picasso

Nagle zniknęło kilka pozycji BlueTooth, które miały być w nowszym FRST poprawnie posortowane. Zrób jeszcze jeden skrypt do FRST o zawartości: Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\BthAvrcpTg /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\BthHFEnum /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\bthhfhid /s Przedstaw wynikowy fixlog.txt.

Objawy produkuje szkodliwe zadanie DressedMounterV2 w Harmonogramie. Przyczyną nieszczęścia był poniższy plik, to nie był prawidłowy instalator tylko jakiś "downloader". Zjawisko opisane tutaj: KLIK. 2015-11-25 14:30 - 2015-11-25 14:30 - 00996128 _____ (Software ) C:\Users\User\Desktop\Free HTML5 Video Player And Converter 5.exe Akcje do przeprowadzenia: 1. Deinstalacje: - Za dużo antywirusów! Odinstaluj albo Avast Free Antivirus, albo Kaspersky Internet Security. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście Metric Collection SDK (odpadek po niechcianej instalacji Lenovo REACHit) > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {627480FA-715B-4DE3-B89C-FBA8415E2A01} - System32\Tasks\Ad-Aware Update (Weekly) => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe Task: {7F799B60-1BEB-483C-9439-52749AB0326C} - System32\Tasks\Norton Anti-Theft\Norton Error Analyzer => C:\Program Files (x86)\Norton Anti-Theft\Engine\1.10.0.9\SymErr.exe Task: {93B96BCC-977A-4F27-9841-FAC6A15301A9} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {D4A39F7E-0478-41C4-8967-67D5BB9FAC76} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe Task: {E02B9FA0-0477-474C-98E5-703430587320} - System32\Tasks\Norton Anti-Theft\Norton Error Processor => C:\Program Files (x86)\Norton Anti-Theft\Engine\1.10.0.9\SymErr.exe Task: {F65C3153-712E-43D8-A138-911BC2DFA5B1} - System32\Tasks\DressedMounterV2 => Rundll32.exe AurorasAurate.dll,main 7 1 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Anti-Theft HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-2310339651-1844684010-2764154791-1001\...\MountPoints2: {bbdf8785-da1a-11e3-8267-00c2c623c8ae} - "G:\vs_ultimate.exe" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2310339651-1844684010-2764154791-1001 -> {E07D08BF-7418-47F8-B233-D487DA569F48} URL = BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku FF SearchPlugin: C:\Users\User\AppData\Roaming\Mozilla\Firefox\Profiles\tvhmtuwk.default\searchplugins\google-lavasoft.xml [2015-12-03] S3 avchv; \SystemRoot\system32\DRIVERS\avchv.sys [X] S3 iscFlash; \??\C:\Windows\Temp\ArchesP10SP10SG_BIOS_V160_WIN\x64\iscflashx64.sys [X] AlternateDataStreams: C:\Users\User\AppData\Local\Temp:5a8drv2HWQR487ig7 AlternateDataStreams: C:\Users\User\AppData\Local\Temporary Internet Files:0pzb5XLxQKZZG1mtKUUdzbKVm7Lr AlternateDataStreams: C:\Users\User\AppData\Local\Temporary Internet Files:xjmHoFgeIzKmsbLL C:\Prefs.js C:\searchplugins C:\Program Files (x86)\Lenovo C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\Lavasoft C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WildTangent Games App - toshiba.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\WildTangent Games App - toshiba.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoMapa C:\Users\User\REACHit C:\Users\User\AppData\Local\ACCCx2_9_1_474.zip.aamdownload C:\Users\User\AppData\Local\ACCCx2_9_1_474.zip.aamdownload.aamd C:\Users\User\AppData\Local\DressedMounter C:\Users\User\AppData\Local\Lenovo C:\Users\User\AppData\Local\Sparta C:\Users\User\Desktop\Free HTML5 Video Player And Converter 5.exe C:\Users\User\Desktop\Niepotwierdzony 663299.crdownload C:\Windows\TempFileCleaner.cmd C:\Windows\system32\LavasoftTcpService64.dll C:\Windows\system32\LavasoftTcpServiceOff.ini C:\Windows\System32\Tasks\Lenovo C:\Windows\System32\Tasks\Norton Anti-Theft C:\Windows\SysWOW64\LavasoftTcpService.dll C:\Windows\SysWOW64\LavasoftTcpServiceOff.ini Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "DAEMON Tools Lite" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v LiveSupport /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v KiesAirMessage /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "IVONA Reader" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v VideoDownloaderUltimate /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v TortoiseHgOverlayIconServer /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v SunJavaUpdateSched /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Remulux, miuałeś dostarczyć brakujące logi, nie zrobiłeś tego i użyłeś najmniej optymalne i najmniej specjalizowane w temacie narzędzie. Na temat stosowania ComboFix: KLIK. Proszę pokaż log C:\ComboFix.txt, który powstał podczas użycia. Dodatkowo, proszę dostarcz nowe logi FRST, wszystkie trzy a nie tylko jeden jak poprzednio: FRST.txt, Addition.txt, Shortcut.txt.

