picasso

Akcja pomyślnie wykonana. Na koniec odinstaluj USBFix, zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

AdwCleaner doszukał się wielu odpadków adware. Uruchom go ponownie, tym razem zastosuj kombinację opcji Skanuj + Usuń i dostarcz wynikowy log z tego usuwania.

Już nie zastanawiaj się tylko działaj. Kopia rejestru już została zrobiona przez FRST podczas jego pierwszego uruchomienia, a w skrypcie jest zaplanowane tworzenie globalnego punktu Przywracania systemu (zawiera cały rejestr oraz pliki na dysku C). Tak, Firefox możesz odinstalować, co i tak pozostawi cały profil na dysku i będą poprawki ręczne potem.

To już wszystko. Czy są jeszcze jakieś problemy?

Temat założony w dziale diagnostyki infekcji, problemu infekcji tu nie ma, przenoszę do właściwego działu Sieci. Dodatkowo, system po reinstalacji, więc nawet nie ma za bardzo co analizować w podanych raportach, a problem nie wygląda na leżący po stronie Windows / software. Czy kontaktowałeś się z dostawcą sieciowym w tej kwestii? Dostarcz dane wymagane działem Sieci: KLIK. Może ktoś się zajmie tematem, ja nie jestem specjalistą od sieci.

Temat przenoszę do działu Windows. Problemem nie jest infekcja. W spoilerze tylko drobne doczyszczanie odpadków adware i wpisów pustych, nie powiązane ze zgłoszonymi objawami. Które procesy pobierają najwięcej pamięci? Z raportów nic nie wynika. To crackowany Windows ze spatchowanymi plikami systemowymi (wiadomo co to oznacza). W Dzienniku zdarzeń widać błędy licencyjne będące konsekwencją tego crackowania oraz jakieś niesprecyzowane zawieszenia usług, które nie wiadomo do czego podciągnąć: Dziennik Aplikacja: ================== Error: (11/26/2015 04:52:00 PM) (Source: Winlogon) (EventID: 4103) (User: ) Description: Aktywacja licencji systemu Windows nie powiodła się. Błąd 0x80070005. Error: (11/26/2015 04:29:38 PM) (Source: Software Protection Platform Service) (EventID: 8193) (User: ) Description: Wystąpił błąd harmonogramu aktywacji licencji (sppuinotify.dll), kod błędu: 0x80070005 Error: (11/26/2015 01:27:51 PM) (Source: Office 2013 Licensing Service) (EventID: 0) (User: ) Description: Subscription licensing service failed: -1073418231 Dziennik System: ============= Error: (11/26/2015 04:49:38 PM) (Source: Service Control Manager) (EventID: 7022) (User: ) Description: Usługa Windows Update zawiesiła się podczas uruchamiania. Error: (11/26/2015 04:42:31 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi HP Support Solutions Framework Service z powodu następującego błędu: %%1053 Error: (11/26/2015 04:42:31 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą HP Support Solutions Framework Service. Error: (11/26/2015 04:37:21 PM) (Source: Service Control Manager) (EventID: 7011) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na odpowiedź transakcji z usługi Appinfo. Error: (11/25/2015 02:41:43 PM) (Source: Service Control Manager) (EventID: 7011) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na odpowiedź transakcji z usługi Netman. Error: (11/24/2015 11:58:18 PM) (Source: DCOM) (EventID: 10001) (User: ) Description: C:\Windows\System32\slui.exe -Embedding5{F87B28F1-DA9A-4F35-8EC0-800EFCF26B83} Error: (11/24/2015 08:26:10 PM) (Source: Service Control Manager) (EventID: 7011) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na odpowiedź transakcji z usługi ShellHWDetection. Error: (11/24/2015 02:15:56 PM) (Source: Server) (EventID: 2505) (User: ) Description: Serwer nie mógł utworzyć powiązania do transportu \Device\NetBT_Tcpip_{78DF9754-394C-4211-A6E3-0605E0EB2289}, ponieważ inny komputer w sieci ma tę samą nazwę. Nie można uruchomić serwera. Sugestie: 1. Na wszelki wypadek sprawdź czy problemem nie jest Avast i/lub stare Sandboxie. Przetestuj jak system działa po deinstalacji tych aplikacji (deinstaluj po jednym na raz, zaczynając od starszego Sandboxie). 2. Jeśli chodzi o problemy z siecią, to ewentualnie mogą tu bruździć filtry pozostawione po deinstalacji komercyjnej wersji Avast: Name: avast! Firewall NDIS Filter Miniport Description: avast! Firewall NDIS Filter Miniport Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318} Manufacturer: ALWIL Software Service: aswNdis Problem: : Windows cannot start this hardware device because its configuration information (in the registry) is incomplete or damaged. (Code 19) Resolution: A registry problem was detected. This can occur when more than one service is defined for a device, if there is a failure opening the service subkey, or if the driver name cannot be obtained from the service subkey. Try these options: On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard. Click "Uninstall", and then click "Scan for hardware changes" to load a usable driver. Name: avast! Firewall NDIS Filter Miniport Description: avast! Firewall NDIS Filter Miniport Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318} Manufacturer: ALWIL Software Service: aswNdis Problem: : Windows cannot start this hardware device because its configuration information (in the registry) is incomplete or damaged. (Code 19) Resolution: A registry problem was detected. This can occur when more than one service is defined for a device, if there is a failure opening the service subkey, or if the driver name cannot be obtained from the service subkey. Try these options: On the "General Properties" tab of the device, click "Troubleshoot" to start the troubleshooting wizard. Click "Uninstall", and then click "Scan for hardware changes" to load a usable driver. Pod kątem tych filtrów: - Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator > w menu Widok włącz pokazywanie ukrytych urządzeń > wyszukaj avast! Firewall NDIS Filter Miniport > odinstaluj i zresetuj system. - Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > po lewej stronie wybierz opcję Zmień ustawienia karty sieciowej > dla wszystkich widzialnych połączeń z prawokliku wybierasz Właściwości > upewnij się, że nie figuruje tam żadna pozycja Avast.

