picasso

Z pośpiechu zlinkowałam zły adres. W międzyczasie już zedytowałam mój post i powyżej jest już poprawny link.

Nadal jedna kopia pliku zła. Kolejne podejście. Do Notatnika wklej: Unlock: C:\Windows\winsxs\x86_microsoft-windows-a..structure.resources_31bf3856ad364e35_6.0.6000.16386_pl-pl_f539d28b07e02b53\aelupsvc.dll.mui Replace: E:\FRST\aelupsvc.dll.mui C:\Windows\winsxs\x86_microsoft-windows-a..structure.resources_31bf3856ad364e35_6.0.6000.16386_pl-pl_f539d28b07e02b53\aelupsvc.dll.mui Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

1. Uruchom AdwCleaner ponownie, tym razem po kolei wybierz opcje Skanuj i Usuń. Gdy program ukończy czyszczenie: 2. Przez SHIFT+DEL (omija Kosz) skasuj folder C:\MATS z dysku. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Do czytania na co uważać, by ograniczyć podobne problemy: KLIK.

SFC niby mówi, że naprawił, a zaraz po tym że nie może naprawić. Poproszę o kolejny odczyt. Uruchom FRST, w polu Szukaj wklej: aelupsvc.dll.mui Klik w Szukaj plików i dostarcz wynikowy log.

Brakuje nowego głównego raportu FRST.txt.

vs. Co to konkretnie znaczy "nie działa"? To samo co przed leczeniem, czy jakieś inne objawy teraz? Czy na pewno Recovery było wcześniej pod F8? Czy w ogóle działało wcześniej? Czy zmieniałeś kiedyś układ partycji jakimś narzędziem (to odcina dostęp do Recovery)? ==================== Dyski ================================ Drive c: (WINDOWS) (Fixed) (Total:149.04 GB) (Free:38.39 GB) NTFS Drive d: (Data) (Fixed) (Total:148.65 GB) (Free:51.69 GB) NTFS Drive e: (GRMCPRXFRER_PL_DVD) (CDROM) (Total:2.91 GB) (Free:0 GB) UDF Drive f: () (Removable) (Total:3.72 GB) (Free:3.14 GB) FAT32 Drive g: () (Removable) (Total:14.54 GB) (Free:14.36 GB) FAT32 ==================== MBR & Tablica partycji ================== ======================================================== Disk: 0 (MBR Code: Windows 7 or 8) (Size: 298.1 GB) (Disk ID: 64ABF50A) Partition 1: (Active) - (Size=400 MB) - (Type=27) Partition 2: (Not Active) - (Size=149 GB) - (Type=07 NTFS) Partition 3: (Not Active) - (Size=148.7 GB) - (Type=07 NTFS) ======================================================== Disk: 1 (Size: 3.7 GB) (Disk ID: 002EEFDA) Partition 1: (Active) - (Size=3.7 GB) - (Type=0C) ======================================================== Disk: 2 (Size: 14.6 GB) (Disk ID: 001644FB) Partition 1: (Active) - (Size=14.6 GB) - (Type=0C) ==================== Koniec Addition.txt ============================ Poproszę jeszcze o log z ListParts. Te trojany szyfrują tylko specyficzne rozszerzenia plików, nie spowoduje to braku działania czegoś, ale jakiś ubytki w obrazkach czy dokumentacji owszem. Przy czym jak mówię, tu w ogóle nie wiadomo co się działo z Recovery i czy cokolwiek jest naruszone.

Wszystko zrobione. Problem usunięty. Na wszelki wypadek jeszcze: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Kończymy: 1. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. I jeszcze Internet Explorer do aktualizacji, nawet jeśli nie jest używany wcale.

Drobne poprawki: 1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Google Update Helper > Dalej. 2. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1757981266-562591055-1801674531-1003\...\Run: [] => C:\Program Files\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Start Default_Page_URL" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Main" /v "Search Bar" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ComboFix RemoveDirectory: C:\Documents and Settings\user\Pulpit\Stare dane programu Firefox RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\WINDOWS\erdnt RemoveDirectory: C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Programs\Google CMD: attrib /d /s -r -s -h C:\FOUND.* CMD: for /d %f in (C:\FOUND.*) do rd /s /q "%f" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Jedna kopia zamieniona pomyślnie, ale druga już nie. Ponów to działanie:

Instalator najnowszej Java wywalił starą i teraz w Internet Explorer jest już najnowsza wersja 66. Wszystko zrobione. Kończymy: 1. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 2. Usuń plik utworzony przez GMER C:\pxddypow.sys oraz samego GMERa z Pobranych. Następnie popraw jeszcze za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Tak. Widzę, że coś zmienili, gdyż poprzednio ta strona deinstalatora nie reagowała na typ przeglądarki i mogłam ją otworzyć w Firefox bez żadnego komunikatu, pomimo że w ogóle nie mam zainstalowanej Javy.

