picasso

Temat przenoszę do właściwego działu Sieci. Brak związków z infekcją. Z podanych raportów nic też konkretnego nie wynika. Jedyne co mi się rzuca w oczy, to ten powielający się błąd powiązany z problemami ładowania stron https://: Dziennik System: ============= Error: (02/12/2016 08:16:05 PM) (Source: Schannel) (EventID: 4120) (User: ZARZĄDZANIE NT) Description: Wygenerowano alert krytyczny, który został wysłany do zdalnego punktu końcowego. W efekcie połączenie może zostać zakończone. Kod błędu krytycznego zdefiniowany przez protokół TLS to 10. Kod stanu błędu SChannel w systemie Windows to 10. Do wglądu podobny wątek na forum: KLIK. W temacie przyczyną była konfiguracja Avast. Ty posiadasz Avirę - nie pamiętam jakie są opcje, czy w ogóle jest ekwiwalent takich ustawień.

Temat przenoszę do działu Windows. Podstawowe problemy nie wyglądają na pochodną infekcji. Wprawdzie są tu różne obiekty adware/PUP oraz podejrzany strumień NTFS podpięty pod katalog Windows, ale wątpię że to jest przyczyna. Natomiast jednym z powodów może być brak dostatecznej ilości wolnego miejsca na dysku. Kiepsko tu na partycji C: Drive c: () (Fixed) (Total:60 GB) (Free:4.17 GB) NTFS ==>[dysk z komponentami startowymi (pozyskano odczytując BCD)] Zacznijmy od usunięcia śmieci i czyszczenia Tempów, co powinno nieco wolnego miejsca przywrócić. Do przeprowadzenia następujące działania: 1. Deinstalacje: - Odinstaluj śmiecia Smart File Advisor 1.1.8. To sponsor kombinowany w "darmowej" wersji Alcohol. Więcej na ten temat w ogłoszeniu: KLIK. - Pozbądź się również Bonjour. Stary program Apple generujący błędy w Dzienniku zdarzeń. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1985485987-1500941226-3903985527-1000\...\Run: [bingSvc] => C:\Users\Iwonka\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-12] (© 2015 Microsoft Corporation) GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia Task: {58EDEFC4-D0F3-4D6A-92B5-D18FD1C40D42} - System32\Tasks\{033D6E75-82AA-47EC-A116-46CBAA600D67} => pcalua.exe -a F:\I386\R254174\SETUP.EXE -d F:\I386\R254174 Task: {C35D2946-567D-4E29-AACA-CAA1C70EB816} - System32\Tasks\{FF4788DD-12DE-486E-AB00-3299AD4CE9C5} => pcalua.exe -a F:\InstalujFakturka.exe -d F:\ Task: {E94ED330-61A9-43EC-B6D2-F66697980F8C} - System32\Tasks\{10DA4B09-8F83-42BF-9E15-A96626F71F15} => pcalua.exe -a C:\dell\drivers\CONEXANT_D400-USB-MODEM_RY5VP_A02_SETUP_ZPE.exe -d C:\dell\drivers S1 lwnfd_1_10_0_14; system32\drivers\lwnfd_1_10_0_14.sys [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki BHO-x32: Strong Signal -> {c723a437-2eaf-466d-a95b-3fa0966bf88c} -> C:\Program Files (x86)\Strong Signal\Extensions\c723a437-2eaf-466d-a95b-3fa0966bf88c.dll => Brak pliku CHR HKU\S-1-5-21-1985485987-1500941226-3903985527-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswwebrepchrome-sp.crx [2014-08-07] AlternateDataStreams: C:\Windows:5B68E9D7F48D8641 [50] RemoveDirectory: C:\Users\Iwonka\AppData\Local\Microsoft\BingSvc EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki ze sponsorowanych przekierowań Bing: - Firefox: Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. - Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Przeanalizuj statystyki miejsca na dysku za pomocą programu SpaceSniffer. Program wywołaj za pomocą "Uruchom jako administrator", by obliczył także sfery ograniczone przez uprawnienia (np. System Volume Information relatywny do Przywracania systemu). Na podstawie skanu postaraj się pousuwać zbędne pliki. W razie wątpliwości nie podejmuj jednak działań. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie zaznacz pole Addition, by były dostępne odświeżone statystyki dysków. Dołącz też plik fixlog.txt. Wypowiedz się czy wstępne sprzątanie w czymś pomogło.