Skrypt do FRST jest jednorazowego użytku i nie przetworzy ponownie tego samego. Fix FRST uruchomiłeś aż trzy razy, dostarczony Fixlog pokazuje masowe rekordy "nie znaleziono". Co się działo, że tak szalałeś? Wszystko zrobione. Teraz jeszcze drobne akcje pod kątem szczątków adware: 1. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Arek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 2. Otwórz Notatnik i wklej w nim: ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.mystartsearch.com/?type=sc&ts=1440975912&z=19fa332ff635ee20b2c3a9bgezez6e8t5m3w5mcb9q&from=cmi&uid=WDCXWD3200BPVT-60JJ5T0_WD-WX31A13L2524L2524 RemoveDirectory: C:\FRST RemoveDirectory: C:\MATS RemoveDirectory: C:\Users\Arek\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

To nie ma nic wspólnego z "resetowaniem ustawień", czy "przywracaniem systemu". Po prostu nastąpi ponowne uruchomienie systemu.

Istotnie, są tu ingerencje adware. Problem ze stroną startową omniboxes.com wynika z tego, że skróty LNK przeglądarek (nie tylko Opery) zostały zmodyfikowane i mają doklejony ten adres. Tak, te "podejrzane programy" to nic dobrego, a o YAC więcej tu: KLIK. Przeprowadź następujące akcje: 1. Odinstaluj adware/PUP: istartsurf uninstall, Picexa, Software Version Updater, WinZipper, YAC(Yet Another Cleaner!). Przy okazji możesz się pozbyć zbędnego downloadera programów Autodesk: Akamai NetSession Interface. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\Krzysiek\AppData\Roaming\TSv\TSvr.exe [580752 2015-11-23] (tsvr.com) R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170144 2015-11-25] (TODO: ) R2 WdsManPro; C:\ProgramData\JWMiniProJ\WMiniPro.exe [295424 2015-10-30] (DTools LIMITED) [brak podpisu cyfrowego] S3 rtbth; \SystemRoot\System32\drivers\rtbth.sys [X] ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avast SafeZone Browser.lnk -> C:\Program Files\AVAST Software\SZBrowser\launcher.exe (Avast Software) -> hxxp://www.omniboxes.com/?type=sc&ts=1448439128&z=afef6a45c74665f50c12675g7z8zab1z7c0tdg3oac&from=ient07021&uid=ST500LM012XHN-M500MBB_S2SVJ9CCB27503 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1448439128&z=afef6a45c74665f50c12675g7z8zab1z7c0tdg3oac&from=ient07021&uid=ST500LM012XHN-M500MBB_S2SVJ9CCB27503 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.omniboxes.com/?type=sc&ts=1448439128&z=afef6a45c74665f50c12675g7z8zab1z7c0tdg3oac&from=ient07021&uid=ST500LM012XHN-M500MBB_S2SVJ9CCB27503 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LucasArts\ Star Wars Knights of the Old Republic II - The Sith Lords.lnk -> C:\Program Files (x86)\LucasArts\SWKotOR2\launcher.exe (Obsidian Entertainment, Inc.) -> hxxp://www.omniboxes.com/?type=sc&ts=1448439128&z=afef6a45c74665f50c12675g7z8zab1z7c0tdg3oac&from=ient07021&uid=ST500LM012XHN-M500MBB_S2SVJ9CCB27503 ShortcutWithArgument: C:\Users\Krzysiek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1448439128&z=afef6a45c74665f50c12675g7z8zab1z7c0tdg3oac&from=ient07021&uid=ST500LM012XHN-M500MBB_S2SVJ9CCB27503 ShortcutWithArgument: C:\Users\Krzysiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1448439128&z=afef6a45c74665f50c12675g7z8zab1z7c0tdg3oac&from=ient07021&uid=ST500LM012XHN-M500MBB_S2SVJ9CCB27503 ShortcutWithArgument: C:\Users\Krzysiek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.omniboxes.com/?type=sc&ts=1448439128&z=afef6a45c74665f50c12675g7z8zab1z7c0tdg3oac&from=ient07021&uid=ST500LM012XHN-M500MBB_S2SVJ9CCB27503 ShortcutWithArgument: C:\Users\Public\Desktop\ Star Wars Knights of the Old Republic II - The Sith Lords.lnk -> C:\Program Files (x86)\LucasArts\SWKotOR2\launcher.exe (Obsidian