Moja pierwsza akcja miała na celu tylko odblokować Windows, byś mógł w wygodny sposób skopiować ewentualnie niezaszyfrowane lub inne dane nie podlegające szyfrowaniu. Raport FRST zrobiony z poziomu środowiska RE jest zawężony tylko do tych elementów, które mogą blokować uruchamianie Windows. Było spodziewane, że syf jest znacznie grubszy. Twoje bieżące logi wskazują, że trzebaby było czyścić masę innych miejsc (zainfekowany katalog sieciowy Winsock, Harmonogram zadań, wszystkie przeglądarki zaatakowane adware). Jest to sprawa w ogóle nieopłacalna w kontekście masowo zaszyfrowanych danych, z którymi nic nie dałoby się zrobić. Czyli format. Zacznij od Recovery, choć nie mam pewności czy coś nie zostało naruszone.

Sprawdź czy coś się zmieni, jeśli ponowisz próbę skanu z poziomu Trybu awaryjnego Windows.

Czyli mam rozumieć, że MBAM nic nie wykrył? Jeśli nie, to na zakończenie: 1. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Działania do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj zestaw aplikacji grupy "Pokki" preintegrowanych na Lenovo: Host App Service, Lenovo Web Start, Start Menu. Aplikacje marnej reputacji, na dodatek AdwCleaner usuwa ich niektóre komponenty i tu już jakby tego rodzaju naruszenia aplikacji Pokki są. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 ihpmServer; C:\Program Files (x86)\RayDld\ihpmServer.exe [270568 2015-10-12] () R2 WdMan; C:\ProgramData\2WdM2\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia ShortcutWithArgument: C:\Users\Public\Desktop\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1449649012&z=2919d5da6cbe7b0c1b76befgbzczat1q4z8teebgao&from=ient07021&uid=ST500LT012-1DG142_S3P8QXRLXXXXS3P8QXRL HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449649012&z=2919d5da6cbe7b0c1b76befgbzczat1q4z8teebgao&from=ient07021&uid=ST500LT012-1DG142_S3P8QXRLXXXXS3P8QXRL HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1446119365&z=eef90d1857cca95032e826cg7z1z2q4g9gbt0c7qcw&from=cornl&uid=st500lt012-1dg142_s3p8qxrlxxxxs3p8qxrl&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449649012&z=2919d5da6cbe7b0c1b76befgbzczat1q4z8teebgao&from=ient07021&uid=ST500LT012-1DG142_S3P8QXRLXXXXS3P8QXRL HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1446119365&z=eef90d1857cca95032e826cg7z1z2q4g9gbt0c7qcw&from=cornl&uid=st500lt012-1dg142_s3p8qxrlxxxxs3p8qxrl&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-3245305929-1233733730-577982597-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-3245305929-1233733730-577982597-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKU\S-1-5-21-3245305929-1233733730-577982597-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006 SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-3245305929-1233733730-577982597-1001 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-3245305929-1233733730-577982597-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449649012&z=2919d5da6cbe7b0c1b76befgbzczat1q4z8teebgao&from=ient07021&uid=ST500LT012-1DG142_S3P8QXRLXXXXS3P8QXRL&q={searchTerms} SearchScopes: HKU\S-1-5-21-3245305929-1233733730-577982597-1001 -> {B18D86E8-C087-4EDA-A209-26779F892B4E} URL = SearchScopes: HKU\S-1-5-21-3245305929-1233733730-577982597-1001 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} BHO-x32: Brak nazwy -> {7a38e53c-e000-41e4-9b5a-47447db81c2b} -> Brak pliku BHO-x32: Middle Rush -> {d00ab4cc-662c-40b6-a85f-d53086f4bb16} -> C:\Program Files (x86)\Middle Rush\Extensions\d00ab4cc-662c-40b6-a85f-d53086f4bb16.dll => Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1446119171&z=91856e60aa0c12f5c9b2793g9z5zcqdgcg8b8t2e4t&from=cornl&uid=ST500LT012-1DG142_S3P8QXRLXXXXS3P8QXRL CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1449649012&z=2919d5da6cbe7b0c1b76befgbzczat1q4z8teebgao&from=ient07021&uid=ST500LT012-1DG142_S3P8QXRLXXXXS3P8QXRL CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1449649012&z=2919d5da6cbe7b0c1b76befgbzczat1q4z8teebgao&from=ient07021&uid=ST500LT012-1DG142_S3P8QXRLXXXXS3P8QXRL" CHR DefaultSearchURL: Default -> hxxp://www.yoursites123.com/web/?type=ds&ts=1449649012&z=2919d5da6cbe7b0c1b76befgbzczat1q4z8teebgao&from=ient07021&uid=ST500LT012-1DG142_S3P8QXRLXXXXS3P8QXRL&q={searchTerms} CHR DefaultSearchKeyword: Default -> yoursites123 CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-04-22] HKU\S-1-5-21-3245305929-1233733730-577982597-1001\...\RunOnce: [Application Restart #1] => C:\Users\Prezes\AppData\Local\Pokki\Engine\HostAppService.exe --disable-internal-flash --noerrdialogs --no-message-box --disable-extensions --disable-web-security --disable-web-resources --disable-cl (dane wartości zawierają 551 znaków więcej). Task: {2BC9D027-2FF2-41E9-B337-763E2AE2334F} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {366A683E-7117-43DF-8BEF-AB0304B07EDA} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe Task: {BEA85B07-ABE4-44ED-8A18-2A979AB1CC6A} - System32\Tasks\SweetLabs App Platform => C:\Users\Prezes\AppData\Local\SweetLabs App Platform\Engine\ServiceHostAppUpdater.exe [2015-10-30] (Pokki) HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f RemoveDirectory: C:\Program Files (x86)\RayDld RemoveDirectory: C:\ProgramData\2WdM2 RemoveDirectory: C:\ProgramData\lWdMl RemoveDirectory: C:\ProgramData\Pokki RemoveDirectory: C:\Users\Prezes\AppData\Local\SweetLabs App Platform RemoveDirectory: C:\Users\Prezes\AppData\Local\Mozilla RemoveDirectory: C:\Users\Prezes\AppData\Roaming\Mozilla C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Users\Prezes\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk C:\Users\Prezes\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Start Menu.lnk C:\Users\Prezes\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lenovo Web Start.lnk C:\Users\Prezes\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PC App Store.lnk C:\Users\Prezes\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Menu.lnk C:\Users\Prezes\Downloads\sh-remover.exe C:\WINDOWS\SysWOW64\pl.html EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy yousites123 (o ile nadal będzie widoczny). 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Wszystko pomyślnie usunięte, problem powinien ustąpić. Jeszcze na wszelki wypadek zrób pełny skan za pomocą Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw wynikowy log.

