23uAI83ZTrXTTEJ0CnLZduPfTIgHh6vDAiWh-4NpfR3UvTcmozdKqDgwnQ88Xivl2ziZEoUm49AjZJR1c0bOWJAZ1pDPBOJ6E9UudN-pKVPmPedHf2I5AcyhC0vtDE,&q={searchTerms} SearchScopes: HKU\S-1-5-21-3451131124-2045846987-1590504244-1001 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PfRuoh-oeV530K_Yv5vrAmct23uAI83ZTrXTTEJ0CnLZduPfTIgHh6vDAiWh-4NpfR3UvTcmozdKqDgwnQ88Xivl2ziZEoUm49AjZJR1c0bOWJAZ1pDPBOJ6E9UudN-pKVPmPedHf2I5AcyhC0vtDE,&q={searchTerms} SearchScopes: HKU\S-1-5-21-3451131124-2045846987-1590504244-1001 -> {3672D504-4E65-4A9B-8153-E40B027FA20E} URL = SearchScopes: HKU\S-1-5-21-3451131124-2045846987-1590504244-1001 -> {B3B3A6AC-74EC-BD56-BCDB-EFA4799FB9DF} URL = hxxps://www.amazon.com/gp/bit/amazonserp/ref=bit_bds-p17_serp_ie_us_display?ie=UTF8&tagbase=bds-p17&tbrId=v1_abb-channel-17_452e4d2b_1201_1403_20160403_PL_ie_ds_&tag=bds-p17-serp-us-ie-20&query={searchTerms} SearchScopes: HKU\S-1-5-21-3451131124-2045846987-1590504244-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PfRuoh-oeV530K_Yv5vrAmct23uAI83ZTrXTTEJ0CnLZduPfTIgHh6vDAiWh-4NpfR3UvTcmozdKqDgwnQ88Xivl2ziZEoUm49AjZJR1c0bOWJAZ1pDPBOJ6E9UudN-pKVPmPedHf2I5AcyhC0vtDE,&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartpageing.com/?type=sc&ts=1459263684&z=8615b469c448d63d1b3c355g3zdw7tco9q1c1q7b7z&from=cmi&uid=ST1000DX001-1CM162_Z1DDFG7HXXXXZ1DDFG7H ShortcutWithArgument: C:\Users\jan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\jan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> %SNP% ShortcutWithArgument: C:\Users\Public\Desktop\Assassin's Creed IV - Black Flag.lnk -> C:\Games\Assassin's Creed IV - Black Flag\Launcher.exe () -> hxxp://www.istartpageing.com/?type=sc&ts=1459263684&z=8615b469c448d63d1b3c355g3zdw7tco9q1c1q7b7z&from=cmi&uid=ST1000DX001-1CM162_Z1DDFG7HXXXXZ1DDFG7H CHR HomePage: Default -> amazon.com/websearch/?ie=UTF8__PARAM__ CHR StartupUrls: Default -> "search.mpc.am" CHR HKU\S-1-5-21-3451131124-2045846987-1590504244-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [ooebgdicanjhnamfmdlmlbcnkgehkkmf] - hxxps://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-3451131124-2045846987-1590504244-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [pbjikboenpfhbbejgkoklgkhjpfogcam] - hxxps://clients2.google.com/service/update2/crx C:\extensions C:\Program Files\ktip C:\Program Files\SpaceSoundPro C:\Program Files\Windows Screen Manager C:\Program Files (x86)\158ACBD8-1459263401-1520-0220-181505000000 C:\Program Files (x86)\CleanBrowser C:\Program Files (x86)\Hostify C:\Program Files (x86)\mpck_en_005030282 C:\Program Files (x86)\comoBoss C:\Program Files (x86)\KokoMoss C:\Program Files (x86)\sunnyday C:\Program Files (x86)\WizzWifiHotspot C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\Konksolex C:\ProgramData\Konksolexs C:\ProgramData\CloudPrinter C:\ProgramData\Tencent C:\ProgramData\Thunder Network C:\ProgramData\xedmal C:\ProgramData\xedmals C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC C:\Program Files (x86)\SearchesToYesbnd C:\Program Files (x86)\thirteen degrees C:\Program Files (x86)\Winsere C:\Program Files (x86)\WinTaske C:\Users\jan\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108 C:\Users\jan\AppData\Local\app C:\Users\jan\AppData\Local\csdi_monetize_120160330 C:\Users\jan\AppData\Local\tuto_monetize_220160330 C:\Users\jan\AppData\Local\tuto_monetize_120160330 C:\Users\jan\AppData\Local\csdi_monetize_220160330 C:\Users\jan\AppData\Roaming\*.* C:\Users\jan\AppData\Roaming\istartpageing C:\Users\jan\AppData\Roaming\MCorp C:\Users\jan\AppData\Roaming\Mozilla C:\Users\jan\AppData\Roaming\Shortcut C:\Users\jan\AppData\Roaming\YSPackage C:\Users\jan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpaceSoundPro 1.0 C:\Users\jan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\YSPackage C:\Users\Public\Thunder Network Folder: C:\Users\Public\Documents\dmp C:\Users\Public\Documents\dmp C:\WINDOWS\run.vbs C:\WINDOWS\system32\Drivers\etc\hp.bak C:\WINDOWS\SysWOW64\findit.xml Hosts: CMD: netsh advfirewall reset Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt.