Chodziło mi o całkowitą deinstalację, a powód zasadniczy to pozbycie się dodatkowych elementów startowych i sterowników programu (przestawianie trybów programu nie znosi ich aktywności). Poza tym, takie "optymizery" to w mojej opinii więcej komercyjnego picu. Czy na pewno objawy występują po kolejnym restarcie systemu? Jeśli tak, to sprawdzanie transferu dysku odbywa się analogicznie do opisanej procedury dla XP, tylko dialogi wyglądają nieco inaczej.

Temat przenoszę do działu Windows, ale nie wykluczam że kolejny kierunek to Hardware. Żadnych oznak infekcji. Z raportów FRST nic nie wynika. Brak konkretnych tropów, czy ogólnie naprowadzających błędów w Dzienniku. 1. Jakie errory? W Dzienniku wyróżniają się błędy od cracka aktywacji Office: Dziennik Aplikacja: ================== Error: (03/20/2016 08:50:13 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: AutoKMS.exe, wersja: 2.5.2.0, sygnatura czasowa: 0x53c9a9a0 Nazwa modułu powodującego błąd: KERNELBASE.dll, wersja: 10.0.10240.16683, sygnatura czasowa: 0x56ad97a2 Kod wyjątku: 0xe0434352 Przesunięcie błędu: 0x000000000002a1c8 Identyfikator procesu powodującego błąd: 0x5a8 Godzina uruchomienia aplikacji powodującej błąd: 0xAutoKMS.exe0 Ścieżka aplikacji powodującej błąd: AutoKMS.exe1 Ścieżka modułu powodującego błąd: AutoKMS.exe2 Identyfikator raportu: AutoKMS.exe3 Pełna nazwa pakietu powodującego błąd: AutoKMS.exe4 Identyfikator aplikacji względem pakietu powodującego błąd: AutoKMS.exe5 Error: (03/20/2016 08:50:11 PM) (Source: .NET Runtime) (EventID: 1026) (User: ) Description: Aplikacja: AutoKMS.exe Wersja architektury: v4.0.30319 Opis: proces został przerwany z powodu nieobsłużonego wyjątku. Informacje o wyjątku: System.FormatException Stos: w System.DateTimeParse.Parse(System.String, System.Globalization.DateTimeFormatInfo, System.Globalization.DateTimeStyles) w ..(.) w ..(.) w ..() Są też błędy sterowników Tages (od zabezpieczenia gier), które notabene nie mają podpisu cyfrowego: Dziennik System: ============= Error: (03/20/2016 08:48:10 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi atksgt z powodu następującego błędu: %%577 Error: (03/20/2016 08:48:10 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi lirsgt z powodu następującego błędu: %%577 CodeIntegrity: =================================== Date: 2016-03-20 20:48:10.749 Description: Windows is unable to verify the image integrity of the file \Device\HarddiskVolume2\Windows\System32\drivers\atksgt.sys because file hash could not be found on the system. A recent hardware or software change might have installed a file that is signed incorrectly or damaged, or that might be malicious software from an unknown source. Date: 2016-03-20 20:48:10.689 Description: Windows is unable to verify the image integrity of the file \Device\HarddiskVolume2\Windows\System32\drivers\lirsgt.sys because file hash could not be found on the system. A recent hardware or software change might have installed a file that is signed incorrectly or damaged, or that might be malicious software from an unknown source. W spoilerze usuwanie zadania AutoKMS z Harmonogramu + sterowników Tages, przy okazji i inne puste wpisy. 2. W kwestii BSOD, lista zrzutów pamięci widoczna na dysku: 2016-03-05 20:10 - 2015-10-03 09:39 - 705015696 _____ C:\WINDOWS\MEMORY.DMP 2016-02-28 02:26 - 2016-01-13 03:46 - 00093184 ____N C:\WINDOWS\Minidump\022816-12562-01.dmp 2016-02-27 08:55 - 2016-01-13 03:46 - 00092672 ____N C:\WINDOWS\Minidump\022716-13703-01.dmp 2016-02-26 08:02 - 2016-01-13 03:46 - 00096768 ____N C:\WINDOWS\Minidump\022616-12765-01.dmp 2016-02-24 08:59 - 2016-01-13 03:46 - 00096768 ____N C:\WINDOWS\Minidump\022416-21109-01.dmp 2016-02-22 08:00 - 2016-01-13 03:46 - 00092672 ____N C:\WINDOWS\Minidump\022216-15140-01.dmp 2016-02-21 09:29 - 2016-01-13 03:46 - 00113152 ____N C:\WINDOWS\Minidump\022116-14546-01.dmp 2016-02-19 09:00 - 2016-01-13 03:46 - 00113152 ____N C:\WINDOWS\Minidump\021916-14312-01.dmp Do wykonania analiza plików DMP rozpisana w tym tutorialu: KLIK. 3. System nie jest w najnowszej dostępnej wersji: Platform: Windows 10 Pro (X64) Język: Polski (Polska) Internet Explorer Wersja 11 (Domyślna przeglądarka: FF) Spróbuj zaktualizować system do Wersji 1511, co może usprawnić działanie. Ta aktualizacja powinna być dostępna z Windows Update. Alternatywnie możesz zaktualizować posługując się Narzędziem do tworzenia nośników: KLIK. Te objawy są charakterystyczne dla obniżenia transferu dysku, co jest omówione w Skutkach ubocznych. Niemniej tu restart załatwił sprawę, więc nie sądzę, by były potrzebne dodatkowe kroki. PS. Proponuję się pozbyć Ad Muncher. Program nie jest rozwijany od 2014 (tylko mniejsze aktualizacje filtrów) i nie działa w Edge oraz IE11. Zainteresuj się innymi rozwiązaniami linkowanymi tutaj: KLIK.

