picasso

Inne bazy danych, inne techniki usuwania, inny typ zabezpieczeń. MCShield ma też autoaktualizację baz, to samo w USBFix tylko w wersji płatnej. Program usunął skrót LNK (oba programy to robią). E:\Ten komputer — skrót.lnk.vir to mógł być jakiś skrót utworzony ręcznie, a więc nieszkodliwy. Nie ma potrzeby.

Ten log Addition.txt jest urwany przy końcu. Niemniej w raportach nie widać żadnych niepożądanych zmian od ostatniej weryfikacji. Ostatnio zmodyfikowałam mój post tyczący Adobe Reader i są już dokładne linki bezpośrednie z wyjaśnieniem jak się instaluje program (najpierw baza + potem najnowsza aktualizacja). Wszystko rozpisane tam gdzie zwykle: KLIK. 64-bitowa wersja Java jest ciut starsza: Java 8 Update 65 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F86418065F0}) (Version: 8.0.650.17 - Oracle Corporation) Java 8 Update 66 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83218066F0}) (Version: 8.0.660.18 - Oracle Corporation)

Nie wiem o co chodzi z tym programem, była na pewno jakaś akcja przed zgłoszeniem się na forum, która naruszyła program. Nie mam pojęcia co to mogła być za akcja. Nie wiem również w jaki sposób był instalowany program i czy yoursites123 jakoś się z tym łączy. Kolejna porcja zadań: 1. Uruchom AdwCleaner ponownie, lecz tym razem dobierz po kolei akcje Skanuj i Usuń. Przedstaw log z czyszczenia. 2. W systemie są aż trzy konta. Dotychczas była sprawdzana Kasia. Zaloguj się po kolei na Anię i Anusię poprzez pełny restart komputera a nie opcje Wyloguj czy Przełącz użytkownika. Na każdym koncie zrób po dwa logi FRST.txt + Addition.txt.

1. W AdwCleaner ponownie opcja Skanuj, a następnie Usuń. Gdy ukończy czyszczenie, kroki końcowe: 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

To może być jakiś stary adres zapamiętany w rejestrze. Brak tego:

Zasady działu, tu jest zakaz podpinania się pod cudze wątki: KLIK. Post wydzielony w osobny temat. Adware PriceFountain i inne śmieci nabyłaś podczas pobierania programu WinRAR z portalu dobreprogramy.pl. Na dysku widać świński plik "Asystenta pobierania" tego portalu. Więcej na ten temat: KLIK. To co się tam dzieje na portalu i jemu podobnych woła o pomstę do nieba. Reklamy produkuje zadanie AdducersNecrophilismV2, ale jest więcej obiektów adware. Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj niepożądany program typu "PUP" Advanced-System Protector oraz uszkodzony crack aktywacyjny KMSpico v9.1.3. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 MustangService_2015_10_10; C:\ProgramData\TempMoudleSet\MustangSer1713.exe [236816 2015-10-09] (MustangService) Task: {9A59D0C8-5CC2-4B82-BE3E-278F321BC2E0} - System32\Tasks\AutoPico Daily Restart => C:\Program Files\KMSpico\AutoPico.exe Task: {CCC0B956-DFBA-414F-BA8F-6E498A89B11F} - System32\Tasks\AdducersNecrophilismV2 => Rundll32.exe TokeShabbier.dll,main 7 1 FF HKLM\...\Firefox\Extensions: [sidebarff@gmail.com] - C:\Users\Anka\AppData\Roaming\Mozilla\Firefox\Profiles\h4nkmfj4.default\extensions\sidebarff@gmail.com => nie znaleziono HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\cWdMc RemoveDirectory: C:\ProgramData\TempMoudleSet RemoveDirectory: C:\ProgramData\QWMiniProQ RemoveDirectory: C:\ProgramData\ZWdMZ RemoveDirectory: C:\Users\Anka\AppData\Local\AdducersNecrophilism CMD: del /q "C:\Users\Anka\Downloads\AdwCleaner 4.111.exe" CMD: del /q "C:\Users\Anka\Downloads\WinRAR-12398-dp.exe" CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Skrypt z punktu 2 usunie problem PriceFountain, ale jeszcze dodatkowy skan. Używałaś bardzo stary AdwCleaner 4.111.exe, nie wiadomo skąd pobrany. Proszę pobierz z przyklejonego najnowszy KLIK. Uruchom, wybierz opcję Skanuj (nic nie usuwaj), log powstanie w folderze C:\AdwCleaner. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt i log AdwCleaner.

