picasso

1. No cóż, w a logu nadal te same adresy DNS pobierane z routera. W ipconfig pokazuje Ci adresy Google, bo ustawiłeś je po stronie Windows z poziomu Panelu sterowania. One biorą precedens, ale sprawa routera nadal aktualna. Tcpip\Parameters: [DhcpNameServer] 91.189.248.66 8.8.8.8 Tcpip\..\Interfaces\{2F8432F9-CFFF-4F39-9174-258BA9009868}: [NameServer] 8.8.8.8,8.8.4.4 Tcpip\..\Interfaces\{57B329C6-0802-4E2D-BCAE-C87122E15916}: [NameServer] 8.8.8.8,8.8.4.4 Tcpip\..\Interfaces\{57B329C6-0802-4E2D-BCAE-C87122E15916}: [DhcpNameServer] 91.189.248.66 8.8.8.8 2. Jako akcję dodatkową możemy spróbować zresetować Winsock. Co najwyżej potem przeinstalujesz WTFast 3.5. Otwórz Notatnik i wklej w nim: CMD: ipconfig /flushdns CMD: netsh winsock reset Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw fixlog.txt. I zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Wypowiedz się czy widzisz jakąś zmianę.

Może ta usługa zniknęła w międzyczasie. Dla świętego spokoju zaprezentuj nowy log FRST.

W raportach nie widać żadnych oznak infekcji. Nie podałeś jednak obowiązkowego GMER. Czy to na pewno jedyny komputer / urządzenie z poziomu którego uzyskujesz dostęp do poczty? I przeklej treść przykładowego maila, uwzględniając wszystkie pola nadawcy + odbiorcy (swój e-mail zastąp słowem WYMAZANE).