Problemem jest szkodliwe zadanie ImpecuniousSensiblesV2. A załatwił Cię poniższy plik, to jakiś "downloader" a nie poprawny instalator. Więcej na ten temat: KLIK. 2015-11-23 21:29 - 2015-11-16 05:18 - 01037880 _____ (Internet Program ) C:\Users\Robert\AppData\Local\mp4splitter_setup.exe Operacje do przeprowadzenia: 1. Odinstaluj stare wersje i zbędniki: Adobe Flash Player 19 PPAPI (to wersja dla Opera której już tu nie ma), Adobe Reader 9.5.0 - Polish, Adobe Shockwave Player 11.6, AVG Web TuneUp, Spybot - Search & Destroy. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {37296FEF-BB2C-45E9-9EE6-74FE61C82D0A} - System32\Tasks\ImpecuniousSensiblesV2 => Rundll32.exe HonoreesMachinable.dll,main 7 1 Task: {4823FA2D-45B8-47FF-AE28-15D067CFE153} - System32\Tasks\{74915594-596E-48F1-9592-02BE088701F8} => pcalua.exe -a C:\Users\Robert\AppData\Roaming\oursurfing\UninstallManager.exe -c -ptid=amt Task: {50731CFD-7914-4F50-8F01-73C197B7D412} - System32\Tasks\SecurityBoost => c:\programdata\{061daf4b-c56c-b4ef-061d-daf4bc56bd2f}\game dev tycoon.exe Task: {867567F2-ABA4-4A39-9D0E-BFB3C346D7DA} - System32\Tasks\Opera scheduled Autoupdate 1443916294 => C:\Program Files (x86)\Opera\launcher.exe Task: {987F1D5F-1757-4F83-853A-A952CDD7C37D} - \WarThunder sun -> Brak pliku Task: {9B083A79-F26D-4326-A39B-039A17C3452C} - System32\Tasks\{E04CA0DB-6E51-4A5B-9131-55A878A8BFA4} => pcalua.exe -a C:\Users\Robert\Downloads\vcredist_x86_2008_sp1.exe -d C:\Users\Robert\Downloads Task: {B7C452FA-7918-4269-8EB1-BCBA49E064C9} - \Inst_Rep -> Brak pliku Task: {D09B1F8B-D0DC-4633-9AF4-B9C4A687312E} - \WarThunder sat -> Brak pliku Task: C:\Windows\Tasks\SecurityBoost.job => c:\programdata\{061daf4b-c56c-b4ef-061d-daf4bc56bd2f}\game dev tycoon.exe S3 StarOpen; C:\Windows\System32\Drivers\StarOpen.sys [5504 2009-11-12] () Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] HKU\S-1-5-21-654660457-1094579616-1359849706-1000\...\MountPoints2: {e281e3c1-8626-11e4-83f7-806e6f6e6963} - L:\setup.exe HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> BootExecute: autocheck autochk * sdnclean64.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKU\S-1-5-21-654660457-1094579616-1359849706-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = StartMenuInternet: IEXPLORE.EXE - iexplore.exe C:\Programdata\{061daf4b-c56c-b4ef-061d-daf4bc56bd2f} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\JoWooD C:\Users\Robert\AppData\Local\mp4splitter_setup.exe C:\Users\Robert\AppData\Local\MP4-Splitter_1310.rar C:\Users\Robert\AppData\Local\ImpecuniousSensibles C:\Users\Robert\AppData\Local\Windows Live C:\Users\Robert\AppData\Roaming\SpeedRunnersLog.txt C:\Users\Robert\AppData\Roaming\Boilsoft C:\Users\Robert\Downloads\FMRTE 15.3.2 build 16 [deepstatus]\FMRTE 15.3.2 build 16\FMRTE 15\miniFMRTE.lnk C:\Windows\system32\Drivers\etc\hosts.*.backup C:\Windows\System32\Drivers\StarOpen.sys C:\Windows\SysWow64\Drivers\StarOpen.sys Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Robert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Logi z przestarzałego OTL w ogóle nie są tu brane pod uwagę, usuwam. Proszę przeczytać zasady działu jakie logi są tu obowiązkowe: KLIK. Czyli FRST + GMER.