Temat przenoszę do działu Windows. Żadnych związków z infekcją. Ustalmy czy w ogóle widzisz SP1 z poziomu Windows Update, bo brak widoczności SP1 do pobrania ma następujące przyczyny: KB2498452. Podejrzanym jest świeżo doinstalowany Softros Process Blocker, który ładuje się bardzo inwazyjną metodą AppCertDlls (wstrzykiwanie modułów do procesów). I się zastanawiam czy to on przypadkiem nie blokował pracy FRST. Dodatkowo, doinstalowałeś też co dopiero dziwnego delikwenta Spyware Process Detector - w spoilerze go wymieniam. PS. A w spoilerze do usunięcia drobne wpisy szczątkowe oraz akcje podrzędne, bez związku ze zgłoszonym problemem. M.in. rozwiązanie tych błędów z Dziennika: Dziennik System: ============= Error: (12/18/2015 01:03:16 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Spy*ware Pro*cess De*tector v3.24 z powodu następującego błędu: %%1275 Error: (12/18/2015 01:03:16 PM) (Source: Application Popup) (EventID: 1060) (User: ) Description: Ładowanie sterownika \??\C:\Program Files (x86)\Spyware Process Detector\spd324.sys zostało zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania w celu uzyskania zgodnej wersji sterownika. Error: (12/18/2015 12:58:34 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Roxio Upnp Server 10. Error: (12/18/2015 12:58:06 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi PLAY ONLINE. OUC z powodu następującego błędu: %%1053 Error: (12/18/2015 12:58:06 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą PLAY ONLINE. OUC.

1. W Google Chrome nadal widać te trzy wpisy: Chrome: ======= CHR HomePage: Default -> hxxp://www.gazeta.pl/0,0.html?p=153 CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1423572356&from=smt&uid=WDCXWD7500BPVT-24HXZT1_WD-WX11A41H5037H5037","hxxp://www.mystartsearch.com/?type=hp&ts=1423576101&from=tt4u&uid=WDCXWD7500BPVT-24HXZT1_WD-WX11A41H5037H5037","hxxp://www.sweet-page.com/?type=hp&ts=1423576517&from=cor&uid=WDCXWD7500BPVT-24HXZT1_WD-WX11A41H5037H5037" CHR Extension: (HD Video Downloader professional) - C:\Users\ala\AppData\Local\Google\Chrome\User Data\Default\Extensions\nannbkggjapgmpangjafgjkkkccmfkdg [2015-11-03] Wyeksportuj zakładki do pliku. Następnie Ustawienia > Ustawienia > Osoby > załóż nowy profil i się na niego zaloguj + zaimportuj zakładki, a poprzedni całkowicie usuń (po zamknięciu okna Chrome z nim załadowanego). Po akcji upewnij się, że zniknął z dysku folder C:\Users\ala\AppData\Local\Google\Chrome\User Data\Default 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Temat przenoszę do działu Windows. To w ogóle nie jest problem infekcji, więc AdwCleaner czy MBAM nie mogły pomóc. Z raportów nic kompletnie nie wynika. Sugestie: - Diagnostyka BSOD - punkt 5: KLIK. - Obciążenie "NT Kernel" jest zwykle związane ze sterownikami (wprowadzonymi przez instalacje zewnętrzne programów lub sprzętowe). Patrząc po datach niedomyślnych sterowników, jedna z ostatnich instalacji 1 grudnia to była Avira, więc ostatecznie można sprawdzić co się stanie po jej tymczasowej testowej deinstalacji. - Poza tym, były tu różne kombinacje z wyłączeniem funkcji śledzących Windows 10 (zainstalowany Spybot Anti-Beacon i widoczne niektóre jego modyfikacje), więc nie wykluczam że jedno z owych działań mogło mieć niekorzystne rezultaty. A nawiasem mówiąc, to śledzenia w Windows 10 nie da się całkowicie wyłączyć. - I bardzo mało wolnego miejsca na partycji E, wszelkie działania odczytu/zapisu tam się wykonujące mogą być obrazowane dużym spowolnieniem. ==================== Dyski ================================ Drive c: () (Fixed) (Total:101.09 GB) (Free:45.62 GB) NTFS Drive e: () (Fixed) (Total:488.18 GB) (Free:3.07 GB) NTFS PS. Aktualizacja starszego systemu do Windows 10 wyłączyła Przywracanie systemu. Miej to na uwadze. I w spoilerze tylko doczyszczanie wpisów szczątkowych / pustych oraz inne akcje podrzędne, co nie ma żadnego związku z problemami.