Wszystko się zgadza i tu nie nastąpiły żadne "niepożądane" zmiany, stan był taki od samego początku. W pierwszym poście podany log FRST Addition pokazuje, że miałaś zainstalowane Google Chrome 47.0.2526.73. Google Chrome nie obsługuje wtyczek NPAPI (czyli m.in. Java) już od wersji 42. Aspekt wtyczek rozpisany w przyklejonym temacie: KLIK. Cytując fragment: Architekturę wtyczek możemy podzielić na: ActiveX (Internet Explorer), NPAPI (Firefox i pochodne), PPAPI (Google Chrome, Opera i pochodne). Programy mające oznaczenie "NPAPI" na pomarańczowo nie są w ogóle obsługiwane przez Google Chrome i Microsoft Edge. Firefox: Powoli jest wycofywane wsparcie dla wtyczek NPAPI (m.in. Java i Silverlight), za wyjątkiem Adobe Flash. Brak obsługi w Firefox 32-bit zostanie wdrożony do końca roku 2016. A nowa edycja Firefox 64-bit jest pozbawiona tej obsługi out-of-box. NPAPI Plugins in Firefox Google Chrome 42 i nowsze: Jedyny obsługiwany typ wtyczek to PPAPI. Wtyczki NPAPI (m.in. Java i Silverlight) nie są już obsługiwane: od wersji 42 są domyślnie blokowane i niewidzialne na liście wtyczek, od wersji 45 kompletny brak obsługi. Treści wymagające wtyczek nie działają w Chrome Opera 24 i nowsze: Na chwilę obecną są jeszcze obsługiwane dwa typy wtyczek, tzn. PPAPI i NPAPI, ale długofalowa obsługa NPAPI jest pod znakiem zapytania. Microsoft Edge: Przeglądarka ma wbudowany z biegu Adobe Flash. Nie są obsługiwane żadne zewnętrzne wtyczki (m.in. Java i Silverlight). Java to tu była aktualizowana pod kątem Internet Explorer, bo to w nim siedziała. Klik w "Ten program jest zainstalowany poprawnie". I dostarcz raporty FRST.txt + Addition.txt.

Zrób log FRST z zaznaczonym Addition, ale z odznaczonym Shortcut.