Mamy tu niewiarygodny atak instalacji adware, masa inwazyjnych obiektów, w tym mocne sterowniki (bsdriver i cherimoya są nieusuwalne bez uprzedniego wypięcia specjalnego filtra nałożonego na dysk). A problem z siecią wynika z licznych modyfikacji zrobionych przez adware: "DNS Unlocker" zmodyfikował serwery DNS, ponadto występuje rozległa modyfikacja sieciowego łańcucha Winsock. Na dodatek wygląda na to, że jest tu też infekcja typu Ads by Jabuticaba polegająca na modyfikacji wszystkich instancji systemowego pliku dnsapi.dll. 64-bitowy ma unikatową sumę kontrolną znajdowalną na Google tylko w Twoim temacie, a drugi plik został usunięty całkowicie: C:\WINDOWS\system32\dnsapi.dll [2015-07-10 04:14] - [2015-07-10 04:14] - 0680256 ____A (Microsoft Corporation) 04695E72D448EB1FB845597765372C67 C:\WINDOWS\SysWOW64\dnsapi.dll BRAK Będzie mnóstwo do zrobienia. Operacje wstępne do przeprowadzenia: 1. Przed podjęciem jakichkolwiek akcji włącz Przywracanie systemu (wyłączone podczas aktualizacji do Windows 10), bo będą tu operacje tego rodzaju, że musi być backup. Klawisz z flagą Windows + X > Panel sterowania > System i zabezpieczenia > System > Ochrona systemu > zaznacz dysk C i klik w Konfiguruj > Włącz Ochronę systemu. 2. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj: Adware/PUP: Compatible Web Directory, deealPPeeak, DNS Unlocker version 1.3, GamesDesktop 008.005010146, GamesDesktop 008.005010149, GamesDesktop 008.005010150, GoldenCoupon, IndepthSystem, Interenet Optimizer, jogotempo 3.4, ProShopopoer, SAvvErebooxx, SmartWeb, SwiftSearch 1.10.0.25. Jeśli nie instalowałeś świadomie, to także i Feed Notifier 2.6. W przypadku gdy coś będzie niewidoczne lub zwróci błąd deinstalacji, kontynuuj dalej. Stare wersje: Adobe AIR, Java 7 Update 71. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: fltmc detach bsdriver c: bsdriver R2 bopihopu; C:\Program Files (x86)\4C4C4544-1447072269-3410-804B-CAC04F575931\knsw18C.tmp [389632 2015-11-18] () [brak podpisu cyfrowego] R1 bsdriver; C:\WINDOWS\system32\drivers\bsdriver.sys [34720 2015-11-12] () R1 cherimoya; C:\Windows\System32\drivers\cherimoya.sys [56736 2015-11-12] (Windows ® Win 7 DDK provider) R2 hidekoqe; C:\Users\Admin\AppData\Local\4C4C4544-1447928267-3410-804B-CAC04F575931\qnsuCC3E.tmp [142336 2015-10-13] () [brak podpisu cyfrowego] R2 NetTcpHandler; C:\Users\Admin\AppData\Roaming\NetService\netservice.exe [173088 2015-07-09] () R2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe [170656 2015-11-19] (TODO: ) R1 swsedrvr_vw_1_10_0_25; C:\Windows\System32\drivers\swsedrvr_vw_1_10_0_25.sys [57720 2015-09-22] (SS) R2 WdsManPro; C:\ProgramData\nWMiniPron\WMiniPro.exe [309384 2015-11-19] (DTools LIMITED) S2 nejorudu; C:\Program Files (x86)\4C4C4544-1447072269-3410-804B-CAC04F575931\knsx5381.tmp [X] U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath HKLM\...\Run: [spaceSoundPro] => "C:\Program Files\SpaceSoundPro\SpaceSoundPro.exe" HKLM-x32\...\Run: [gmsd_pl_42] => [X] HKLM-x32\...\Run: [gmsd_pl_58] => [X] HKLM-x32\...\Run: [rec_en_77] => [X] HKLM-x32\...\Run: [gmsd_pl_005010141] => [X] HKLM-x32\...\Run: [gmsd_pl_005010142] => [X] HKLM-x32\...\Run: [gmsd_pl_005010144] => [X] HKLM-x32\...\Run: [smartWeb] => C:\Users\Admin\AppData\Local\SmartWeb\SmartWebHelper.exe [270368 2015-02-17] (SoftBrain Technologies Ltd.) HKLM-x32\...\Run: [gmsd_pl_005010150] => C:\Program Files (x86)\gmsd_pl_005010150\gmsd_pl_005010150.exe [4018864 2015-11-18] () HKLM-x32\...\RunOnce: [upgmsd_pl_005010150.exe] => C:\Users\Admin\AppData\Local\gmsd_pl_005010150\upgmsd_pl_005010150.exe [3322544 2015-11-18] () HKU\S-1-5-21-1042416182-98707671-1076778749-1000\...\MountPoints2: {c03742cd-66a9-11e5-8d6d-f82fa8d23a24} - "G:\h3_setup.exe" Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SmartWeb.lnk [2015-11-19] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617911&ResetID=130868038469047866&GUID=AFEB1A28-6D52-45D6-8310-758BDD9640B6 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.istartsurf.com/web/?type=ds&ts=1426072391&from=smt&uid=ST500LT012-1DG142_S3P0Z5QAXXXXS3P0Z5QA&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hp&ts=1426072391&from=smt&uid=ST500LT012-1DG142_S3P0Z5QAXXXXS3P0Z5QA HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1426072391&from=smt&uid=ST500LT012-1DG142_S3P0Z5QAXXXXS3P0Z5QA&q={searchTerms} HKU\S-1-5-21-1042416182-98707671-1076778749-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617911&ResetID=130868038469347883&GUID=AFEB1A28-6D52-45D6-8310-758BDD9640B6 HKU\S-1-5-21-1042416182-98707671-1076778749-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hp&ts=1426072391&from=smt&uid=ST500LT012-1DG142_S3P0Z5QAXXXXS3P0Z5QA HKU\S-1-5-21-1042416182-98707671-1076778749-1000\Software\Microsoft\Internet Explorer\Main,First Home Page = hxxp://go.microsoft.com/fwlink/?LinkID=226786&Mkt=pl-PL&Src=MSE&Tid=000328B0&OHP=http%3A%2F%2Fsearch.gboxapp.com%2F&OSP=http%3A%2F%2Fwww.bing.com%2Fsearch%3Fq%3D%7BsearchTerms%7D%26form%3DMSSEDF%26pc%3DMSSE SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKU\S-1-5-21-1042416182-98707671-1076778749-1000 -> DefaultScope {22C6696C-705B-41F9-B9EA-38EA23D95EE1} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKU\S-1-5-21-1042416182-98707671-1076778749-1000 -> {22C6696C-705B-41F9-B9EA-38EA23D95EE1} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - Brak pliku ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.tohotweb.com?oem=sunadusv4&uid=S3P0Z5QA_ST500LT012-1DG142&tm=1447326074 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.tohotweb.com?oem=sunadusv4&uid=S3P0Z5QA_ST500LT012-1DG142&tm=1447326074 ShortcutWithArgument: C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\mozilla firefox\firefox.exe (Mozilla Corporation) -> ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\mozilla firefox\firefox.exe (Mozilla Corporation) -> StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mystartsearch.com/?type=sc&ts=1447074390&z=aa690d77bc55f85ba253731g9zez7m2e4mfz2gae4t&from=cmi&uid=ST500LT012-1DG142_S3P0Z5QAXXXXS3P0Z5QA StartMenuInternet: FIREFOX.EXE - c:\program files (x86)\mozilla firefox\firefox.exe hxxp://www.istartsurf.com/?type=sc&ts=1447327434&z=bcd9494f5ea5dcc10bae0bfg8zaz4mbc4o5m4gcz6t&from=face&uid=ST500LT012-1DG142_S3P0Z5QAXXXXS3P0Z5QA FF Plugin HKU\S-1-5-21-1042416182-98707671-1076778749-1000: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [brak pliku] FF HKLM\...\Firefox\Extensions: [{64996ADF-8D22-4238-8780-A2A729C78CEE}] - C:\Program Files\groover121120151030\Firefox\{64996ADF-8D22-4238-8780-A2A729C78CEE}.xpi => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [searchengine@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\ldf1dq46.default\extensions\searchengine@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\ldf1dq46.default\extensions\defsearchp@gmail.com FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\ldf1dq46.default\extensions\deskCutv2@gmail.com FF HKLM-x32\...\Firefox\Extensions: [{64996ADF-8D22-4238-8780-A2A729C78CEE}] - C:\Program Files\groover121120151030\Firefox\{64996ADF-8D22-4238-8780-A2A729C78CEE}.xpi => nie znaleziono Task: {08BCDA4B-758E-4751-85DB-97C1196DFDCE} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {0C147D39-06BC-4AA9-A016-B0955CA5D5A8} - System32\Tasks\Microsoft\Microsoft Antimalware\Microsoft Antimalware Scheduled Scan => C:\Program Files\Microsoft Security Client\MpCmdRun.exe Task: {143547EC-3A07-4143-914E-5CA88D769CEE} - System32\Tasks\SwiftSearch Auto Updater 1.10.0.25 Pending Update => C:\Program Files (x86)\SwiftSearch_1.10.0.25\Update\SwiftSearchAutoUpdateClient.exe Task: {17A524AA-2293-4D19-9C28-358E90BBAE9A} - System32\Tasks\{EE244BF7-C3A7-41D8-8D1B-B10DC9EDFDFA} => pcalua.exe -a C:\Users\Admin\Desktop\czapla\twix\Twixtor5.00AEInstall.exe -d C:\Users\Admin\Desktop\czapla\twix Task: {1E2CFD06-7B51-48A8-A1FF-7C3FE8E4981E} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {218A3D88-793E-451F-B60C-C789AB4FA6BC} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {2A251D68-7312-42B9-AF68-46800A85DE69} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {2B419D12-A24E-44E5-9C91-82F6C5DA0F5B} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {2B7E1E77-07CB-44B0-A7B5-1D4A1E7A9C09} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {3B88BF28-F82E-4F0F-9BF1-75DE4E67B2B9} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {48C40FA2-56C6-4C83-B1C4-95FC77D34A32} - System32\Tasks\Kaordauh => C:\PROGRA~1\GROOVE~1\Pivkas.bat Task: {4C5941AB-27EB-41A8-9FEA-45ADD023D482} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {5A940432-EF4C-4DCD-81BD-3CE04A1CB262} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {5C9883C0-1D12-4F14-81AC-903D757DC124} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {5CB63101-265C-4BEC-BE16-754A8F8F2CE5} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {66F57709-E7B1-444A-BAC1-8247DFCFF0AD} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {67370350-705A-404E-8733-63563C2A6A45} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {69969DFB-DB44-4C99-8A7A-5BCCDDE889DD} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {6CB1A7CA-DC8D-43BB-92A5-C99BCF7C3F90} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {6D228083-18F7-41A0-9BF8-A02BFC316DA3} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {74ECC3F1-BA94-4238-907A-3164A8D81705} - System32\Tasks\DNSKINGSTON => dnskingston.exe Task: {8056C1EF-C567-45C6-BA41-FF0E8B644A57} - System32\Tasks\SwiftSearch Auto Updater 1.10.0.25 Core => C:\Program Files (x86)\SwiftSearch_1.10.0.25\Update\SwiftSearchAutoUpdateClient.exe Task: {88C0B27F-4190-4FBE-AE18-5BB1539F0566} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {897DA573-01F5-4D7D-A99C-E9433C176A00} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {8E9F69BF-C5DD-4822-A69A-E22CAA3E86CC} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {92F72A84-F1AA-4DA2-B990-597D7D87A5B8} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {9316BC52-8022-4586-8911-5494BC918444} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {98F8168E-A720-4E79-BAE6-3B7649837611} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {9E027816-B91A-42ED-BCB0-DA60F678A082} - System32\Tasks\SmartWeb Upgrade Trigger Task => C:\Users\Admin\AppData\Local\SmartWeb\SmartWebHelper.exe [2015-02-17] (SoftBrain Technologies Ltd.) Task: {A7F442C4-E6AE-4DE7-8A7C-D5103FE0F856} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {A8B04005-D74E-4795-AAE8-DAECD136DF27} - System32\Tasks\{B79FBD18-B98F-4366-B4E2-44964FD67D3E} => pcalua.exe -a C:\ProgramData\suurfukeoepit\Og86n4BuaGSREH.exe -c /s /n /i:"ExecuteCommands;UninstallCommands" "" Task: {B455D9A5-6610-47D3-A3C8-A08146CB6710} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {B6FDC731-1354-4B75-8B29-48FC70EC254D} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {B825325A-8585-4B3B-8C09-E8F003CEF9C2} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {BCB4A44F-134B-4904-8B67-06D064A5D453} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {C293627F-8B1E-4CEA-927F-FEABDBBCBB70} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {C665E910-5DC3-4344-B97A-6E16367CC836} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {D32A3951-F871-4EB7-A4D6-FECF62CD7FFB} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {D4288A85-69AF-4B64-98C9-ACFDEA245FC8} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {D47FC382-EA00-4FE7-87CE-CF14FF35C897} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {DA4F76EC-BAD8-4120-B9FD-CD3863BF5D05} - System32\Tasks\{9BA368CF-6FF1-4148-97BD-2803DA17FB83} => pcalua.exe -a C:\Users\Admin\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=smt Task: {DC99A43B-BDBD-4C8E-AA43-CE3E6D33B1CD} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {DE80C0C7-CC25-4208-98F2-16C10E9EC5E9} - System32\Tasks\{7952BCB5-A459-46A2-961D-8032E24765FD} => pcalua.exe -a "C:\Users\Admin\Desktop\Heroes of Might and Magic 3\setupreg.exe" -d "C:\Users\Admin\Desktop\Heroes of Might and Magic 3" Task: {DE960D25-EC39-4B89-8881-7CAE35258A04} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {E4445741-F975-45C8-9A0D-E934A2EC3C47} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {F80B0ABF-3093-4BA1-B8DD-1593AE90BBD4} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: C:\WINDOWS\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\WINDOWS\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\WINDOWS\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{f081f9a9} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{37476589-E48E-439E-A706-56189E2ED4C4}_is1 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{5F189DF5-2D05-472B-9091-84D9848AE48B}{c632643} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{8F213470-964F-4092-6B31-BC7570F31B5A} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{CA8C94BE-9F47-1B2E-90F8-D8C07119BD96} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{C60D3D4E-3B20-5AB3-7F2C-9C946AD4080F} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{E1527582-8509-4011-B922-29E3FB548882}_is1 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\gmsd_pl_005010146_is1 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\gmsd_pl_005010149_is1 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\gmsd_pl_005010150_is1 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\jogotempo DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\PopupProduct DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SmartWeb DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SwiftSearch_1.10.0.25 C:\END C:\Program Files\groover121120151030 C:\Program Files (x86)\prefs.js C:\Program Files (x86)\4C4C4544-1447072269-3410-804B-CAC04F575931 C:\Program Files (x86)\ChilliTorrent C:\Program Files (x86)\DNS Unlocker C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\Google C:\Program Files (x86)\jogotempo C:\Program Files (x86)\SFK C:\Program Files (x86)\SwiftSearch_1.10.0.25 C:\Program Files (x86)\Mozilla Firefox\cfg C:\Program Files (x86)\Mozilla Firefox\browser\defaults C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\01e58235-010d-43b1-8340-277d43a75321 C:\ProgramData\bojfndnanloeabobldogokeaigpfhcai C:\ProgramData\IePluginServices C:\ProgramData\Interenet Optimizer C:\ProgramData\websaver C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GAMESDESKTOP C:\Spacekace C:\Users\Admin\AppData\Local\4C4C4544-1447075946-3410-804B-CAC04F575931 C:\Users\Admin\AppData\Local\4C4C4544-1447928267-3410-804B-CAC04F575931 C:\Users\Admin\AppData\Local\FileViewPro C:\Users\Admin\AppData\Local\Google C:\Users\Admin\AppData\Local\SmartWeb C:\Users\Admin\AppData\Local\Tempfolder C:\Users\Admin\AppData\LocalLow\{D2020D47-707D-4E26-B4D9-739C4F4C2E9A} C:\Users\Admin\AppData\LocalLow\Company C:\Users\Admin\AppData\LocalLow\SmartWeb C:\Users\Admin\AppData\Roaming\appdataFr3.bin C:\Users\Admin\AppData\Roaming\LiveSupport.exe_log.txt C:\Users\Admin\AppData\Roaming\regsvr32.exe_log.txt C:\Users\Admin\AppData\Roaming\cpuminer C:\Users\Admin\AppData\Roaming\istartpageing C:\Users\Admin\AppData\Roaming\istartsurf C:\Users\Admin\AppData\Roaming\mystartsearch C:\Users\Admin\AppData\Roaming\NetService C:\Users\Admin\AppData\Roaming\RunDir C:\Users\Admin\AppData\Roaming\shortCutStore C:\Users\Admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Adobe Premiere Pro CC.lnk C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\jogotempo C:\Users\Admin\Desktop\czapla\Adobe After Effects CS6.lnk C:\Users\Admin\Desktop\czapla\Adobe Premiere Pro CC.lnk C:\Users\Admin\Desktop\czapla\Vegas Pro 12.0 (64-bit).lnk C:\Users\Admin\Downloads\esetsmartinstaller_plk*.* C:\Users\Admin\Downloads\SkypeSetup*.exe C:\uninst C:\Windows\ehome C:\WINDOWS\system32\Wuojeg64.dll C:\WINDOWS\system32\WuojegOff.ini C:\WINDOWS\system32\cobu C:\Windows\system32\drivers\bsdriver.sys C:\Windows\system32\drivers\cherimoya.sys C:\Windows\system32\drivers\swsedrvr_vw_1_10_0_25.sys C:\WINDOWS\system32\Drivers\etc\hp.bak C:\Windows\system32\Tasks\Microsoft\Windows\Media Center C:\WINDOWS\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 C:\WINDOWS\SysWOW64\data.bin C:\WINDOWS\SysWOW64\Number of results C:\WINDOWS\SysWOW64\Wuojeg.dll C:\WINDOWS\SysWOW64\Wuojeg.ini C:\WINDOWS\SysWOW64\WuojegOff.ini CMD: ipconfig /flushdns CMD: netsh advfirewall reset CMD: netsh winsock reset CMD: for /d %f in ("C:\Program Files (x86)\gmsd_pl_*") do rd /s /q "%f" CMD: for /d %f in (C:\ProgramData\*WMiniPro*) do rd /s /q "%f" CMD: for /d %f in (C:\Users\Admin\AppData\Local\gmsd_pl_*) do rd /s /q "%f" CMD: type C:\Windows\System32\Tasks\{6521BC9B-25EB-4D51-A42B-B8BD30A53809} CMD: type C:\Windows\System32\Tasks\{70639A9C-2AA5-4F94-B2CC-69D24D97AF2A} CMD: type "C:\Windows\System32\Tasks\zamknij komputer" CMD: type "C:\Windows\System32\Tasks\wyłącz komputer" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Klawisz z flagą Windows + X > Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > z boku klik w Zmień ustawienia karty sieciowej > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 5. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 6. Zrób nowe logi: FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition, Shortcut już nie jest mi potrzebny. Kolejny log z FRST na wyszukiwanie kopii plików. Uruchom FRST, w polu Szukaj wklej nazwę dnsapi.dll i klik w Szukaj plików. Oraz log z RepairDNS. Dołącz też plik fixlog.txt.