Router zostawiam w spokoju. Natomiast wracając do innych wątków: 1. Czy na pewno odinstalowałeś RealPlayer? Ja nadal widzę jego potwornie stare wtyczki w Firefox... 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Czy ta płyta Recovery podczas startu udostępnia opcję typu "Napraw komputer"? Można też zrobić inaczej: Zrób płytkę TuxPE. Na stronie filmiku rozwiń blok "Pokaż więcej" i wejdź w link pobierania - interesuje Cię wersja tuxpe_303_iso.iso. Nowsze nie obsługują systemów 32-bitowych. Gdy już wypalisz tę płytę, zbootuj z niej. Płyta ma wbudowany eksplorator plików. W łatwy sposób możesz przekopiować już poprawny plik: C:\Windows\System32\pl-PL\aelupsvc.dll.mui ... do folderu zastępując wadliwą kopię: C:\Windows\winsxs\x86_microsoft-windows-a..structure.resources_31bf3856ad364e35_6.0.6000.16386_pl-pl_f539d28b07e02b53

Są tu dwa rodzaje problemów: - Obciążenie zasobów + zawias podczas zamykania: nie związane z infekcją. Jeśli miałby to być efekt ingerencji jakiegoś software, to pierwszy do sprawdzenia bardzo inwazyjny ESET Smart Security, tzn. jego tymczasowa instalacja. Nie jest także wykluczony problem sprzętowy, ale to jest przedmiotem innego działu Hardware. - Błędy startowe: produkują je odpadki adware Component Total w Harmonogramie zadań, notabene program jest także na liście zainstalowanych. To nieaktywne wpisy i nie mogą mieć żadnego związku z powyższym. Dodatkowo, cała przeglądarka Google Chrome jest w stanie "development", najprawdopodobniej przekonwertowana do tej wersji przez adware. Wymagana reinstalacja od zera. Pod kątem czyszczenia z odpadków i skutków obecności adware: 1. Operacje związane z Google Chrome: Upewnij się, że nie masz włączonej synchronizacji. Opcja 2: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {2031BBB4-1467-4A82-981F-84AC506FE4EF} - System32\Tasks\Component Total => Rundll32.exe "C:\Users\Admin\AppData\Local\Component Total\{0B58B3D2-0ABB-C707-6E70-2F5B3C6F8934}\ComponentTotal.dll",#1 Task: {A4CB3336-ABBE-4D1A-9706-4806E0C32FBE} - System32\Tasks\BCRQ => C:\Users\Admin\AppData\Roaming\BCRQ.exe Task: {B1411188-70C4-4629-850D-DD15CBC5971E} - System32\Tasks\Component Total2 => Rundll32.exe "C:\Users\Admin\AppData\Local\Component Total\{0B58B3D2-0ABB-C707-6E70-2F5B3C6F8934}\fzx.dll",#1 Task: {EB5AD5F4-B0DB-4E55-BEBE-4169EEA9F76B} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe Task: C:\Windows\Tasks\BCRQ.job => C:\Users\Admin\AppData\Roaming\BCRQ.exe GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia SearchScopes: HKU\S-1-5-21-885429063-2764608758-1024342436-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{38816D97-9398-00D1-7A78-4A5B79E3DE89} DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\Program Files (x86)\RelayLogistics RemoveDirectory: C:\Program Files (x86)\SABdrop RemoveDirectory: C:\Users\Admin\AppData\Roaming\E5F47680-1424294013-81DF-29A9-20CF302AF4CB C:\Users\Admin\AppData\Roaming\appdataFr3.bin C:\Users\Admin\AppData\Roaming\BCRQ Folder: C:\Users\Admin\wc EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zainstaluj najnowszą wersję Google Chrome. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Problem adware nie został tu rozwiązany, widoczna aktywna usługa MaintainerSvc2.14.9041534 + sterownik webTinst, oraz polityki Google. Dodatkowo, w Google Chrome cała kolekcja rozszerzeń wątpliwej reputacji związanych z pobieraniem video - one wszystkie są replikami od tego samego producenta. Dla porównania co na temat odpowiedników Firefox jest napisane: KLIK. W Operze także siedzi jakiś pobieracz "Video Downloader 2015", teoretycznie oficjalnie hostowany na Opera Add-ons, ale nie jestem przekonana czy to na pewno rozszerzenie w 100% wolne od niepożądanych wtrętów - na razie je pomijam. A deinstalacja Firefox nie usuwa w ogóle profilu ani rozszerzeń i wtyczek na poziomie rejestru, więc to także będę likwidować. Operacje do przeprowadzenia: 1. Odinstaluj stare wersje: Adobe Flash Player 10 ActiveX, Adobe Flash Player 19 NPAPI, Java 8 Update 31. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 MaintainerSvc2.14.9041534; C:\ProgramData\aea8cc93-2213-47cf-a265-0391e3461dbb\maintainer.exe [128240 2015-10-22] () R2 webTinst; C:\windows\system32\Drivers\webTinst.sys [50264 2015-02-10] () U3 BcmSqlStartupSvc; Brak ImagePath U2 CLKMSVC10_3A60B698; Brak ImagePath U2 CLKMSVC10_C3B3B687; Brak ImagePath U2 DriverService; Brak ImagePath U2 iATAgentService; Brak ImagePath U2 idealife Update Service; Brak ImagePath U3 IGRS; Brak ImagePath U2 IviRegMgr; Brak ImagePath U2 nvUpdatusService; Brak ImagePath U2 Oasis2Service; Brak ImagePath U2 PCCarerService; Brak ImagePath S1 pfnfd_1_10_0_8; system32\drivers\pfnfd_1_10_0_8.sys [X] U2 ReadyComm.DirectRouter; Brak ImagePath U2 RichVideo; Brak ImagePath U2 RtLedService; Brak ImagePath U2 SeaPort; Brak ImagePath U2 SoftwareService; Brak ImagePath U3 SQLWriter; Brak ImagePath U2 Stereo Service; Brak ImagePath Task: {1C8A05F0-2AEE-4F49-BED6-5D748940EDAF} - System32\Tasks\{58655CE6-A2F4-4EDB-8CA5-BA55620DD1CB} => pcalua.exe -a C:\Users\ala\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=smt Task: {48199BC2-F21F-436C-9BD4-F7F03E5AD76B} - System32\Tasks\{AD8B22F9-5C24-41D9-982D-448A0C2D6626} => pcalua.exe -a C:\Users\ala\Desktop\Faraon\Setup.exe -d C:\Users\ala\Desktop\Faraon Task: {8AF0E04A-E2C2-4AB3-B0D8-F9B54F647713} - System32\Tasks\{7957830F-4671-4B8F-B677-529A35F136FE} => C:\Users\ala\Desktop\Faraon\autorun.exe HKLM\...\Run: [Logitech Download Assistant] => C:\Windows\system32\rundll32.exe C:\Windows\System32\LogiLDA.dll,LogiFetch GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HomePage: Default -> hxxp://www.gazeta.pl/0,0.html?p=153 CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1423572356&from=smt&uid=WDCXWD7500BPVT-24HXZT1_WD-WX11A41H5037H5037","hxxp://www.mystartsearch.com/?type=hp&ts=1423576101&from=tt4u&uid=WDCXWD7500BPVT-24HXZT1_WD-WX11A41H5037H5037","hxxp://www.sweet-page.com/?type=hp&ts=1423576517&from=cor&uid=WDCXWD7500BPVT-24HXZT1_WD-WX11A41H5037H5037" CHR Session Restore: Default -> [funkcja włączona] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\ProgramData\aea8cc93-2213-47cf-a265-0391e3461dbb C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Diablo III - Instrukcja.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Pomoc techniczna Blizzard.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Zarządzanie kontem Battle.net.lnk C:\Users\ala\AppData\Local\ACCCx2_8_1_451.zip.aamdownload C:\Users\ala\AppData\Local\ACCCx2_8_1_451.zip.aamdownload.aamd C:\Users\ala\AppData\Local\Mozilla C:\Users\ala\AppData\Roaming\Mozilla C:\Users\ala\Desktop\ALA\PITY\PITY 2011\e-Deklaracje.lnk C:\Users\ala\Desktop\ALA\PITY\PITY 2011\Pity Format 2010.lnk C:\Users\ala\Desktop\ALA\PITY\Pity 2009\PIT-OPP 2009.lnk C:\Users\ala\Desktop\ADAM\Manowar\RPG\RPG\Badlands\Skrót do Badlands.lnk C:\Users\ala\Desktop\Śmieci\DAEMON Tools Lite.lnk C:\Users\ala\Desktop\Śmieci\Mozilla Firefox.lnk C:\Users\ala\Desktop\Śmieci\WindowsPhone — skrót (2).lnk C:\Users\ala\Desktop\Śmieci\WindowsPhone — skrót.lnk C:\windows\system32\Drivers\webTinst.sys CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj tę "kolekcję": Flash Video Downloader, HD Video Downloader professional, Video Downloader professional. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google (o ile coś tam będzie). 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\ala\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Wszystko potwierdzone jako usunięte. Na koniec: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Podałeś mi stare logi FRST zrobione przed ostatnim Fixem FRST i nie wykazujące rzecz jasna zmian. Poproszę o świeży zestaw FRST.txt + Addition.txt.