SafeFinder to nie jest wirus tylko typ "adware/PUP". Typowe drogi nabycia tego rodzaju kwiatków: KLIK. Przypuszczalnie nabawiłeś się tego via "Asystent pobierania" dobrychprogramów, bo w Temp jest plik tego "Asystenta": C:\Users\Paweł\AppData\Local\Temp\ICReinstall_Realtek-High-Definition-Audio-Codecs-21164-dp.exe Problemem są modyfikacje Lightzap. Akcje do przeprowadzenia: 1. Odinstaluj starą niebezpieczną wersję Adobe Flash Player 14 ActiveX . 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Lightzap; C:\ProgramData\\Lightzap\\Lightzap.exe [437248 2015-12-18] () [brak podpisu cyfrowego] AppInit_DLLs: C:\ProgramData\Lightzap\Zoomtam.dll => C:\ProgramData\Lightzap\Zoomtam.dll [518656 2015-12-18] () AppInit_DLLs-x32: C:\ProgramData\Lightzap\GeoSansoft.dll => C:\ProgramData\Lightzap\GeoSansoft.dll [320512 2015-12-18] () Task: {5C95E724-6308-48B9-A80C-2F6D74457B3B} - System32\Tasks\DriverToolkit Autorun => D:\DriverToolkit\DriverToolkit.exe Task: C:\Windows\Tasks\DriverToolkit Autorun.job => D:\DriverToolkit\DriverToolkit.exe CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csoE-MCQAtPnNsPOyjOSjNqnQlOvbfUm2mpvNSBeOY_4506cR3yhu_Fi50vKx-xLCpodociNLTMd8MOomRiiaoxZ_lpnMdnRe924hkibimUqB8GEhxF7jEsVQ442liW-JJye4OeLHiJJyg,, CHR DefaultSearchURL: Default -> hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csoE-MCQAtPnNsPOyjOSjNqnQlOvbfUm2mpvNSBeOY_4506cR3yhu_Fi50vKx-xLCpoR0yXqBzp9YNk4qDM0-FNNiV01-9kL_K_KLhwmJlUWHBn0U8nHWTB6Dq-fz66PTOfeeEM9Hedk6Q,,&q={searchTerms} CHR DefaultSearchKeyword: Default -> feed.sonic-search.com CHR DefaultSuggestURL: Default -> hxxps://search.yahoo.com/sugg/chrome?output=fxjson&appid=crmas&command={searchTerms} HKU\S-1-5-21-398703864-2259311769-2151984387-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-398703864-2259311769-2151984387-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-398703864-2259311769-2151984387-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKU\S-1-5-21-398703864-2259311769-2151984387-1000 -> DefaultScope {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-398703864-2259311769-2151984387-1000 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\Temp RemoveDirectory: C:\ProgramData\Lightzap C:\Users\Paweł\Downloads\*-dp*.exe C:\Users\Paweł\Desktop\śmieci\ASGRAF EuroTEST 2014 PLUS.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Nie przedstawiłeś pliku fixlog.txt. Dopiero po jego pokazaniu akcje końcowe: 1. Usuń z Pulpitu folder Stare dane programu Firefox wygenerowany przez reset Firefox + pobrany FRST i jego logi z podfolderu na Pulpicie. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Do czytania na co uważać, by ograniczyć podobne problemy: KLIK.

vs. Czy dobrze rozumiem, że zablokowałeś ten zakolorowany adres (właściwy) a nie te z artykułu (nie liczą się)? To stary artykuł sprzed kilku miesięcy, DNS Unlocker zmienia adresy IP. Nawiasem mówiąc to adresy DNS Unlocker są widoczne w raportach FRST użytkowników - zmodyfikowane serwery strony Windows (NameServer) a nie routera (DhcpNameServer). Przykładowy temat z forum: KLIK. Przypominam, że u Ciebie w logu nie ma oznak w/w infekcji. Są serwery strony Windows od Google, a serwery pobierane z routera od Orange. Przy czym serwery strony Windows biorą precedens nad tymi z routera i Twoje bieżące to adresy Google (widać to w FRST Addition). Tcpip\Parameters: [DhcpNameServer] 194.204.159.1 194.204.152.34 Tcpip\..\Interfaces\{9355CF30-DD5B-4C3D-B90B-55B655DFBD70}: [NameServer] 8.8.8.8,8.8.4.4 Tcpip\..\Interfaces\{9355CF30-DD5B-4C3D-B90B-55B655DFBD70}: [DhcpNameServer] 194.204.159.1 194.204.152.34 Problem jest w całej sieci, więc przyczyna leży poza Twoim komputerem. Jeszcze tak zapytam czy nie macie w tej sieci włączonego jakiegoś buforowania stron / proxy lub czegoś podobnego co ewentualnie ładowałoby stare zapamiętane dane przy problemach z rozwiązywaniem hosta?