To log związany z aktualizacją baz a nie detekcją zagrożeń. Tak, wiemy o tym i zgłoszenie już od kilku dni wisi w oczekiwaniu. To bug w najnowszym FRST. Na Windows 7 i starszych komunikat to "ERUNT.exe nie jest prawidłową aplikacją systemu Win32", na systemach Windows 8 i 10 błąd ma formę "Ta aplikacja nie będzie działać na Twoim komputerze". Dawno nie instalowałam Firefoxa. Coś się zmieniło w instalatorze, wcześniej taka opcja była proponowana. Należy ręcznie doczyścić widoczne szczątki. Poprawki: 1. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Ola\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Mozilla Firefox RemoveDirectory: C:\Users\Ola\AppData\Local\Mozilla RemoveDirectory: C:\Users\Ola\AppData\Roaming\Mozilla CMD: del /q C:\uxriqpow.sys CMD: del /q C:\Users\Ola\Downloads\y78ul51b.exe Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym raze nie będzie restartu. Przedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Ten system także nie wykazuje żadnej z cech, o których wspominałam powyżej. Mam szczere wątpliwości w kwestii źródła infekcji. Mi się jednak wydaje, że kartę zaprawił całkiem inny komputer niż tu przedstawiane. vs. Ostatecznie spróbuj któregoś programu do odzyskiwania danych, np. PhotoRec, czy wyszuka poprzednią wersję plików na karcie, ale czarno to widzę. I skontaktowałabym się bezpośrednio z supportem Kasperskiego przesyłając im próbkę wybranego pliku (wersja zakodowana + wersja rzekomo odkodowana) wraz z opisem, że dekoder przywrócił niedziałające wersje, by ocenili o co chodzi. To będzie najpewniejsze źródło informacji. Ja nic więcej nie wymyślę. Nie przedstawiłeś pliku Fixlog.txt z wynikami.

Temat przenoszę do działu Windows. Są wprawdzie odpadki głównie adware, ale to rzecz nie związana z aktywacją. Dziennik Aplikacja: ================== Error: (11/19/2015 08:59:22 PM) (Source: Software Protection Platform Service) (EventID: 8198) (User: ) Description: Aktywacja licencji (slui.exe) nie powiodła się, kod błędu: hr=0x8007007B Argumenty wiersza polecenia: RuleId=eeba1977-569e-4571-b639-7623d8bfecc0;Action=AutoActivate;AppId=55c92734-d682-4d71-983e-d6ec3f16059f;SkuId=fe1c3238-432a-43a1-8e25-97e7d1ef10f3;NotificationInterval=1440;Trigger=NetworkAvailable Microsoft o tym błędzie: KLIK. Wiemy, że jest on pokłosiem użycia cracka, który ingerował w te strefy. Dla porównania wyciąg z piaskownicy jakie akcje on wykonuje: KLIK. W systemie nadal są obiekty cracka, w tym filtry na kartach sieciowych: R3 ptun0901; C:\Windows\system32\DRIVERS\ptun0901.sys [27136 2014-08-08] (The OpenVPN Project) S3 tapoas; C:\Windows\system32\DRIVERS\tapoas.sys [30720 2012-07-15] (The OpenVPN Project) 2015-11-19 19:48 - 2015-11-19 19:49 - 00000000 ____D C:\ProgramData\KMSAuto 2015-11-19 17:52 - 2015-11-19 20:00 - 00000000 ____D C:\Users\Natalia\AppData\Local\MSfree Inc 2015-11-19 17:29 - 2015-11-19 17:29 - 00000000 ____D C:\winproductkey 2015-11-18 19:44 - 2014-05-25 01:36 - 00015360 _____ C:\WINDOWS\system32\SppExtComObjHook.dll 2015-11-18 19:44 - 2014-05-25 01:36 - 00004608 _____ C:\WINDOWS\system32\SppExtComObjPatcher.exe 2015-11-18 19:43 - 2014-08-08 17:31 - 00027136 _____ (The OpenVPN Project) C:\WINDOWS\system32\Drivers\ptun0901.sys 2015-11-18 19:43 - 2012-07-15 06:18 - 00030720 _____ (The OpenVPN Project) C:\WINDOWS\system32\Drivers\tapoas.sys Log FRST nie jest w stanie potwierdzić gdzie mogą być jeszcze modyfikacje. Dlatego też skorzystaj z globalnego Przywracania systemu do czasu przed użyciem cracka. Dostępne punkty: ==================== Punkty Przywracania systemu ========================= 05-11-2015 20:13:29 Zaplanowany punkt kontrolny 11-11-2015 11:26:51 Windows Update 18-11-2015 17:21:03 Zaplanowany punkt kontrolny Ten z 11 listopada zdaje się odpowiedni. Jeśli to zlikwiduje problem, wykonaj akcje podrzędne: Odinstaluj następujące zbędniki: AVG Web TuneUp, Host App Service, Start Menu. Te dwa ostatnie to zintegrowane z Lenovo aplikacje Pokki wątpliwej reputacji: KLIK. Następnie zrób nowe raporty FRST, a zajmę się doczyszczaniem śmieci.

Temat przenoszę do działu Windows. Brak oznak infekcji. Jeśli chodzi o zgłoszony problem, brak również konkretów w raportach. Sugestie: 1. Odinstaluj zbędne programy: Acer User Experience Improvement Program App Monitor Plugin, Acer User Experience Improvement Program Framework. 2. Sprawdź działanie systemu w stanie czystego rozruchu: KLIK.