==================== Konta użytkowników: ============================= Administrator (S-1-5-21-528719921-3342016946-942049042-500 - Administrator - Disabled) cis (S-1-5-21-528719921-3342016946-942049042-1001 - Limited - Enabled) => C:\Users\cis Gość (S-1-5-21-528719921-3342016946-942049042-501 - Limited - Disabled) Justyna (S-1-5-21-528719921-3342016946-942049042-1003 - Limited - Enabled) => C:\Users\Justyna Paulina2 (S-1-5-21-528719921-3342016946-942049042-1004 - Administrator - Enabled) => C:\Users\Paulina2 vms (S-1-5-21-528719921-3342016946-942049042-1002 - Limited - Enabled) Raporty FRST zostały zrobione z poziomu limitowanego użytkownika: Uruchomiony przez cis (UWAGA: Użytkownik nie jest administratorem) UTER (30-03-2016 02:55:22) Wykonaj raporty z poziomu konta administracyjnego Paulina2. Póki co, szczerze powiątpiewam w infekcję. Mocnym podejrzanym jest za to pakiet Panda Internet Security 2016. Nie wiem co to za konto. Czy router ma zamknięty dostęp od strony internetu oraz zmieniony domyślny login?

Pokaż zrzut ekranu z przykładowymi reklamami (czy one mają jakiś wspólny mianownik / opis / słowo kluczowe / URL?). Podaj też na jakich stronach (adresy) się to ujawnia.

Również ten komputer nie wygląda na źródło. Nie ma żadnych elementów infekcji widocznych. Jeszcze się upewnię: Wspominasz o jakieś "aplikacji" - co to za aplikacja, w jakiej ścieżce? Usuwane ręcznie pliki {RecOveR}* powracają? W jaki sposób są zabezpieczone ścieżki dostępu?

Wszystko zrobione, problem rozwiązany. Ostatni skrypt do FRST adesujący odpadki po deinstalacji Java. Otwórz Notatnik i wklej w nim: Task: {BB1B908B-213A-4F0C-B5EC-81D5C1D1178C} - System32\Tasks\Java Update Scheduler => C:\Program Files\Common Files\Java\Java Update\jusched.exe RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Java RemoveDirectory: C:\ProgramData\Oracle RemoveDirectory: C:\Users\daria\.oracle_jre_usage Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są już potrzebne.