To infekcja Tesla Crypt 4.0. Bardzo mi przykro, ale nie ma możliwości odkodowania danych.... Podobny temat na forum: KLIK. Twierdzisz, że po każdym uruchomieniu są dodawane nowe pliki. W podanych tu raportach nie widać żadnych oznak tej infekcji, ona już nie jest aktywna. Przeinstalowałeś system dzisiaj rano przed założeniem tematu: Windows 8.1 (X64) (2016-04-10 07:42:11) Nie ma rozwiązania dla zakodowanych plików. Jedyne w czym jestem w stanie pomóc, to masowe usunięcie notatek ransom z innych dysków niż co dopiero sformatowany C, a przy okazji usunięcie śmieci integrowany na Lenovo oraz szczątków po odinstalowanym McAfee. Pod tym kątem: 1. Deinstalacje firmowych programów Lenovo: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj Host App Service, Lenovo Browser Guard (firmowe adware), Lenovo Experience Improvement, Start Menu - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK 35 > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs: C:\PROGRA~2\Amazon\AMAZON~1\AMAZON~2.DLL => Brak pliku AppInit_DLLs-x32: C:\PROGRA~2\Amazon\AMAZON~1\AMAZON~3.DLL => Brak pliku Task: {0BB6DC28-A179-45BA-9A1D-CE0808E77397} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-08-18] (Lenovo) Task: {27D6BBD7-E46A-49A9-A83E-0D4F60FFC9DD} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2014-09-10] (Lenovo) S2 0124231460274210mcinstcleanup; C:\WINDOWS\TEMP\012423~1.EXE [851136 2014-05-20] (McAfee, Inc.) S4 mfefire; "C:\Program Files\Common Files\McAfee\SystemCore\\mfefire.exe" [X] S2 mfevtp; "C:\WINDOWS\system32\mfevtps.exe" [X] S3 TESHelper; c:\Program Files\Common Files\Lenovo\Magic Transfer\x64\MagicTransferTESHelper.exe [X] S0 cfwids; system32\drivers\cfwids.sys [X] S0 mfeapfk; system32\drivers\mfeapfk.sys [X] R0 mfeavfk; system32\drivers\mfeavfk.sys [X] S0 mfeelamk; system32\drivers\mfeelamk.sys [X] S0 mfefirek; system32\drivers\mfefirek.sys [X] R0 mfehidk; system32\drivers\mfehidk.sys [X] R0 mfewfpk; system32\drivers\mfewfpk.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" C:\ProgramData\McAfee C:\WINDOWS\system32\VisualDiscoveryOff.ini C:\WINDOWS\SysWOW64\VisualDiscovery.ini C:\WINDOWS\SysWOW64\VisualDiscoveryOff.ini CMD: attrib -r -h -s D:\+REcovER* /s CMD: attrib -r -h -s E:\+REcovER* /s CMD: del /q /s D:\+REcovER* CMD: del /q /s E:\+REcovER* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie zaznacz Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Plik fixlog prawdopodobnie będzie ogromny, ze względu na masowe rekursywne usuwanie plików +REcovER*. Nie zmieści się pewnie do załącznika, shostuj go na jakimś serwisie zewnętrznym i podaj do niego link.

Brakuje trzeciego obowiązkowego pliku FRST Shortcut. Uzupełnij.