Dziwna sprawa, te logi się różnią od poprzednich, tzn. nagle zostały przeskanowane ścieżki użytkowników (w FRST.txt i Shortcut.txt). Nie wiadomo skąd ta rozbieżność między starszą wersją FRST a nową, bo z tego co mi wiadomo nic nie zmieniano w detekcji ścieżek XP. W każdym razie są jeszcze do usunięcia drobne wpisy + ten dziennik Tuneup (kolejne podejście). 1. Dwa pliki Fixlog, po pierwszym znów będzie problem z siecią, po każdym ręczny reset systemu: HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Avg RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Comodo RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\MFAData RemoveDirectory: C:\Documents and Settings\Właściciel\Dane aplikacji\Opera Software RemoveDirectory: C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\AvgSetupLog RemoveDirectory: C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\mbot_pl_014010137 RemoveDirectory: C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\MFAData RemoveDirectory: C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Opera Software RemoveDirectory: C:\FRST\Quarantine CMD: sc config Eventlog start= disabled + C:\WINDOWS\system32\config\TuneUp.evt CMD: sc config Eventlog start= auto 2. Jest nowsza wersja FRST i na wszelki wypadek zrób tylko log główny.

Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: HKLM-x32\...\Run: [TabTip_32] => C:\ProgramData\TabTip_32.exe [4096 2015-11-13] () HKLM-x32\...\Run: [AvgUi] => C:\Program Files (x86)\AVG\Framework\Common\avguix.exe [1130408 2015-10-16] (AVG Technologies CZ, s.r.o.) HKLM\...\Winlogon: [userinit] C:\Windows\SysWOW64\userinit.exe, HKU\S-1-5-21-3016735420-2418766297-4074838235-1001\Control Panel\Desktop\\SCRNSAVE.EXE -> ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku BootExecute: autocheck autochk * lsdelete AlternateShell: R2 ihpmServer; C:\Program Files (x86)\RayDld\ihpmServer.exe [271464 2015-11-10] () R2 WdsManPro; C:\ProgramData\lWMiniProl\WMiniPro.exe [301704 2015-10-28] (DTools LIMITED) S4 aswSP; Brak ImagePath S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 OSFMount; \??\C:\Program Files (x86)\Counter-Strike Global Offensive\image\x64\OSFMount.sys [X] Task: {03825DFF-B057-4585-8604-350B329B5C68} - \USBChargerPlus -> Brak pliku Task: {079784C1-339F-42E7-B93B-A14DB7A511FD} - \UNELEVATE_26489 -> Brak pliku Task: {0BF1DAF7-F17C-494A-97D5-EE45665F09DE} - \{1A6CCA8D-B895-4FDC-91DD-2AE5E071FED7} -> Brak pliku Task: {17294A3F-C6B3-421F-A121-26174791E785} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {1A1F15D4-4EED-40D3-805B-E6ED0C64A926} - \{560FE08E-1C20-4AF6-B3B2-8AA4A10438D7} -> Brak pliku Task: {1A28E432-94BC-48DD-84CC-C74852486D2D} - \UNELEVATE_10173 -> Brak pliku Task: {1CB55A08-5184-4474-9C21-E5ED5E2D6737} - \UNELEVATE_14700 -> Brak pliku Task: {23B893DA-F0F5-46D5-8252-B66B69F00CBF} - \GoogleUpdateTaskMachineCore -> Brak pliku Task: {2CB64780-E3D8-46F4-A92D-CD9876D6C597} - \WINshell Event Notification -> Brak pliku Task: {3A3F73A9-FBAD-4D42-BF5F-E62C53040E4A} - \ASUS P4G -> Brak pliku Task: {452FED9D-8892-4279-884F-E59CE8B1DB18} - \{B521CFE4-8C29-4709-BEAF-CCD540F82A4C} -> Brak pliku Task: {471DB786-7A55-4606-B3D2-49C6B683E01D} - \ASUS SmartLogon Console Sensor -> Brak pliku Task: {47B25CED-77D3-4A34-9551-4C59563F2623} - \{A7EA11E6-0613-4194-9FEB-4295DC5115A8} -> Brak pliku Task: {4CC30286-CBE4-487A-A959-F6395AC09C8C} - \UNELEVATE_24734 -> Brak pliku Task: {506F28B0-CCAF-498F-9E7C-F8E066651C4F} - \UNELEVATE_6458 -> Brak pliku Task: {515690B6-4A4F-4AE2-8320-5FA6CCA1C174} - \ASUS Live Update -> Brak pliku Task: {5AE1DDAB-A114-430F-88D0-B0F28E8A6566} - \SPDriver -> Brak pliku Task: {63F8A5F6-057E-42FA-8133-AA8DDC81BFDC} - \GU5SkipUAC -> Brak pliku Task: {662D8428-7902-4E7B-B544-8B422859FDB8} - \ATKOSD2 -> Brak pliku Task: {66FB1837-EA23-43ED-A77F-F4F4E6A8DF04} - \GoogleUpdateTaskUserS-1-5-21-3016735420-2418766297-4074838235-1001Core -> Brak pliku Task: {6AA78693-E4CF-4FF2-8AB4-61B3A957FFE0} - \Adobe Flash Player PPAPI Notifier -> Brak pliku Task: {74023AF6-166B-479B-B9DF-0D8D1CCDC6BC} - \UNELEVATE_22757 -> Brak pliku Task: {764632BC-0CE4-4141-8FC7-503371D4E952} - \{E3DC8CF9-D1C3-40BB-ACBB-31B635721A8B} -> Brak pliku Task: {77F9F041-F0CC-4D4D-B449-D92BDAFD0912} - \9FQKUiTFJZq2c -> Brak pliku Task: {7926F8E0-9104-4BBB-A727-2ED52643F9B2} - \ACMON -> Brak pliku Task: {7A24C1FD-75CF-42A7-972A-302758FEF6BD} - \UNELEVATE_11342 -> Brak pliku Task: {7A590455-3708-4A8E-8400-0D3C7718D344} - System32\Tasks\Lenovo\REACHit Agent Startup => C:\Program Files (x86)\Lenovo\REACHit\webAgent.exe [2015-11-11] (Lenovo) Task: {7C09204D-42C5-4835-8485-1BDAFACEEEA0} - \Power Suite (Tray) -> Brak pliku Task: {82E47E80-10AE-4626-82A5-C789CB5BD448} - \{4E0FEBBA-815B-4229-A96A-3918EF1A1795} -> Brak pliku Task: {833DF694-5D7C-4505-AA84-E368FEC89E51} - System32\Tasks\Lenovo\REACHit Agent Update => C:\Program Files (x86)\Lenovo\REACHit\webAgent.exe [2015-11-11] (Lenovo) Task: {835D8750-FAB9-4D80-980C-C648EA78867F} - \GlaryInitialize 5 -> Brak pliku Task: {966E34B4-EB19-455D-BC99-60D901AAE106} - \{ABCF87D1-6CE4-4DEE-83B7-AA787071EE00} -> Brak pliku Task: {96C951A7-E52B-4CFF-824B-C66EB4637EC5} - \UNELEVATE_23358 -> Brak pliku Task: {97057667-BEA4-410F-8EC6-0B73C0D6579B} - System32\Tasks\SpyHunter4Startup => C:\Program Files (x86)\Enigma Software Group\SpyHunter\Spyhunter4.exe [2015-11-16] (Enigma Software Group USA, LLC.) Task: {984F0DAE-5BAF-49D7-B287-82CE763EC803} - \Express Files Updater -> Brak pliku Task: {98605A44-74FD-4534-A38C-F32E7721F982} - \UNELEVATE_28472 -> Brak pliku Task: {A103F5E9-CCB1-40DF-8530-CBC5324FF3A7} - \ShopperPro -> Brak pliku Task: {B28EDC1D-81A2-4FC4-8C4F-523C7179E74F} - \UNELEVATE_313 -> Brak pliku Task: {BBEC7BAE-E64E-4E4C-811E-F16DD941346E} - \{E49CA24D-D676-4539-A5BE-CAFA49EB51F7} -> Brak pliku Task: {BF4ADC8B-FBD4-43E1-B2C2-197103165E5D} - \AIRecoveryRemind -> Brak pliku Task: {C27C36B2-B43F-42BD-8C6C-EAD90F4B8AC6} - \Power Suite -> Brak pliku Task: {C54E8804-E701-4877-B3D3-F8795049A89A} - \{525A8600-36D7-4469-8764-1D9A9523ECBD} -> Brak pliku Task: {C8F469FB-BDAC-4581-B8D7-9EA9FCB5FCF5} - \Ad-Aware Update (Weekly) -> Brak pliku Task: {CA734BA7-3E0E-4E4E-B5F3-4E69F9B0EFD3} - \{107AD150-7D1B-41D2-BFBB-955ABA28CDC4} -> Brak pliku Task: {CB8AFB33-A277-4C25-963B-93B85FB8B7D6} - \ShopperProJSUpd -> Brak pliku Task: {CD1BA5BA-30FA-49BE-AF6D-5FC764C9B25B} - \{C2CB8043-996D-4B6B-9EFF-8153A4058B4A} -> Brak pliku Task: {D4BDA05B-64FC-4A95-A1E8-6135563F1AD6} - \{44E92175-B056-4F78-83A3-35D9BC01ABBF} -> Brak pliku Task: {D4D60E61-1E5B-45E6-92D9-C96C02830A07} - \{DC8CE916-DEB4-4228-8EFB-D5C8DC632C73} -> Brak pliku Task: {D9E1766A-AADB-45B3-B99A-C353F9EFC7A8} - \UNELEVATE_22816 -> Brak pliku Task: {DDC4AA6D-FAE8-4B9E-9C6D-84F972ECE290} - \GoogleUpdateTaskMachineUA -> Brak pliku Task: {E0F469B9-FA82-4F72-9D93-50426AEE52CD} - \{C8777952-7DDB-4F94-A709-0611B9931235} -> Brak pliku Task: {E18481FF-51FF-470D-AD0C-19A5E3DE8A2C} - \SPBIW_UpdateTask_Time_333239353339313335332d372d55324157505a57454a2a -> Brak pliku Task: {E1C0526A-0BD4-40B0-8635-348874B2CA46} - \GoogleUpdateTaskUserS-1-5-21-3016735420-2418766297-4074838235-1001UA -> Brak pliku Task: {E27ADE0F-E00B-4A3D-9834-9519C7954F8C} - \UNELEVATE_28077 -> Brak pliku Task: {FA427439-357D-4BCA-98A3-37C27C07AE7D} - \WINshell Event Logging -> Brak pliku Task: {FA54B1F3-7BB1-41AE-9BE1-A909A530C52F} - \{1CC15E2E-7D44-4660-8E4F-C8A381605AE7} -> Brak pliku Task: C:\Windows\Tasks\Ad-Aware Update (Weekly).job => C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe Task: C:\Windows\Tasks\Power Suite (Tray).job => C:\Program Files (x86)\simplitec\simplisafe\ServiceProvider.exe Task: C:\Windows\Tasks\Power Suite.job => C:\Program Files (x86)\simplitec\simplisafe\PowerSuite.