Jeśli partycja Recovery nie była odkryta, to nie powinno być na niej ingerencji. Sytuacja jest tu jeszcze bardziej skomplikowana. Są tu aż dwie infekcje szyfrujące, tzn. także ślady CryptoWall 4.0: KLIK. W wielu katalogach masz zaszyfrowane pliki o zmienionych całkowicie nazwach, by się nawet nie dało rozpoznać jak wyglądał pierwotny plik: 2015-12-07 22:04 - 2015-12-07 22:04 - 10176120 _____ C:\Users\Bajor\Downloads\ap464emc8.0d3 2015-12-07 22:04 - 2015-12-07 22:04 - 10176104 _____ C:\Users\Bajor\Downloads\z03fjv.ub4 2015-12-07 22:04 - 2015-12-07 22:04 - 05366356 _____ C:\Users\Bajor\Downloads\v4a9x2m.mqfn2 2015-12-07 22:04 - 2015-12-07 22:04 - 05366356 _____ C:\Users\Bajor\Downloads\e0u9a5a.6t78 2015-12-07 22:04 - 2015-12-07 22:04 - 05366356 _____ C:\Users\Bajor\Downloads\bi9fzg7u6.bt7h4 2015-12-07 22:04 - 2015-12-07 22:04 - 03820488 _____ C:\Users\Bajor\Downloads\y9o08po.7f 2015-12-07 22:04 - 2015-12-07 22:04 - 03820472 _____ C:\Users\Bajor\Downloads\8jp3a754.3p 2015-12-07 22:04 - 2015-12-07 22:04 - 00594848 _____ C:\Users\Bajor\Downloads\k7zx2p.7pj2x 2015-12-07 22:04 - 2015-12-07 22:04 - 00195564 _____ C:\Users\Bajor\Downloads\qpicyw24d.br7 2015-12-07 22:04 - 2015-12-07 22:04 - 00081148 _____ C:\Users\Bajor\Downloads\34qwbo.n2b 2015-12-07 22:04 - 2015-12-07 22:04 - 00076060 _____ C:\Users\Bajor\Downloads\lj36w.wvu8 2015-12-07 22:04 - 2015-12-07 22:04 - 00057580 _____ C:\Users\Bajor\Downloads\1dwgacfr1.8rvyn 2015-12-07 22:04 - 2015-12-07 22:04 - 00039244 _____ C:\Users\Bajor\Downloads\a94i6j9r.59u6 2015-12-07 22:04 - 2015-12-07 22:04 - 00036108 _____ C:\Users\Bajor\Downloads\2gw585.fa8 2015-12-07 22:04 - 2015-12-07 22:04 - 00026380 _____ C:\Users\Bajor\Downloads\4p4t0q1.62 2015-12-07 22:04 - 2015-12-07 22:04 - 00024860 _____ C:\Users\Bajor\Downloads\4n444tas1.ke7cy 2015-12-07 22:04 - 2015-12-07 22:04 - 00019420 _____ C:\Users\Bajor\Downloads\8m9xo2u0n.79ywh .... i tak dalej .... Takie skomasowanie szyfrowania to wątpliwe, by był jakikolwiek ratunek. Pomijając już to nieszczęście, kupa infekcji w logu, w tym rootkit Necurs - to jego sterownik jest przypuszczalną przyczyną automatycznych resetów. Na początek spróbuj to wszystko usunąć i może będzie możliwe wejście do systemu, by w wygodny sposób przekopiować co ocalało i się do formatu przygotować: 1. W Notatniku przygotuj skrypt o następującej treści: testsigning: ==> Ustawiony "Tryb testu". Sprawdź obecność niepodpisanego sterownika S0 ae0a43e686b1a0d; C:\Windows\System32\Drivers\ae0a43e686b1a0d.sys [95672 2015-12-10] () S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [68608 2015-10-18] () S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [68608 2015-10-18] () S2 NetTcpHandler; C:\Users\Bajor\AppData\Roaming\NetService\netservice.exe [173088 2015-07-09] () S2 syshost32; C:\Windows\Installer\{B5AA6B37-C109-21AF-9EDE-37287EB853E1}\syshost.exe [207360 2015-12-10] (Accmeware Corporation) S2 Crashhd; C:\Users\Bajor\AppData\Local\Crsoft\crsvc.exe -st [X] S1 cherimoya; system32\drivers\cherimoya.sys [X] S3 cpuz134; \??\C:\Users\Bajor\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X] S3 dump_wmimmc; \??\D:\gry\CoD4\GameGuard\dump_wmimmc.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S2 limizeli; C:\Program Files (x86)\7224C90A-1434178811-DF11-905B-88AE1DE8E95F\knsz79BC.tmp [X] S2 lizebini; C:\Program Files (x86)\7224C90A-1434178811-DF11-905B-88AE1DE8E95F\knsbF72C.tmp [X] S2 Nero BackItUp Scheduler 4.0; C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe [X] S1 ppfd_vt_1_10_0_24; system32\drivers\ppfd_vt_1_10_0_24.sys [X] S2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe -s [X] S2 Update Air Globe; "C:\Program Files (x86)\Air Globe\updateAirGlobe.exe" [X] S2 WdsManPro; C:\ProgramData\FWdsManProF\WdsManPro.exe -service [X] S4 WMCoreService; Brak ImagePath S1 wsafd_1_10_0_19; system32\drivers\wsafd_1_10_0_19.sys [X] S1 wsfd_vt_1_10_0_20; system32\drivers\wsfd_vt_1_10_0_20.sys [X] S1 wwfd_vt_1_10_0_24; system32\drivers\wwfd_vt_1_10_0_24.sys [X] HKLM-x32\...\Run: [gmsd_pl_005010083] => [X] HKLM-x32\...