Wszystko zrobione, ale jeszcze dla pewności: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Fix FRST wykonany. Na koniec te same kroki jak w przypadku poprzedniego komputera + aktualizacja Java. I prawdopodobnie temat drugiego komputera wydzielę w nowy w dziale Windows, bo nie ma związku z infekcją. Na przyszłość: różne komputery = różne tematy.

Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

To normalne - Fix FRST ma wbudowane zabijanie procesów wszystkich głównych przeglądarek. Fix wykonany. Kończymy: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Do czytania na co uważać, by ograniczyć podobne problemy: KLIK.

Pliki *.ccc to zaszyfrowane wersje utworzone przez infekcję TeslaCrypt: KLIK. Odszyfrowanie plików nie jest możliwe na własną rękę "sposobem domowym" i nie ma żadnego dekodera dostępnego publicznie. Jedyne możliwości odkodowania plików to opłata przestępcom (niepolecane działanie) lub zgłoszenie się bezpośrednio do supportu Kasperskiego z prośbą o pomoc: KLIK. W mojej gestii jest jedynie doczyszczenie infekcji (ona jest aktywna) oraz innych śmieci, bo są tu też liczne obiekty adware, w tym infekcja pliku dnsapi.dll. I pod tym kątem: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [spaceSoundPro] => "C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe" HKLM-x32\...\Run: [gmsd_pl_005010137] => [X] HKLM-x32\...\Run: [gmsd_pl_005010140] => [X] HKLM-x32\...\Run: [rec_en_77] => [X] HKLM-x32\...\Run: [gmsd_pl_005010141] => [X] HKLM-x32\...\Run: [gmsd_pl_005010142] => [X] HKLM-x32\...\Run: [qewr2342] => C:\Users\fff\AppData\Roaming\yjexq-a.exe HKLM-x32\...\Run: [Orange_Poland LINKS ModemListener] => C:\Program Files (x86)\Airbox\Y858_Poland\BackgroundService\ModemListener.exe start HKLM-x32\...\Winlogon: [shell] Explorer.exe, [ ] () HKLM\...\Policies\Explorer\Run: [82120755] => C:\ProgramData\msuhqbqc.exe [78848 2014-10-29] () HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKU\S-1-5-21-1296088152-1995581241-2128387976-1001\...\Run: [GoogleChromeAutoLaunch_9A416E56DFA36904EDC88884BFAAD356] => "C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\crossbrowse.exe" --no-startup-window HKU\S-1-5-21-1296088152-1995581241-2128387976-1001\...\Run: [qewr2342] => C:\Users\fff\AppData\Roaming\yjexq-a.exe HKU\S-1-5-21-1296088152-1995581241-2128387976-1001\...\Policies\Explorer: [TaskbarNoNotification] 1 HKU\S-1-5-21-1296088152-1995581241-2128387976-1001\...\Policies\Explorer: [HideSCAHealth] 1 S1 {1792ab0b-c92b-49ed-ad87-bb9f82f84827}Gw64; C:\Windows\System32\drivers\{1792ab0b-c92b-49ed-ad87-bb9f82f84827}Gw64.sys [48776 2015-12-19] (StdLib) S1 {3b4731ea-9539-4c87-9264-ef1fb223f684}Gw64; C:\Windows\System32\drivers\{3b4731ea-9539-4c87-9264-ef1fb223f684}Gw64.sys [48776 2015-11-11] (StdLib) S2 Update Hard Case; C:\Program Files (x86)\Hard Case\updateHardCase.exe [651504 2015-12-20] () S2 Util Hard Case; C:\Program Files (x86)\Hard Case\bin\utilHardCase.exe [651504 2015-12-20] () S2 WinNetSvc; C:\Users\fff\AppData\Roaming\WinNetSvc\WinNetSvc.exe [4845408 2015-12-16] () S3 Huawei E3372; "C:\ProgramData\MobileBrServ\mbbservice.exe" -service [X] S3 RTSPER; \SystemRoot\system32\DRIVERS\RtsPer.sys [X] S1 {078ad437-dc9f-4228-9edb-b3d1c0246ff8}Gw64; system32\drivers\{078ad437-dc9f-4228-9edb-b3d1c0246ff8}Gw64.sys [X] S1 {27899312-155f-40f3-8661-fb6675d82b4b}Gw64; system32\drivers\{27899312-155f-40f3-8661-fb6675d82b4b}Gw64.sys [X] S1 {3abcaa2c-a48f-4cd5-9f1d-4ba001bc6de2}Gw64; system32\drivers\{3abcaa2c-a48f-4cd5-9f1d-4ba001bc6de2}Gw64.sys [X] S1 {40d1e549-9fca-4f25-a19d-d845842dd635}Gw64; system32\drivers\{40d1e549-9fca-4f25-a19d-d845842dd635}Gw64.sys [X] S1 {8299d9bc-4fe2-4889-9adf-025a0769d461}Gw64; system32\drivers\{8299d9bc-4fe2-4889-9adf-025a0769d461}Gw64.sys [X] S1 {91975f83-f39c-43cf-aad4-0b3396b0f6db}w64; system32\drivers\{91975f83-f39c-43cf-aad4-0b3396b0f6db}w64.sys [X] S1 {a16a1775-5ab3-4034-ac52-de0795db97f0}Gw64; system32\drivers\{a16a1775-5ab3-4034-ac52-de0795db97f0}Gw64.sys [X] S1 {c88279d3-91dd-4bd9-ad38-681f71d6e36d}Gw64; system32\drivers\{c88279d3-91dd-4bd9-ad38-681f71d6e36d}Gw64.sys [X] S1 {ca4e7e4c-3ebf-4428-bf75-cc138b7061f1}Gw64; system32\drivers\{ca4e7e4c-3ebf-4428-bf75-cc138b7061f1}Gw64.sys [X] S1 {fb92e7a9-ee13-44c3-a51b-600382fe9211}Gw64; system32\drivers\{fb92e7a9-ee13-44c3-a51b-600382fe9211}Gw64.sys [X] Task: {0ECCD5AE-8C19-436A-B061-1DD080EB956D} - System32\Tasks\Optimizer Pro Schedule => C:\Program Files (x86)\Optimizer Pro 3.11\OptProLauncher.exe Task: {20BAA76C-F3CF-4DE3-AE21-E49591D4E3DD} - System32\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-6 => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-6.exe Task: {268AB0A1-19B9-4A2F-BDEC-7900C2322CBE} - System32\Tasks\GoogleUpdateTaskMachineCore1d00daa6028d803 => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {2AB60FC6-90E4-4FD3-908D-1267DFCF01E3} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe Task: {453CB28C-AE96-4414-A623-414878FE0ABE} - System32\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-5_user => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-5.exe Task: {661242DA-FA5C-4CC6-842E-94E4CC92EEDD} - System32\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-5 => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-5.exe Task: {6ACD8FBE-BD3B-484A-89CC-4E207C4F3E68} - System32\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-7 => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-7.exe Task: {8477970E-D65C-45DE-AB31-459DA3E8B619} - System32\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-1-7 => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-1-7.exe Task: {C5878A08-0B85-47F1-AE7F-617952B0E21F} - System32\Tasks\Q6lLXq4SUDC => C:\Users\fff\AppData\Roaming\Q6lLXq4SUDC.exe Task: {D1935FF5-7B96-4115-B289-0074FC712F7F} - System32\Tasks\Aeiajyu => C:\PROGRA~1\SHOPPE~1\Libdop.bat Task: {D82C9CAE-20A5-469D-BC12-EE2C78996625} - System32\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-1-6 => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-1-6.exe Task: {DA1C5239-7215-4FE5-A3F1-9D2D867F8991} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe Task: {DE93CFD7-CEB0-480B-BA5C-630934D5230B} - System32\Tasks\{9235CEFE-CA24-4387-B835-C8047937BA31} => pcalua.exe -a "C:\Program Files (x86)\Acer\Acer Portal\uninstall.exe" Task: {E9442772-AB38-4E99-8AF7-AF2C3268C309} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe Task: {F986DC5F-1820-47BC-82CF-5EB7412BEA40} - System32\Tasks\Crossbrowse => C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe Task: {FFD8A4A8-DA08-4F72-92C3-91215600F002} - System32\Tasks\AcerCloud => C:\Program Files (x86)\Acer\Acer Portal\AcerPortal.exe Task: C:\Windows\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-1-6.job => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-1-6.exe Task: C:\Windows\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-1-7.job => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-1-7.exe Task: C:\Windows\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-5.job => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-5.exe Task: C:\Windows\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-5_user.job => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-5.exe Task: C:\Windows\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-6.job => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-6.exe Task: C:\Windows\Tasks\88118583-7e73-4f09-aba4-90a2eac0cb7a-7.job => C:\Program Files (x86)\GoHD\88118583-7e73-4f09-aba4-90a2eac0cb7a-7.exe Task: C:\Windows\Tasks\Crossbrowse.job => C:\Program Files (x86)\Crossbrowse\Crossbrowse\Application\utility.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe Task: C:\Windows\Tasks\Q6lLXq4SUDC.job => C:\Users\fff\AppData\Roaming\Q6lLXq4SUDC.exe ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446831381 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446831381 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1437063217&z=c7905f569a0147f9749f980gcz2c0m5e1q5c4gfgeq&from=cornl&uid=WDCXWD5000LPVX-22V0TT0_WD-WX21E54EVS09EVS09&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1437063217&z=c7905f569a0147f9749f980gcz2c0m5e1q5c4gfgeq&from=cornl&uid=WDCXWD5000LPVX-22V0TT0_WD-WX21E54EVS09EVS09&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446831381 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446831381 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1437063217&z=c7905f569a0147f9749f980gcz2c0m5e1q5c4gfgeq&from=cornl&uid=WDCXWD5000LPVX-22V0TT0_WD-WX21E54EVS09EVS09&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1437063217&z=c7905f569a0147f9749f980gcz2c0m5e1q5c4gfgeq&from=cornl&uid=WDCXWD5000LPVX-22V0TT0_WD-WX21E54EVS09EVS09&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-1296088152-1995581241-2128387976-1001\Software\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446831381 HKU\S-1-5-21-1296088152-1995581241-2128387976-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446831381 SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1296088152-1995581241-2128387976-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=WDCXWD5000LPVX-22V0TT0_WD-WX21E54EVS09EVS09&ts=1437063398&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1296088152-1995581241-2128387976-1001 -> {6D32925A-EC0E-4E01-B14F-5C4D2AC47F99} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=WDCXWD5000LPVX-22V0TT0_WD-WX21E54EVS09EVS09&ts=1437063398&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1296088152-1995581241-2128387976-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=WDCXWD5000LPVX-22V0TT0_WD-WX21E54EVS09EVS09&ts=1437063398&type=default&q={searchTerms} BHO-x32: Hard Case 1.0.0.7 -> {129adec8-a002-44a1-880a-7bd8518798c3} -> C:\Program Files (x86)\Hard Case\HardCasebho.dll [2015-08-21] (Hard Case) StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://isearch.omiga-plus.com/?type=sc&ts=1418328914&from=cor&uid=WDCXWD5000LPVX-22V0TT0_WD-WX21E54EVS09EVS09 ShortcutWithArgument: C:\Users\fff\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446983411 ShortcutWithArgument: C:\Users\fff\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446983411 ShortcutWithArgument: C:\Users\fff\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446983411 ShortcutWithArgument: C:\Users\fff\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446831381 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446831381 ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54EVS09_WDCWD5000LPVX-22V0TT0&tm=1446831381 FF Plugin: @mcafee.com/MSC,version=10 -> c:\PROGRA~1\mcafee\msc\NPMCSN~1.DLL [brak pliku] FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [brak pliku] FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [brak pliku] FF HKLM\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor => nie znaleziono FF HKLM\...\Firefox\Extensions: [{1004631C-2843-4B62-8C97-1A08E065D1F7}] - C:\Program Files\shopperz061120151826\Firefox\{1004631C-2843-4B62-8C97-1A08E065D1F7}.xpi => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [{1004631C-2843-4B62-8C97-1A08E065D1F7}] - C:\Program Files\shopperz061120151826\Firefox\{1004631C-2843-4B62-8C97-1A08E065D1F7}.xpi => nie znaleziono HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google C:\ProgramData\msuhqbqc.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\zf3i4r6e6f5o4x.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Optimizer Pro v3.2 C:\Users\fff\AppData\Local\Google C:\Users\fff\AppData\Roaming\WinNetSvc C:\Users\fff\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5d696d521de238c3\Google Chrome.lnk C:\Users\fff\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\fff\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\avast! antivirus.lnk C:\Users\fff\Desktop\bzdety z pulpitu\abMedia.lnk C:\Users\fff\Desktop\bzdety z pulpitu\abPhoto.lnk C:\Users\fff\Desktop\bzdety z pulpitu\Acer Portal.lnk C:\Users\fff\Desktop\bzdety z pulpitu\Acer Remote Files.lnk C:\Users\fff\Desktop\bzdety z pulpitu\Bin — skrót.lnk C:\Users\fff\Desktop\bzdety z pulpitu\Booking.com.lnk C:\Users\fff\Desktop\bzdety z pulpitu\Continue Microsoft Office Installation.lnk C:\Users\fff\Desktop\bzdety z pulpitu\CyberLink PowerDirector 10.lnk C:\Users\fff\Desktop\bzdety z pulpitu\CyberLink PowerDVD 12.lnk C:\Users\fff\Desktop\bzdety z pulpitu\eBay.lnk C:\Users\fff\Desktop\bzdety z pulpitu\Huawei E3372.lnk C:\Users\fff\Desktop\bzdety z pulpitu\McAfee Security Scan Plus.lnk C:\Users\fff\Desktop\bzdety z pulpitu\Originals\Avast Free Antivirus.lnk C:\Users\fff\Desktop\bzdety z pulpitu\Originals\Opera.lnk C:\Users\fff\Desktop\bzdety z pulpitu\Originals\Optimizer Pro.lnk C:\Users\fff\Pictures\page (2).ln C:\Users\fff\Pictures\natalia\Gramblr.lnk C:\Windows\system32\Conivew64.dll C:\Windows\System32\drivers\{1792ab0b-c92b-49ed-ad87-bb9f82f84827}Gw64.sys C:\Windows\System32\drivers\{3b4731ea-9539-4c87-9264-ef1fb223f684}Gw64.sys C:\Windows\SysWOW64\Conivew.dll CMD: bcdedit CMD: netsh advfirewall reset CMD: netsh winsock reset CMD: attrib -r -h -s C:\howto_recover_* /s CMD: del /q /s C:\howto_recover_* Hosts: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom RepairDNS. Na Pulpicie powstanie raport RepairDNS.txt 3. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware GoHD, GUPlayer, Hard Case, Reimage Protector, Setup, SpaceSoundPro Service (dwa wejścia), WordAnchor 1.10.0.20 oraz starszą wersję Java 8 Update 51 (64-bit). Jeśli coś nie będzie widoczne lub zwróci błąd, nie szkodzi, kontynuuj. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis globalupdate Helper > Dalej. 4. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też pliki fixlog.txt * i RepairDNS.txt. Odpowiedz mi też na pytanie czy Singapurski OpenDNS 208.67.220.220 został tu ustawiony celowo jako Zapasowy DNS. * Plik fixlog.txt może być ogromny, ze względu na usuwanie rekursywne z dysku wszystkich plików typu howto_recover_* dorobionych przez TeslaCrypt. Jeśli nie wejdzie do załącznika, shostuj go gdzieś i podaj do niego link. Reszta raportów jako załączniki forum.