Entertainment, Inc.) -> hxxp://www.omniboxes.com/?type=sc&ts=1448439128&z=afef6a45c74665f50c12675g7z8zab1z7c0tdg3oac&from=ient07021&uid=ST500LM012XHN-M500MBB_S2SVJ9CCB27503 ShortcutWithArgument: C:\Users\Public\Desktop\Avast SafeZone Browser.lnk -> C:\Program Files\AVAST Software\SZBrowser\launcher.exe (Avast Software) -> hxxp://www.omniboxes.com/?type=sc&ts=1448439128&z=afef6a45c74665f50c12675g7z8zab1z7c0tdg3oac&from=ient07021&uid=ST500LM012XHN-M500MBB_S2SVJ9CCB27503 ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1448439128&z=afef6a45c74665f50c12675g7z8zab1z7c0tdg3oac&from=ient07021&uid=ST500LM012XHN-M500MBB_S2SVJ9CCB27503 ShortcutWithArgument: C:\Users\Public\Desktop\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.omniboxes.com/?type=sc&ts=1448439128&z=afef6a45c74665f50c12675g7z8zab1z7c0tdg3oac&from=ient07021&uid=ST500LM012XHN-M500MBB_S2SVJ9CCB27503 StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.omniboxes.com/?type=sc&ts=1448439128&z=afef6a45c74665f50c12675g7z8zab1z7c0tdg3oac&from=ient07021&uid=ST500LM012XHN-M500MBB_S2SVJ9CCB27503 StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.omniboxes.com/?type=sc&ts=1448439128&z=afef6a45c74665f50c12675g7z8zab1z7c0tdg3oac&from=ient07021&uid=ST500LM012XHN-M500MBB_S2SVJ9CCB27503 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.omniboxes.com/?type=sc&ts=1448439128&z=afef6a45c74665f50c12675g7z8zab1z7c0tdg3oac&from=ient07021&uid=ST500LM012XHN-M500MBB_S2SVJ9CCB27503 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.omniboxes.com/?type=hp&ts=1448439128&z=afef6a45c74665f50c12675g7z8zab1z7c0tdg3oac&from=ient07021&uid=ST500LM012XHN-M500MBB_S2SVJ9CCB27503 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.omniboxes.com/?type=hp&ts=1448439128&z=afef6a45c74665f50c12675g7z8zab1z7c0tdg3oac&from=ient07021&uid=ST500LM012XHN-M500MBB_S2SVJ9CCB27503 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1448439128&z=afef6a45c74665f50c12675g7z8zab1z7c0tdg3oac&from=ient07021&uid=ST500LM012XHN-M500MBB_S2SVJ9CCB27503&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1448439128&z=afef6a45c74665f50c12675g7z8zab1z7c0tdg3oac&from=ient07021&uid=ST500LM012XHN-M500MBB_S2SVJ9CCB27503&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.omniboxes.com/?type=hp&ts=1448439128&z=afef6a45c74665f50c12675g7z8zab1z7c0tdg3oac&from=ient07021&uid=ST500LM012XHN-M500MBB_S2SVJ9CCB27503 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.omniboxes.com/?type=hp&ts=1448439128&z=afef6a45c74665f50c12675g7z8zab1z7c0tdg3oac&from=ient07021&uid=ST500LM012XHN-M500MBB_S2SVJ9CCB27503 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1448439128&z=afef6a45c74665f50c12675g7z8zab1z7c0tdg3oac&from=ient07021&uid=ST500LM012XHN-M500MBB_S2SVJ9CCB27503&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1448439128&z=afef6a45c74665f50c12675g7z8zab1z7c0tdg3oac&from=ient07021&uid=ST500LM012XHN-M500MBB_S2SVJ9CCB27503&q={searchTerms} HKU\S-1-5-21-1657043038-3288557173-2309702434-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.omniboxes.com/?type=hp&ts=1448439128&z=afef6a45c74665f50c12675g7z8zab1z7c0tdg3oac&from=ient07021&uid=ST500LM012XHN-M500MBB_S2SVJ9CCB27503 HKU\S-1-5-21-1657043038-3288557173-2309702434-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.omniboxes.com/?type=hp&ts=1448439128&z=afef6a45c74665f50c12675g7z8zab1z7c0tdg3oac&from=ient07021&uid=ST500LM012XHN-M500MBB_S2SVJ9CCB27503 