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HomePage: Default -> hxxp://www.search.ask.com/?gct=hp CHR DefaultSearchURL: Default -> hxxp://www.mystartsearch.com/web/?type=ds&ts=1447250783&z=654dbad2831d6e6a6d4e99cg8zezbmao9wce0m6b8c&from=cornl&uid=wdcxwd6400bpvt-80hxzt3_wd-wxk1a712279522795&q={searchTerms} CHR DefaultSearchKeyword: Default -> mystartsearch HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = SearchScopes: HKU\S-1-5-21-3016735420-2418766297-4074838235-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: iWebar -> {11111111-1111-1111-1111-110611511123} -> C:\Program Files (x86)\iWebar\iWebar-bho64.dll => Brak pliku BHO: Brak nazwy -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> Brak pliku BHO-x32: Brak nazwy -> {11111111-1111-1111-1111-110611511123} -> Brak pliku CustomCLSID: HKU\S-1-5-21-3016735420-2418766297-4074838235-1001_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Nikodem\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3016735420-2418766297-4074838235-1001_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Nikodem\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3016735420-2418766297-4074838235-1001_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Nikodem\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3016735420-2418766297-4074838235-1001_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Nikodem\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3016735420-2418766297-4074838235-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Nikodem\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku AlternateDataStreams: C:\Users\Nikodem\Local Settings:init C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\TabTip_32.exe C:\Users\Nikodem\AppData\Local\jurop.txt C:\Users\Nikodem\AppData\Local\Kosong.Bron.Tok.txt.ccc C:\Users\Nikodem\AppData\Local\Google\Chrome\User Data\Default\Web Data C:\Users\Nikodem\Downloads\Setup_WinThruster_2015.exe C:\Users\Nikodem\Downloads\SpyHunter*.* C:\Windows\system32\roboot64.exe C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 Folder: C:\Device RemoveDirectory: C:\Program Files (x86)\AVG RemoveDirectory: C:\Program Files (x86)\Elex-tech RemoveDirectory: C:\Program Files (x86)\Opera RemoveDirectory: C:\Program Files (x86)\RayDld RemoveDirectory: C:\ProgramData\{01BD4FC9-2F86-4706-A62E-774BB7E9D308} RemoveDirectory: C:\ProgramData\{83C91755-2546-441D-AC40-9A6B4B860800} RemoveDirectory: C:\ProgramData\AVG RemoveDirectory: C:\ProgramData\Babylon RemoveDirectory: C:\ProgramData\Baidu RemoveDirectory: C:\ProgramData\GG RemoveDirectory: C:\ProgramData\lWMiniProl RemoveDirectory: C:\ProgramData\McAfee RemoveDirectory: C:\ProgramData\MFAData RemoveDirectory: C:\ProgramData\Orbit RemoveDirectory: C:\ProgramData\simplitec RemoveDirectory: C:\ProgramData\Temp RemoveDirectory: C:\Users\Nikodem\AppData\Local\AVG RemoveDirectory: C:\Users\Nikodem\AppData\Local\AvgSetupLog RemoveDirectory: C:\Users\Nikodem\AppData\Local\Babylon RemoveDirectory: C:\Users\Nikodem\AppData\Local\CrashDumps RemoveDirectory: C:\Users\Nikodem\AppData\Local\CrashRpt RemoveDirectory: C:\Users\Nikodem\AppData\Local\evUk7tbKFSrbi2N RemoveDirectory: C:\Users\Nikodem\AppData\Local\GG RemoveDirectory: C:\Users\Nikodem\AppData\Local\globalUpdate RemoveDirectory: C:\Users\Nikodem\AppData\Local\MFAData RemoveDirectory: C:\Users\Nikodem\AppData\Local\Opera Software RemoveDirectory: C:\Users\Nikodem\AppData\Local\Temp{64B4B5F7-A5AE-4BE0-AB3F-5492C4576BBF} RemoveDirectory: C:\Users\Nikodem\AppData\Local\WorldofTanks RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\AVG RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\eCyber RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\Elex-tech RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\GG RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\GoldenGate RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\Opera Software RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\Solvusoft RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\WinZipper RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\WorldofTanks RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GoodGameEmpire RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder RemoveDirectory: C:\Users\Nikodem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks RemoveDirectory: C:\Users\Nikodem\Doctor Web RemoveDirectory: C:\Users\Public\Documents\Baidu RemoveDirectory: C:\Users\Public\Documents\GOOBZO RemoveDirectory: C:\Users\Public\Documents\YTAHelper RemoveDirectory: C:\Windows\AF54923662584AC6A0435B5B89C6EB61.TMP RemoveDirectory: C:\Windows\System32\Tasks\Lenovo Reg: reg delete HKLM\SOFTWARE\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset CMD: for /d %f in (C:\Users\Nikodem\AppData\Local\{*}) do rd /s /q "%f" CMD: for /d %f in (C:\Users\Chantal\AppData\Local\*bron*) do rd /s /q "%f" CMD: attrib -r -h -s C:\howto_recover_file_* /s CMD: attrib -r -h -s C:\HOWTO_RESTORE_FILES* /s CMD: attrib -r -h -s D:\howto_recover_file_* /s CMD: attrib -r -h -s D:\HOWTO_RESTORE_FILES* /s CMD: del /q /s C:\howto_recover_file_* CMD: del /q /s C:\HOWTO_RESTORE_FILES* CMD: del /q /s D:\howto_recover_file_* CMD: del /q /s D:\HOWTO_RESTORE_FILES* Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Deinstalacje adware, starych wersji, zbędników (w tym integracji firmowych ASUS): ----> Via Panel sterowania: Ad-Aware, Adobe AIR, Adobe Flash Player 18 ActiveX, Adobe Flash Player 18 NPAPI, Adobe Flash Player 18 PPAPI, Apple Software Update, AsusVibe2.0, ASUS WebStorage, Bing Bar, Bonjour, GoodGameEmpire (adware), Google Toolbar for Internet Explorer, Java 8 Update 25, Mozilla Firefox 33.0.2 (x86 pl) + Mozilla Maintenance Service, Panda Security Toolbar, Picexa (adware), REACHit (program Lenovo, ale instalowany metodą niepożądaną z innymi adware), Safari, SpyHunter (lewy skaner), Trend Micro Titanium Internet Security, Visual Studio 2012 x64 Redistributables, Visual Studio 2012 x86 Redistributables, WarThunder (adware udające grę, prawdziwe wejście to War Thunder Launcher 1.0.1.542), Update for PriceFountain (adware) oraz wszystkie programy Windows Live (o ile nie korzystasz, lista aplikacji poniżej). „Windows Live Mesh ActiveX“ nuotolinių ryšių valdiklis (HKLM-x32\...\{9024FE65-46B8-4C8A-9D98-8DCB6BD5F598}) (Version: 15.4.5722.2 - Microsoft Corporation) ActiveX контрола на Windows Live Mesh за отдалечени връзки (HKLM-x32\...\{B3BA4D1C-23EF-4859-9C11-1B2CCB7FADBB}) (Version: 15.4.5722.2 - Microsoft Corporation) Control ActiveX Windows Live Mesh pentru conexiuni la distanță (HKLM-x32\...\{260E3D78-94E6-47EC-8E29-46301572BB1E}) (Version: 15.4.5722.2 - Microsoft Corporation) Formant ActiveX programu Windows Live Mesh odpowiedzialny za obsługę połączeń zdalnych (HKLM-x32\...\{B04A0E2F-1E4C-4E61-B18E-3B2BD6779CA7}) (Version: 15.4.5722.2 - Microsoft Corporation) Kontrola Windows Live Mesh ActiveX za daljinske veze (HKLM-x32\...\{19CBDE24-2761-49A5-816B-D2BA65D0CA8D}) (Version: 15.4.5722.2 - Microsoft Corporation) Kontrolnik Windows Live Mesh ActiveX za oddaljene povezave (HKLM-x32\...\{CA227A9D-09BE-4BFB-9764-48FED2DA5454}) (Version: 15.4.5722.2 - Microsoft Corporation) Ovládací prvek ActiveX platformy Windows Live Mesh pro vzdálená připojení (HKLM-x32\...\{B6190387-0036-4BEB-8D74-A0AFC5F14706}) (Version: 15.4.5722.2 - Microsoft Corporation) Ovládací prvok ActiveX programu Windows Live Mesh pre vzdialené pripojenia (HKLM-x32\...\{C2FD7DB5-FE30-49B6-8A2F-C5652E053C31}) (Version: 15.4.5722.2 - Microsoft Corporation) Windows Live Essentials (HKLM-x32\...\WinLiveSuite) (Version: 15.4.3508.1109 - Microsoft Corporation) Windows Live Mesh ActiveX Control for Remote Connections (HKLM-x32\...\{2902F983-B4C1-44BA-B85D-5C6D52E2C441}) (Version: 15.4.5722.2 - Microsoft Corporation) Windows Live Mesh ActiveX kontrola za daljinske veze (HKLM-x32\...\{8985AE5E-622A-4980-8BF8-0A1830643220}) (Version: 15.4.5722.2 - Microsoft Corporation) Windows Live Mesh ActiveX vadīkla attālajiem savienojumiem (HKLM-x32\...\{A3A775C9-5A63-4C55-8FDD-427A5B8F5D2B}) (Version: 15.4.5722.2 - Microsoft Corporation) Windows Live Mesh ActiveX-i juhtelement kaugühendustele (HKLM-x32\...\{216ACEC1-4556-4717-A8DE-3F7F5F9C6F63}) (Version: 15.4.5722.2 - Microsoft Corporation) Windows Live Mesh ActiveX-vezérlő távoli kapcsolatokhoz (HKLM-x32\...\{6E29C4F7-C2C2-4B18-A15C-E09B92065F15}) (Version: 15.4.5722.2 - Microsoft Corporation) Proponuję też od razu odinstalować wszystkie inne nieużywane programy. Instalacje nowych wersji potem, będzie jeszcze czyszczenie folderów, by ograniczyć ilość zaszyfrowanych plików na dysku. ----> Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowe ukryte wpisy AVG 2016, FMW 1, Metric Collection SDK > Dalej. Program nie umożliwia akcji hurtowej, więc należy go uruchomić tyle razy ile jest wejść do usunięcia. ----> Wejdź w Tryb awaryjny i zastosuj AVG Remover. Po akcji opuść Tryb awaryjny. 3. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pola Addition i Shortcut (poprzednio ten drugi nie został dostarczony). Dołącz też plik fixlog.txt. Plik ten będzie potężny, więc shostuj go gdzieś i podaj link do niego.