Wszystko zrobione. Poboczna sprawa. W Google Chrome masz rozszerzenie kojarzone z instalacjami adware: PUP.Optional.OneTab. Czyli w Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj OneTab.

DelFix wykonał robotę. Skasuj z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam.

Nie przedstawiłeś wyników działań. Adresy pobrane z routera, Podstawowy + Zapasowy. A co jest aktualną bramą to wyciągniesz z ipconfig. Jeśli masz na myśli punkty 3 do 5: - Uszkodzony skrót widać w Shortcut.txt. Jest typem "Shortcut" a nie "ShortcutWithArgument" i brak specjalnego parametru. Albo źle go wyczyścił AdwCleaner, albo ktoś ręcznie żle naprawiał skrót. - Usuwane stare elementy .NET Framework Assistant bez podpisu cyfrowego, których nie da się odinstalować z poziomu opcji Firefox (elementy globalne). FF już blokuje niepodpisane dodatki, a od wersji 44 nawet nie będzie można tego obejść. - Reszta: widać z raportów, że wskazane do usunięcia elementy pochodzą od programów odinstalowanych lub są "puste".

Jest tu infekcja zaimplementowana na poziomie Harmonogramu zadań. Infekcja ta ładuje w kółko proxy. Task: {A2000C2B-2438-4042-9FB2-6A8DEF2F20B3} - System32\Tasks\KMSpico Update => Wscript.exe //nologo //B //E:jscript "C:\Users\Dominik\AppData\Roaming\KMSpico\settings.ini" Task: C:\Windows\Tasks\KMSpico Update.job => Wscript.exe Q/nologo /B /E:jscript C:\Users\Dominik\AppData\Roaming\KMSpico\settings.ini AutoConfigURL: [s-1-5-21-2326997545-1421444568-3186752591-1001] => hxxp://xn--koa.net/proxy.pac Referencje nazewnicze "KMSpico" i konstrukcja całości sugerują, że to wynik prób łamania aktywacji systemu. Potencjalny aktywator po prostu załadował trojana. I doprowadziłeś do tego, że obecnie w ogóle brak pliku Hosts i trzeba go odtwarzać. Działania do przeprowadzenia: 1. Jest tu wyłączone Przywracanie systemu. Z klawiatury klawisz z flagą Windows + X > Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz Ochronę dla dysku C:. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {A2000C2B-2438-4042-9FB2-6A8DEF2F20B3} - System32\Tasks\KMSpico Update => Wscript.exe //nologo //B //E:jscript "C:\Users\Dominik\AppData\Roaming\KMSpico\settings.ini" Task: C:\Windows\Tasks\KMSpico Update.job => Wscript.exe Q/nologo /B /E:jscript C:\Users\Dominik\AppData\Roaming\KMSpico\settings.ini FF user.js: detected! => C:\Users\Dominik\AppData\Roaming\Mozilla\Firefox\Profiles\ip12n5wo.default\user.js [2015-12-20] C:\Program Files (x86)\Temp C:\Users\Dominik\AppData\Roaming\KMSpico C:\Windows\SECOH-QAD.exe C:\Windows\SECOH-QAD.dll RemoveProxy: Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Raporty zostały zrobione z poziomu konta limitowanego "M" (stąd też masa odczytów o "braku dostępu", "uszkodzonym WMI", etc.): ==================== Konta użytkowników: ============================= Bazooka (S-1-5-21-562281720-3894058892-620674494-1005 - Administrator - Enabled) => C:\Users\Bazooka M (S-1-5-21-562281720-3894058892-620674494-1000 - Limited - Enabled) => C:\Users\M Zaloguj się na konto administracyjne Bazooka poprzez pełny restart komputera (a nie opcje Wyloguj czy Przełącz użytkownika) i zrób nowe raporty FRST.txt + Addition.txt + Shortcut.txt. I na razie tu nie ma żadnych oznak, że przyczyną jest infekcja. Jeśli CCleaner uruchamiasz z poziomu konta limitowanego, to może być powód jego zachowania. Program i tak wymaga uprawnień administracyjnych do czyszczenia określonych sfer, z poziomu konta limitowanego mało co zrobi.