Nie jestem w stanie ich odczytać. Czy w wynikach były opisy "Sality"? To plik generowany przez wirusa Sality. Pliki takie powracają jak bumerang, jeśli wirus jest czynny w pamięci. Będę w skrypcie FRST pobierać dane o root dysków. Na teraz drobne doczyszczanie oraz usunięcie niepożądanej aplikacji Smart File Advisor (sponsor darmowych wersji Alcohol): 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"="" DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Classes\*\shell\!sfa DeleteKey: HKLM\SOFTWARE\Classes\*\shell\sfa_checksum DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AlcoholAutomount DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Smart File Advisor DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox\Extensions CHR HKLM\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx CHR HKU\S-1-5-21-1844237615-606747145-839522115-1003\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx S3 UIUSys; system32\DRIVERS\UIUSYS.SYS [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Documents and Settings\All Users\Menu Start\Programy\Orange RemoveDirectory: C:\Documents and Settings\All Users\Menu Start\Programy\Smart File Advisor RemoveDirectory: C:\Program Files\Smart File Advisor Reg: reg add HKLM\SOFTWARE\Classes\Unknown\shell\openas\command /ve /t REG_EXPAND_SZ /d "%SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" /f CMD: dir /a C:\ CMD: dir /a D:\ CMD: dir /a G:\ CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zainstaluj Internet Eplorer 8. Link w przyklejonym: KLIK. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition. Dołącz też plik fixlog.txt.

O ile temat nadal aktualny, problemem jest niepoprawne usuwanie i w konsekwencji uszkodzenie łańcucha sieciowego Winsock: Winsock: -> Catalog5 - Uszkodzony dostęp do internetu z powodu brakującego wejścia. Prócz tej usterki masz także wyłączoną via msconfig usługę Instrumentacji Windows, potrzebną do działania określonych funkcji systemowych: MSCONFIG\Services: Winmgmt => 2 Widać też różne elementy adware. Działania do wykonania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: sc config winmgmt start= auto CMD: sc start winmgmt CreateRestorePoint: Winsock: -> Catalog5 - Uszkodzony dostęp do internetu z powodu brakującego wejścia. CMD: netsh winsock reset GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKU\S-1-5-21-1399718984-499481384-3420735900-1001\...\Run: [bingSvc] => C:\Users\Matus-PC\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-12-09] (© 2015 Microsoft Corporation) HKLM-x32\...\Run: [mbot_pl_41] => [X] HKLM-x32\...\Run: [mbot_pl_194] => [X] HKLM-x32\...\Run: [gmsd_pl_109] => [X] HKLM-x32\...\Run: [gmsd_pl_111] => [X] Winlogon\Notify\igfxcui: igfxdev.dll [X] R2 DeskTop_F; C:\ProgramData\desktopfind\desktop173.exe [236728 2016-03-16] (DeskTopService) S3 vmci; \SystemRoot\System32\drivers\vmci.sys [X] S3 VMnetAdapter; \SystemRoot\system32\DRIVERS\vmnetadapter.sys [X] Task: {17AE8D20-353E-488F-8E63-5FCB0C7F794B} - System32\Tasks\{38B9EAE4-D935-4302-9EF2-BDF316B14A09} => pcalua.exe -a C:\Users\Matus-PC\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor Task: {1C20DCDD-0DD2-48D4-B236-0CE0DBBFF0DB} - System32\Tasks\{B27C79F7-5209-4457-9CC6-F8E0C1F0AF90} => pcalua.exe -a C:\Xilinx\.xinstall\xic\xsetup.exe -c -Uninstall Task: {3A06F24D-9F33-4EB4-8F67-AC39FFF0091F} - System32\Tasks\Microsoft\Windows\Bluetooth\UninstallDeviceTask => BthUdTask.exe Task: {3C45809D-C035-49EA-AF80-69913C342996} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {56173154-490B-484C-BA8F-D7DFD914A697} - System32\Tasks\{83AF1CA9-3FDB-48F7-89E6-8EF12FB57145} => pcalua.exe -a "C:\Program Files (x86)\EA GAMES\Need for Speed Most