Ten system także nie nie wygląda na system "po przejściach": nie ma widocznych żadnych śladów tej infekcji ani zaszyfrowanych kopii plików, brak ubytków wejść w Shortcut.txt kierujących na pliki podlegające szyfrowaniu (np. TXT), plus ilość odświeżonych folderów jest niska. To nie jest dowód na 100%, ale jednak systemy zaprawione przez infekcję szyfrującą wykazują pewne widoczne cechy, jak choćby masowe odświeżenie folderów w których wystąpiło szyfrowanie oraz większe ubytki w Shortcut.txt. W podsumowaniu: trudno dojść który komputer był źródłem. Mógł to być dowolny komputer do którego podpięto kartę, inny niż jest typowane, a efekt zaszyfrowania mógł być po prostu po raz pierwszy ujrzany przy podłączeniu do komputera teściowej. PS. Na tym systemie: 1. Definitywnie odinstaluj SpyHunter. Niby jest punkt Przywracania opisujący akcję "Removed SpyHunter", ale program nadal jest na liście zainstalowanych, widać też sterowniki programu. Czy jest jakiś problem z deinstalacją? 2. W IE i Operze jest ustawiona strona startowa gazeta.pl. Mam podejrzenie, że był to sponsorowany wtręt instalacji AllPlayer. Jeśli nie ustawiano samodzielnie tych stron, w opcjach przeglądarek je przekonfiguruj. 3. Następnie możesz wykonać skrypt kosmetyczny usuwający wpisy szczątkowe i czyszczący Tempy. Do Notatnika wklej: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => Brak pliku ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => Brak pliku ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku R3 QDrive; \??\C:\Users\T7267~1.SWA\AppData\Local\Temp\QDrive.sys [X] DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\OLBPre DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird C:\Windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Poprawki. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 wfdrvr_vt_1_10_0_28; system32\drivers\wfdrvr_vt_1_10_0_28.sys [X] Task: {CF7440D4-AE70-4BD5-BBDF-9AD37A2F820C} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo HKU\S-1-5-21-3925026996-4144219266-2681495567-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki FF Homepage: hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-07-21] RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files (x86)\Lenovo RemoveDirectory: C:\Users\Ola\REACHit RemoveDirectory: C:\Users\Ola\AppData\Local\Lenovo RemoveDirectory: C:\Windows\System32\Tasks\Lenovo EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik. Nowe logi FRST nie są mi potrzebne.