Nazwy raportów FRST wskazują, że je wyciągasz z folderu C:\FRST\Logs - to jest archiwum logów. Bieżące powstają tam skąd uruchamiasz FRST, czyli w tym przypadku C:\Users\euro\Downloads. Problem tworzy adware w Firefox: rozszerzenie Discover Treasure oraz przejęte domyślne preferencje (plik !A22ACC81AB803BFF35C287F93B8731F6A22A.js linkujący do drugiego pliku w katalogu Firefox). Są też szkodliwe zadania w Harmonogramie, ale to już chyba tylko odpadki. Akcja do przeprowadzenia: 1. Deinstalacje: - Via Panel sterowania odinstaluj stare wersje: Adobe AIR, Adobe Reader XI (11.0.10) - Polish, Java 7 Update 71. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadki po deinstalacji Nokia MSVC80_x64_v2, MSVC80_x86_v2, MSVC90_x64, MSVC90_x86 > Dalej. Narzędzie nie umożliwia akcji hurtowej, więc musi być uruchomione tyle razy ile wpisów. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: type "C:\Program Files (x86)\Mozilla Firefox\defaults\pref\!A22ACC81AB803BFF35C287F93B8731F6A22A.js" FF ExtraCheck: C:\Program Files (x86)\Mozilla Firefox\defaults\pref\!A22ACC81AB803BFF35C287F93B8731F6A22A.js [2015-12-03] Task: {0C78E21C-1E52-4982-80C2-7C89C06C8EA8} - System32\Tasks\Total Plugin2 => Rundll32.exe "C:\Users\euro\AppData\Local\Total Plugin\{8E3E8921-6AA7-4F65-12AE-66B592CDE853}\zhym.dll",#1 Task: {85D44DD4-5ABB-4B03-8639-587963405A90} - System32\Tasks\{6B70ADE4-1D6E-411B-9376-2B21BB11631E} => pcalua.exe -a C:\Users\euro\Downloads\USB_PCDRV_LB_1_02_0000.exe -d C:\Users\euro\Downloads Task: {9EBBBBE9-451A-44F9-B2F6-E581025C3E00} - System32\Tasks\AdobeAAMUpdater-1.0-MARCIN-euro => C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe Task: {C89073FA-574D-4624-9CD9-78CCF6746882} - System32\Tasks\Total Plugin => Rundll32.exe "C:\Users\euro\AppData\Local\Total Plugin\{8E3E8921-6AA7-4F65-12AE-66B592CDE853}\TotalPlugin.dll",#1 S2 ADExchange; C:\Program Files (x86)\Common Files\ArcSoft\esinter\Bin\eservutil.exe [X] S2 AdobeActiveFileMonitor11.0; C:\Program Files (x86)\Adobe\Elements 11 Organizer\PhotoshopElementsFileAgent.exe [X] S1 ArcCtrl; system32\drivers\ArcCtrl.sys [X] S3 cpuz135; \??\C:\Users\euro\AppData\Local\Temp\cpuz135\cpuz135_x64.sys [X] S3 hwusbfake; system32\DRIVERS\ewusbfake.sys [X] S3 intaud_WaveExtensible; system32\drivers\intelaud.sys [X] S3 iwdbus; system32\DRIVERS\iwdbus.sys [X] S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X] S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X] HKLM\...\Run: [Creative SB Monitoring Utility] => RunDll32 sbavmon.dll,SBAVMonitor HKLM\...\Run: [AdobeAAMUpdater-1.0] => "C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" HKLM-x32\...\Run: [Adobe ARM] => "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-3957981385-1540240800-1925116713-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://houmpage.com/?src=hp&ssid=1449148032&a=1004641&uuid=2879534c-f8b7-4b42-9403-80f0b6db6bf5 SearchScopes: HKU\S-1-5-21-3957981385-1540240800-1925116713-1001 -> {cf34d395-9ff1-49a0-98a5-8db1636431b1} URL = hxxp://houmpage.com/search/?src=ds&q={searchTerms}&ssid=1449148032&a=1004641&uuid=2879534c-f8b7-4b42-9403-80f0b6db6bf5 C:\ProgramData\Temp C:\ProgramData\Dell\Dell Stage\deleted_shortcuts\Dell Stage.lnk C:\ProgramData\Dell\Dell Stage\deleted_shortcuts\Intel® WiDi.lnk C:\ProgramData\Dell\Dell Stage\deleted_shortcuts\Roxio Creator Starter.lnk C:\ProgramData\Dell\Dell Stage\deleted_shortcuts\SyncUP.lnk C:\ProgramData\Dell\Dell Stage\deleted_shortcuts\Zinio Reader 4.lnk C:\ProgramData\Microsoft\Windows\GameExplorer\{10C78B1A-4BF1-4D2C-9796-25B36D3B88AE} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Orange\Pomoc.lnk C:\Users\euro\AppData\Local\69ff07055291669bb2b218.72821112 C:\Users\euro\AppData\Local\Google C:\Users\euro\AppData\Local\Total Plugin C:\Users\euro\AppData\Roaming\Mozilla\plugins C:\Users\euro\Desktop\Continue TestDisk & PhotoRec installation.lnk Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LightScribe Control Panel" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NokiaMServer" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NokiaOviSuite2" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NokiaSuite.exe" /f CMD: netsh advfirewall reset RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\euro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Skoro Maxthon jest tu tylko "tymczasowo", to darujmy sobie zrzuty ekranu i go całkowicie odinstalujmy. Ja tu już dobrze wyczyściłam po Firefox i będziemy go na świeżo instalować po ukończeniu dalszych wątków czyszczenia - podam kiedy. Tylko jedna sprawa: był wcześniej na liście zainstalowanych MozBackup, i jeśli masz starszy backup gdzieś zachomikowany, nie wolno go już przywrócić na nowo zainstalowanym Firefox. Jedziemy dalej: 1. Kolejne deinstalacje: ----> Wylatuje Maxthon Cloud Browser (poniżej podany skrypt dokończy jego foldery). Poprzednio podałam jeszcze do usuwania ten zestaw: Podstawowe programy Windows Live, Windows Live ID-Anmelde-Assistent. Odinstaluj to wszystko, jeśli nie używasz. ----> Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpisy pdfforge Toolbar v7.0, RealNetworks - Microsoft Visual C++ 2008 Runtime, RealUpgrade 1.1, VC80CRTRedist - 8.0.50727.6195 > Dalej. Narzędzie nie umożliwia akcji hurtowej, trzeba je uruchomić tyle razy ile wpisów do usunięcia podanych. Jeśli "pdfforge Toolbar v7.0" nie będzie widoczny, nie szkodzi, i tak go załatwi skrypt podany poniżej. 