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1448439128&z=afef6a45c74665f50c12675g7z8zab1z7c0tdg3oac&from=ient07021&uid=ST500LM012XHN-M500MBB_S2SVJ9CCB27503&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1448439128&z=afef6a45c74665f50c12675g7z8zab1z7c0tdg3oac&from=ient07021&uid=ST500LM012XHN-M500MBB_S2SVJ9CCB27503&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1448439128&z=afef6a45c74665f50c12675g7z8zab1z7c0tdg3oac&from=ient07021&uid=ST500LM012XHN-M500MBB_S2SVJ9CCB27503&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1448439128&z=afef6a45c74665f50c12675g7z8zab1z7c0tdg3oac&from=ient07021&uid=ST500LM012XHN-M500MBB_S2SVJ9CCB27503&q={searchTerms} SearchScopes: HKU\S-1-5-21-1657043038-3288557173-2309702434-1002 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1448439128&z=afef6a45c74665f50c12675g7z8zab1z7c0tdg3oac&from=ient07021&uid=ST500LM012XHN-M500MBB_S2SVJ9CCB27503&q={searchTerms} SearchScopes: HKU\S-1-5-21-1657043038-3288557173-2309702434-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1448439128&z=afef6a45c74665f50c12675g7z8zab1z7c0tdg3oac&from=ient07021&uid=ST500LM012XHN-M500MBB_S2SVJ9CCB27503&q={searchTerms} Toolbar: HKU\S-1-5-21-1657043038-3288557173-2309702434-1002 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku CMD: copy /y C:\Users\Krzysiek\AppData\Roaming\Mozilla\Firefox\Profiles\6pz6k0if.default\extensions.ini C:\Users\Krzysiek\Desktop\extensions.ini Reg: reg export HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions C:\Users\Krzysiek\Desktop\ff.reg FF HKLM-x32\...\Firefox\Extensions: [pdf_architect_2_conv@pdfarchitect.org] - C:\Program Files (x86)\PDF Architect 2\resources\pdfarchitect2firefoxextension FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Krzysiek\AppData\Roaming\Mozilla\Firefox\Profiles\6pz6k0if.default\extensions\defsearchp@gmail.com FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Krzysiek\AppData\Roaming\Mozilla\Firefox\Profiles\6pz6k0if.default\extensions\deskCutv2@gmail.com FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\Krzysiek\AppData\Roaming\Mozilla\Firefox\Profiles\6pz6k0if.default\extensions\default_newtabff@gmail.com FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\Krzysiek\AppData\Roaming\Mozilla\Firefox\Profiles\6pz6k0if.default\extensions\yahooprotected@gmail.com OPR Session Restore: -> [funkcja włączona] HKU\S-1-5-21-1657043038-3288557173-2309702434-1002\...\Policies\Explorer: [] Task: {274004C8-BBE7-4B48-9A0D-616CB02DB9D0} - System32\Tasks\{FA42D7AD-36A4-44E7-8485-CBA9306AD7E9} => pcalua.exe -a C:\Windows\System32\control.exe -d E:\WINNT -c "E:\WINNT\pcpanel.cpl", Task: {45C984EE-1587-42FD-A04D-588B4F26474A} - System32\Tasks\{B596612E-7C20-4B4A-A61B-21761A9F9E69} => Firefox.exe hxxp://ui.skype.com/ui/0/6.22.81.105/pl/abandoninstall?source=lightinstaller&page=tsInstall Task: {9E050A31-314C-4547-BA52-7E0846765232} - System32\Tasks\{375BB082-FF74-4AF1-A78D-13C15823CAD3} => pcalua.exe -a "C:\Program Files\DAZ 3D\Content Management Service\Uninstallers\Remove-DAZContentManagementService.exe" C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\SFK C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\aWdsManProa C:\ProgramData\JWMiniProJ C:\Users\Krzysiek\AppData\Roaming\eCyber C:\Users\Krzysiek\AppData\Roaming\TSv C:\Users\Krzysiek\Documents\Dawne CV\*.lnk C:\Users\Krzysiek\Documents\MD2\pliki z pulpitu\*.lnk C:\Users\Krzysiek\Documents\Moje dokumenty stare\*.lnk C:\Users\Krzysiek\Documents\Moje dokumenty stare\jakieś linki\Gimp.lnk C:\Users\Krzysiek\Documents\Moje dokumenty stare\pliki z puplitu\*.lnk C:\Users\Krzysiek\Music\Moja muzyka\DIRE STRAITS\MONEY FOR NOTHING\Skrót do MONEY FOR NOTHING.lnk C:\Windows\System32\log C:\Windows\SysWOW64\pl.html C:\Windows\SysWOW64\pl7.exe CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Na Pulpicie powstały też pliki extensions.ini oraz ff.reg - proszę spakuj do ZIP, shostuj gdzieś i podaj link do paczki.