Co to za aplikacja? Powtarzam: w starcie tu pokazanego w raporcie serwera nie ma reloadera, nie ma żadnego czynnego elementu który może wykonywać szyfrowanie po stronie serwera. Jeśli jakieś elementy tego serwera są atakowane, źródłem jest inny komputer (który ma częściowy dostęp, widzi dysk serwera) i on musi być wytypowany. Nie jestem w stanie wyczyścić infekcji której w ogóle nie widać, muszę mieć wykaz z faktycznego źródła.

1. AdwCleaner znalazł drobne szczątki innych adware. Uruchom go ponownie, wybierz po kolei opcje Skanuj + Usuń. Gdy program ukończy czyszczenie: 2. Usuń z Pulpitu folder FRST. Następnie zastosuj DelFix. To tyle z mojej strony.

1. Tu się aplikują te same wytyczne co u poprzednika: Z menu pobierania wybierzasz linię V3. 2. Po wykonaniu aktualizacji firmware sprawdź ustawienia routera (adresy DNS, zamknięcie panelu zarządzania, zmiana loginu domyślnego). Dopiero po konfiguracji: 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {0A410814-189E-40AA-839D-EB4D120835DF} - System32\Tasks\PriceFountainUpdateVer => C:\Users\Majcher\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: {1C65D3D7-BC42-44BC-8C5F-7E069EB5DDAB} - System32\Tasks\{B7D54985-BD66-4A1D-8D82-665263289CF8} => Chrome.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=7.21.0.100&LastError=12007 Task: {8E5077BD-A4D0-4A2F-BE63-94D5B72656FC} - System32\Tasks\Driver Booster SkipUAC (Majcher) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {FA5DBC41-22C0-4F43-818C-AD18F5269266} - System32\Tasks\MajcherSynaesthesiaLabellerV2 => Rundll32.exe OlivesGravimeter.dll,main 7 1 CustomCLSID: HKU\S-1-5-21-301250439-727020004-3162265004-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Majcher\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku S2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2934048 2015-10-09] (IObit) U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 catchme; \??\C:\ComboFix\catchme.sys [X] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-301250439-727020004-3162265004-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-301250439-727020004-3162265004-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM-x32 -> DefaultScope - brak wartości S3 SBIOSIO; \??\C:\Users\Majcher\AppData\Local\Temp\__Samsung_Update\SBIOSIO64.sys [X] DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\AdwCleaner RemoveDirectory: C:\Program Files (x86)\IObit RemoveDirectory: C:\Users\Majcher\AppData\Local\GG RemoveDirectory: C:\Users\Majcher\AppData\Roaming\GG C:\Users\Majcher\AppData\Roaming\*.* C:\Users\Majcher\Desktop\GG dysk.lnk C:\Windows\system32\config\*.iobit CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Nic tu nie wskazuje, że serwer jest źródłem, nie ma żadnych śladów tej infekcji (ani elementów startowych, ani przejęcia klas, ani nawet plików {RecOveR}* w podstawowych folderach serwera per se). I mówisz wyraźnie, że tylko kilka katalogów wykazuje cechy infekcyjne. Jaki jest problem z ręcznym wyczyszczeniem tych katalogów?

Istotnie, ta sama infekcja na poziomie routera: Tcpip\Parameters: [DhcpNameServer] 80.243.191.66 8.8.8.8 Tcpip\..\Interfaces\{1382FDDA-8333-4C5C-991C-992485EDAF2F}: [DhcpNameServer] 80.243.191.66 8.8.8.8 Prócz tego jest jeszcze adware PriceFountain w Harmonogramie zadań. Na razie jednak: Podaj model routera, zapewne wymagana aktualizacja firmware.