2. Tymczasowo ustaw przeglądarkę Internet Explorer jako domyślna w tym miejscu: Panel sterowania > Sieć i internet > Opcje internetowe > Programy. Po akcji sprawdź czy linki w GG otwierają się w IE. 3. Kolejne poprawki pod kątem odinstalowanych programów i odpadków. Otwórz Notatnik i wklej w nim: CMD: type C:\Windows\System32\Tasks\Urla1 CMD: type C:\Windows\System32\Tasks\Urla2 Task: {484D0FFB-E395-4CEC-977F-2616D02F00A3} - System32\Tasks\Urla2 => explorer Task: {50B8A961-87D6-4B48-9F2B-08BB463AD9F3} - System32\Tasks\Urla1 => explorer Task: {6A41493F-190B-4FAD-88F9-08759B44AB1E} - System32\Tasks\Urla4 => explorer Task: {A849EEC9-6714-4904-8E22-9EA8D092B5CA} - System32\Tasks\Opera scheduled Autoupdate 1444504844 => C:\Program Files (x86)\Opera\launcher.exe Task: {BBD55CA7-4A42-4175-BF87-93185F2AA572} - System32\Tasks\Urla6 => explorer Task: {C9260363-F72C-431F-9CE2-F25D67227A6C} - System32\Tasks\{52D8C232-7C87-457C-8FCA-73DB3FC2F280} => pcalua.exe -a C:\Users\Aneczka\AppData\Local\Apps\2.0\MGJR61BB.E38\5OA3A5KL.16P\dell..tion_6d0a76327dca4869_0006.000b_9ebbe2fa9123034d\Uninstaller.exe -c uninstall Task: {E9921EC3-2FCE-4E91-BCD3-D1BEDC26CACE} - System32\Tasks\Urla5 => explorer Task: {F5D7FFB3-E97E-4594-900C-B55C0A80C336} - System32\Tasks\Urla3 => explorer Task: {FF273C6C-5373-4F00-BB30-8186F5136C33} - System32\Tasks\Urla7 => explorer SearchScopes: HKU\S-1-5-21-1280836393-1798441447-3805755999-1000 -> SuggestionsURL_JSON hxxp://suggest.search.conduit.com/CSuggestJson.ashx?prefix={searchTerms} BHO-x32: Kein Name -> {3049C3E9-B461-4BC5-8870-4C09146192CA} -> Keine Datei DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\RebootRequired DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{BE7785D6-045F-44FB-A1E4-3FA555874415} RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\EEK RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\KVRT_Data RemoveDirectory: C:\Program Files\DivX RemoveDirectory: C:\Program Files\lx_cats RemoveDirectory: C:\Program Files\Common Files\Bitdefender RemoveDirectory: C:\Program Files (x86)\DivX RemoveDirectory: C:\Program Files (x86)\ESET RemoveDirectory: C:\Program Files (x86)\Google\Chrome RemoveDirectory: C:\Program Files (x86)\Gadu-Gadu 10 RemoveDirectory: C:\Program Files (x86)\Java RemoveDirectory: C:\Program Files (x86)\Maxthon RemoveDirectory: C:\Program Files (x86)\Microsoft Silverlight RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox.bak RemoveDirectory: C:\Program Files (x86)\QuickTime RemoveDirectory: C:\Program Files (x86)\Real RemoveDirectory: C:\Program Files (x86)\Temp RemoveDirectory: C:\Program Files (x86)\Winsta RemoveDirectory: C:\Program Files (x86)\Xenocode RemoveDirectory: C:\Program Files (x86)\Xvid RemoveDirectory: C:\Program Files (x86)\Common Files\337 RemoveDirectory: C:\Program Files (x86)\Common Files\PX Storage Engine RemoveDirectory: C:\Program Files (x86)\Common Files\Symantec Shared RemoveDirectory: C:\Program Files (x86)\Common Files\xing shared RemoveDirectory: C:\ProgramData\{4B72A3B1-1BF0-7237-AA76-02B57AF4D13B} RemoveDirectory: C:\ProgramData\Apple RemoveDirectory: C:\ProgramData\ArcSoft RemoveDirectory: C:\ProgramData\Avery RemoveDirectory: C:\ProgramData\bdch RemoveDirectory: C:\ProgramData\BDLogging RemoveDirectory: C:\ProgramData\Bitdefender RemoveDirectory: C:\ProgramData\boost_interprocess RemoveDirectory: C:\ProgramData\c1228678fe3ddf71 RemoveDirectory: C:\ProgramData\CA RemoveDirectory: C:\ProgramData\CanonBJ RemoveDirectory: C:\ProgramData\Corel RemoveDirectory: C:\ProgramData\CyberLink RemoveDirectory: C:\ProgramData\DivX RemoveDirectory: C:\ProgramData\Doctor Web RemoveDirectory: C:\ProgramData\eBay RemoveDirectory: C:\ProgramData\elsterformular RemoveDirectory: C:\ProgramData\Envelope Printer RemoveDirectory: C:\ProgramData\F-Secure RemoveDirectory: C:\ProgramData\FileOpen RemoveDirectory: C:\ProgramData\Gadu-Gadu 10 RemoveDirectory: C:\ProgramData\HitmanPro RemoveDirectory: C:\ProgramData\ICQ RemoveDirectory: C:\ProgramData\install_clap RemoveDirectory: C:\ProgramData\Internet Manager RemoveDirectory: C:\ProgramData\IObit RemoveDirectory: C:\ProgramData\ipla RemoveDirectory: C:\ProgramData\LGMOBILEAX RemoveDirectory: C:\ProgramData\Malwarebytes RemoveDirectory: C:\ProgramData\McAfee RemoveDirectory: C:\ProgramData\Mobile Master RemoveDirectory: C:\ProgramData\Mozilla RemoveDirectory: C:\ProgramData\mquadr.at RemoveDirectory: C:\ProgramData\Nitro RemoveDirectory: C:\ProgramData\Norton RemoveDirectory: C:\ProgramData\NortonInstaller RemoveDirectory: C:\ProgramData\Oracle RemoveDirectory: C:\ProgramData\PDVD RemoveDirectory: C:\ProgramData\shoopndroP RemoveDirectory: C:\ProgramData\Skype RemoveDirectory: C:\ProgramData\Sun RemoveDirectory: C:\ProgramData\SUPERAntiSpyware.com RemoveDirectory: C:\ProgramData\Symantec RemoveDirectory: C:\ProgramData\tmp RemoveDirectory: C:\ProgramData\WEBREG RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Haali Media Splitter RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes Anti-Malware RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Maxthon Cloud Browser RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Silverlight RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Real RemoveDirectory: C:\Users\Aneczka\AppData\Local\Apple RemoveDirectory: C:\Users\Aneczka\AppData\Local\Apple Computer RemoveDirectory: C:\Users\Aneczka\AppData\Local\ArcSoft RemoveDirectory: C:\Users\Aneczka\AppData\Local\Aspell RemoveDirectory: C:\Users\Aneczka\AppData\Local\bdch RemoveDirectory: C:\Users\Aneczka\AppData\Local\cache RemoveDirectory: C:\Users\Aneczka\AppData\Local\ChomikBox RemoveDirectory: C:\Users\Aneczka\AppData\Local\com RemoveDirectory: C:\Users\Aneczka\AppData\Local\Deployment RemoveDirectory: C:\Users\Aneczka\AppData\Local\Corel RemoveDirectory: C:\Users\Aneczka\AppData\Local\cu RemoveDirectory: C:\Users\Aneczka\AppData\Local\Cyberlink RemoveDirectory: C:\Users\Aneczka\AppData\Local\Dtag RemoveDirectory: C:\Users\Aneczka\AppData\Local\EmieBrowserModeList RemoveDirectory: C:\Users\Aneczka\AppData\Local\EmieSiteList RemoveDirectory: C:\Users\Aneczka\AppData\Local\EmieUserList RemoveDirectory: C:\Users\Aneczka\AppData\Local\Facebook RemoveDirectory: C:\Users\Aneczka\AppData\Local\Falk Navi-Manager RemoveDirectory: C:\Users\Aneczka\AppData\Local\FullTiltPoker.NET RemoveDirectory: C:\Users\Aneczka\AppData\Local\Google\Chrome RemoveDirectory: C:\Users\Aneczka\AppData\Local\Iceni RemoveDirectory: C:\Users\Aneczka\AppData\Local\iFreeTV RemoveDirectory: C:\Users\Aneczka\AppData\Local\LG Electronics RemoveDirectory: C:\Users\Aneczka\AppData\Local\Macromedia RemoveDirectory: C:\Users\Aneczka\AppData\Local\MediaServer RemoveDirectory: C:\Users\Aneczka\AppData\Local\mquadr.at RemoveDirectory: C:\Users\Aneczka\AppData\Local\Ofi Labs RemoveDirectory: C:\Users\Aneczka\AppData\Local\Opera RemoveDirectory: C:\Users\Aneczka\AppData\Local\Opera Software RemoveDirectory: C:\Users\Aneczka\AppData\Local\PackageAware RemoveDirectory: C:\Users\Aneczka\AppData\Local\Partner_s.c RemoveDirectory: C:\Users\Aneczka\AppData\Local\PDF24 RemoveDirectory: C:\Users\Aneczka\AppData\Local\seto RemoveDirectory: C:\Users\Aneczka\AppData\Local\Setup7367802 RemoveDirectory: C:\Users\Aneczka\AppData\Local\SimAquarium