Adware przekonwertowało przeglądarkę Google Chrome z wersji stabilnej do tzw. developerskiej i konieczna reinstalacja przeglądarki od zera. Prócz tego, różne odpadki adware (konsekwencja niepoprawnego usuwania adware) i wpisy puste do zaadresowania. A ten skrót "Internet Explorer (No Add-ons)" na Pulpicie jest bezużyteczny w kontekście tego jaką ma nazwę, to na pewno nie jest skrót uruchamiający IE w trybie bez dodatków, nie ma stosownego parametru to inicjującego. Prawidłowy skrót wykonujący tę akcję jest w Menu Start. Akcje do przeprowadzenia: 1. Odinstaluj stare wersje OpenOffice.org 3.3, Spybot - Search & Destroy. Akcje tyczące Google Chrome: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Na razie nie instaluj przeglądarki ponownie, gdyż punkt poniżej będzie adresował usuwanie elementów Google. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {071F554D-6BA7-47BD-B469-20978C13A2C7} - \f02871e8-1d4d-4053-b361-e27d28661e7c-3 -> No File Task: {095234CB-069D-4258-AB48-8FCA94F83CF3} - \f02871e8-1d4d-4053-b361-e27d28661e7c-11 -> No File Task: {10C2A798-E50C-4310-8E25-9E12DCF7ED1A} - \98e9b698-514f-48af-afce-62c74ba389aa-11 -> No File Task: {164C9947-84C6-49F2-8649-4207EEE6814B} - \a7774075-6ee7-4842-9cfd-e995af862dfe-3 -> No File Task: {16B43CA7-B411-4B56-A6A5-4F3B8371E67F} - \f02871e8-1d4d-4053-b361-e27d28661e7c-5 -> No File Task: {1E537C1F-9668-4AAD-A4BF-9969F64690DC} - \DigitalSite -> No File Task: {21C1D51E-E8A8-4981-B023-BC3E5FEF2828} - \4eec58ff-20e1-4867-b762-b0d9d8f1d4af-1 -> No File Task: {223319CD-59C6-4A10-97B2-72B205ED9403} - \4eec58ff-20e1-4867-b762-b0d9d8f1d4af-7 -> No File Task: {2438526A-E7B7-4CFE-9E3B-D3715ADB5CFF} - System32\Tasks\{95A5BA61-6A06-4342-B86E-F0B5A5EF7619} => pcalua.exe -a "C:\Program Files (x86)\Crash Bandicoot 3D Racing\Crash Bandicoot 3D Racing.exe" -c /s /n /i:"ExecuteCommands;UninstallCommands" "" Task: {2EDA471B-2B5E-402C-8164-6F529E5048C0} - System32\Tasks\{6EF70FD3-1456-410D-949D-EFB37DB2C369} => pcalua.exe -a C:\Users\User\Downloads\MinecraftZyczu.exe -d C:\Users\User\Downloads Task: {3038F4C6-868B-4F09-8334-537FF1D4F6BB} - \a7774075-6ee7-4842-9cfd-e995af862dfe-5 -> No File Task: {3915227F-0566-4513-831C-C32AA2C4DF8F} - \a7774075-6ee7-4842-9cfd-e995af862dfe-5_user -> No File Task: {392B5B4D-0ECD-4173-9DFF-285FAD772FC0} - \APSnotifierPP3 -> No File Task: {3A3E1169-14D2-4EED-B48F-6C093A233DF2} - \f02871e8-1d4d-4053-b361-e27d28661e7c-6 -> No File Task: {3C22B29F-7D7E-4D92-89DF-3AFEA4E910D0} - \4eec58ff-20e1-4867-b762-b0d9d8f1d4af-5 -> No File Task: {482AE8E3-FAE7-4E46-89C3-F5A62B9557E6} - \98e9b698-514f-48af-afce-62c74ba389aa-5_user -> No File Task: {4A5B4676-7587-4D94-A778-E43AEAECB2EF} - \globalUpdateUpdateTaskMachineCore -> No File Task: {4C37DD1B-6F40-4AA7-A066-70AA02920D12} - \APSnotifierPP1 -> No File Task: {539DAB4E-A601-4E9B-AFE4-4D3482CA6A7F} - \98e9b698-514f-48af-afce-62c74ba389aa-7 -> No File Task: {5D7B3D99-88BC-400D-BE00-1D5C73C21D83} - \Super Optimizer Schedule -> No File Task: {5E47DC9A-F26F-4CD5-ACAA-0CE8ECB31637} - \RegClean Pro -> No File Task: {67CD2993-B0D0-4BBB-AF4D-5352FAE5CC32} - \4eec58ff-20e1-4867-b762-b0d9d8f1d4af-11 -> No File Task: {6AFE968C-B469-4DFF-862F-E6FFEBCF776B} - \globalUpdateUpdateTaskMachineUA -> No File Task: {6B873DF5-CABE-4532-9866-E47DCA8F66CB} - \f02871e8-1d4d-4053-b361-e27d28661e7c-1 -> No File Task: {733A2A60-B201-4E43-95C9-514B629A4BFF} - \a7774075-6ee7-4842-9cfd-e995af862dfe-7 -> No File Task: {7D3172DE-D0C9-4855-ACAB-AA1553C87B88} - \SMupdate1 -> No File Task: {7F65A0C7-29DE-4BD8-9067-8260260A5CAE} - \a7774075-6ee7-4842-9cfd-e995af862dfe-4 -> No File Task: {82DC41CE-88E3-47F9-9FF0-915EEF81F06E} - System32\Tasks\c802dce0-09df-40b7-8f4d-1ca8081da1f4 => C:\Program Files (x86)\Sense\a7774075-6ee7-4842-9cfd-e995af862dfe-4.exe Task: {9611EF3D-B398-40DE-BAD5-EC56FF8F8568} - \98e9b698-514f-48af-afce-62c74ba389aa-6 -> No File Task: {A14EFBBB-FFFA-4BA4-A200-2368A32C98CF} - System32\Tasks\winmgr112.exe => C:\Users\User\AppData\Roaming\Windows\winmgr112.exe Task: {AB839E89-77E4-4047-B837-25BD65E84CC0} - System32\Tasks\772806ea-7cee-4173-ace9-9e556fd1ced8 => C:\Program Files (x86)\Object Browser\4eec58ff-20e1-4867-b762-b0d9d8f1d4af-4.exe Task: {B5785CEE-B251-47DB-B603-E568FF276ED9} - \4eec58ff-20e1-4867-b762-b0d9d8f1d4af-5_user -> No File Task: {B9882E70-9283-4607-8A4B-A0290A2A12D1} - \APSnotifierPP2 -> No File Task: {BB080D35-B034-4B07-BD92-4A8B5F3E850D} - \f02871e8-1d4d-4053-b361-e27d28661e7c-4 -> No File Task: {C14B573C-27DD-4FA2-A295-4EF6A0276B7C} - \98e9b698-514f-48af-afce-62c74ba389aa-4 -> No File Task: {C2741F8B-72A2-4F6A-B32C-5FE6800850F7} - \f02871e8-1d4d-4053-b361-e27d28661e7c-7 -> No File Task: {C6C2FFCE-BEDC-4904-976A-A5A8399BBE18} - \a7774075-6ee7-4842-9cfd-e995af862dfe-6 -> No File Task: {C819FAED-C52E-42F6-8605-1D882DC121F1} - \98e9b698-514f-48af-afce-62c74ba389aa-5 -> No File Task: {DA5B2DC2-6CB3-4B6E-A916-4DD28D5FD547} - \4eec58ff-20e1-4867-b762-b0d9d8f1d4af-6 -> No File Task: {DCC95725-A6E7-474D-A2D9-A5234F1170A0} - \98e9b698-514f-48af-afce-62c74ba389aa-1 -> No File Task: {E4352736-D7D1-4BC3-975C-CFA42B9E923A} - System32\Tasks\{C463E71F-39BA-435F-8987-C6E783C8FABC} => pcalua.exe -a C:\Users\User\Desktop\dxwebsetup-feb2010.exe -d C:\Users\User\Desktop Task: {E7C273B5-407C-4D31-B04A-B0EF2326BE57} - \f02871e8-1d4d-4053-b361-e27d28661e7c-5_user -> No File Task: {E8C8E6AB-9EAE-48E1-9BDE-E5DB6D98E8E3} - \a7774075-6ee7-4842-9cfd-e995af862dfe-11 -> No File Task: {E9473F60-2CB5-41A3-B87D-1C9F30A970B1} - \4eec58ff-20e1-4867-b762-b0d9d8f1d4af-3 -> No File Task: {E99B7510-75F5-4E12-B985-14C01683C17F} - \a7774075-6ee7-4842-9cfd-e995af862dfe-1 -> No File Task: {EEE32450-E1C8-4709-B038-850DD61D7E40} - \4eec58ff-20e1-4867-b762-b0d9d8f1d4af-4 -> No File Task: C:\Windows\Tasks\772806ea-7cee-4173-ace9-9e556fd1ced8.job => C:\Program Files (x86)\Object Browser\4eec58ff-20e1-4867-b762-b0d9d8f1d4af-4.exe Task: C:\Windows\Tasks\c802dce0-09df-40b7-8f4d-1ca8081da1f4.job => C:\Program Files (x86)\Sense\a7774075-6ee7-4842-9cfd-e995af862dfe-4.exe HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" HKU\S-1-5-21-797153215-895007883-3048408358-1000\...\Winlogon: [shell] C:\Windows\explorer.exe [2871808 2011-02-25] (Microsoft Corporation) GroupPolicy: Restriction - Chrome CHR HKLM\SOFTWARE\Policies\Google: Restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130861155942924767&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130861155943548768&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-797153215-895007883-3048408358-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130861155943548768&GUID=00000000-0000-0000-0000-000000000000 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKU\S-1-5-21-797153215-895007883-3048408358-1000 -> DefaultScope {92E911FC-4F29-44FE-83FA-6BE4A38BAB30} URL = Toolbar: HKU\S-1-5-21-797153215-895007883-3048408358-1000 -> No Name - {77127364-0094-4448-9C29-62EF28F1842F} - No File HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\04441727.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\04441727.sys => ""="Driver" S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] S1 mpjlfegf; \??\C:\Windows\system32\drivers\mpjlfegf.sys [X] C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\spds90.txt C:\Users\User\AppData\Local\Temp.dat C:\Users\User\AppData\Local\Google C:\Users\User\AppData\Local\Mozilla C:\Users\User\AppData\Local\Opera Software C:\Users\User\AppData\Roaming\appdataFr3.bin C:\Users\User\AppData\Roaming\appdataFr25.bin C:\Users\User\AppData\Roaming\DAEMON Tools Lite C:\Users\User\AppData\Roaming\Imminent C:\Users\User\AppData\Roaming\Mozilla C:\Users\User\AppData\Roaming\Opera Software Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\QuickRef_1.10.0.9 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Uruchom narzędzie Fix-it usuwające drobny błąd WMI z Dziennika zdarzeń: KLIK. Notabene, ten błąd jest powiązany z wejściem BVTConsumer KernCap.vbs widzianym w Autoruns. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.

Zasady działu: KLIK. Logi z przestarzałego OTL w ogóle tu nie są brane już pod uwagę, usuwam. Obowiązkowe są raporty z FRST i GMER.