Wanted\NFS13.exe" -d "C:\Program Files (x86)\EA Games\Need for Speed Most Wanted" Task: {5A0F27D5-F1F8-4B17-9131-0F1469C7EEEC} - System32\Tasks\{59373701-DFA7-426B-BC98-5EE0E0A41B56} => pcalua.exe -a C:\Users\Matus-PC\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=squadm Task: {6309521C-98E3-47A9-A790-26A26C987C1F} - System32\Tasks\{0988E41C-A681-437F-9CE5-7CA255785399} => pcalua.exe -a "C:\Program Files (x86)\Grand Theft Auto IV - Episodes From Liberty City\Spolszczenie\Deinstalator.exe" Task: {6C74B760-40C9-4CB9-B6ED-75FFF40D9643} - System32\Tasks\{69FA40E1-B84A-4D66-AE92-F9C1ACD5FB83} => pcalua.exe -a "C:\Program Files (x86)\Windows Live\Installer\wlarp.exe" Task: {6F7A699C-B125-44D9-8784-B4803F512BB4} - System32\Tasks\{73ADAF6E-D278-44DC-A178-CF49F89802CD} => pcalua.exe -a C:\Xilinx\.xinstall\DocNav\xsetup.exe -c -Uninstall Task: {82987E07-BBC0-43C0-BEF8-C445543CD2CC} - System32\Tasks\{FDBC7B38-B17C-4739-BCE7-07BC565BA3D5} => pcalua.exe -a "C:\Users\Matus-PC\Desktop\marian\STATISTICA 6.0 PL Setup\Polish\Autorun.exe" -d "C:\Users\Matus-PC\Desktop\marian\STATISTICA 6.0 PL Setup\Polish" Task: {A59A57E9-6657-437F-9B8A-31EE01767455} - System32\Tasks\{B1F8A403-FFCE-4488-B734-425B679C3D85} => pcalua.exe -a "C:\Users\Matus-PC\Downloads\Skoki Narciarskie 2002\skoki2002start.exe" -d "C:\Users\Matus-PC\Downloads\Skoki Narciarskie 2002" Task: {EE18701E-FEE2-4E8B-989E-F9B95B83BDE4} - System32\Tasks\{59FFEA84-5274-47F3-BF59-FF07479EE2A6} => pcalua.exe -a C:\Xilinx\.xinstall\Vivado_2015.1\xsetup.exe -c -Uninstall Task: {FCABCA21-B397-42DC-A170-F1E3B7E5461C} - System32\Tasks\Microsoft\Windows\Application Experience\AitAgent => aitagent.exe ShortcutWithArgument: C:\Users\Matus-PC\Desktop\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.so-v.com/?type=ll&uid=0d8267d9-6810-42cd-8106-247267462f9f ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.so-v.com/?type=ll&uid=0d8267d9-6810-42cd-8106-247267462f9f StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.so-v.com/?type=ll&uid=0d8267d9-6810-42cd-8106-247267462f9f FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2015-03-31] (Microsoft Corporation) FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com BHO: Brak nazwy -> {990A8747-93BF-4EF7-B72E-94A6884B98C2} -> Brak pliku BHO-x32: Brak nazwy -> {990A8747-93BF-4EF7-B72E-94A6884B98C2} -> Brak pliku DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\ReimageRealTimeProtector DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Winmgmt DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v ChomikBox /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v GoogleChromeAutoLaunch_AE8314F254E29C1AD0DA8F222DE3E657 /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v SmartWeb.lnk /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v crossbrowse.lnk /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Windesk Winsearch" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SmartWeb /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v gmsd_pl_111 /f C:\Program Files (x86)\Lenovo C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\desktopfind C:\ProgramData\TEMP C:\Users\Matus-PC\AppData\Local\*.tmp C:\Users\Matus-PC\AppData\Local\Lenovo C:\Users\Matus-PC\AppData\Local\Microsoft\BingSvc C:\Users\Matus-PC\AppData\Local\Opera Software C:\Users\Matus-PC\AppData\Roaming\Opera Software C:\Users\Matus-PC\Downloads\*-dp*.exe C:\Users\Matus-PC\Downloads\*downloader*.exe C:\Windows\System32\Tasks\Lenovo EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 3. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan) na następującym ustawieniu: zaznaczone pola Lista BCD i Addition. Dołącz też plik fixlog.txt.