RemoveDirectory: C:\Users\Aneczka\AppData\Local\Symantec RemoveDirectory: C:\Users\Aneczka\AppData\Local\Thinstall RemoveDirectory: C:\Users\Aneczka\AppData\Local\Xenocode RemoveDirectory: C:\Users\Aneczka\AppData\LocalLow\Apple Computer RemoveDirectory: C:\Users\Aneczka\AppData\LocalLow\Company RemoveDirectory: C:\Users\Aneczka\AppData\LocalLow\Google RemoveDirectory: C:\Users\Aneczka\AppData\LocalLow\Macromedia RemoveDirectory: C:\Users\Aneczka\AppData\LocalLow\Oracle RemoveDirectory: C:\Users\Aneczka\AppData\LocalLow\pdfforge RemoveDirectory: C:\Users\Aneczka\AppData\LocalLow\ShopperReports3 RemoveDirectory: C:\Users\Aneczka\AppData\LocalLow\Sun RemoveDirectory: C:\Users\Aneczka\AppData\LocalLow\Temp RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\Apple Computer RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\ap_logs RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\AquaSoft RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\ArcaBit RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\ArcaMicroScan RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\ArcaVirMicroScan RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\ArcSoft RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\Ashampoo RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\BlueSprig RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\CDXReader RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\ChomikBox RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\Corel RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\CyberLink RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\Darwin RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\DivX RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\dlg RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\Downloaded Installations RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\elsterformular RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\f-secure RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\FileOpen RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\FLV Blaster RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\Foxit Software RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\GetRightToGo RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\GlarySoft RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\InetStat RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\IObit RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\ipla RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\Jumping Bytes RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\LavFilters RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\Lexmark Productivity Studio RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\LG Electronics RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\GoPal Assistant RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\Macromedia RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\Malwarebytes RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\Maxthon3 RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\Media Player Classic RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\Miaf RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\Nitro RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\Nitro PDF RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\Nowe Gadu-Gadu RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\Nvu RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\Ofasu RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\OpenOffice.org RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\Opera RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\Opera Software RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\Oracle RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\Owvody RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\PC-FAX TX RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\PDAppFlex RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\PDFConvert RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\player RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\PlusOffice RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\QuickScan RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\Real RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\RealNetworks RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\Skype RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\SimpleFiles RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\SolidDocuments RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\SUPERAntiSpyware.com RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\Thinstall RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\Vuzan RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\WRu7BvUeB RemoveDirectory: C:\Users\Aneczka\AppData\Roaming\Zoner Folder: C:\Program Files (x86)\MOJE Folder: C:\ProgramData\Common Files Folder: C:\Users\Aneczka\AppData\Local\Apps Folder: C:\Users\Aneczka\AppData\Local\Programs Folder: C:\Windows\System32\Macromed CMD: del /q C:\ProgramData\*.bin CMD: del /q "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera 33.lnk" CMD: del /q C:\Users\Aneczka\AppData\Local\dsi*.dat CMD: del /q C:\Users\Aneczka\AppData\Local\Resmon.ResmonCfg CMD: del /q C:\Users\Aneczka\AppData\Roaming\WB.CFG CMD: del /q "C:\Users\Aneczka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SimAquarium.lnk" CMD: del /q "C:\Users\Aneczka\Desktop\nie wiem\optymalizacja WIN 7\Opera.lnk" CMD: del /q "C:\Users\Aneczka\Desktop\nie wiem\optymalizacja WIN 7\Programy\Media Player Classic.lnk" CMD: del /q C:\Users\Aneczka\Desktop\s5lm7j84.exe CMD: del /q C:\Windows\Minidump\*.dmp CMD: del /q C:\Windows\system32\Drivers\MBAMSwissArmy.sys Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg query HKCU\Software Reg: reg query HKLM\Software Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDlls" Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\SharedDlls" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Entfernen (Fix). Tym razem nie będzie restartu. Powstanie kolejny fixlog.txt. Dostarcz go. 4. Uruchom AdwCleaner. Wybierz opcję Skanuj (nic na razie nie usuwaj) i dostarcz log wynikowy z folderu C:\AdwCleaner. 5. Zrób nowy log FRST z opcji Untersuchen (Scan), z Addition, ale już bez Shortcut.