W raportach nie widzę nic oczywistego, ale budzi podejrzenie rozszerzenie: FF Extension: Video AdBlock - C:\Users\Agata\AppData\Roaming\Mozilla\Firefox\Profiles\tsfpm07w.default-1454336088848\extensions\{068e178c-61a9-4a63-b74f-87404a6f5ea1} [2016-02-07] Instalatory "Video AdBlock" na poziomie rejestru są także przygotowane dla Google Chrome. Wstępnie działania: 1. W Firefox w menedżerze dodatków odinstaluj Video AdBlock. 2. W Panelu sterowania odinstaluj bardzo starą niebezpieczną wersję Adobe Flash Player 15 ActiveX. Potem zainstalujesz najnowszą. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Agata\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {21057B87-4F81-4561-AE60-EF4A1D6F4B12} - System32\Tasks\{8A4C57B8-F93A-4E5D-8D80-1AC87B89B2E1} => pcalua.exe -a C:\Users\Agata\AppData\Local\Temp\jre-8u77-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 Task: {488DE605-D204-42B3-B8FA-A7B6C708217E} - System32\Tasks\{C12CF383-9F8A-4557-86AC-C662D72A6022} => pcalua.exe -a C:\Users\Agata\Downloads\JavaSetup8u71.exe -d C:\Users\Agata\Downloads Task: {91AC8EAD-DD95-472B-908A-9DDFFD1E3870} - System32\Tasks\{3751245D-F919-4E4E-B2B7-905DF4D78B72} => pcalua.exe -a C:\Users\Agata\Downloads\T3vis.exe -d C:\Users\Agata\Downloads Task: {9F8313F3-41C2-4772-AF77-B9EC08FE6145} - System32\Tasks\SUPBackground => C:\Program Files\Samsung\Samsung Update Plus\SUPBackground.exe HKLM-x32\...\Run: [sunJavaUpdateSched] => C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" FF SearchPlugin: C:\Users\Agata\AppData\Roaming\Mozilla\Firefox\Profiles\tsfpm07w.default-1454336088848\searchplugins\googlede.xml [2016-02-01] FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-233006258-18527085-3623643150-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\Lavasoft RemoveDirectory: C:\ProgramData\TEMP RemoveDirectory: C:\Users\Agata\AppData\Roaming\0U1E1Q1T2Z1P0S2Z1T1C RemoveDirectory: C:\Users\Agata\AppData\Roaming\Lavasoft C:\Users\Agata\AppData\Local\housecall.guid.cache C:\Users\Agata\AppData\Roaming\chrtmp Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy po usunięciu Video AdBlock jest poprawa.

O ile problem jeszcze aktualny: tu było już jakieś czyszczenie, gdyż nie widać procesu przywracającego modyfikację. Niemniej preferencje Firefox nadal są zanieczyszczone Surfvox, a reinstalacja przeglądarki w ogóle nie usuwa / nie czyści profilu Firefox. Doczyszczanie szczątków: 1. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > wszystkie adresy, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > sekcja Osoby > usuń poprzedni nieużywany profil. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-1887041461-1235169063-1690688974-1000 -> {828B376B-F2F6-4778-928C-E29EC877535E} URL = hxxp://www.google.com/cse?cx=partner-pub-0900663996874144:6813731868&ie=UTF-8&q={searchTerms}&sa=Search&ref=#gsc.tab=0&gsc.q={searchTerms}&gsc.page=1 SearchScopes: HKU\S-1-5-21-1887041461-1235169063-1690688974-1000 -> {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = hxxp://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo Task: {0DA4285A-8A5D-4F51-AD31-68E0361F2142} - System32\Tasks\{AD77302F-3572-4B7C-B971-A82BF21C5E62} => D:\Gry\simsiory\The Sims 4\Game\Bin\TS4.exe Task: {13B6489E-756C-4839-8B87-8969BC3CBF39} - System32\Tasks\{5BD6C4C6-F184-405B-A7F6-2F440FA8EAC7} => D:\Gry\simsiory\The Sims 4\Game\Bin\TS4.exe Task: {C442FDFE-7994-4B35-A9E5-878527F743FA} - System32\Tasks\{016BA4C0-B26E-4F06-AB98-4C5AEA194141} => D:\Gry\simsiory\The Sims 4\Game\Bin\TS4.exe DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CCleaner Monitoring DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ChomikBox DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Napisy24.pl DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Napisy24Update AlternateDataStreams: C:\Windows\RtlExUpd.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\aitstatic.exe:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\audiodg.exe:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\AudioEng.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\AUDIOKSE.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\AudioSes.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\audiosrv.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\blackbox.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\certcli.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\ci.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\clfs.sys:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\clfsw32.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\cryptsp.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\cryptui.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\drmmgrtn.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\drmv2clt.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\EncDump.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\msctf.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\msnetobj.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\msscp.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\nlasvc.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\pcadm.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\pcaevts.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\pcalua.exe:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\pcasvc.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\pcawrk.exe:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\perftrack.dll:$CmdTcID [130] AlternateDataStreams: C:\Windows\system32\poqexec.exe:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\powertracker.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\profsvc.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\scesrv.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\services.exe:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\TSWbPrxy.exe:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\ubpm.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\wdi.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\WindowsCodecs.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\winload.exe:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\winresume.exe:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\wmdrmsdk.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\WMPhoto.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\wpdshext.dll:$CmdTcID [130] AlternateDataStreams: C:\Windows\SysWOW64\ac3filter.ax:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\AudioEng.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\AUDIOKSE.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\AudioSes.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\blackbox.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\BugTrap.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\certcli.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\clfsw32.dll:$CmdTcID [130] AlternateDataStreams: C:\Windows\SysWOW64\cryptsp.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\cryptui.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\drmmgrtn.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\drmv2clt.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\libFLAC.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\msctf.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\msnetobj.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\msscp.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\ncsi.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\nlaapi.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\poqexec.exe:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\scesrv.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\ubpm.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\wdi.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\WindowsCodecs.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\wmdrmsdk.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\WMPhoto.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\wpdshext.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\xvidcore.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\Drivers\browserMon.sys:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\Drivers\http.sys:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\Drivers\PEAuth.sys:$CmdTcID [64] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\drunkbear-i4430\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108 RemoveDirectory: C:\Users\Public\Documents\dmp CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz też pole Shortcut, by powstał brakujący log. Dołącz też plik fixlog.txt.