\Run: [gmsd_pl_005010089] => [X] HKLM-x32\...\Run: [gmsd_pl_005010093] => "C:\Program Files (x86)\gmsd_pl_005010093\gmsd_pl_005010093.exe" HKLM-x32\...\Run: [gmsd_pl_005010095] => [X] HKLM-x32\...\Run: [gmsd_pl_005010099] => "C:\Program Files (x86)\gmsd_pl_005010099\gmsd_pl_005010099.exe" HKLM-x32\...\Run: [gmsd_pl_005010117] => [X] HKLM-x32\...\Run: [**2a6c2e20] => mshta javascript:X16jCvCiP="FZ";t1b=new%20ActiveXObject("WScript.Shell");gQ7sVpA="iI3";Dlz1u2=t1b.RegRead("HKLM\\software\\Wow6432Node\\c7b41d5991\\8c2cffaf");oclDUHKu4="bXvCr1V5Sc";eval(Dlz1u2);v9taE (dane wartości zawierają 15 znaków więcej). HKLM-x32\...\Run: [NetworkChecker] => C:\Users\Bajor\AppData\Local\Temp\KB00390954.exe [1122124 2015-10-18] (Mozilla Corpration) HKLM-x32\...\Run: [Malwarebytes' Anti-Malware (reboot)] => C:\Users\Bajor\AppData\Local\Temp\HBCD\Malwarebytes\mbam.exe [963976 2010-12-20] (Malwarebytes Corporation) HKLM\...\Policies\Explorer\Run: [445327342] => C:\ProgramData\mssgjs.exe [118786 2015-12-11] () HKLM\...\Policies\Explorer\Run: [1089096273] => C:\ProgramData\mszrkn.exe [160256 2015-06-15] () HKLM\...\Policies\Explorer\Run: [1645514027] => C:\ProgramData\msgxjrjl.exe [118786 2015-12-11] () HKLM\...\Policies\Explorer\Run: [1664083323] => C:\ProgramData\mstktkvji.exe [230912 2015-06-15] (Valion Group, LLC) HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKU\Bajor\...\Run: [AdobeBridge] => [X] HKU\Bajor\...\Run: [Acronis] => C:\Users\Bajor\AppData\Roaming\uhxtv-a.exe HKU\Bajor\...\Run: [btpa9_24] => C:\Users\Bajor\AppData\Roaming\d3dx32gt\cmut9_26.exe [237568 2015-12-06] () HKU\Bajor\...\Run: [ChromeUpdServeisSystem] => C:\Users\Bajor\AppData\Roaming\ChromeUpdServeis\Microsoft_wanerevigo.exe [35328 2015-12-09] () HKU\Bajor\...\Run: [idfsoft] => C:\Users\Bajor\AppData\Local\Idfsoft\KB00324029.exe [163840 2015-12-06] (DVDVideoSoft Ltd.) HKU\Bajor\...\Run: [Ofics] => regsvr32.exe C:\Users\Bajor\AppData\Local\Ofics\dxsjycqn.dll HKU\Bajor\...\Run: [Ajworks] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Bajor\AppData\Local\Idfsoft\gxngydxx.dll HKU\Bajor\...\Run: [**2a6c2e20] => mshta javascript:G3iLfTTMP="mppdrsA";P8y5=new%20ActiveXObject("WScript.Shell");Aiisa5nr="v1uz";KfWA0=P8y5.RegRead("HKCU\\software\\c7b41d5991\\8c2cffaf");l1h6NRpTB="3Uxja";eval(KfWA0);drxeHD7oz="NmifA (dane wartości zawierają 5 znaków więcej). HKU\Bajor\...\Run: [KB00528468] => C:\Users\Bajor\AppData\Local\Temp\KB00528468.exe HKU\Bajor\...\Run: [KB00088717] => C:\Users\Bajor\AppData\Local\Temp\KB00088717.exe [461312 2015-12-14] (SeriousBit) HKU\Bajor\...\Policies\Explorer: [TaskbarNoNotification] 1 HKU\Bajor\...\Policies\Explorer: [HideSCAHealth] 1 GroupPolicy: Ograniczenia - Chrome GroupPolicy-x32: Ograniczenia - Chrome DisableService: sptd C:\user.js C:\ProgramData\*.* C:\Users\Bajor\AppData\Roaming\NUF3$F@UHT.sys C:\Windows\System32\Drivers\ae0a43e686b1a0d.sys RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\CureIt Quarantine RemoveDirectory: C:\MyFolderakis RemoveDirectory: C:\Program Files\shopperz100920151159 RemoveDirectory: C:\Program Files (x86)\globalUpdate RemoveDirectory: C:\Program Files (x86)\VLC Player GPU+ RemoveDirectory: C:\ProgramData\{2B1568C5-2EDF-4213-9BC1-552E927F9F2C} RemoveDirectory: C:\ProgramData\17261655467602863622 RemoveDirectory: C:\ProgramData\FWdsManProF RemoveDirectory: C:\ProgramData\BWdsManProB RemoveDirectory: C:\ProgramData\eWdsManProe RemoveDirectory: C:\ProgramData\1WdsManPro1 RemoveDirectory: C:\ProgramData\DWdsManProD RemoveDirectory: C:\ProgramData\6WdsManPro6 RemoveDirectory: C:\ProgramData\lWdsManProl RemoveDirectory: C:\ProgramData\4WdsManPro4 RemoveDirectory: C:\ProgramData\7WdsManPro7 RemoveDirectory: C:\ProgramData\pWdsManProp RemoveDirectory: C:\ProgramData\rWdsManPror RemoveDirectory: C:\ProgramData\UWdsManProU RemoveDirectory: C:\ProgramData\WWdsManProW RemoveDirectory: C:\ProgramData\yWdsManProy RemoveDirectory: C:\ProgramData\Doctor Web RemoveDirectory: C:\ProgramData\McAfee RemoveDirectory: C:\ProgramData\TEMP RemoveDirectory: C:\ProgramData\Symantec RemoveDirectory: C:\ProgramData\NortonInstaller RemoveDirectory: C:\ProgramData\Norton RemoveDirectory: C:\Users\Bajor\AppData\Local\7224C90A-1445176699-DF11-905B-88AE1DE8E95F RemoveDirectory: C:\Users\Bajor\AppData\Local\7224C90A-1445170721-DF11-905B-88AE1DE8E95F RemoveDirectory: C:\Users\Bajor\AppData\Local\7224C90A-1445161706-DF11-905B-88AE1DE8E95F RemoveDirectory: C:\Users\Bajor\AppData\Local\Crsoft RemoveDirectory: C:\Users\Bajor\AppData\Local\gamesdesktop RemoveDirectory: C:\Users\Bajor\AppData\Local\globalUpdate RemoveDirectory: C:\Users\Bajor\AppData\Local\gmsd_pl_005010117 RemoveDirectory: C:\Users\Bajor\AppData\Local\gmsd_pl_005010102 RemoveDirectory: C:\Users\Bajor\AppData\Local\gmsd_pl_005010099 RemoveDirectory: C:\Users\Bajor\AppData\Local\gmsd_pl_005010095 RemoveDirectory: C:\Users\Bajor\AppData\Local\gmsd_pl_005010093 RemoveDirectory: C:\Users\Bajor\AppData\Local\gmsd_pl_005010089 RemoveDirectory: C:\Users\Bajor\AppData\Local\Idfsoft RemoveDirectory: C:\Users\Bajor\AppData\Local\MyBrowser RemoveDirectory: C:\Users\Bajor\AppData\Local\Norman Malware Cleaner RemoveDirectory: C:\Users\Bajor\AppData\Local\Ofics RemoveDirectory: C:\Users\Bajor\AppData\Local\SmartWeb RemoveDirectory: C:\Users\Bajor\AppData\Local\Temp RemoveDirectory: C:\Users\Bajor\AppData\Local\Tempfolder RemoveDirectory: C:\Users\Bajor\AppData\Local\TrafficSpaceLLC RemoveDirectory: C:\Users\Bajor\AppData\Local\WorldofTanks RemoveDirectory: C:\Users\Bajor\AppData\LocalLow\{D2020D47-707D-4E26-B4D9-739C4F4C2E9A} RemoveDirectory: C:\Users\Bajor\AppData\LocalLow\Company RemoveDirectory: C:\Users\Bajor\AppData\LocalLow\Temp RemoveDirectory: C:\Users\Bajor\AppData\Roaming\288896fb9 RemoveDirectory: C:\Users\Bajor\AppData\Roaming\7224C90A-1434178811-DF11-905B-88AE1DE8E95F RemoveDirectory: C:\Users\Bajor\AppData\Roaming\AnyProtectEx RemoveDirectory: C:\Users\Bajor\AppData\Roaming\ChromeUpdServeis RemoveDirectory: C:\Users\Bajor\AppData\Roaming\d3dx32gt RemoveDirectory: C:\Users\Bajor\AppData\Roaming\dd167b2d8 RemoveDirectory: C:\Users\Bajor\AppData\Roaming\FF32A6D9-ACAE-42F5-AE3C-A6CAF0BDEBA9 RemoveDirectory: C:\Users\Bajor\AppData\Roaming\GoldenGate RemoveDirectory: C:\Users\Bajor\AppData\Roaming\istartsurf RemoveDirectory: C:\Users\Bajor\AppData\Roaming\mgyun RemoveDirectory: C:\Users\Bajor\AppData\Roaming\mystartsearch RemoveDirectory: C:\Users\Bajor\AppData\Roaming\NetService RemoveDirectory: C:\Users\Bajor\AppData\Roaming\ortmp RemoveDirectory: C:\Users\Bajor\AppData\Roaming\RunDir RemoveDirectory: C:\Users\Bajor\AppData\Roaming\shortCutStore RemoveDirectory: C:\Users\Bajor\AppData\Roaming\systweak RemoveDirectory: C:\Users\Bajor\AppData\Roaming\Thinstall RemoveDirectory: C:\Users\Bajor\AppData\Roaming\WorldofTanks RemoveDirectory: C:\Users\Bajor\Doctor Web RemoveDirectory: C:\Users\Bajor\DoctorWeb RemoveDirectory: C:\Users\Default\AppData\Roaming\Macromedia RemoveDirectory: C:\Users\Public\Documents\Baidu RemoveDirectory: C:\Windows\Installer\{B5AA6B37-C109-21AF-9EDE-37287EB853E1} CMD: attrib -r -h -s C:\*_*_FILES* /s CMD: attrib -r -h -s C:\how_recover* /s CMD: attrib -r -h -s D:\*_*_FILES* /s CMD: attrib -r -h -s D:\how_recover* /s CMD: attrib -r -h -s E:\*_*_FILES* /s CMD: attrib -r -h -s E:\how_recover* /s CMD: attrib -r -h -s H:\*_*_FILES* /s CMD: attrib -r -h -s H:\how_recover* /s CMD: attrib -r -h -s I:\*_*_FILES* /s CMD: attrib -r -h -s I:\how_recover* /s CMD: del /q /s C:\*_*_FILES* CMD: del /q /s C:\how_recover* CMD: del /q /s D:\*_*_FILES* CMD: del /q /s D:\how_recover* CMD: del /q /s E:\*_*_FILES* CMD: del /q /s E:\how_recover* CMD: del /q /s H:\*_*_FILES* CMD: del /q /s H:\how_recover* CMD: del /q /s I:\*_*_FILES* CMD: del /q /s I:\how_recover* Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. On będzie potężny ze względu na rekursywne usuwanie z wszystkich dysków plików typu how_to* i podobnych, nie wejdzie w załączniki forum. Shostuj go gdzieś i podaj link do pliku. 2. Sprawdź czy da się uruchomić Windows. Jeśli tak, to zrób raporty FRST i GMER spod Windows.