Nie tylko Norton blokuje pobieranie DelFix. Tymczasowo zdeaktywuj Nortona.

Obecnie są już w obiegu nowsze warianty TeslaCrypt. Ale nawet jeśli miałbyś w rękach ten sam wariant TeslaCrypt co inny poszkodowany, ewentualnie złapanych danych nie da się użyć do innych przypadków. Klucz jest losowy i unikatowy dla danego systemu.

Zmieniło się dużo, choć nie z Twojej perspektywy, wszystkie widoczne infekcje zostały usunięte, dlatego możesz teraz uruchomić skanery. Na szybko komentuję, ale potrzebuję czasu na rozpisanie dalszych instrukcji (zedytuję post): To przewij. Dr. Web będzie wykrywał rzeczy już usunięte, a przeniesione do kwarantanny FRST. Jesteśmy na innym etapie czyszczenia teraz. Jak mówiłam, przeglądarka nie jest skanowana przez FRST, więc ręcznie miałaś sprawdzić ustawienia i zainstalowane rozszerzenia. Porób mi zrzuty ekranu z tych miejsc konfiguracyjnych Maxthon. Problem Windows Update nie był tu w ogóle jeszcze adresowany. To jest problem innego typu, w ogóle nie związany z infekcjami. Efekt który opisujesz pasuje do scenariusza z RebootRequired: KLIK. Usuwanie tego klucza załączę w skrypcie FRST, podam też dodatkowe akcje do wykonania. To jest nadal problem z domyślną przeglądarką. W pierwszym logu żadna nie była ustawiona, obecnie niby jest Maxthon, co nie znaczy że asocjacje są poprawne. Nadal widoczny na liście zainstalowanych jeden z wpisów. Wnioski: deinstalacja była uprzednio niepełna.

Zabrakło:

Jego odpowiedź nie wniesie wiele do sprawy. Informację o źródłach tej szczególnej infekcji masz w podanym już opisie: A tu kwiatki z jego listy zainstalowanych: Adobe Flash Player 11 ActiveX (HKLM-x32\...\{F68D0307-2573-4BE7-9EFD-CB28D7E656E3}) (Version: 11.7.700.202 - Adobe Systems Incorporated) Adobe Reader 9.5.5 - Polish (HKLM-x32\...\{AC76BA86-7AD7-1045-7B44-A95000000001}) (Version: 9.5.5 - Adobe Systems Incorporated) Adobe Shockwave Player 11.5 (HKLM-x32\...\{9ECF7817-DB11-4FBA-9DF1-296A578D513A}) (Version: 11.5.7.609 - Adobe Systems, Inc) Java 8 Update 51 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83218051F0}) (Version: 8.0.510 - Oracle Corporation) Mówimy tu o szczególnej linii szyfratora. Jest ogromna ilość infekcji szyfrujących zachowujących się inaczej. W przypadku tego szczególnego wariantu: KLIK. Po to była tu próba ze zrzutem pamięci. I to już jest nieaktualne, infekcja została usunięta. A tak w ogóle to nie znam żadnego przypadku, by komuś się udało wyekstraktować te informacje z pamięci.