1. Uruchom AdwCleaner ponownie, tym razem wybierz sekwencję opcję Skanuj + Usuń. 2. Otwórz Notatnik i wklej w nim: Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: attrib -r -h -s C:\*helpme@freespeechmail.org /s CMD: attrib -r -h -s D:\*helpme@freespeechmail.org /s CMD: del /q /s C:\*helpme@freespeechmail.org CMD: del /q /s D:\*helpme@freespeechmail.org Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przetwarzanie może długo trwać ze względu na masowe usuwanie zaszyfrowanych plików z partycji C i D. Przedstaw wynikowy fixlog.txt. Log będzie potężny, więc nie zmieści się w załączniki - shostuj gdzieś i podaj link do tego pliku.

Wymazałam z Twojego posta podkreślenie wytworzone przez adware. Problem tworzy adware WordFly, a log sugeruje że zostało zainstalowane w trakcie pobierania FormatFactory. Wykonaj następujące operacje: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware WordFly 1.10.0.28. 2. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj sponsorowany Avast SafePrice. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adresy mystartsearch.com, home.sweetim.com, start.qone8.com, oursurfing.com i przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres oursurfing.com 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [HotKeysCmds] => "C:\Windows\system32\hkcmd.exe" HKLM\...\Run: [Persistence] => "C:\Windows\system32\igfxpers.exe" HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" HKLM-x32\...\Run: [updReg] => C:\Windows\UpdReg.EXE Winlogon\Notify\igfxcui: igfxdev.dll [X] C:\Windows\system32\SET*.tmp C:\Windows\SysWOW64\SET*.tmp CMD: netsh advfirewall reset Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\eofcbnmajmjmplflapaojjnihcjkigck /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problem ustąpił.

Zasady działu wyliczają jakie logi są tu obowiązkowe. Przestarzały OTL nie jest tu w ogóle brany pod uwagę i usuwam. Brakuje za to trzeciego pliku FRST Shortcut oraz raportu z GMER. Prócz modyfikacji zrobionych przez infekcję na urządzeniu przenośnym, problemy są też w samym systemie, tzn. odpadki adware oraz zainstalowany Yet Another Cleaner (YAC) - to wysoce niepożądany program: KLIK. Akcje do wdrożenia: 1. Deinstalacje: - Przez Panel sterowania pozbądź się YAC(Yet Another Cleaner!). - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis globalupdate Helper > Dalej. 2. Zakładam, że pendrive nadal widziany pod literą H, w przeciwnym wypadku komenda go adresująca się nie wykona. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 gopibeko; Brak ImagePath S2 jimocoso; C:\Program Files (x86)\3B843E2A-1440968241-864B-CB20-8851FBCA0330\jnsiE7BF.tmp [X] S1 ppfd_vt_1_10_0_22; system32\drivers\ppfd_vt_1_10_0_22.sys [X] S1 QMUdisk; \??\C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\QMUdisk64.sys [X] S2 sbapifs; system32\DRIVERS\sbapifs.sys [X] S2 totyseku; C:\Program Files (x86)\3B843E2A-1440968241-864B-CB20-8851FBCA0330\hnsi18CF.tmp [X] S3 TS888x64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\10.11.16588.235\TS888x64.sys [X] S2 vorypute; C:\Program Files (x86)\3B843E2A-1440968241-864B-CB20-8851FBCA0330\knsiD977.tmpfs [X] S1 wsafd_1_10_0_19; system32\drivers\wsafd_1_10_0_19.sys [X] Task: {10430F24-385D-481A-8D6F-15E2B4F19F84} - System32\Tasks\{AED9C0C2-4A41-435E-8264-D6DF3E5E3B79} => pcalua.exe -a "F:\Nowy folder\stery win7\stery win7\sp56460.exe" -d "F:\Nowy folder\stery win7\stery win7" Task: {20AC678E-5FA2-4970-81DE-BCBC3E27C129} - System32\Tasks\{E3DFBE57-663B-44D8-90E9-4899776DEDE2} => pcalua.exe -a C:\Users\Arek\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=cor Task: {269A11A4-E02B-44B3-8596-8A0F66FF1972} - \YTDownloader -> Brak pliku Task: {27037F12-5040-4A9A-8B85-26ABFB917DAA} - System32\Tasks\WordSurfer Auto Updater 1.10.0.19 Pending Update => C:\Program Files (x86)\WordSurfer_1.10.0.19\Update\WordSurferAutoUpdateClient.exe Task: {39E5AECD-7516-4641-8E84-CC6347A98E5E} - System32\Tasks\Microsoft\Windows\Multimedia\SMupdate3 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update3 Task: {3A7DD326-9B7F-4B50-B208-88DDA651D21D} - System32\Tasks\WordSurfer Auto Updater 1.10.0.19 Core => C:\Program Files (x86)\WordSurfer_1.10.0.19\Update\WordSurferAutoUpdateClient.exe Task: {47DE48BF-20D0-45C0-A952-87C81CB71000} - \SMupdate1 -> Brak pliku Task: {4DEB4D32-325F-40C1-A89C-832EAB8E4207} - \YTDownloaderUpd -> Brak pliku Task: {7B40D1D6-3AB0-40EB-B989-CDF493FF2EA1} - System32\Tasks\PhraseProfessor Auto Updater 1.10.0.22 Core => C:\Program Files (x86)\PhraseProfessor_1.10.0.22\Update\PhraseProfessorAutoUpdateClient.exe Task: {82AC5274-DAF1-421C-BED2-A61B4123CF98} - System32\Tasks\ME5zmXRM97s2LktHl9KXy => C:\Users\Arek\AppData\Roaming\ME5zmXRM97s2LktHl9KXy.exe Task: {A6F70DC5-BBFB-4563-B8E8-7D04BC386692} - \ShopperProJSUpd -> Brak pliku Task: {C0F2A6BF-7933-4BA1-BBC2-8033308D7A0A} - System32\Tasks\Microsoft\Windows\Maintenance\SMupdate2 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update2 Task: {F242AEDD-EB5F-47D5-B1EF-CDC9334ED0F1} - System32\Tasks\PhraseProfessor Auto Updater 1.10.0.22 Pending Update => C:\Program Files (x86)\PhraseProfessor_1.10.0.22\Update\PhraseProfessorAutoUpdateClient.exe Task: C:\Windows\Tasks\ME5zmXRM97s2LktHl9KXy.job => C:\Users\Arek\AppData\Roaming\ME5zmXRM97s2LktHl9KXy.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" HKU\S-1-5-21-2794061736-2319354765-444063797-1000\Software\Classes\.exe: exefile => HKU\S-1-5-21-2794061736-2319354765-444063797-1000\Software\Classes\exefile: HKLM-x32\...\RunOnce: [] => [X] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-2794061736-2319354765-444063797-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSSE HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617911&ResetID=130861187946300557&GUID=A67E28BA-4B7C-476B-B0ED-A5EE728BDB9C HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-2794061736-2319354765-444063797-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617911&ResetID=130861187946310557&GUID=A67E28BA-4B7C-476B-B0ED-A5EE728BDB9C SearchScopes: HKU\S-1-5-21-2794061736-2319354765-444063797-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKU\S-1-5-21-2794061736-2319354765-444063797-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Arek\AppData\Roaming\Mozilla\Firefox\Profiles\m0o2lkgf.default\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Arek\AppData\Roaming\Mozilla\Firefox\Profiles\m0o2lkgf.default\extensions\deskCutv2@gmail.com => nie znaleziono C:\Users\Arek\AppData\Roaming\ME5zmXRM97s2LktHl9KXy C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat H:\desktop.ini Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f CMD: attrib /d /s -s -h H:\* CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wejdź na pendrive, powinien zostać uwidoczniony folder "bez nazwy", to w nim infekcja umieściła dane. Przenieś wszystkie poziom wyżej, a folder "bez nazwy" skasuj przez SHIFT+DEL (omija Kosz). 4. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia rezeba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. Opera: Odłącz synchronizację (o ile włączona): KLIK Ustawienia > karta Rozszerzenia > odinstaluj adware iWebar V2.1 5. Zrób nowe logi: FRST z opcji Skanuj (Scan) z Addition i Shortcut, oraz USBFix z opcji Listing (a nie Research jak podałeś). Dołącz też plik fixlog.txt.