W raportach nie widać żadnych oznak tej infekcji, czyli tu klaruje się teoria, że jeden z komputerów klienckich był źródłem. A te wszystkie ostrzeżenia w logu do zignorowania (FRST nie ma białej listy dopasowej do systemów serwerowych). Czyli jak mówiłam, należy samodzielnie ręcznie wyczyścić z poziomu serwera to co dla Ciebie jest dostępne do czyszczenia (wtórnie dodane pliki typu {RecOveR}* i inne śmieci). Natomiast jest tu problem innego typu, czyli detekcja który komputer kliencki był źródłem, gdyż to ten komputer musi zostać dogłębnie sprawdzony i ewentualnie wyczyszczony z ewentualnie aktywnej infekcji.

Wyszukiwarka adware została zablokowana na bazie polityk oprogramowania. Poza tym, są zmodyfikowane skróty LNK Google Chrome. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 DeskTop_F; C:\ProgramData\desktopfind\desktop173.exe [236728 2016-03-16] (DeskTopService) GroupPolicy: Restriction - Chrome ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.so-v.com/?type=ll&uid=adbf5912-2bbf-4d6a-a71f-d411caa112e5 ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.so-v.com/?type=ll&uid=adbf5912-2bbf-4d6a-a71f-d411caa112e5 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.so-v.com/?type=ll&uid=adbf5912-2bbf-4d6a-a71f-d411caa112e5 Task: {9A166C59-7F33-4643-B773-D19D894E783F} - System32\Tasks\{72A5913F-CB74-4AE8-BB6E-9079686DDCA3} => pcalua.exe -a C:\WINDOWS\SysWOW64\C2MP\Uninst.exe RemoveDirectory: C:\ProgramData\desktopfind EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Potwierdź ustąpienie problemu.

Prawie wszystko pomyślnie usunięte. Na zakończenie: 1. Nie odinstalowałeś AVG Web TuneUp. Przeoczyłeś czy ominąłeś celowo? To zbędny "firmowy PUP" wykonujący niepożądane modyfikacje w preferencjach przeglądarek. 2. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie adresy adware, z wyjątkiem google.pl. 3. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 4. Do wykonania aktualizacja Java oraz kompleksowa aktualizacja Windows. Stan fatalny - brak SP1, IE11 i reszty łat. Do pobrania z Windows Update będzie około kilkaset aktualizacji... Platform: Windows 7 Ultimate (X64) Język: Polski (Polska) Internet Explorer Wersja 8 (Domyślna przeglądarka: Chrome)