Wszystko w porządku, brak jakichkolwiek oznak infekcji. Te wielokrotne wystąpienia dllhost wyglądają więc na stricte systemowe wystąpienia. PS. Drobna kosmetyka wpisów odpadkowych po odinstalowanych aplikacjach i czyszczenie lokalizacji tymczasowych. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [HotKeysCmds] => C:\WINDOWS\system32\hkcmd.exe HKLM\...\Run: [Persistence] => C:\WINDOWS\system32\igfxpers.exe HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Program Files (x86)\mozilla firefox\plugins C:\ProgramData\Malwarebytes C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AbiWord Word Processor C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Intel\Intel® Graphics and Media Control Panel.lnk C:\Users\Tom\REACHit C:\Users\Tom\AppData\Local\Lenovo C:\Users\Tom\AppData\Local\Opera Software C:\Users\Tom\AppData\Roaming\DarkEra C:\Users\Tom\AppData\Roaming\Opera Software C:\Users\Tom\AppData\Roaming\Tibia C:\Users\Tom\AppData\Roaming\Tibiacast EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik. Nowe logi FRST nie są mi potrzebne.

To stare warianty TeslaCrypt zapisywały na dysku klucz. Omawiany tu wariant *.ccc w ogóle nie tworzy klucza na dysku twardym, klucz jest tylko tymczasowo w pamięci podczas szyfrowania. Spis wszystkich wariantów tu: KLIK ("Location of data file on disk").

Akcja z synchronizacją to operacja jednorazowa mająca zapobiec ładowaniu z serwera Google ustawień adware, ale log FRST wskazuje, że nie wykonałeś tego drugiego punktu w Ustawieniach lokalnego Chrome. Ostatni log nadal pokazywał: CHR StartupUrls: Default -> "","hxxp://www.istartpageing.com/?type=hp&ts=1448949004&z=41406259e2c71c88d3c9f0cg5z5z2bft3z8t1efe2o&from=cor&uid=ADATAXSP600_7F3120000512","hxxp://www.istartsurf.com/?type=hp&ts=1448950690&z=31c3bcbb3e867ac79828153g7z0zab7t3w6e1c0wbw&from=corna&uid=ADATAXSP600_7F3120000512" Co cofnęło wersję do starej IE8 wbudowanej w system. Windows oraz zewnętrzne aplikacje i tak wykorzystują silnik IE. Aktualizacja nadal aktualna. DelFix wykonał robotę. Skasuj plik C:\delfix.txt z dysku.

Wygląda na to, że jest tu infekcja routera, poniższy adres IP jest niemiecki i nie odpowiada IP dostawcy pod którym widzę Cię na forum (Netia): KLIK. Tcpip\Parameters: [DhcpNameServer] 46.101.178.39 8.8.8.8 Tcpip\..\Interfaces\{4AB7C7C4-B81A-4A67-8D63-8580570F9584}: [DhcpNameServer] 46.101.178.39 8.8.8.8 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: ipconfig /flushdns Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f R3 ALSysIO; \??\C:\Users\luq92\AppData\Local\Temp\ALSysIO64.sys [X] C:\Windows\SysWOW64\*.tmp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Na czas operacji wyłącz Comodo, gdyż zablokuje FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Zadanie w większości pomyślnie wykonane. Kończymy: 1. Nie wykonałeś akcji w Google Chrome, nadal widać szkodliwe adresy adware. Do wdrożenia: 2. Przez SHIFT+DEL (omija Kosz) usuń folder A:\FRST. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Do aktualizacji systemowy Internet Explorer, mimo że z niego nie korzystasz.

Wszystko zrobione, problem z adware rozwiązany. Na koniec: 1. Przez SHIFT+DEL (omija Kosz) dokasuj ten folder: C:\Users\Artur\Desktop\Stare dane programu Firefox 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Potrzebuję trochę czasu na przejrzenie tego ogromnego Fixlog.