Usunięcie nie będzie mieć żadnego wpływu na kondycję, ale jeśli chcesz koniecznie usuwać odpadkowe wpisy, to: 1. Odinstaluj odpadek po deinstalacji IOBit, tzn. Surfing Protection, oraz archaiczny EVEREST Home Edition v2.20 (sterownik z roku 2005!). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 LiveUpdateSvc; C:\Program Files\IObit\LiveUpdate\LiveUpdate.exe [2934048 2015-11-22] (IObit) S3 anvsnddrv; system32\drivers\anvsnddrv.sys [X] Task: {2BD05BA6-988D-4BD3-A9CD-9A39F80AF524} - \Microsoft\Windows\MemoryDiagnostic\CorruptionDetector -> Brak pliku Task: {45B57F63-4CFA-4024-9F36-FF9AA5D6A357} - System32\Tasks\Auslogics\BoostSpeed\Start BoostSpeed оn Piotr logon => C:\Program Files\Auslogics\BoostSpeed\BoostSpeed.exe Task: {5B184694-64C3-4633-94C5-945B3FA561D6} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> Brak pliku Task: {91DA43E3-C34D-41F2-97A3-27F005F81D05} - System32\Tasks\{52A3B9AF-C3F9-41E0-9BCD-EAD9F8138A73} => C:\.~BT\Sources\setupprep.exe Task: {94C89A2C-E6CA-4572-96D9-36B0BCDAC7C9} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> Brak pliku Task: {9F54B95F-5096-4803-AE61-E9B3AC5B616D} - \Microsoft\Windows\MemoryDiagnostic\DecompressionFailureDetector -> Brak pliku Task: {A1951BA5-DBB4-4CE3-B873-1D9C4A055828} - System32\Tasks\{2F43CCE1-0C52-4F6B-A28B-903359DD8F1C} => C:\.~BT\Sources\setupprep.exe Task: {B7499660-50E0-4979-9CF7-5B270C883C79} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> Brak pliku Task: {D21F6024-191F-4454-BBBC-09A650DA2549} - \Microsoft\Windows\Application Experience\AitAgent -> Brak pliku Task: {DAF6A54E-D4CF-4A30-A3A3-E8D8F8DF96A4} - System32\Tasks\Driver Booster SkipUAC (Piotr) => C:\Program Files\IObit\Driver Booster\DriverBooster.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141126 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-2399471354-2781755390-4139130681-1000\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141126 BHO: Brak nazwy -> {FFCB3198-32F3-4E8B-9539-4324694ED664} -> Brak pliku CHR HKU\S-1-5-21-2399471354-2781755390-4139130681-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files\IObit RemoveDirectory: C:\Program Files\Opera RemoveDirectory: C:\Program Files\Common Files\IObit RemoveDirectory: C:\ProgramData\{FD6F83C0-EC70-4581-8361-C70CD1AA4B98} RemoveDirectory: C:\ProgramData\IObit RemoveDirectory: C:\ProgramData\ProductData RemoveDirectory: C:\ProgramData\TEMP RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AntispamSniper for TheBat! RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Books Downloader RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TwonkyMedia RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\URUSoft RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VobSub RemoveDirectory: C:\Users\Piotr\AppData\LocalLow\IObit RemoveDirectory: C:\Users\Piotr\AppData\Roaming\Apple Computer RemoveDirectory: C:\Users\Piotr\AppData\Roaming\IObit RemoveDirectory: C:\Users\Piotr\AppData\Roaming\ProductData RemoveDirectory: C:\Windows\Tasks\ImCleanDisabled C:\Users\Piotr\AppData\Local\{*} C:\Users\Piotr\AppData\Roaming\*.* C:\Users\Piotr\AppData\Roaming\Microsoft\Office\Niedawny\doktorek.LNK C:\Users\Piotr\Desktop\pjhi — skrót.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż zablokuje FRST. FRST nie może też działać w piaskownicy. Uruchom FRST i kliknij w Napraw (Fix). Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Wszystko wykonane i problem zasadniczy rozwiązany. Kolejny etap: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.