Czy posiadasz raport z tego fatalnego usuwania MBAM? Delta zmodyfikowała skróty LNK przeglądarek, poza tym te przekierowania są także w innych miejscach, a także inne wpisy adware, w tym stare (siedzą w systemie długo). Akcje do przeprowadzenia: 1. Odinstaluj stare wersje Google Talk Plugin (już nie działa), Mozilla Firefox 36.0.1 (x86 pl) + Mozilla Maintenance Service oraz adware WinZipper. Przy deinstalacji Firefox potwierdź usuwanie profilu. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 IhPul; C:\Users\Ola\AppData\Roaming\TSv\TSvr.exe [396944 2015-09-21] () [brak podpisu cyfrowego] S2 SSFK; C:\Program Files\SFK\SSFK.exe [169632 2015-10-10] () [brak podpisu cyfrowego] CHR StartupUrls: Default -> "hxxp://www.delta-homes.com/?type=hp&ts=1444888779&z=0b4ed9b4bf336c6d20eefbfgez2z7zcbebab0mcb9e&from=wpm07163&uid=SAMSUNGXHM500JI_S1WFJDQB169647" CHR DefaultSearchURL: Default -> hxxp://search.delta-homes.com/web/?type=ds&ts=1444888779&z=0b4ed9b4bf336c6d20eefbfgez2z7zcbebab0mcb9e&from=wpm07163&uid=SAMSUNGXHM500JI_S1WFJDQB169647&q={searchTerms} CHR DefaultSearchKeyword: Default -> delta-homes CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswwebrepchrome-sp.crx [2014-08-05] CHR HKLM\...\Chrome\Extension: [nikmkgpjeihnepknifcebifbohdpffpd] - C:\ProgramData\Download and Sa\nikmkgpjeihnepknifcebifbohdpffpd.crx ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.delta-homes.com/?type=sc&ts=1444888779&z=0b4ed9b4bf336c6d20eefbfgez2z7zcbebab0mcb9e&from=wpm07163&uid=SAMSUNGXHM500JI_S1WFJDQB169647 ShortcutWithArgument: C:\Users\Ola\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.delta-homes.com/?type=sc&ts=1444888779&z=0b4ed9b4bf336c6d20eefbfgez2z7zcbebab0mcb9e&from=wpm07163&uid=SAMSUNGXHM500JI_S1WFJDQB169647 StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mystartsearch.com/?type=sc&ts=1443884345&z=95cf90031fbd607c4a146a0g4z9z9c6b2bdz6g0cft&from=cor&uid=SAMSUNGXHM500JI_S1WFJDQB169647 SearchScopes: HKU\S-1-5-21-3877172286-2488451200-970165979-1001 -> {EAFA9815-F96B-43B5-B101-D761F609AF11} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=962A2C64-9BE8-425D-A0D8-3011B17CCDFB&apn_sauid=EC73B801-C34C-483A-9C2B-4D96392D9EF4 BHO: Download and Sa Class -> {447E1BB6-F53D-4DED-E0E9-78C1D5BA6C97} -> C:\ProgramData\Download and Sa\5074534c3e5d0.ocx [2012-10-09] () CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.21.135\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.25.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.27.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.23.9\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.28.1\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.21.145\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.21.153\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.28.13\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.24.15\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{91EFB276-CEFE-48EC-BB3A-57795A7B4008}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.21.149\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.22.3\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.21.165\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.26.9\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.25.11\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Ola\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{EB06378B-ABB6-4B3C-9B40-D488DD8A6E93}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.22.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3877172286-2488451200-970165979-1001_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Ola\AppData\Local\Google\Update\1.3.24.7\psuser.dll => Brak pliku Task: {4F638F95-7D44-43D1-9FD1-6CAAED0664C2} - System32\Tasks\{D6575633-5425-409A-8E47-6539EA27BC88} => Firefox.exe hxxp://ui.skype.com/ui/0/6.7.0.102/pl/abandoninstall?source=lightinstaller&page=tsPlugin Task: {5273AE30-7F7E-42EC-B862-F90690B33878} - System32\Tasks\{A136471A-D067-434A-A6EC-4B95B0D86EB2} => Firefox.exe hxxp://ui.skype.com/ui/0/6.7.0.102/pl/abandoninstall?source=lightinstaller&page=tsPlugin Task: {6C2E2AE3-480E-4353-AE42-F76C2A3D18D8} - System32\Tasks\OptimizerPro1UpdaterTask{A9F44490-1D6A-41D5-8831-F641AB79A64E} => C:\ProgramData\Premium\OptimizerPro1\OptimizerPro1.exe Task: {D82E2941-06B9-4224-B8FB-477BA200A819} - System32\Tasks\{790B949C-7018-47E1-B3F4-6A2CC98113CF} => Firefox.exe hxxp://ui.skype.com/ui/0/7.2.0.103/pl/go/help.faq.installer?LastError=1618 Task: {E36F9550-0BAA-4565-B3DD-694A00845B4D} - System32\Tasks\OptimizerPro1UpdaterTask{77ABE891-F547-4940-9205-BFDA150FB2B0} => C:\ProgramData\Premium\OptimizerPro1\OptimizerPro1.exe Task: {FBF5D2E7-59C8-4E77-849B-3903283CA6D5} - System32\Tasks\{D0F06346-ECBD-4EF2-8833-7CACEEA34C10} => Firefox.exe hxxp://ui.skype.com/ui/0/7.2.0.103/pl/go/help.faq.installer?LastError=1618= Task: C:\Windows\Tasks\OptimizerPro1UpdaterTask{77ABE891-F547-4940-9205-BFDA150FB2B0}.job => C:\ProgramData\Premium\OptimizerPro1\OptimizerPro1.exeJ/schedule /profilepath C:\ProgramData\Premium\OptimizerPro1\profile.ini Task: C:\Windows\Tasks\OptimizerPro1UpdaterTask{A9F44490-1D6A-41D5-8831-F641AB79A64E}.job => C:\ProgramData\Premium\OptimizerPro1\OptimizerPro1.exeJ/schedule /profilepath C:\ProgramData\Premium\OptimizerPro1\profile.ini C:\Program Files\Elex-tech C:\Program Files\SFK C:\Program Files\WinZipper C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\2WdsManPro2 C:\ProgramData\Download and Sa C:\ProgramData\Premium C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Soulseek NS C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZipper C:\Users\Ola\AppData\Roaming\eCyber C:\Users\Ola\AppData\Roaming\Elex-tech C:\Users\Ola\AppData\Roaming\TSv C:\Users\Ola\AppData\Roaming\WinZipper C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\system32\Drivers\asw*.tmp Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnUpdater" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\googletalk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Optimizer Pro" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ROC_roc_ssl_v12" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vProt" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Zune Launcher" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition i Shortcut. Dołącz też plik fixlog.txt.

Przeanalizowałam foldery Google i nic oczywistego nie widzę. Pliki DLL i zasobów nie wyglądają na naruszone, a w profilu nie mogę się doszukać motora tych przekierowań, choć podejrzewam, że odpowiada za to jedno z zainstalowanych rozszerzeń, pomimo że teoretycznie wszystkie są hostowane w Chrome Web Store. I są pewne zastanawiające punkty: - Chrome jest tu w starszej wersji niż dostępna i nie zaktualizowało się automatycznie, pomimo obecności zadań Google w Harmonogramie. To jest podejrzane. - Chrome jest tu zainstalowane w trybie "per user". Normalnie jest wymuszana globalna instalacja, chyba że na dialogu UAC padnie odmowa, co powoduje pytanie o instalację bez uprawnień administratora. - W profilu Chrome siedzą różne stare rozszerzenia, niektóre nie są aktualizowane od dawna i nie mam pewności czy to Twój wybór, że taki zestaw nadal jest zainstalowany, czy może wynik tego że masz czynną synchronizację z serwerem Google (przywraca z serwera ustawienia profilu). Skoro są przekierowania, to wykonaj kilka testów definiujących czy są one orientowane na profil, czy działają niezależnie od profilu: - W menu Ustawienia > Ustawienia > Osoby > utwórz nowy testowy profil > uruchom nowy profil i podaj czy nadal widzisz przekierowania. Jeśli nie: - Wróć na stary profil i wyłączaj po jednym rozszerzeniu na raz + restart przeglądarki, aż wyłowisz który element jest przyczyną.

1. Mówiłam o resecie Firefox, postąpiłeś inaczej i go odinstalowałeś, co i tak nie zmieniło postaci rzeczy. Pozostał na dysku cały profil Firefox z adware. Uprzątnięciem tego zajmę się później. 2. Ta modyfikacja w Google Chrome nie jest wykrywana w logach. Dostarcz do ręcznej analizy dane. Skopiuj na Pulpit poniższe foldery: C:\Program Files (x86)\Google\Chrome C:\Users\Użytkownik\AppData\Local\Google\Chrome Spakuj do ZIP, shostuj gdzieś paczkę i na PW dostarcz link.

Loftfield, proszę przeczytaj zasady działu kiedy odpowiedź jest udzielana. Odpowiem, gdy będę w stanie. A posty nabite w serii zostały sklejone. EDIT: Raporty mówią, że infekcja nie jest czynna, została już czymś usuniętra. Jedyne co ewentualnie w mojej gestii jest, to usunięcie masowo dodanych plików howto_recover_file_* oraz inne korekty spoza zagadnienia tej infekcji, jednak nadal pozostanie problem uszkodzeń programów i Windows (braki plików występujących w wersjach zaszyfrowanych) oraz oczywiście osobiste dane w stanie zaszyfrowanym. Decyduj czy mam się tego podjąć, czy stawiasz na format dysku C.

Akcje do przeprowadzenia: 1. Deinstalacje: - Przez Panel sterowania odinstaluj starszą wersję Java 8 Update 45. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis adware globalupdate Helper > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-1372155535-1573679487-2427515968-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130923111196016937&GUID=00000000-0000-0000-0000-000000000000 SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-1372155535-1573679487-2427515968-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-1372155535-1573679487-2427515968-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 ShellExecuteHooks-x32: - {B5A7F190-DDA6-4420-B3BA-52453494E6CD} - Brak pliku [ ] ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => Brak pliku ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 1 (GFS Unread Stub)] -> {99FD978C-D287-4F50-827F-B2C658EDA8E7} => Brak pliku ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 2 (GFS Stub)] -> {AB5C5600-7E6E-4B06-9197-9ECEF74D31CC} => Brak pliku ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 2.5 (GFS Unread Folder)] -> {920E6DB1-9907-4370-B3A0-BAFC03D81399} => Brak pliku ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 3 (GFS Folder)] -> {16F3DD56-1AF5-4347-846D-7C10C4192619} => