picasso

W przesłanych paczkach wszystko OK. Nie przyjrzałam się za dobrze temu obrazkowi pokazującemu przykładową reklamę. Te reklamy opisane jako adkontekst na portalu wiadomości.wp.pl to normalne zachowanie, portal jest oblepiony śmietniskiem. Ja też widzę te podkreślenia słów w przeglądarce bez Adblocka. Zainstaluj w Google Chrome wybrany bloker reklam, np. Adblock Plus, AdFender (Free), uBlock Origin. I końcowe doczyszczanie. Otwórz Notatnik i wklej w nim: StartMenuInternet: IEXPLORE.EXE - iexplore.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Programdata\Mozilla RemoveDirectory: C:\Users\UĹĽytkownik RemoveDirectory: C:\Users\u¿ytkownik RemoveDirectory: C:\Users\Użytkownik\AppData\Local\Mozilla RemoveDirectory: C:\Users\Użytkownik\AppData\Roaming\Mozilla RemoveDirectory: C:\Users\Użytkownik\Downloads\FRST-OlderVersion CMD: del /q C:\Users\Użytkownik\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Nowe logi FRST nie są mi potrzebne.

Czy są jakieś wyniki analiz? Pytam, gdyż trzeba w końcu podjąć decyzję tyczącą czyszczenia systemu ... lub format.

Prawie wszystko wykonane, Ad-aware się jednak odinstalował na pół gwizdka. Druga sprawa, odinstalowałeś część programów Windows Live ale nie główny pakiet - czy mam rozumieć, że to wynik tego, iż korzystasz z tej paczki? Poprawki: 1. Uruchom to samo narzędzie Microsoftu, które stosowałeś wcześniej i usuń ukryty wpis Ad-Aware. 2. Wyczyść Google Chrome: Ustawienia > Ustawienia > Osoby > załóż nowy profil i się na niego zaloguj a stary usuń z dysku. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM-x32\...\Run: [Ad-Watch] => C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWTray.exe [506712 2009-01-18] (Lavasoft) R2 Lavasoft Ad-Aware Service; C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWService.exe [921936 2009-01-18] (Lavasoft) S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X] Task: {301B517C-EACD-440A-8F9D-6382D8B8F3D1} - System32\Tasks\Ad-Aware Update (Weekly) => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18] (Lavasoft) Task: C:\Windows\Tasks\Ad-Aware Update (Weekly).job => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe Task: C:\Windows\Tasks\Adobe Flash Player PPAPI Notifier.job => C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_18_0_0_232_pepper.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Lavasoft Ad-Aware Service => ""="Service" Toolbar: HKLM-x32 - Brak nazwy - {B821BF60-5C2D-41EB-92DC-3E4CCD3A22E4} - Brak pliku Toolbar: HKU\.DEFAULT -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku ShortcutWithArgument: C:\Users\Public\Desktop\WarThunder.lnk -> D:\WarThunder\launcher.exe (Gaijin Entertainment) -> hxxp://www.mystartsearch.com/?type=sc&ts=1447250783&z=654dbad2831d6e6a6d4e99cg8zezbmao9wce0m6b8c&from=cornl&uid=wdcxwd6400bpvt-80hxzt3_wd-wxk1a712279522795 RemoveDirectory: C:\AsusVibeData RemoveDirectory: C:\eSupport\eDriver\Software\Trendmicro RemoveDirectory: C:\Device RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files (x86)\Enigma Software Group RemoveDirectory: C:\Program Files (x86)\Lavasoft RemoveDirectory: C:\Program Files (x86)\Lenovo RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\Program Files (x86)\Picexa RemoveDirectory: C:\ProgramData\Apple RemoveDirectory: C:\ProgramData\Apple Computer RemoveDirectory: C:\ProgramData\Avanquest Bluetooth SDK RemoveDirectory: C:\ProgramData\boost_interprocess RemoveDirectory: C:\ProgramData\Downloaded Installations RemoveDirectory: C:\ProgramData\Google\Custom Buttons RemoveDirectory: C:\ProgramData\Google\Google Toolbar RemoveDirectory: C:\ProgramData\Lavasoft RemoveDirectory: C:\ProgramData\MAGIX RemoveDirectory: C:\ProgramData\Macromedia RemoveDirectory: C:\ProgramData\Microsoft\Windows\WER\ReportArchive RemoveDirectory: C:\ProgramData\Mozilla RemoveDirectory: C:\ProgramData\Newsoft RemoveDirectory: C:\ProgramData\Oracle RemoveDirectory: C:\ProgramData\realtech VR RemoveDirectory: C:\ProgramData\SplitMediaLabs RemoveDirectory: C:\ProgramData\Sun RemoveDirectory: C:\ProgramData\Trend Micro RemoveDirectory: C:\ProgramData\VirtualizedApplications RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft RemoveDirectory: C:\Users\Default\AppData\Roaming\TuneUp Software RemoveDirectory: C:\Users\Nikodem\REACHit RemoveDirectory: C:\Users\Nikodem\AppData\Local\Apple RemoveDirectory: C:\Users\Nikodem\AppData\Local\Apple Computer RemoveDirectory: C:\Users\Nikodem\AppData\Local\CEF RemoveDirectory: C:\Users\Nikodem\AppData\Local\Diagnostics\1158610846 RemoveDirectory: C:\Users\Nikodem\AppData\Local\Diagnostics\733862231 RemoveDirectory: C:\Users\Nikodem\AppData\Local\Downloaded Installations RemoveDirectory: C:\Users\Nikodem\AppData\Local\ESET RemoveDirectory: C:\Users\Nikodem\AppData\Local\GGEmpire RemoveDirectory: C:\Users\Nikodem\AppData\Local\Google\Chrome Cleanup Tool RemoveDirectory: C:\Users\Nikodem\AppData\Local\Google\CrashReports RemoveDirectory: C:\Users\Nikodem\AppData\Local\Google\Toolbar RemoveDirectory: C:\Users\Nikodem\AppData\Local\Installer RemoveDirectory: C:\Users\Nikodem\AppData\Local\Lenovo RemoveDirectory: C:\Users\Nikodem\AppData\Local\Loc.Mail.Bron.Tok RemoveDirectory: C:\Users\Nikodem\AppData\Local\Macromedia RemoveDirectory: C:\Users\Nikodem\AppData\Local\Microsoft\BingBar RemoveDirectory: C:\Users\Nikodem\AppData\Local\Microsoft\Feeds Cache RemoveDirectory: C:\Users\Nikodem\AppData\Local\Microsoft\Media Player\Pamięć podręczna grafiki RemoveDirectory: C:\Users\Nikodem\AppData\Local\Microsoft\Silverlight\OutOfBrowser RemoveDirectory: C:\Users\Nikodem\AppData\Local\Microsoft\Windows\GameExplorer\{DA289834-622B-4A50-9C36-22DCD899EFC9} RemoveDirectory: C:\Users\Nikodem\AppData\Local\Microsoft\Windows\GameExplorer\{381DCEBC-EA47-4550-9473-B3894461F3C6} RemoveDirectory: C:\Users\Nikodem\AppData\Local\Microsoft\Windows\WER\ERC\ResponseCache RemoveDirectory: C:\Users\Nikodem\AppData\Local\Microsoft\Windows\WER\ERC\TemplateCache RemoveDirectory: C:\Users\Nikodem\AppData\Local\Microsoft\Windows\WER\ReportArchive RemoveDirectory: C:\Users\Nikodem\AppData\Local\Microsoft\Windows\WER\ReportQueue RemoveDirectory: C:\Users\Nikodem\AppData\Local\Microsoft\WLSetup\CabLogs RemoveDirectory: C:\Users\Nikodem\AppData\Local\Microsoft\WLSetup\Logs RemoveDirectory: C:\Users\Nikodem\AppData\Local\Mozilla RemoveDirectory: C:\Users\Nikodem\AppData\Local\NewSoft RemoveDirectory: C:\Users\Nikodem\AppData\Local\Ok-SendMail-Bron-tok RemoveDirectory: C:\Users\Nikodem\AppData\Local\realtech_VR RemoveDirectory: C:\Users\Nikodem\AppData\Local\SoftGrid Client RemoveDirectory: C:\Users\Nikodem\AppData\Local\Video Enhancer RemoveDirectory: C:\Users\Nikodem\AppData\Local\VirtualStore\Program Files\Bonjour RemoveDirectory: C:\Users\Nikodem\AppData\Local\VirtualStore\Program Files\Google\GoogleToolbarNotifier RemoveDirectory: C:\Users\Nikodem\AppData\Local\VirtualStore\Program Files\McAfee Security Scan RemoveDirectory: C:\Users\Nikodem\AppData\Local\VirtualStore\Program Files\Trend Micro RemoveDirectory: C:\Users\Nikodem\AppData\Local\VirtualStore\Program Files (x86)\Safari RemoveDirectory: C:\Users\Nikodem\AppData\Local\VirtualStore\Program Files (x86)\ToonCar RemoveDirectory: C:\Users\Nikodem\AppData\Local\VirtualStore\ProgramData\AVAST Software RemoveDirectory: C:\Users\Nikodem\AppData\Local\VirtualStore\ProgramData\AVG RemoveDirectory: C:\Users\Nikodem\AppData\Local\VirtualStore\ProgramData\Microsoft\Application Virtualization Client RemoveDirectory: C:\Users\Nikodem\AppData\Local\VirtualStore\ProgramData\Microsoft\BingBar RemoveDirectory: C:\Users\Nikodem\AppData\Local\VirtualStore\ProgramData\simplitec RemoveDirectory: C:\Users\Nikodem\AppData\LocalLow\Apple Computer RemoveDirectory: C:\Users\Nikodem\AppData\LocalLow\Google RemoveDirectory: C:\Users\Nikodem\AppData\LocalLow\Microsoft\Silverlight\is RemoveDirectory: C:\Users\Nikodem\AppData\LocalLow\Microsoft\Silverlight\OutOfBrowser RemoveDirectory: C:\Users\Nikodem\AppData\LocalLow\Sun RemoveDirectory: C:\Users\Nikodem\AppData\LocalLow\Robot Gentleman Studios RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\Anvsoft RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\Apple Computer RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\ASUS WebStorage RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\BESTplayer RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\DiskDefrag RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\DVDVideoSoft RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\enchant RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\GGEmpire441 RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\Grupa IMAGE RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\Macromedia RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\MAGIX RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\Microsoft\Internet Explorer\UserData\Low RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\realtech VR RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\Mozilla RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\NewSoft RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\PDAppFlex RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\Publish Providers RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\Search The Web RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\SoftGrid Client RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\SplitmediaLabs RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\TP RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\TuneUp Software RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\WarThunder RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\Zeon RemoveDirectory: C:\Users\Nikodem\Desktop\FRST-OlderVersion CMD: del /q C:\aaw7boot.log CMD: del /q C:\ftconfig.ini CMD: del /q C:\spyhunter.log CMD: del /q C:\sh4_service.log CMD: del /q C:\shldr.mbr CMD: del /q "C:\Users\Nikodem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Ad-Aware.lnk" CMD: del /q "C:\Users\Nikodem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk" CMD: del /q "C:\Users\Nikodem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk" CMD: del /q "C:\Users\Nikodem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url" CMD: del /q "C:\Users\Nikodem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk" CMD: del /q "C:\Users\Nikodem\Desktop\Programy\Nowy folder\ASUS Vibe Fun Center.lnk" CMD: del /q "C:\Users\Nikodem\Desktop\Programy\Nowy folder\AsusTools\Network\ASUS WebStorage.lnk" CMD: del /q "C:\Users\Nikodem\Links\GG dysk.lnk" CMD: del /q "C:\Users\Nikodem\Favorites\GG dysk.lnk" CMD: del /q C:\Users\Nikodem\Desktop\WarThunder.lnk CMD: del /q C:\Users\Nikodem\Downloads\avg*.* CMD: del /q C:\Users\Nikodem\Downloads\MicrosoftFixit*.exe CMD: del /q C:\Users\Nikodem\Downloads\o3uwwb1b.exe CMD: del /q C:\Users\Public\Desktop\Ad-Aware.lnk CMD: del /q C:\Windows\TmNSCIns.dll CMD: del /q C:\Windows\system32\TmInstall.log CMD: del /q C:\Windows\SysWOW64\TmInstall.log Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Picexa /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. Powstanie kolejny plik fixlog.txt. 4. Skopiuj najważniejsze zaszyfrowane pliki na jakiś nośnik zewnętrzny, wliczając w to poniższe pliki identyfikacyjne. Po tej akcji przejdę do usunięcia wszystkich zaszyfrowanych kopii z dysku C. 2015-11-13 02:44 - 2015-11-13 02:44 - 00000254 _____ C:\Users\Nikodem\Documents\recover_file_fesswqkqq.txt 2015-11-13 11:55 - 2015-11-13 11:55 - 00000254 _____ C:\Users\Nikodem\Documents\recover_file_gvidjgltd.txt 2015-11-13 03:53 - 2015-11-13 03:53 - 00000254 _____ C:\Users\Nikodem\Documents\recover_file_idhxnbosq.txt 2015-11-13 04:41 - 2015-11-13 04:41 - 00000254 _____ C:\Users\Nikodem\Documents\recover_file_nrvhgtyts.txt 2015-11-13 15:07 - 2015-11-13 15:07 - 00000254 _____ C:\Users\Nikodem\Documents\recover_file_wqcrattmp.txt 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Jeśli nikt jeszcze nie odpisał, a chcesz uzupełnić / poprawić post, stosuj funkcję Edytuj. Posty powyżej skleiłam. 1. Akcje pomyślnie wykonane. Infekcja nie jest już czynna. Drobne poprawki, bo ujawniły się dwa elementy tej infekcji: przejęta tapeta (to skoryguj ręcznie w opcjach Windows wybierając puste tło lub dowolny niezaszyfrowany plik) oraz jeden wpis rejestru CustomCLSID (już wybrakowany, zajmie się nim poniższy skrypt). Otwórz Notatnik i wklej w nim: CustomCLSID: HKU\S-1-5-21-4176386080-2144407497-1899277294-1001_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\imagehlp.dll => Brak pliku Task: {0D33C210-6541-4279-90A7-E8304DE03D55} - System32\Tasks\ghokswaCheckTask => C:\Program Files (x86)\ghokswa Browser\ghokswa\bin\browserServer.exe Task: {54029C32-FA59-426E-A835-A691C280329A} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe Task: {949FDCBB-16EB-4EF2-92B0-4DE809AB32BC} - System32\Tasks\WinThruster => C:\Program Files (x86)\WinThruster\WinThruster.exe Task: {B1E88474-738F-4053-BA05-54D22F7BF69E} - System32\Tasks\WinThruster_UPDATES => C:\Program Files (x86)\WinThruster\WinThruster.exe Task: {FDB5E9FB-49CA-4B7D-974B-3186EC07C342} - System32\Tasks\WinThruster_DEFAULT => C:\Program Files (x86)\WinThruster\WinThruster.exe DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\uTorrentControl2 Toolbar Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Jeśli chodzi o użycie programu do odzyskiwania danych, to możesz owszem spróbować, ale ciemność widzę. Proponowany program do operacji: TestDisk. Perspektywy są słabe, gdyż system (z czynną infekcją) aktywnie działał wykonując cały czas zapisy, Ty aktywnie działałeś instalując kolejne programy, notabene znów się pojawiła kolejna instalacja McAfee Security Scan. Podstawowa zasada przy odzysku danych to natychmiast wyłączyć komputer, by zapobiec kolejnym zapisom na dysku, i zrobić surowy obraz dysku. Na to jest już cokolwiek za późno, zbyt dużo się działo. I tu jest istotna sprawa: programów do odzyskiwania danych nie wolno instalować na dysku / dyskach z których ma nastąpić odzyskiwanie danych. Obecnie to oznacza, że należy użyć jakiś nośnik USB z wersją portable danego programu lub podpiąć dyski tego systemu pod całkiem inny komputer na którym to będzie zainstalowany program do odzysku danych. PS. Gdy będziesz na wszelki wypadek kopiował ważne zaszyfrowane pliki na nośnik zewnętrzny, to skopiuj też pliki identyfikacyjne z folderu Dokumenty: C:\Users\Julka\Documents\recover_file_kpnxjvfvh.txt C:\Users\Julka\Documents\recover_file_mpenxqpha.txt C:\Users\Julka\Documents\recover_file_yoyadmbpn.txt C:\Users\Julka\Documents\recover_file_wtmciimpx.txt

Skrypty w większości wykonane, z jednym zgrzytem: niby plik C:\WINDOWS\system32\config\TuneUp.evt "pomyślnie usunięty", ale on się odtworzył na dysku. Nie wiem jak mam to rozumieć, skoro brak produktów AVG w systemie. Poza tym, kończymy: 1. Przypadkiem ominęłam jeden plik, dokasuj ręcznie: C:\Documents and Settings\All Users\Dane aplikacji\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat 2. Do wdrożenia kroki końcowe: KLIK.

Wprawdzie Fix FRST niby zresetował Winsock, ale w nowym logu FRST nadal ta sama modyfikacja... Na razie to zostawiam. Chodzi tylko o modyfikację pary Podstawowy (Primary) + Zapasowy (Secondary), inne pola Cię nie interesują. Jest tu najwyraźniej coś nie w porządku z edycją konfiguracji. Może będzie wymagana aktualizacja firmware. Co to za model routera?

Podałam powyżej linki opisujące szczegółowe tworzenie logów, a nadal brak trzeciego obowiązkowego pliku FRST Shortcut (na pewno są w Twoim systemie zmodyfikowane skróty), nie został podany także GMER. Istotnie, mamy tu nalot śmieci adware. Operacje wstępne do wykonania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {03A4A24C-F87D-4DBD-84AF-983CE636790D} - System32\Tasks\045046ba-99ea-4388-99ae-95274737524e-13 => C:\Program Files (x86)\Plus.HD_3.5V26.10\045046ba-99ea-4388-99ae-95274737524e-13.exe Task: {18090F00-896B-430A-A146-52CC03646C27} - System32\Tasks\045046ba-99ea-4388-99ae-95274737524e-10_user => C:\Program Files (x86)\Plus.HD_3.5V26.10\045046ba-99ea-4388-99ae-95274737524e-10.exe Task: {19DEA0A1-0FF6-403B-A66D-CD63500FC9CD} - System32\Tasks\045046ba-99ea-4388-99ae-95274737524e-1-7 => C:\Program Files (x86)\Plus.HD_3.5V26.10\045046ba-99ea-4388-99ae-95274737524e-1-7.exe Task: {1A730687-8FDA-4F28-A3AC-55D46ADE15D5} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {25A136B5-D0A7-4050-B0EE-3D3619C96111} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {28444E31-B373-4AB9-B7B8-3B1FD7BD8AF2} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {387875A3-C5AA-4C50-815F-20CE57F178FC} - System32\Tasks\m5IHpLo4uqDaN8f8K2Zf => C:\Users\neonet\AppData\Roaming\m5IHpLo4uqDaN8f8K2Zf.exe Task: {4212DC6F-4BE9-4DD6-BE0F-11B8CDD8FF6F} - System32\Tasks\eb89db5c-4242-4c43-9ec6-bb4d110c51b8-5_user => C:\Program Files (x86)\Object Browser\eb89db5c-4242-4c43-9ec6-bb4d110c51b8-5.exe Task: {49973EFE-93BA-405C-AA55-C9DFFC25415B} - System32\Tasks\eb89db5c-4242-4c43-9ec6-bb4d110c51b8-11 => C:\Program Files (x86)\Object Browser\eb89db5c-4242-4c43-9ec6-bb4d110c51b8-11.exe Task: {4F69EB0D-FC88-45AF-B258-5849C8663194} - System32\Tasks\045046ba-99ea-4388-99ae-95274737524e-5_user => C:\Program Files (x86)\Plus.HD_3.5V26.10\045046ba-99ea-4388-99ae-95274737524e-5.exe Task: {525409B0-442D-4533-95CB-55945E78209F} - System32\Tasks\f7c8f634-188b-4043-85a5-9c88a3375339-1-6 => C:\Program Files (x86)\MyBrowser 1.0.2V04.11\f7c8f634-188b-4043-85a5-9c88a3375339-1-6.exe [2015-11-04] (MyBrowser 1.0.2V04.11) Task: {58ECC50E-D9BA-48EB-AFCB-9736FD30723B} - System32\Tasks\eb89db5c-4242-4c43-9ec6-bb4d110c51b8-4 => C:\Program Files (x86)\Object Browser\eb89db5c-4242-4c43-9ec6-bb4d110c51b8-4.exe Task: {605AAA22-68EA-4054-936F-7E8F82FE8B49} - System32\Tasks\094f5983-8906-4189-a0fe-4807871da8dd-14 => C:\Program Files (x86)\iWebar\094f5983-8906-4189-a0fe-4807871da8dd-14.exe Task: {65DBAA3A-CC8C-4278-919C-F5E5E2083CE8} - System32\Tasks\045046ba-99ea-4388-99ae-95274737524e-4 => C:\Program Files (x86)\Plus.HD_3.5V26.10\045046ba-99ea-4388-99ae-95274737524e-4.exe Task: {66031C1A-0DB6-416C-A3C5-4DD11CA899A0} - System32\Tasks\eb89db5c-4242-4c43-9ec6-bb4d110c51b8-1-7 => C:\Program Files (x86)\Object Browser\eb89db5c-4242-4c43-9ec6-bb4d110c51b8-1-7.exe Task: {67A773EB-2B10-4BAA-83E0-A1D5E8B611CD} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {69249BCE-E9A2-4AAF-8828-1A982326122E} - System32\Tasks\f7c8f634-188b-4043-85a5-9c88a3375339-5_user => C:\Program Files (x86)\MyBrowser 1.0.2V04.11\f7c8f634-188b-4043-85a5-9c88a3375339-5.exe [2015-11-04] (MyBrowser 1.0.2V04.11) Task: {6C664244-7C2D-4FA1-9D44-57150B4C6CC1} - System32\Tasks\f7c8f634-188b-4043-85a5-9c88a3375339-5 => C:\Program Files (x86)\MyBrowser 1.0.2V04.11\f7c8f634-188b-4043-85a5-9c88a3375339-5.exe [2015-11-04] (MyBrowser 1.0.2V04.11) Task: {79376204-39CB-4A58-BE05-1B04AE66281D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {7B746560-A748-4392-ACD0-B6A7CCEE898B} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {7BBF58DE-1513-4C34-8012-2041B8ADE3AA} - System32\Tasks\SwiftSearch Auto Updater 1.10.0.25 Core => C:\Program Files (x86)\SwiftSearch_1.10.0.25\Update\SwiftSearchAutoUpdateClient.exe Task: {7D206AFD-CADB-42FB-A493-7136EAF5CBD1} - System32\Tasks\045046ba-99ea-4388-99ae-95274737524e-1-6 => C:\Program Files (x86)\Plus.HD_3.5V26.10\045046ba-99ea-4388-99ae-95274737524e-1-6.exe [2015-11-01] (HD CinemaV26.10) Task: {7E124303-5020-41E1-B14A-7FA847F3AC5B} - System32\Tasks\045046ba-99ea-4388-99ae-95274737524e-5 => C:\Program Files (x86)\Plus.HD_3.5V26.10\045046ba-99ea-4388-99ae-95274737524e-5.exe Task: {89A38C44-9570-4C18-AEE4-8B0DCBCF1522} - System32\Tasks\SPBIW_UpdateTask_Time_3637343837373033302d4a4a5b415a34782a456c375a => Wscript.exe //B "C:\ProgramData\ShopperPro\spbihe.js" spbiu.exe /invoke /f:check_services /l:0 Task: {8C2E8158-33E7-40A5-A18B-0BA4DED8BAC2} - System32\Tasks\Driver Booster SkipUAC (neonet) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {91806277-8D88-44E4-ACD9-A48C44C215E5} - System32\Tasks\045046ba-99ea-4388-99ae-95274737524e-14 => C:\Program Files (x86)\Plus.HD_3.5V26.10\045046ba-99ea-4388-99ae-95274737524e-14.exe [2015-11-01] (HD CinemaV26.10) Task: {939192D5-DE10-45A9-97E9-065C6B5A41AD} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {93EA6110-A998-4D01-B427-E3AA274E9F12} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {99A7A3A8-17B5-4E36-A6D5-A51C5386507F} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {9B32F0A8-73C1-4BBF-893B-501B2FF7ABE9} - System32\Tasks\eb89db5c-4242-4c43-9ec6-bb4d110c51b8-5 => C:\Program Files (x86)\Object Browser\eb89db5c-4242-4c43-9ec6-bb4d110c51b8-5.exe Task: {A5B05EEB-A079-4FB6-AD33-E155E15A1475} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {AEA10757-FD64-4595-BE6B-4883E8DDBE3A} - System32\Tasks\{1DF75DBD-5781-4610-9A12-5D8532BE2AFA} => pcalua.exe -a C:\Users\neonet\AppData\Roaming\oursurfing\UninstallManager.exe -c -ptid=tt4u Task: {C6D18FCB-D384-410A-8DA8-CC42746A4CF3} - System32\Tasks\{683F0016-65F2-44BE-8E00-EC69146D06F4} => pcalua.exe -a C:\Users\neonet\Downloads\gw_setup_2.51.002_usa_downloader.exe -d C:\WINDOWS\system32 Task: {C838295B-C42F-41D7-8778-260E646BFC4F} - System32\Tasks\f7c8f634-188b-4043-85a5-9c88a3375339-4 => C:\Program Files (x86)\MyBrowser 1.0.2V04.11\f7c8f634-188b-4043-85a5-9c88a3375339-4.exe [2015-11-04] (MyBrowser 1.0.2V04.11) Task: {CDEC2BF1-025D-40DC-9164-63936B0B18A1} - System32\Tasks\eb89db5c-4242-4c43-9ec6-bb4d110c51b8-13 => C:\Program Files (x86)\Object Browser\eb89db5c-4242-4c43-9ec6-bb4d110c51b8-13.exe Task: {D112501E-8E4A-4C2B-B6DE-02B5DFD307C5} - System32\Tasks\f7c8f634-188b-4043-85a5-9c88a3375339-1-7 => C:\Program Files (x86)\MyBrowser 1.0.2V04.11\f7c8f634-188b-4043-85a5-9c88a3375339-1-7.exe [2015-11-04] (MyBrowser 1.0.2V04.11) Task: {D3763718-9C6D-474D-A025-85A10B0F78D3} - System32\Tasks\EYACi2NV25e9IWYh => C:\Users\neonet\AppData\Roaming\EYACi2NV25e9IWYh.exe Task: {D544FD56-57A1-4038-AC57-8F4A0D25AD22} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {D5C9F833-EC48-4BFA-997F-841DFC00ED08} - System32\Tasks\SwiftSearch Auto Updater 1.10.0.25 Pending Update => C:\Program Files (x86)\SwiftSearch_1.10.0.25\Update\SwiftSearchAutoUpdateClient.exe Task: {D690F133-5971-4AB9-8996-BDAB89FE9E52} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {E3078225-F5D6-40CE-B9A6-CFE7008BD9FB} - System32\Tasks\Inst_Rep => C:\Users\neonet\AppData\Local\Installer\Install_29579\ytdieamodc_amodc_inst.exe Task: {EAF7F46F-DADC-4781-948D-308003A6094E} - System32\Tasks\eb89db5c-4242-4c43-9ec6-bb4d110c51b8-14 => C:\Program Files (x86)\Object Browser\eb89db5c-4242-4c43-9ec6-bb4d110c51b8-14.exe Task: {F7A19F5F-C495-453F-B9B8-13FCEFA4A09B} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {FB63CF76-B65B-4C56-BE5C-0A667D9399EA} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: C:\WINDOWS\Tasks\045046ba-99ea-4388-99ae-95274737524e-1-6.job => C:\Program Files (x86)\Plus.HD_3.5V26.10\045046ba-99ea-4388-99ae-95274737524e-1-6.exe Task: C:\WINDOWS\Tasks\045046ba-99ea-4388-99ae-95274737524e-1-7.job => C:\Program Files (x86)\Plus.HD_3.5V26.10\045046ba-99ea-4388-99ae-95274737524e-1-7.exe Task: C:\WINDOWS\Tasks\045046ba-99ea-4388-99ae-95274737524e-10_user.job => C:\Program Files (x86)\Plus.HD_3.5V26.10\045046ba-99ea-4388-99ae-95274737524e-10.exe Task: C:\WINDOWS\Tasks\045046ba-99ea-4388-99ae-95274737524e-13.job => C:\Program Files (x86)\Plus.HD_3.5V26.10\045046ba-99ea-4388-99ae-95274737524e-13.exe Task: C:\WINDOWS\Tasks\045046ba-99ea-4388-99ae-95274737524e-14.job => C:\Program Files (x86)\Plus.HD_3.5V26.10\045046ba-99ea-4388-99ae-95274737524e-14.exe Task: C:\WINDOWS\Tasks\045046ba-99ea-4388-99ae-95274737524e-4.job => C:\Program Files (x86)\Plus.HD_3.5V26.10\045046ba-99ea-4388-99ae-95274737524e-4.exe Task: C:\WINDOWS\Tasks\045046ba-99ea-4388-99ae-95274737524e-5.job => C:\Program Files (x86)\Plus.HD_3.5V26.10\045046ba-99ea-4388-99ae-95274737524e-5.exe Task: C:\WINDOWS\Tasks\045046ba-99ea-4388-99ae-95274737524e-5_user.job => C:\Program Files (x86)\Plus.HD_3.5V26.10\045046ba-99ea-4388-99ae-95274737524e-5.exe Task: C:\WINDOWS\Tasks\094f5983-8906-4189-a0fe-4807871da8dd-1-6.job => C:\Program Files (x86)\iWebar\094f5983-8906-4189-a0fe-4807871da8dd-1-6.exe Task: C:\WINDOWS\Tasks\094f5983-8906-4189-a0fe-4807871da8dd-14.job => C:\Program Files (x86)\iWebar\094f5983-8906-4189-a0fe-4807871da8dd-14.exe Task: C:\WINDOWS\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\WINDOWS\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\WINDOWS\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\WINDOWS\Tasks\eb89db5c-4242-4c43-9ec6-bb4d110c51b8-1-6.job => C:\Program Files (x86)\Object Browser\eb89db5c-4242-4c43-9ec6-bb4d110c51b8-1-6.exe Task: C:\WINDOWS\Tasks\eb89db5c-4242-4c43-9ec6-bb4d110c51b8-1-7.job => C:\Program Files (x86)\Object Browser\eb89db5c-4242-4c43-9ec6-bb4d110c51b8-1-7.exe Task: C:\WINDOWS\Tasks\eb89db5c-4242-4c43-9ec6-bb4d110c51b8-11.job => C:\Program Files (x86)\Object Browser\eb89db5c-4242-4c43-9ec6-bb4d110c51b8-11.exe Task: C:\WINDOWS\Tasks\eb89db5c-4242-4c43-9ec6-bb4d110c51b8-13.job => C:\Program Files (x86)\Object Browser\eb89db5c-4242-4c43-9ec6-bb4d110c51b8-13.exe Task: C:\WINDOWS\Tasks\eb89db5c-4242-4c43-9ec6-bb4d110c51b8-14.job => C:\Program Files (x86)\Object Browser\eb89db5c-4242-4c43-9ec6-bb4d110c51b8-14.exe Task: C:\WINDOWS\Tasks\eb89db5c-4242-4c43-9ec6-bb4d110c51b8-4.job => C:\Program Files (x86)\Object Browser\eb89db5c-4242-4c43-9ec6-bb4d110c51b8-4.exe Task: C:\WINDOWS\Tasks\eb89db5c-4242-4c43-9ec6-bb4d110c51b8-5.job => C:\Program Files (x86)\Object Browser\eb89db5c-4242-4c43-9ec6-bb4d110c51b8-5.exe Task: C:\WINDOWS\Tasks\eb89db5c-4242-4c43-9ec6-bb4d110c51b8-5_user.job => C:\Program Files (x86)\Object Browser\eb89db5c-4242-4c43-9ec6-bb4d110c51b8-5.exe Task: C:\WINDOWS\Tasks\EYACi2NV25e9IWYh.job => C:\Users\neonet\AppData\Roaming\EYACi2NV25e9IWYh.exe Task: C:\WINDOWS\Tasks\f7c8f634-188b-4043-85a5-9c88a3375339-1-6.job => C:\Program Files (x86)\MyBrowser 1.0.2V04.11\f7c8f634-188b-4043-85a5-9c88a3375339-1-6.exe Task: C:\WINDOWS\Tasks\f7c8f634-188b-4043-85a5-9c88a3375339-1-7.job => C:\Program Files (x86)\MyBrowser 1.0.2V04.11\f7c8f634-188b-4043-85a5-9c88a3375339-1-7.exe Task: C:\WINDOWS\Tasks\f7c8f634-188b-4043-85a5-9c88a3375339-10_user.job => C:\Program Files (x86)\MyBrowser 1.0.2V04.11\f7c8f634-188b-4043-85a5-9c88a3375339-10.exe Task: C:\WINDOWS\Tasks\f7c8f634-188b-4043-85a5-9c88a3375339-4.job => C:\Program Files (x86)\MyBrowser 1.0.2V04.11\f7c8f634-188b-4043-85a5-9c88a3375339-4.exe Task: C:\WINDOWS\Tasks\f7c8f634-188b-4043-85a5-9c88a3375339-5.job => C:\Program Files (x86)\MyBrowser 1.0.2V04.11\f7c8f634-188b-4043-85a5-9c88a3375339-5.exe Task: C:\WINDOWS\Tasks\f7c8f634-188b-4043-85a5-9c88a3375339-5_user.job => C:\Program Files (x86)\MyBrowser 1.0.2V04.11\f7c8f634-188b-4043-85a5-9c88a3375339-5.exe Task: C:\WINDOWS\Tasks\lKBXgShYBalL.job => C:\Users\neonet\AppData\Roaming\lKBXgShYBalL.exe Task: C:\WINDOWS\Tasks\m5IHpLo4uqDaN8f8K2Zf.job => C:\Users\neonet\AppData\Roaming\m5IHpLo4uqDaN8f8K2Zf.exe R2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2934048 2015-10-09] (IObit) R2 NetTcpHandler; C:\Users\neonet\AppData\Roaming\NetService\netservice.exe [173088 2015-07-09] () S2 nycofopu; C:\Program Files (x86)\89F05967-1446378691-E311-9304-F8A963A25728\knsd9C24.tmp [295424 2015-11-01] () [brak podpisu cyfrowego] R2 qymylofy; C:\Program Files (x86)\89F05967-1446378691-E311-9304-F8A963A25728\hnsm91A5.tmp [624640 2015-11-01] () [brak podpisu cyfrowego] R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170656 2015-11-20] (TODO: ) R1 swsedrvr_vw_1_10_0_25; C:\Windows\System32\drivers\swsedrvr_vw_1_10_0_25.sys [57720 2015-09-22] (SS) R2 WdsManPro; C:\ProgramData\9WMiniPro9\WMiniPro.exe [301704 2015-11-04] (DTools LIMITED) S2 dugihemu; Brak ImagePath S2 globalUpdate; Brak ImagePath S2 jeqypocy; Brak ImagePath S2 jofoqyze; Brak ImagePath S2 pokorugi; Brak ImagePath S2 pumoxobo; Brak ImagePath S2 SPBIUpd; Brak ImagePath S3 SPBIUpdd; Brak ImagePath HKLM-x32\...\Run: [mbot_pl_014010132] => [X] HKLM-x32\...\Run: [gmsd_pl_005010135] => [X] HKLM-x32\...\Run: [gmsd_pl_005010136] => [X] HKLM-x32\...\Run: [gmsd_pl_005010137] => [X] HKLM-x32\...\Run: [gmsd_pl_005010141] => [X] HKLM-x32\...\Run: [gmsd_pl_005010142] => [X] HKLM-x32\...\Run: [gmsd_pl_005010145] => [X] HKLM\...\Policies\Explorer\Run: [btvStack] => C:\Program Files (x86)\Qualcomm Atheros\Bluetooth Suite\BtvStack.exe HKU\S-1-5-21-914788410-3469393587-4056872421-1002\...\Run: [OpenCL] => C:\Users\neonet\AppData\Roaming\OpenCL\nircmd.exe [44032 2013-08-11] (NirSoft) HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130908526712282746&GUID=A29FEB64-C1DD-45A0-B0F7-2B780D26CEDC HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130908526712300327&GUID=A29FEB64-C1DD-45A0-B0F7-2B780D26CEDC HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.oursurfing.com/web/?type=ds&ts=1446378212&z=e523403e3bbbca8a3b9faa0g7zfz2q0c6mfb1o5gfo&from=amt&uid=wdcxwd5000lpvx-22v0tt0_wd-wxq1e34jajy4jajy4&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.oursurfing.com/web/?type=ds&ts=1446378212&z=e523403e3bbbca8a3b9faa0g7zfz2q0c6mfb1o5gfo&from=amt&uid=wdcxwd5000lpvx-22v0tt0_wd-wxq1e34jajy4jajy4&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.oursurfing.com/?type=hp&ts=1446378212&z=e523403e3bbbca8a3b9faa0g7zfz2q0c6mfb1o5gfo&from=amt&uid=wdcxwd5000lpvx-22v0tt0_wd-wxq1e34jajy4jajy4 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.oursurfing.com/?type=hp&ts=1446378212&z=e523403e3bbbca8a3b9faa0g7zfz2q0c6mfb1o5gfo&from=amt&uid=wdcxwd5000lpvx-22v0tt0_wd-wxq1e34jajy4jajy4 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1446378212&z=e523403e3bbbca8a3b9faa0g7zfz2q0c6mfb1o5gfo&from=amt&uid=wdcxwd5000lpvx-22v0tt0_wd-wxq1e34jajy4jajy4&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1446378212&z=e523403e3bbbca8a3b9faa0g7zfz2q0c6mfb1o5gfo&from=amt&uid=wdcxwd5000lpvx-22v0tt0_wd-wxq1e34jajy4jajy4&q={searchTerms} HKU\S-1-5-21-914788410-3469393587-4056872421-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130907533137517380&GUID=A29FEB64-C1DD-45A0-B0F7-2B780D26CEDC HKU\S-1-5-21-914788410-3469393587-4056872421-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.oursurfing.com/?type=hp&ts=1446378212&z=e523403e3bbbca8a3b9faa0g7zfz2q0c6mfb1o5gfo&from=amt&uid=wdcxwd5000lpvx-22v0tt0_wd-wxq1e34jajy4jajy4 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM -> {AA9A4890-4262-4441-8977-E2FFCBFB706C} URL = hxxp://us.yhs4.search.yahoo.com/yhs/search?hspart=acer&hsimp=yhs-acer_001&p={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> {AA9A4890-4262-4441-8977-E2FFCBFB706C} URL = hxxp://us.yhs4.search.yahoo.com/yhs/search?hspart=acer&hsimp=yhs-acer_001&p={searchTerms} SearchScopes: HKU\S-1-5-21-914788410-3469393587-4056872421-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.oursurfing.com/web/?type=ds&ts=1446378212&z=e523403e3bbbca8a3b9faa0g7zfz2q0c6mfb1o5gfo&from=amt&uid=wdcxwd5000lpvx-22v0tt0_wd-wxq1e34jajy4jajy4&q={searchTerms} SearchScopes: HKU\S-1-5-21-914788410-3469393587-4056872421-1002 -> {B9CBBF1D-E402-489E-911F-55D9F27BCE97} URL = hxxps://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=435371&p={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.oursurfing.com/?type=sc&ts=1446378461&z=74258586c020f9dffcbde2bg0zaz7qcc5mfbczeqfg&from=tt4u&uid=WDCXWD5000LPVX-22V0TT0_WD-WXQ1E34JAJY4JAJY4 Edge HomeButtonPage: HKU\S-1-5-21-914788410-3469393587-4056872421-1002 -> hxxp://www.oursurfing.com/?type=hp&ts=1446378212&z=e523403e3bbbca8a3b9faa0g7zfz2q0c6mfb1o5gfo&from=amt&uid=wdcxwd5000lpvx-22v0tt0_wd-wxq1e34jajy4jajy4 StartMenuInternet: FIREFOX.EXE - C:\Program Files (x86)\Mozilla Firefox\firefox.exe hxxp://www.istartpageing.com/?type=sc&ts=1448033137&z=d0f4768d4f94f44f110c7ecg1z0z6bae1cfc2g1o4t&from=cmi&uid=WDCXWD5000LPVX-22V0TT0_WD-WXQ1E34JAJY4JAJY4 FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [brak pliku] FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [brak pliku] Reg: reg query HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions /s Reg: reg export HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions C:\Users\neonet\Desktop\ff.reg FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\neonet\AppData\Roaming\Mozilla\Firefox\Profiles\mhe3ch4g.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\neonet\AppData\Roaming\Mozilla\Firefox\Profiles\mhe3ch4g.default\extensions\defsearchp@gmail.com FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\neonet\AppData\Roaming\Mozilla\Firefox\Profiles\mhe3ch4g.default\extensions\yahooprotected@gmail.com C:\Program Files\Common Files\ShopperPro C:\Program Files (x86)\89F05967-1446378691-E311-9304-F8A963A25728 C:\Program Files (x86)\Crossbrowse C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\IObit C:\Program Files (x86)\jogotempo C:\Program Files (x86)\MyBrowser C:\Program Files (x86)\Opera C:\Program Files (x86)\SFK C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\{ACBCD40A-42A8-4FF9-BD42-ABCD14998CBA} C:\ProgramData\{D76294E6-03B8-4971-AF2E-3F846161A690} C:\ProgramData\{FD6F83C0-EC70-4581-8361-C70CD1AA4B98} C:\ProgramData\IObit C:\ProgramData\Nero C:\ProgramData\ProductData C:\ProgramData\ShopperPro C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Crossbrowse C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MyBrowser C:\Users\Default\AppData\Roaming\IObit C:\Users\neonet\AppData\Local\nsgCA8B.tmp C:\Users\neonet\AppData\Local\89F05967-1446382352-E311-9304-F8A963A25728 C:\Users\neonet\AppData\Local\89F05967-1446648667-E311-9304-F8A963A25728 C:\Users\neonet\AppData\Local\89F05967-1446648686-E311-9304-F8A963A25728 C:\Users\neonet\AppData\Local\Crossbrowse C:\Users\neonet\AppData\Local\globalUpdate C:\Users\neonet\AppData\Local\MyBrowser C:\Users\neonet\AppData\Local\Opera Software C:\Users\neonet\AppData\Local\SmartWeb C:\Users\neonet\AppData\LocalLow\IObit C:\Users\neonet\AppData\LocalLow\SmartWeb C:\Users\neonet\AppData\Roaming\apachesrvin.vbs C:\Users\neonet\AppData\Roaming\die.bat C:\Users\neonet\AppData\Roaming\gameboxsetup.exe C:\Users\neonet\AppData\Roaming\lKBXgShYBalL C:\Users\neonet\AppData\Roaming\AnyProtectEx C:\Users\neonet\AppData\Roaming\Apple Computer C:\Users\neonet\AppData\Roaming\cpuminer C:\Users\neonet\AppData\Roaming\IObit C:\Users\neonet\AppData\Roaming\istartpageing C:\Users\neonet\AppData\Roaming\istartsurf C:\Users\neonet\AppData\Roaming\mystartsearch C:\Users\neonet\AppData\Roaming\NetService C:\Users\neonet\AppData\Roaming\OpenCL C:\Users\neonet\AppData\Roaming\Opera Software C:\Users\neonet\AppData\Roaming\oursurfing C:\Users\neonet\AppData\Roaming\ProductData C:\Users\neonet\AppData\Roaming\RunDir C:\Users\neonet\AppData\Roaming\shortCutStore C:\Users\neonet\AppData\Roaming\systweak C:\Users\neonet\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\jogotempo C:\Users\neonet\Desktop\jogotempo.lnk C:\Users\Public\Documents\ShopperPro C:\Windows\system32\config\*.iobit C:\Windows\System32\Drivers\swsedrvr_vw_1_10_0_25.sys C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\Tasks\ImCleanDisabled C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 Folder: C:\Users\neonet\AppData\Local\NetworkTiles CMD: for /d %f in (C:\ProgramData\*WMiniPro*) do rd /s /q "%f" Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v ChomikBox /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v GG /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Napisy24Update /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Skype /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC} /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\NAUpdate /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Deinstalacje: Klawisz z flaą Windows + X > Programy i funkcje > odinstaluj stare wersje i adware: Adobe Reader XI (11.0.12) MUI, eBay Worldwide, IGG Web3D Player, iWebar, Java 8 Update 51, MyBrowser 1.0.2V04.11, Object Browser, Plus.HD_3.5V26.10, Remote Desktop Access (VuuPC). Jeśli coś będzie niewidoczne, lub zwróci błąd deinstalacji, kontynuuj dalej. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis globalupdate Helper > Dalej. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut. Dołącz też plik fixlog.txt. Na Pulpicie powstał także plik ff.reg - shostuj go gdzieś i podaj do niego link.

Wszystko wygląda w porządku. Kończymy: 1. Ostatni Fix do FRST adresujący m.in. szczątki po Skanerach, zapuszczony przy wyłączonym Comodo: DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking BootExecute: autocheck autochk * sdnclean64.exe SearchScopes: HKU\S-1-5-21-319641768-3134415942-743037567-1006 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\ProgramData\Malwarebytes RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy 2. Usuń FRST i jego logi z folderu C:\Users\Adiorz\Desktop\fix. Następnie skorzystaj jeszcze z DelFix, a na koniec wyczyść foldery Przywracania systemu: KLIK.

Tak, to jest fałszywy alarm. Nawiasem mówiąc to lokalizacje tymczasowe już tu były czyszczone, a po tym zdarzeniu nie występowały żadne nowe (de)instalacje. Komenda EmptyTemp: zadania w skrypcie FRST wykonuje więcej niż TFC Temp Cleaner (od dawna nieaktualizowany).

Po prostu usuń ręcznie poniższe foldery + co tam jeszcze widzisz na dysku. C:\Program Files\Malwarebytes Anti-Malware C:\ProgramData\Malwarebytes Narzędzia wykonały zadanie. Skasuj plik C:\delfix.txt.

Widzę adware w Firefox oraz szkodliwe zadanie w Harmonogramie zadań. Poza tym, do uprzątnięcia śmieci po aktualizacji Windows 7 > Windows 10 i szczątki Google Chrome oraz Opery. Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {035D6AB1-DC8C-4D67-9CF9-5DCE7E0387FA} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {0A394801-19D3-4715-A323-3B0990DE6106} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {0D70F1F7-8F7A-4F75-91D5-E59D2DA3BF34} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {0EC8D4FC-8D80-43B0-B4B8-73DEF9BC9AA0} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {0FACC785-4059-4998-B0F7-1AAFAA5E4C65} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {15521E50-A16B-4382-894B-11975BCDD744} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {1F2EDF92-EA41-456E-8C27-DD95D2F40854} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {2375E01A-8C55-4B80-8C63-33A29BC86D55} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {251DF3B5-CEAD-44A3-82E9-D56C783BA1B8} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {27F51064-1243-4730-B0EF-710912A4341C} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {2821E0D1-4168-442C-9C57-1ACA7600BB35} - System32\Tasks\XPZAD => Rundll32.exe "C:\Windows\SysWOW64\ko-KRV.dll",Ticorreaby Task: {28F2296C-89F4-46BF-B517-C74E97C7F175} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {2AF6B35B-F81F-4AB6-9FD8-F9CCBD87D941} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {2C15334C-B4A2-4022-9995-B896AE6B94F4} - \Microsoft\Windows\File Classification Infrastructure\Property Definition Sync -> Brak pliku Task: {3071BFD8-8B68-4DBB-B19D-41DA378D9838} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {34A442D9-D62B-4028-9CAC-23ECECB43A1E} - System32\Tasks\{FA99A525-CAE4-4E1E-8855-77F9917B493B} => C:\Program Files (x86)\Verbindungsassistent\Verbindungsassistent.exe Task: {3A0BC6C5-D737-4DF5-ACCF-9570FD0E6124} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {440446B4-2DEE-4B2E-9972-3E9929ECD746} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {4EBD2D4A-8B8A-469E-A3D3-DAF499153915} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {61E815B3-9DEC-4B5F-9C55-C276E63F1CEE} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {675F4A30-A7D0-43C5-BA29-3FF7400C09FC} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {677978DD-C171-480A-A88F-F60282A6A391} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {6AA45898-3DCD-46C7-B452-B46FBA8C6FD9} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {746938E4-B57D-4BBB-B43C-5C57180363CE} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {7E6456BC-324D-424E-BE76-988C36AFA615} - System32\Tasks\{183C17B4-52D1-4661-BBBA-78D712C085BA} => C:\Program Files (x86)\Gadu-Gadu 10\gg.exe Task: {809B4B14-8500-4F18-8676-9C1BD0350FBF} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {8160329D-73D5-4BE1-AD0E-EE06A941A636} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {8372FDB9-878D-43E3-97B9-7337C54F9AE3} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {86C432CA-D8BC-4046-A6B8-0790D5431187} - System32\Tasks\{530FC416-7A33-47D1-AB13-5A5350B6F349} => Firefox.exe hxxp://ui.skype.com/ui/0/7.2.60.103/pl/abandoninstall?page=tsBing Task: {8A803887-8D3C-4DBA-9F48-5A82CA4AD052} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {8D85B6BE-18E1-4983-845C-96F7EEDD0E55} - System32\Tasks\{58289253-C6F0-41AD-B755-CB8422BB81D3} => pcalua.exe -a "C:\Program Files (x86)\EPSON\TPMANUAL\ESCX3600\REF_G\DOCUNINS.EXE" Task: {94FA0432-5102-4B8B-8E62-B04E5610FC21} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {9FE501E1-1E87-466F-95AB-0D29A6B61C38} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {A30678A2-C1F2-46D0-BD44-2639ECCB8427} - System32\Tasks\SONY\VAIO Wallpaper Setting Tool\VAIO Wallpaper Setting Tool => C:\Program Files (x86)\Sony\VAIO Wallpaper Setting Tool\VWSet.exe Task: {B1AF5E3B-428A-4450-B014-471365233ED9} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {C8E36C1A-EF64-41AA-8F88-2E4395940920} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {C98C691B-EC45-47A5-971D-97458FE1799F} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {E16E0014-C6AB-4941-94A0-619B1B305B0F} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {E59EFAC4-D3F5-4933-B403-E363CE6C751E} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {E82E2BCF-C984-468F-BFE3-5E48988B0CD6} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {E96A0A2C-7DD0-4C10-BFA4-02D15CD43F6B} - System32\Tasks\{B3C781EB-E7CC-4FE9-A17F-921327B2C48F} => C:\Program Files (x86)\Verbindungsassistent\Verbindungsassistent.exe Task: {F0FA8663-5AD4-4D9C-8E61-BC82A2C626EB} - System32\Tasks\{9CF5C5BD-B3B0-406B-9E85-8789A5D439E7} => pcalua.exe -a C:\Users\Krysia\Downloads\ArcabitSetup.exe -d C:\Users\Krysia\Downloads Task: {F2957529-342A-40F8-807C-2DF4FA21DCF9} - System32\Tasks\{44BF006F-1B1F-4450-B9DD-4951DCF78AAC} => Chrome.exe hxxp://ui.skype.com/ui/0/5.3.0.111/pl/abandoninstall?page=tsMain&installinfo=google-toolbar:notoffered;ienotdefaultbrowser2,google-chrome:notoffered;ienotdefaultbrowser2 Task: {FEF24019-2CE4-4DF9-A82A-7F3904F55E21} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: C:\WINDOWS\Tasks\XPZAD.job => C:\Windows\system32\rundll32.exe C:\Windows\SysWOW64\ko-KRV.dll DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center U3 aspnet_state; Brak ImagePath U3 wpcsvc; Brak ImagePath FF Plugin-x32: @java.com/JavaPlugin -> C:\Program Files (x86)\Java\jre1.8.0_31\bin\new_plugin\npjp2.dll [brak pliku] FF Plugin-x32: @mcafee.com/McAfeeMssPlugin -> C:\Program Files\Sony\MSS\3.8.141\npMcAfeeMss.dll [2014-01-16] (McAfee, Inc.) FF Plugin-x32: @videolan.org/vlc,version=2.1.2 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [brak pliku] FF Plugin-x32: @videolan.org/vlc,version=2.1.3 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [brak pliku] GroupPolicyScripts: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3786683809-2932000025-4008158028-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-3786683809-2932000025-4008158028-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch C:\Program Files\Sony\MSS C:\Program Files (x86)\GUTC7B8.tmp C:\Program Files (x86)\Google\Chrome C:\ProgramData\f43a0a22-b5b9-43e4-9c6f-705bf4e40c7b C:\Users\Krysia\AppData\Local\{A1289CC3-DCFF-49B8-A170-0C4991D659E9} C:\Users\Krysia\AppData\Local\Google\Chrome C:\Users\Krysia\AppData\Local\Opera Software C:\Users\Krysia\AppData\Roaming\Opera Software C:\Windows\ehome C:\Windows\System32\Tasks\Microsoft\Windows\Media Center C:\Windows\SysWOW64\ko-KRV.dll Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKCU\Software\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKCU\Software\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: del /q C:\AdwCleaner*.txt CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problem nadal występuje.

Ograniczam się tylko do podstawowych ingerencji, stąd opuszczam masowe usuwanie plików "how_recover". Akcje wstępne do wykonania: 1. Odinstaluj SpyHunter 4, uTorrentControl2 Toolbar, WinThruster, YAC(Yet Another Cleaner!). YAC jest bardzo inwazyjny i może utrudnić operacje. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: HKU\S-1-5-21-4176386080-2144407497-1899277294-1001\...\Run: [fgdh4563] => C:\Users\Julka\AppData\Roaming\xffue-a.exe [331776 2015-11-18] () HKLM-x32\...\Run: [fgdh4563] => C:\Users\Julka\AppData\Roaming\xffue-a.exe [331776 2015-11-18] () HKLM-x32\...\Run: [] => [X] HKLM\...\Run: [PopularScreensavers Home Page Guard 64 bit] => "C:\PROGRA~2\POPULA~2\bar\1.bin\AppIntegrator64.exe" Startup: C:\Users\Julka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_how_recover_moe.HTML [2015-11-19] () Startup: C:\Users\Julka\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\_how_recover_moe.TXT [2015-11-19] () Task: {94C61E71-06F2-469E-88BD-298D56CAC2C7} - System32\Tasks\ghokswaBrowserUpdateUA => C:\Program Files (x86)\ghokswa Browser\ghokswa\bin\browserServer.exe [2015-10-20] () Task: {A4D461FF-94E3-42DB-A797-4DC786B93C17} - System32\Tasks\ghokswaBrowserUpdateCore => C:\Program Files (x86)\ghokswa Browser\ghokswa\bin\browserServer.exe [2015-10-20] () S2 browserServer_2015.08.27.11.31.05; C:\Program Files (x86)\ghokswa Browser\ghokswa\bin\browserServer.exe [362208 2015-10-20] () R0 pavboot; C:\Windows\System32\drivers\pavboot64.sys [33800 2009-06-30] (Panda Security, S.L.) S3 cpuz134; \??\C:\Users\Julka\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X] S3 iSafeKrnlBoot; system32\DRIVERS\iSafeKrnlBoot.sys [X] S1 {90280f97-bcf9-4f01-b773-3eeda0515e95}Gw64; system32\drivers\{90280f97-bcf9-4f01-b773-3eeda0515e95}Gw64.sys [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.v9.com?type=hp&ts=1441000773&from=mych123&uid=hitachixhts725050a9a364_110228pck404glh04xwjx&z=789c91bd0847027c3eb99a8g1zez9g1e1efeetacdo HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.v9.com?type=hp&ts=1441000773&from=mych123&uid=hitachixhts725050a9a364_110228pck404glh04xwjx&z=789c91bd0847027c3eb99a8g1zez9g1e1efeetacdo HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.v9.com?type=hp&ts=1441000773&from=mych123&uid=hitachixhts725050a9a364_110228pck404glh04xwjx&z=789c91bd0847027c3eb99a8g1zez9g1e1efeetacdo HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.v9.com?type=hp&ts=1441000773&from=mych123&uid=hitachixhts725050a9a364_110228pck404glh04xwjx&z=789c91bd0847027c3eb99a8g1zez9g1e1efeetacdo HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-4176386080-2144407497-1899277294-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.v9.com/?type=hp&ts=1441000773&from=mych123&uid=hitachixhts725050a9a364_110228pck404glh04xwjx&z=789c91bd0847027c3eb99a8g1zez9g1e1efeetacdo HKU\S-1-5-21-4176386080-2144407497-1899277294-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.v9.com?type=hp&ts=1441000773&from=mych123&uid=hitachixhts725050a9a364_110228pck404glh04xwjx&z=789c91bd0847027c3eb99a8g1zez9g1e1efeetacdo SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = hxxp://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1441000773&from=zzgbkk123&uid=hitachixhts725050a9a364_110228pck404glh04xwjx&z=789c91bd0847027c3eb99a8g1zez9g1e1efeetacdo&q={searchTerms} SearchScopes: HKLM-x32 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxp://startsear.ch/?aff=1&src=sp&cf=11708afd-eac7-11e0-a1b0-2c27d7a5566a&q={searchTerms} SearchScopes: HKU\S-1-5-21-4176386080-2144407497-1899277294-1001 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1441000773&from=zzgbkk123&uid=hitachixhts725050a9a364_110228pck404glh04xwjx&z=789c91bd0847027c3eb99a8g1zez9g1e1efeetacdo&q={searchTerms} SearchScopes: HKU\S-1-5-21-4176386080-2144407497-1899277294-1001 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.v9.com/web?type=ds&ts=1441000773&from=zzgbkk123&uid=hitachixhts725050a9a364_110228pck404glh04xwjx&z=789c91bd0847027c3eb99a8g1zez9g1e1efeetacdo&q={searchTerms} SearchScopes: HKU\S-1-5-21-4176386080-2144407497-1899277294-1001 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = SearchScopes: HKU\S-1-5-21-4176386080-2144407497-1899277294-1001 -> {d43b3890-80c7-4010-a95d-1e77b5924dc3} URL = BHO-x32: Brak nazwy -> {b6d2ec49-14f2-c18a-896a-d4ca7857cc1a} -> Brak pliku Toolbar: HKU\S-1-5-21-4176386080-2144407497-1899277294-1001 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - Brak pliku FF NewTab: chrome://quick_start/content/index.html FF DefaultSearchEngine: delta-homes FF SelectedSearchEngine: delta-homes FF Homepage: hxxp://www.delta-homes.com/?type=hp&ts=1430819501&from=wpm05053&uid=HitachiXHTS725050A9A364_110228PCK404GLH04XWJX FF Plugin HKU\S-1-5-21-4176386080-2144407497-1899277294-1001: @lightspark.github.com/Lightspark;version=1 -> C:\Program Files (x86)\Lightspark 0.5.3-git\nplightsparkplugin.dll [brak pliku] FF SearchPlugin: C:\Users\Julka\AppData\Roaming\Mozilla\Firefox\Profiles\yyu7xbvz.default-1413487133669\searchplugins\delta-homes.xml [2015-11-12] FF SearchPlugin: C:\Users\Julka\AppData\Roaming\Mozilla\Firefox\Profiles\yyu7xbvz.default-1413487133669\searchplugins\_how_recover_moe.HTML [2015-11-19] FF SearchPlugin: C:\Users\Julka\AppData\Roaming\Mozilla\Firefox\Profiles\yyu7xbvz.default-1413487133669\searchplugins\_how_recover_moe.TXT [2015-11-19] CHR HomePage: Default -> hxxp://www.delta-homes.com/?type=hp&ts=1430819501&from=wpm05053&uid=HitachiXHTS725050A9A364_110228PCK404GLH04XWJX CHR StartupUrls: Default -> "hxxp://www.delta-homes.com/?type=hp&ts=1430819501&from=wpm05053&uid=HitachiXHTS725050A9A364_110228PCK404GLH04XWJX" CHR DefaultSearchURL: Default -> hxxp://search.delta-homes.com/web/?type=ds&ts=1430819501&from=wpm05053&uid=HitachiXHTS725050A9A364_110228PCK404GLH04XWJX&q={searchTerms} CHR DefaultSearchKeyword: Default -> delta-homes AlternateDataStreams: C:\Users\Julka\Local Settings:init C:\Program Files (x86)\Mozilla Firefoxavg-secure-search.xml C:\Program Files (x86)\SSFK.exe C:\Program Files (x86)\ghokswa Browser C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8} C:\ProgramData\Temp C:\Users\Julka\xobglu16.dll C:\Users\Julka\xobglu32.dll C:\Users\Julka\AppData\Local\70149b02515b3bb20dd492.47983420 C:\Users\Julka\AppData\Local\8546 C:\Users\Julka\AppData\Local\Chromium C:\Users\Julka\AppData\Local\CRE C:\Users\Julka\AppData\Local\fabulous_09111903 C:\Users\Julka\AppData\Local\ghokswa C:\Users\Julka\AppData\Roaming\xffue-a.exe C:\Users\Julka\AppData\Roaming\E0F416BD-1428165423-D85B-F0AC-2C27D7A5566A C:\Users\Julka\AppData\Roaming\Godeb C:\Users\Julka\AppData\Roaming\Hoolapp Packages C:\Users\Julka\AppData\Roaming\Kiehve C:\Users\Julka\AppData\Roaming\wi_upd C:\Users\Julka\AppData\Roaming\Xuerw C:\Users\Julka\AppData\Roaming\Yzda C:\Users\Julka\Downloads\File.Downloader__9581_il196.exe C:\Users\Julka\Downloads\Spyhunter-4.5.7.3531-Key-Generator.rar.ccc C:\Users\Julka\Downloads\SpyHunter-Installer.exe C:\Users\Public\Documents\ghokswa C:\Windows\System32\drivers\pavboot64.sys CMD: for /d %f in (C:\Users\Julka\AppData\Local\{*}) do rd /s /q "%f" Reg: reg delete HKCU\Software\Classes\ghokswaHTM /f Reg: reg delete HKCU\Software\ghokswa /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Clients\StartMenuInternet\ghokswa /f Reg: reg delete HKLM\SOFTWARE\RegisteredApplications /v ghokswa /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\ghokswa /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SpyHunter 4 Service" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\facemoods" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Microsoft Default Manager" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vProt" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition i Shortcut (poprzednio zabrakło go). Dołącz też plik fixlog.txt.

To już nieaktualne. Fix FRST miał zaplanowane usuwanie tego. Tym zajmiemy się potem. Problemem jest profil Firefox na dysku, deinstalacja go nie usuwa. Jesteśmy w połowie zadań. Fix FRST usunął wszystko co zadałam (włącznie z odmontowaniem filtra z voluminu). RepairDNS zgodnie z przypuszczeniem wykrył infekcję 64-bitowego pliku dnsapi.dll i ponoć ją naprawił. To trzeba będzie sprawdzić. Nadal jednak brakuje pliku 32-bitowego na dysku. Poza tym, z dwóch szkodliwych rekodów DNS wstawionych przez DNS Unlocker pozostał nadal jeden. Kolejna porcja czynności: 1. Utwórz nowy profil Firefox. Klawisz z flagą Windows + X > Uruchom > wklej komendę i ENTER: "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -p W menedżerze profilów Firefox załóż nowy profil i ustaw go jako domyślny, następnie stary profil usuń (usunie to zakładki i hasła). 2. Wykonaj pełną weryfikację plików systemowych. Klawisz z flagą Windows + X > Wiersz polecenia (administrator) > wklep komendę i ENTER: sfc /scannow Wyniki tej komendy wydrukuję sobie w skanie FRST. 3. Powtórz tę akcję, bo coś pominięte, że został jeden wpis: 4. Otwórz Notatnik i wklej w nim: S1 bsdriver; \??\C:\WINDOWS\system32\drivers\bsdriver.sys [X] HKLM-x32\...\Run: [gmsd_pl_005010146] => [X] HKLM-x32\...\Run: [gmsd_pl_005010149] => [X] HKU\S-1-5-21-1042416182-98707671-1076778749-1000\...\MountPoints2: {c03742cd-66a9-11e5-8d6d-f82fa8d23a24} - "G:\h3_setup.exe" SearchScopes: HKU\S-1-5-21-1042416182-98707671-1076778749-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1426072391&from=smt&uid=ST500LT012-1DG142_S3P0Z5QAXXXXS3P0Z5QA&q={searchTerms} Task: {299466FC-EA1A-4AF6-BC8A-DECB2F3610A5} - System32\Tasks\{6521BC9B-25EB-4D51-A42B-B8BD30A53809} => c:\windows\system32\launchwinapp.exe [2015-07-10] (Microsoft Corporation) Task: {C3690784-FB85-4257-9E0D-CC5714DA433B} - System32\Tasks\{70639A9C-2AA5-4F94-B2CC-69D24D97AF2A} => c:\windows\system32\launchwinapp.exe [2015-07-10] (Microsoft Corporation) C:\Program Files (x86)\Feed Notifier CMD: ipconfig /flushdns CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie kolejny fixlog.txt. 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Kurde, a brałam to pod uwagę ze względu na to, że to najnowsze rozszerzenie i jako jedyne mające reinstalatory na poziomie rejestru (czyli musiało być instalowane w innej paczce a nie bezpośrednio). Zmyliło mnie to, że jest hostowane w Chrome Web Store i nic jawnego w nim nie mogłam się doszukać. Zakładam, że rozszerzenie odinstalowałeś, czyli usuń jeszcze powiązane wpisy rejestru: 1. Otwórz Notatnik i wklej w nim: CHR HKLM\...\Chrome\Extension: [jdiejbegdjikmehflknhkbieocmnogcf] - C:\Users\Adiorz\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdiejbegdjikmehflknhkbieocmnogcf.crx [2015-11-07] CHR HKLM-x32\...\Chrome\Extension: [jdiejbegdjikmehflknhkbieocmnogcf] - C:\Users\Adiorz\AppData\Local\Google\Chrome\User Data\Default\Extensions\jdiejbegdjikmehflknhkbieocmnogcf.crx [2015-11-07] Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz Comodo na czas akcji.. Uruchom FRST i kliknij w Napraw (Fix). Pokaż wynikowy fixlog.txt. 2. Dla pewności zrób nowy log z FRST (bez Shortcut i Addition) prezentujący wygląd przeglądarki Chrome po akcjach. Szczerze wątpię. To typ adware.

Zostały zaszyfrowane pliki w następujących ścieżkach (licząc też "w dół"): Najbardziej poszkodowane zdają się być programy firmy Autodesk oraz ArchiCAD. Możemy usunąć z dysku C wszystkie zaszyfrowane kopie, a określone programy z widocznymi ubytkami po prostu potem przeinstalujesz (szczególnie Autodesk). Problem jest też na inych dyskach, ale to już uporządkujesz na własną rękę. Akcje tyczące dysku C: Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Michal\AppData\Local\Microsoft\Media Player\Pamięć podręczna grafiki RemoveDirectory: C:\Users\Michal\AppData\Local\Microsoft\Windows\WER\ReportQueue CMD: attrib -h -s C:\*.ccc /s CMD: del /q /s C:\*.ccc Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, bo dużo plików do skasowania będzie. Powstanie kolejny fixlog.txt. Tak jak poprzednio, shostuj gdzieś i podaj link.

Poprawiłam link do PhotoRec, omyłkowo wkleił mi się inny adres poprzednio. PS. Fix FRST wykonany pomyślnie. Możesz więc usunąć wszystkie pobrane narzędzia i ich logi oraz folder C:\FRST.

W pierwszej kolejności należy usunąć infekcję ze startu. Tak więc, mam przechodzić do tej operacji? Dopiero po tej akcji można podejmować jakiekolwiek próby z plikami na dysku. Ostatnią szansą jest tu program do odzyskiwania danych, ale szanse spadają im dłużej działa system i im więcej jest na nich operacji. Niestety w przypadku pierwszych symptomów infekcji należało natychmiast wyłączyć komputer i dostać się do systemu z zewnątrz, ale trudno się zorientować od razu że coś jest nie tak. A skopiować zaszyfrowane kopie na inny nośnik można, na wszelki wypadek gdyby kiedyś w przyszłości jednak pojawiła się solucja.

Nazwy logów FRST wskazują, że je wyciągnąłeś z folderu C:\FRST\Logs. To archiwum. Logi bieżące są tworzone zawsze tam skąd uruchamiasz FRST, w tym przypadku C:\Users\Julka\Downloads. Infekcja TeslaCrypt została nabyta przypuszczalnie przez exploit umieszczony na jakiejś stronie wykorzystujący luki w nieaktulizowanym oprogramowaniu (są takie kwiatki u Ciebie, bp. stare wtyczki Adobe) lub otworzenie szkodliwego załącznika w e-mail. SpyHunter nie jest przyczyną problemu, został zainstalowany już po fakcie w celu "rozwiązania" problemu, a to że jest to skaner wątpliwy reklamujący się jako rzekoma solucja dla tej infekcji, to inna sprawa. Tak, Twój system jest zagrożeniem, w starcie siedzi infekcja, więc podpięcie osobnego dysku będzie się równać natychmiastowemu szyfrowaniu danych. To nie jedyny problem, widać także masę innych śmieci, które jednak mają podrzędne znaczenie w kontekście szyfratora: masowe przekierowania adware, fałszywe "Google Chrome" - ghokswa Browser, wątpliwe programy typu WinThruster i YAC (Yet Another Cleaner). Infekcja wyczyciła wszystkie punkty Przywracania na zero. W linkowanym temacie już wyjaśniłam kwestię zaszyfrowanych danych - plików ccc nie da się odkodować. Moja rola sprowadza się tylko do wyczyszczenia systemu z tego co się da. Podobna decyzja do podjęcia jak w linkowanym temacie: - Czyszczę system tylko w podstawowy sposób, byś mógł skopiować określone dane na dysk zewnętrzny, następnie format dysku. - Czyszczę system dokładnie, choć nie będę w stanie naprawić ubytków programowych, format odłożony na czas bliżej nieokreślony.

Tu nie chodzi o Lenovo OneKey Recovery tylko o zwykłe Przywracanie systemu Windows 8. Klawisz z flagą Windows + X > Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > Przywracanie systemu.

DelFix wykonał zadanie. Skasuj z dysku plik C:\delfix.txt. Czy da się to "złapać" na zrzucie ekranu? To reklama, zignorować.

Po deinstalacji skasuj te foldery: C:\Users\ \AppData\Local\Mozilla C:\Users\ \AppData\Roaming\Mozilla Ale jest w systemie więcej staroci, no i nadal problem naruszeń programów i Windows po operacjach szyfratora, więc format jest opcją globalną.

To jest skomplikowana operacja i nie jestem w stanie się nią zająć teraz. Ten system Recovery jest egzotyczny dla mnie, pierwszy raz na oczy widzę takie rozwiązanie. Na szybko powiem jak widzę potencjalne scenariusze: 1. Gdyby układ miał zostać nienaruszony, tzn. bootowanie via GRUB i ten sam program Recovery, ale miałaby nastąpić tylko podmiana obrazu Windows 7 nowym obrazem Windows 10, to ciężka sprawa i nie wiem czy w ogóle wykonalna. Nie znam tego rozwiązania Linuksowego z Xtreme Recovery Suite i nie wiem jak ono działa, w jaki sposób ocenia stan i zrzuca obraz, a poza tym widać, że jest stosowany niestandardowy format obrazu, więc nie wiadomo czym go wytworzyć. 2. Gdyby układ miał być przebudowany całkowicie od zera: należałoby w pierwszej kolejności rozwiązać zależność od GRUB, czyli nadpisać MBR i upewnić się że loader Windows jest prawidłowo skierowany. Po tym można byłoby sformatować tę partycję i zastąpić jej zawartość nową zbudowaną od zera, następnie skonstruować całkowicie nowy system menu startowego. Przy okazji, w diskpart widać że Recovery + dysk D to dyski logiczne siedzące w obrębie partycji "Rozszerzonej" z adresowaniem CHS i być może trzebaby było przemontować cały ten układ (wliczając dysk D). Na teraz polecam zrobić prosty dysk odzyskiwania na USB: KLIK.

1. Uruchom ponownie AdwCleaner, tym razem zastosuj kombinację Skanuj + Usuń. Po akcji: 2. Poczęstuj się DelFix i wyczyść foldery Przywracania systemu. To tyle.

Wprawdzie infekcja i wszystkie wystąpienia HELP_DECRYPT.* zostały usunięte, ale nie wykonały się niektóre komendy z obejściem na zmanipulowaną nazwę konta użytkownika. 1. Przez SHIFT+DEL (omija Kosz) ręcznie skasuj te pliki: C:\Users\ \AppData\Roaming\7za.exe C:\Users\ \AppData\Roaming\a.7z Dodatkowo wyczyść Firefox z adware, choć jest tak stary, że prędzej deinstalacja i usunięcie wszystkich folderów z dysku jest opcją. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. 2. Zastosuj DelFix, a następnie wyczyść foldery Przywracania systemu: KLIK. 3. Na dalszą metę na spokojnie zrobić format dysku.

Temat przenoszę do działu leczenia z malware. Problemy wynikają z infekcji, która przekonfigurowała usługę Instrumentacji Windows (od niej zależy Centrum, Zapora, Przywracanie systemu i kilka innych rzeczy). Usunięto plik infekcji, ale nie naprawiono ścieżki usługi systemowej): S2 Winmgmt; C:\PROGRA~3\2992199F9A\fjoby.faa [X] Operacje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 Winmgmt; C:\PROGRA~3\2992199F9A\fjoby.faa [X] Startup: C:\Users\Witek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fjoby.lnk [2014-04-04] Task: {1270D165-0992-4080-B52F-95847A050756} - System32\Tasks\SUPBackground => C:\Program Files\Samsung\Samsung Update Plus\SUPBackground.exe HKU\S-1-5-21-4141374535-311919606-3590139362-1000\...\Run: [HW_OPENEYE_OUC_] => C:\Program Files (x86)\blueconnect\UpdateDog\ouc.exe [110592 2009-12-31] (Huawei Technologies Co., Ltd.) HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = Toolbar: HKU\S-1-5-21-4141374535-311919606-3590139362-1000 -> Brak nazwy - {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} - Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku C:\ProgramData\gdq21wl.odd C:\Users\Witek\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Witek\Downloads\HDFlashPlayer-Chrome.exe C:\Users\Witek\Downloads\yet_another_cleaner_*.exe CMD: for /d %f in (C:\Users\Witek\AppData\Local\{*}) do rd /s /q "%f" Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi automatyczny restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Deinstalacje: - Za pomocą Panelu sterowania usuń stare wersje: Norton Online Backup, Skype Toolbars, Podstawowe programy Windows Live + Windows Live Sync (jeśli nie korzystasz z Poczty lub innego programu tego pakietu). - Niepoprawnie odinstalowanymi BitDefender i McAfee SiteAdvisor zajmą się narzędzia: BitDefender Uninstall Tool (Consumer) (wybierz stosowną edycję, która była w komputerze) + McAfee Consumer Product Removal Tool. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.