arek16, zasady działu, tu nie wolno się podczepiać pod cudze tematy, chaos dyskusyjny: KLIK. Wydzielam w osobny. Pomimo że ta sama infekcja, Twój problem jest inny, gdyż chodzi o serwer danych. Jaki typ serwera, czy to komputer źródłowy infekcji, czy tylko dysk który był dostępny podczas infekcji z poziomu innego komputera? W pierwszym przypadku potrzebne raporty z FRST (FRST da się uruchomić na Windows Server), by ocenić czy infekcja jest aktywna. Jeśli nie był to jednak komputer źródłowy, tzn. dysk serwera był po prostu dostępny dla zewnętrznego procesu infekcji, analiza zjawiska nie zostanie tu wykonana, bo brak narzędzi. Sprzątanie będziesz musiał przeprowadzić samodzielnie. A z zaszyfrowanymi danymi nic nie jestem w stanie zrobić.

W systemie widać aktywną infekcję - plik Adobe.exe w Autostarcie. To odpadek po adware PriceFountain. W Harmonogramie zadań pozostał wpis MicgaPerformDemonetizedV2 próbujący to ładować. Najwyraźniej używałeś narzędzie usuwające CoinVaultDecryptor. To folder lokalnego źródła instalacji pakietu Office, używany m.in. do reperacji komponentów. Można go usunąć, pod warunkiem że masz płytę instalacyjną Office. W przeciwnym wypadku nie będziesz już w stanie Office naprawić. Wstępnie do przeprowadzenia następujące działania: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje: Adobe AIR, Adobe Flash Player 17 NPAPI. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Users\Micga\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Adobe.exe [2015-04-02] () Startup: C:\Users\Micga\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\StartIsBack Plus 1.7.5 with Crack 2015 Download.lnk [2015-04-24] Task: {65EE22C1-F7A4-467E-AFEC-D5F771A2D95B} - System32\Tasks\MicgaPerformDemonetizedV2 => Rundll32.exe RoundupAstounded.dll,main 7 1 Task: {829E54D0-8E2A-4D97-A4C1-DF5C26F60FB8} - System32\Tasks\{5D3E6269-F3C7-4F41-8ADB-1B00E02E44BA} => pcalua.exe -a "C:\Program Files (x86)\Dental Soft Image\UNWISE.EXE" -d C:\PROGRA~2\DENTAL~1\ -c /W4 "C:\Program Files (x86)\Dental Soft Image\INSTALL.LOG" CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKU\S-1-5-21-2593513844-2382193134-3315844502-1001\...\Run: [Trans] => C:\Program Files (x86)\Trans\trans.exe S3 ew_hwusbdev; \SystemRoot\system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; \SystemRoot\System32\drivers\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; \SystemRoot\system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_cdcecm; \SystemRoot\system32\DRIVERS\ew_jucdcecm.sys [X] S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; \SystemRoot\System32\drivers\ew_juextctrl.sys [X] S3 huawei_wwanecm; \SystemRoot\system32\DRIVERS\ew_juwwanecm.sys [X] Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Steam /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Trans /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "StartIsBack Plus 1.7.5 with Crack 2015 Download.lnk" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v Psi.lnk /f DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\Program Files (x86)\Dental USB RemoveDirectory: C:\Program Files (x86)\Dental Soft Image RemoveDirectory: C:\Program Files (x86)\Opera RemoveDirectory: C:\Program Files (x86)\R.G. Catalyst RemoveDirectory: C:\Program Files (x86)\Samsung RemoveDirectory: C:\ProgramData\HitmanPro RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Dental Soft Image RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Recovery RemoveDirectory: C:\Users\Micga\AppData\Local\PerformDemonetized RemoveDirectory: C:\Users\Micga\AppData\Roaming\Petroglyph RemoveDirectory: C:\Users\Micga\AppData\Roaming\RST RemoveDirectory: C:\WINDOWS\msdownld.tmp C:\Users\Micga\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Play Star Wars JK Jedi Academy Single Player (Safe Mode).lnk C:\Users\Michał\Desktop\amcapc.lnk C:\Users\Michał\Desktop\Dental Soft Image.lnk C:\Users\Michał\Desktop\Dental Usb.lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W systemie są dwa konta: ==================== Konta użytkowników: ============================= Micga (S-1-5-21-2593513844-2382193134-3315844502-1001 - Administrator - Enabled) => C:\Users\Micga Michał (S-1-5-21-2593513844-2382193134-3315844502-1002 - Limited - Enabled) => C:\Users\Michał Po kolei z poziomu obu kont zrób nowy log FRST z opcji Skanuj (Scan), włącznie z Addition ale już bez Shortcut. Na koncie limitowanym Michał uruchom FRST przez dwuklik a nie "Uruchom jako Administrator", by nie został zmieniony kontekst konta. Dołącz też plik fixlog.txt. Podsumuj jak działa system i czy są jeszcze jakieś problemy.