Temat przenoszę do działu Windows. Nic tu nie wskazuje na infekcję. W raportach nie ma też żadnych konkretów pomocnych w diagnostyce problemu tytułowego. Typując na oko, podejrzenia może budzić aktywność G DATA TOTAL PROTECTION. Przetestuj wstępnie czy deaktywacja modułów tego pakietu coś wnosi do sprawy. Natomiast widać tu inny problem, typowe zjawisko na systemach z zainstalowanym oprogramowaniem Hewlett-Packard, tzn. zawieszenia jednej z usług tego pakietu (powinnaś notować bardzo długi start Windows): Dziennik System: ============= Error: (04/09/2016 08:52:39 AM) (Source: Service Control Manager) (EventID: 7022) (User: ) Description: Usługa Usługa HP CUE DeviceDiscovery zawiesiła się podczas uruchamiania. Widzę też niepoprawnie odinstalowany RealPlayer. Pozostały po nim aktywne procesy oraz liczne wtyczki w Firefox. Pod kątem ogólnych porządków: 1. Odinstaluj zbędne programy (ograniczy to ilość wpisów startowych): Akamai NetSession Interface, Badanie mające na celu poprawę produktów HP Deskjet 2540 series. 2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście poniższe wpisy > Dalej. Akcja hurtowa awykonalna, narzędzie trzeba uruchomić tyle razy ile wpisów. RealDownloader (Version: 1.3.0 - RealNetworks, Inc.) Hidden RealNetworks - Microsoft Visual C++ 2008 Runtime (Version: 9.0 - RealNetworks, Inc) Hidden RealNetworks - Microsoft Visual C++ 2010 Runtime (Version: 10.0 - RealNetworks, Inc) Hidden RealUpgrade 1.1 (Version: 1.1.0 - RealNetworks, Inc.) Hidden 3. Skrypt rekonfigurujący usługę HP CUE DeviceDiscovery oraz usuwający różne szczątki. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: DisableService: hpqddsvc HKLM\...\Run: [TkBellExe] => C:\Program Files\real\realplayer\update\realsched.exe [295072 2012-12-19] (RealNetworks, Inc.) HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k HKU\S-1-5-18\...\Winlogon: [shell] C:\WINDOWS\explorer.exe [1035264 2008-04-15] (Microsoft Corporation) HKU\S-1-5-19\...\Winlogon: [shell] C:\WINDOWS\explorer.exe [1035264 2008-04-15] (Microsoft Corporation) HKU\S-1-5-20\...\Winlogon: [shell] C:\WINDOWS\explorer.exe [1035264 2008-04-15] (Microsoft Corporation) HKU\S-1-5-21-1417001333-1958367476-1801674531-1003\...\Run: [] => [X] HKU\S-1-5-21-1417001333-1958367476-1801674531-1003\...\Winlogon: [shell] C:\WINDOWS\explorer.exe [1035264 2008-04-15] (Microsoft Corporation) Startup: C:\Documents and Settings\User\Menu Start\Programy\Autostart\TB-Tray.lnk [2012-10-05] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = BHO: RealNetworks Download and Record Plugin for Internet Explorer -> {3049C3E9-B461-4BC5-8870-4C09146192CA} -> C:\Documents and Settings\All Users\Dane aplikacji\RealNetworks\RealDownloader\BrowserPlugins\IE\rndlbrowserrecordplugin.dll [2012-11-29] (RealDownloader) FF Plugin: @real.com/nppl3260;version=16.0.0.282 -> c:\program files\real\realplayer\Netscape6\nppl3260.dll [2012-12-19] (RealNetworks, Inc.) FF Plugin: @real.com/nprndlchromebrowserrecordext;version=1.3.0 -> C:\Documents and Settings\All Users\Dane aplikacji\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlchromebrowserrecordext.dll [2012-11-29] (RealNetworks, Inc.) FF Plugin: @real.com/nprndlhtml5videoshim;version=1.3.0 -> C:\Documents and Settings\All Users\Dane aplikacji\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlhtml5videoshim.dll [2012-11-29] (RealNetworks, Inc.) FF Plugin: @real.com/nprndlpepperflashvideoshim;version=1.3.0 -> C:\Documents and Settings\All Users\Dane aplikacji\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlpepperflashvideoshim.dll [2012-11-29] (RealNetworks, Inc.) FF Plugin: @real.com/nprpplugin;version=16.0.0.282 -> c:\program files\real\realplayer\Netscape6\nprpplugin.dll [2012-12-19] (RealPlayer) FF Plugin: @realnetworks.com/npdlplugin;version=1 -> C:\Documents and Settings\All Users\Dane aplikacji\RealNetworks\RealDownloader\BrowserPlugins\npdlplugin.dll [2012-11-29] (RealDownloader) Task: C:\WINDOWS\Tasks\At1.job => C:\Program Files\HP\HP Deskjet 2540 series\Bin\HPCustPartic.exe Task: C:\WINDOWS\Tasks\At2.job => C:\Program Files\HP\HP Deskjet 2540 series\Bin\HPCustPartic.exe Task: C:\WINDOWS\Tasks\At3.job => C:\Program Files\HP\HP Deskjet 2540 series\Bin\HPCustPartic.exe