System został zainfekowany robakiem VBS/Jenxcus - w starcie uruchamia się skrypt home.vbe, stąd każde podpinane urządzenie zostaje zarażone. Usuwanie obejmie dwa etapy: usunięcie infekcji z systemu oraz usunięcie jej z urządzeń przenośnych. 1. Odinstaluj Hotspot Shield 4.15.3 (zintegrowane reklamy), Java 8 Update 45 (stara wersja), Search App by Ask (niepożądany program typu adware/PUP). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Users\Benedykt\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\home.vbe [2015-09-08] () HKU\S-1-5-21-2484522157-3572153485-187122026-1000\...\Run: [home] => wscript.exe //B "C:\Users\Benedykt\AppData\Roaming\home.vbe" HKU\S-1-5-21-2484522157-3572153485-187122026-1000\...\Run: [CyberGhost] => "C:\Program Files\CyberGhost 5\CyberGhost.exe" /autostart /min HKU\S-1-5-21-2484522157-3572153485-187122026-1000\...\Run: [bingSvc] => C:\Users\Benedykt\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-12] (© 2015 Microsoft Corporation) Task: {31B35F76-6CCA-46B3-805C-8F320061952F} - System32\Tasks\{A2362858-9A57-4169-ACC7-47B16D1B09E5} => Chrome.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=7.0.0.100&LastError=404 Task: {B0B4801C-D078-44F6-A6FD-F0EBB917CB41} - System32\Tasks\{EB46F74E-DB82-483D-BE74-3E9720EAA1F1} => Chrome.exe hxxp://ui.skype.com/ui/0/7.5.0.101/pl/abandoninstall?page=tsMain Task: {DE1B5D91-198D-4ABC-A1A0-03C7B0B7F934} - System32\Tasks\{3C58274C-BE88-4E21-87C0-E8F5478AAE6E} => Chrome.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=7.5.0.101&LastError=12002 C:\ProgramData\AskPartnerNetwork C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Driver Cleaner Pro C:\Users\Benedykt\AppData\Local\Microsoft\BingSvc C:\Users\Benedykt\AppData\Roaming\home.vbe Reg: reg delete HKCU\Software\Google\Chrome\Extensions /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\App Paths" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths" /s Reg: reg query "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\App Paths" /s Reg: reg query "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowe logi: FRST z opcji Skanuj (Scan) - bez Addition i Shortcut - oraz USBFix z opcji Listing przy podpiętych zainfekowanych nośnikach. Dołącz też plik fixlog.txt.

Nie przeczytałeś zasad działu: KLIK. I na dodatek podpiąłeś się pod temat w którym inny użytkownik też był kierowany do nich! Tu nie wolno się podpinać pod cudze tematy i nie zostały dostarczone obowiązkowe logi. Proszę podać logi z FRST i GMER. A SpyHunter to wątpliwy skaner z czarnej listy! Natychmiast pozbyć się go z systemu.

Była do wykonania z linka "Opcja 2. Zatrzymanie synchronizacji i wyczyszczenie danych (zresetowanie synchronizacji)". Nie wiem co tam by się pokazało, ale proces czyszczenia danych z serwera trochę trwa, może to być np. kilka dni. Dopiero po jego ukończeniu czyści się Chrome w systemie, a po tym ponownie loguje, by rozpocząć synchronizowanie czystych danych. Niemniej, skoro po deinstalacji Chrome ustały reklamy, mimo że profil został przywrócony, to już zostaw ten wątek. Miej jednak na uwadze, że strona mystartsearch.com nagle może się pojawić np. podczas opcji resetowania przeglądarki czy po jej reinstalacji. Na teraz do wykonania te akcje: 1. Czyna pewno został odinstalowany AVG Web TuneUp? W ostatnim logu ciągle widzę jego komponenty. 2. Nie znalazłaś odpadkowego urządzenia McAfee. Upewnij się jeszcze raz, że nie zostało to przeoczone. W Menedżerze urządzeń w menu Widok ustaw pokazywanie ukrytych urządzeń i ponownie sprawdź czy nie widać "McAfee Inc. mfehidk" lub "mfehidk". 3. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition, ale bez Shortcut.

Zadania pomyślnie wykonane. Kończymy: 1. Odinstaluj Hitmana. Ręcznie skasuj skopiowany CBS. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 2. Była tu ogromna ilość instalacji adware/PUP. Przeczytaj ten artykuł na co uważać: KLIK.

Jeśli chodzi o "skomplikowanie sprawy", to mnie w pełni zaćmiło wcześniej i bezmyślnie patrzyłam na te próby zrzucania danych. TeslaCrypt szyfruje także formaty zrzutów (dmp, raw) oraz archiwów (7z, rar, zip), co oznacza, że zebrane dane zostają zaszyfrowane przez infekcję i błędne koło. Należałoby użyć jakiś atypowy format, którego nie adresuje infekcja. Lista szyfrowanych rozszerzeń jest w opisie na Bleeping, nie wiem czy nie nastąpiły jakieś zmiany: KLIK. Jeśli chodzi o czyszczenie systemu, to oczywiście podaj nowe raporty FRST i GMER. Zajmę się usunięciem infekcji w jej podstawowej części. Pozostanie problem zaszyfrowanych plików.

Nie bez powodu podałam na początku, by wyczyścić dane synchronizacji, co miało na celu upewnić się, że nie ma na serwerze Google żadnych szkodliwych ustawień (Chrome z czynną synchronizacją ładuje także ustawienia adware na serwer, bo skąd ma wiedzieć co jest złe). Czyszczenie danych z serwera Google nie jest natychmiastowe i należało poczekać, a dopiero po tym ponownie logować się... Czy akcja została wykonana tu: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usunięcie tego adresu + przestawienie na "Otwórz stronę nowej karty"? I ten wpis wróci ponownie z serwera Google. Ustawienia synchronizacji mają priorytet nad ustawieniami lokalnymi. Czyszczenie Google Chrome lokalnie jest tylko "tymczasowe", do czasu gdy wykonasz jakąś operację w Chrome, która synchronizuje dane.

"Działa" czyli to znaczy, że Adobe AIR pomyślnie odinstalowałeś? Natomiast jeśli chodzi o Hitman, to przez 30 dni jest możliwe usuwanie, widocznie kiedyś program już używałeś. Te śmieci wykryte przez Hitmana dokończy FRST. Otwórz Notatnik i wklej w nim: DeleteKey: HKU\S-1-5-21-1042416182-98707671-1076778749-1000\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\windows_ie_ac_001\Software\_CrossriderRegNamePlaceHolder_ EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt.

1. Hitman dopatrzył się jeszcze dwóch szczątków adware oraz ciasteczek i to wszystko do usunięcia za pomocą programu. Natomiast wyniki "Suspicious files" pokazujące FRST do ominięcia. 2. Wracam do zaległego wątku: Sprawdź czy teraz po kompleksowym czyszczeniu systemu jesteś w stanie odinstalować ten program w normalny sposób.

Pytanie, czy na pewno nie pominięto tego kroku: FRST usunął cały folder Google z dysku, a po reinstalacji Chrome wskoczył identyczny profil co poprzedniego, na dodatek ze stroną startową adware mystartsearch.com, co wygląda jak załadowanie ustawień profilu z serwera.

Nic podejrzanego na liście procesów, wielokrotność svchost.exe jest normalna, a było to wałkowane na forum wielokrotnie, np. w tym temacie: KLIK. Ta "o połowę krótsza lista" to był prawdopodobnie wynik tego, że uruchomiłeś Menedżer zadań na domyślnych (niskich) uprawnieniach, co pokazuje tylko procesy bieżącego użytkownika. Po kliku w opcję Pokaż procesy wszystkich użytkowników następuje podniesienie uprawnień i lista robi się znacznie dłuższa.

Na wszelki wypadek sprawdź czy jednak w Twoim przypadku przestawienie tej opcji nie spowoduje zmian. Poza tym, nie mam już innych pomysłów, nie do końca też wiem o jakim efekcie graficznym mowa.

Należy ręcznie zmienić rozszerzenie pliku na *.txt lub zapisać zawartość pliku do nowego pliku o taki rozszerzeniu.

Przed przejściem do usunięcia zaszyfrowanych kopii, poproszę jeszcze o nowe raporty: 1. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. 2. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition, ale bez Shortcut.