Zabrakło trzeciego obowiązkowego pliku FRST Shortcut.txt. Sterownik bsdriver nakłada filtr na woluminy, stąd trudności z jego usunięciem. Działania do przeprowadzenia: 1. Odinstaluj stare wersje Adobe Flash Player 20 PPAPI (to zresztą wersja dla nieobecnej tu Opery), Java 8 Update 40. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: fltmc detach bsdriver c: bsdriver R1 bsdriver; C:\WINDOWS\system32\drivers\bsdriver.sys [34720 2016-03-26] () GroupPolicy: Restriction - Chrome CHR HKLM\SOFTWARE\Policies\Google: Restriction Task: {22DEAC17-CFE9-48B5-827A-81BB2F2333B8} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File Task: {44B9F7AD-0C5F-463E-AE72-3DE8791252BC} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File Task: {5782FEBB-7896-42F9-97C8-EE41C651DE46} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File Task: {6E7079E2-2DEE-4744-A894-66CE82D2A577} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File Task: {80DAB343-6CEC-4EE6-B3D5-A0ADF577B6DD} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File Task: {8673A145-4B43-4699-9560-1C36D9D55959} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File Task: {88851601-DA6A-45EE-A6B3-91060829C0A7} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File Task: {B77E190B-AE5A-4B67-B88D-63774E8D2FD9} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File Task: {D22D11BB-E985-461F-963B-C6B849E041B2} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File Task: {D8CB05EC-8289-4335-87C5-33A357AFCBB4} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File Task: {F76B67F3-E239-45D7-8AD6-002B34BF2353} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File FF HKLM-x32\...\Firefox\Extensions: [{F003DA68-8256-4b37-A6C4-350FA04494DF}] - C:\Program Files\Logitech\SetPointP\LogiSmoothFirefoxExt DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\Opera RemoveDirectory: C:\Users\Brunoxp\AppData\LocalLow\Company RemoveDirectory: C:\Users\Public\Documents\dmp RemoveDirectory: C:\WINDOWS\system32\fiu RemoveDirectory: C:\WINDOWS\system32\lub RemoveDirectory: C:\WINDOWS\system32\kot RemoveDirectory: C:\WINDOWS\system32\rop RemoveDirectory: C:\WINDOWS\system32\rif RemoveDirectory: C:\WINDOWS\system32\vuts C:\WINDOWS\system32\Drivers\bsdriver.sys C:\WINDOWS\system32\Drivers\cherimoya.sys C:\WINDOWS\system32\Drivers\etc\hp.bak C:\WINDOWS\SysWOW64\Number of results Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Ustaw go też jako domyślną przeglądarkę, gdyż obecnie żadna nie jest ustawiona. 4. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pole Shortcut, by powstał brakujący log. Dołącz też plik fixlog.txt.

Wszystko pomyślnie wykonane. Teraz jeszcze na wszelki wypadek: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Chodziło tylko o dostarczenie brakującego pliku Shortcut, FRST.txt zbędny i usuwam. Fix pomyślnie wykonany. Na koniec: Usuń ręcznie FRST z "Nowy folder (2)" na Pulpicie. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

DelFix wykonał co należy. Skasuj z dysku plik C:\delfix.txt. To wszystko z mojej strony. Temat rozwiązany. Zamykam.

Kolejna porcja czynności: 1. Ta akcja nie została wykonana: 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu H:\AdwCleaner.