Tak jak we wszystkich poprzednich przypadkach, winę ponosi szkodliwe zadanie w Harmonogramie (u Ciebie pod nazwą ElectrocardiographsDisposingV2), które "odświeża" modyfikację. Druga sprawa: są tu zainstalowane programy CPUID, HD Tune, Malwarebytes Anti-Malware i TeamSpeak 3 Client kierujące ścieżki i skróty na nieistniejący dysk E: - będę usuwać tylko niektóre elementy, ale programy należałoby przeinstalować od zera. Operacje do wdrożenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {C65EAC9B-09C9-4FF3-AF27-AC768A522176} - System32\Tasks\{BC36738D-2853-4990-BB04-C86FCA12EE12} => pcalua.exe -a C:\Users\User\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=corna Task: {C69EDA31-F198-4590-8F1F-E1B547C31412} - System32\Tasks\ElectrocardiographsDisposingV2 => Rundll32.exe SentinelsNowheres.dll,main 7 1 Task: {EC0509A7-71EE-44D8-9809-D2EDE7505B88} - System32\Tasks\{A711B3E8-95FF-4314-AEA5-3F217763BF4C} => pcalua.exe -a C:\Users\User\AppData\Roaming\istartpageing\UninstallManager.exe -c -ptid=cor S3 AsrSetupDrv; \??\C:\Windows\SysWOW64\Drivers\AsrSetupDrv.sys [X] S2 MBAMService; "E:\Programy\Malwarebytes Anti-Malware\mbamservice.exe" [X] C:\ProgramData\McAfee C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CPUID C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HD Tune C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Malwarebytes Anti-Malware C:\Users\User\AppData\Local\ElectrocardiographsDisposing C:\Users\User\AppData\Local\Opera Software C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TeamSpeak 3 Client C:\Users\User\AppData\Roaming\Opera Software C:\Users\User\AppData\Roaming\Shortcut C:\Users\User\Desktop\HD Tune.lnk C:\Users\User\Desktop\HWMonitor.lnk C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adresy adware istartpageing.com, istartsurf.com, przestaw na "Otwórz stronę nowej karty" 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Wygląda na to, że Comodo wykrył jednak komponent swojej własnej instalacji GeekBuddy. Tak swoją drogą to ten program (w wersji trial) nie jest Ci potrzebny. Do przeprowadzenia tylko kosmetyczne czynności: 1. Odinstaluj zbędniki i stare wersje: Akamai NetSession Interface, Adobe AIR, Adobe Reader X (10.1.16) MUI, GeekBuddy, Java™ 6 Update 27 (64-bit), Java™ 6 Update 27. 2. Drobny błąd WMI numer 10 widoczny w Dzienniku skoryguje narzędzie Fix-it: KLIK. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1090459358-1029853955-1922827071-1002\...\Policies\Explorer: [] HKU\S-1-5-21-1090459358-1029853955-1922827071-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://pl.yahoo.com?fr=fp-comodo SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SSearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1090459358-1029853955-1922827071-1002 -> {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = hxxp://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Dell\Dell Stage\deleted_shortcuts\Roxio Creator Starter.lnk C:\ProgramData\Dell\Dell Stage\deleted_shortcuts\SyncUP.lnk C:\ProgramData\Dell\Dell Stage\deleted_shortcuts\Zinio Reader 4.lnk C:\Users\Monika\AppData\Local\69ff07055291669bb2b218.72821112 C:\Users\Monika\AppData\Local\ms-drivers C:\Users\Monika\AppData\Local\Mozilla C:\Users\Monika\AppData\Roaming\Mozilla Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PCDSRVC{1E208CE0-FB7451FF-06020101}_0 /s File: C:\Program Files\Dell Support Center\pcdsrvc_x64.pkms EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Na czas operacji wyłącz Comodo, gdyż zablokuje FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Style Call zostanie usunięty z listy na siłę. Poprawki: 1. Skopiuj na Pulpit poniższy plik, shostuj gdzieś i podaj do niego link. C:\Program Files (x86)\Mozilla Firefox\46419D7AEC293DB000634C176D2287784641 2. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{4F78AD9B-B198-0548-CA31-36C51D9D3296} RemoveDirectory: C:\DrWeb Quarantine RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\DrWeb RemoveDirectory: C:\ProgramData\Doctor Web RemoveDirectory: C:\Users\olijacek\AppData\Local\Opera Software RemoveDirectory: C:\Users\olijacek\Doctor Web RemoveDirectory: C:\Users\olijacek\Desktop\Stare dane programu Firefox CMD: type "C:\Program Files (x86)\Mozilla Firefox\46419D7AEC293DB000634C176D2287784641" CMD: del /q "C:\Program Files (x86)\Mozilla Firefox\46419D7AEC293DB000634C176D2287784641" CMD: del /q C:\Users\olijacek\Downloads\b7ym2cdd.exe CMD: del /q C:\Users\olijacek\Downloads\ohoptgtr.exe CMD: del /q C:\Users\olijacek\Downloads\m2j7kytw.exe CMD: del /q C:\Windows\Minidump\*.dmp Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Fix pomyślnie wykonany. Teraz uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Temat przenoszę do działu Windows. Brak oznak, by problemy powodowała infekcja. Drobne wpisy puste i sponsorowana wyszukiwarka Google wstawiona przez Avast do usunięcia w spoilerze, nie ma to żadnego związku ze zgłaszanymi problemami. Z raportów nic nie wynika. O której przeglądarce mowa? Upewnij się, że problemu nie tworzy osłona sieciowa Avast. Co to konkretnie oznacza? Widzę zainstalowane następujące wersje: Java 7 Update 80 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F03217080FF}) (Version: 7.0.800 - Oracle) Java 8 Update 51 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83218051F0}) (Version: 8.0.510 - Oracle Corporation) JavaFX 2.1.0 (HKLM\...\{1111706F-666A-4037-7777-210328764D10}) (Version: 2.1.0 - Oracle Corporation) Ostatnia wersja oficjalnie obsługująca XP to Java 7. Java 8 może być wprawdzie instalowana na XP, ale nie jest oficjalnie obsługiwana, więc być może tu tkwi problem z autoaktualizacją Java 8 Update 51 > Java 8 Update 66. Przy okazji: czy ta Java jest w ogóle potrzebna? Google Chrome w ogóle nie obsługuje już wtyczek Java, a Firefox usunie obsługę do końca roku 2016.

Proszę dostosuj się do zasad działu i dostarcz obowiązkowe logi z FRST + GMER: KLIK. A sama obecność "COM Surrogate" w procesach nic nie oznacza: KLIK. Proces systemowy może być uruchamiany przez poprawne aplikacje, jak i trojany. Czy są infekcje to udowodnią logi, o które proszę.