Task: C:\WINDOWS\Tasks\At4.job => C:\Program Files\HP\HP Deskjet 2540 series\Bin\HPCustPartic.exe Task: C:\WINDOWS\Tasks\HPpromotions journeysoftware.job => C:\Program Files\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe Task: C:\WINDOWS\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-1417001333-1958367476-1801674531-1003.job => C:\Program Files\Real\RealUpgrade\realupgrade.exe Task: C:\WINDOWS\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-1417001333-1958367476-1801674531-1003.job => C:\Program Files\Real\RealUpgrade\realupgrade.exe Task: C:\WINDOWS\Tasks\RealUpgradeLogonTaskS-1-5-21-1417001333-1958367476-1801674531-1003.job => C:\Program Files\Real\RealUpgrade\realupgrade.exe Task: C:\WINDOWS\Tasks\RealUpgradeScheduledTaskS-1-5-21-1417001333-1958367476-1801674531-1003.job => C:\Program Files\Real\RealUpgrade\realupgrade.exe R2 RealNetworks Downloader Resolver Service; C:\Program Files\RealNetworks\RealDownloader\rndlresolversvc.exe [38608 2012-11-29] () S3 hamachi; C:\WINDOWS\System32\DRIVERS\hamachi.sys [26176 2010-02-03] (LogMeIn, Inc.) R2 StarOpen; C:\WINDOWS\system32\Drivers\StarOpen.sys [5504 2012-06-03] () [brak podpisu cyfrowego] S2 Update BrowseMark; "C:\Program Files\BrowseMark\updateBrowseMark.exe" [X] S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 filtertdidriver; system32\drivers\ewfiltertdidriver.sys [X] S3 HPFXBULK; system32\drivers\hpfxbulk.sys [X] S3 HPFXFAX; system32\drivers\hpfxfax.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_cdcecm; system32\DRIVERS\ew_jucdcecm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox\Extensions DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WinampAgent C:\Documents and Settings\All Users\Dane aplikacji\RealNetworks C:\Documents and Settings\All Users\Menu Start\Programy\PDFCreator\Licenses\AFPL License.lnk C:\Documents and Settings\All Users\Menu Start\Programy\RealNetworks C:\Documents and Settings\All Users\Menu Start\Programy\ZUI Mieszczanin C:\Documents and Settings\All Users\Pulpit\Ava MetaTrader.lnk C:\Documents and Settings\All Users\Pulpit\GO4X.lnk C:\Documents and Settings\User\Dane aplikacji\Microsoft\*.* C:\Documents and Settings\User\Dane aplikacji\Microsoft\Word\2524530000305109233476882042\2524530000.docx.lnk C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\Google C:\Program Files\*.exe C:\Program Files\Google C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\Program Files\Real C:\Program Files\RealNetworks C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\Drivers\hamachi.sys C:\WINDOWS\system32\Drivers\StarOpen.sys CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. W Firefox w menedżerze dodatków w sekcji wtyczek wyłącz wszystkie wtyczki (o ile już Firefox ich nie zdeaktywował), z wyjątkiem Adobe Flash i Microsoft Silverlight. 5. Są tu dwa konta: ==================== Konta użytkowników: ============================= fdg (S-1-5-21-1417001333-1958367476-1801674531-1006 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\fdg User (S-1-5-21-1417001333-1958367476-1801674531-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\User Na każdym zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition. Jeśli jednak fdg nie jest używane, usuń je z poziomu Panelu sterowania, przy usuwaniu potwierdzając kasację folderów. Dołącz też plik fixlog.txt. Opisz czy są jakieś zmiany w działaniu.

Ten log z Zoek nie pokazuje, by akcja się wykonała, ale wejścia DivX już nie ma. Ostatnie kroki: 1. Do Notatnika wklej: HKLM-x32\...\Run: [DivXMediaServer] => C:\Program Files (x86)\DivX\DivX Media Server\DivXMediaServer.exe C:\ProgramData\100C9BCA2A.sys C:\ProgramData\KGyGaAvL.sys RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\AdwCleaner RemoveDirectory: C:\ProgramData\DivX RemoveDirectory: C:\Users\Kasiarzynka\AppData\Roaming\DivX Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). 2. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. Nie wiem czy DivX ma coś wspólnego, bo nie wiem o jakim problemie konkretnie mowa. Ten wątek (z dokładnym opisem o co chodzi) do nowego tematu w dziale Software. Tu jest dział czyszczenia z malware, a wykorzystywane raporty FRST słabo się nadają do diagnostyki kodeków i podobnych.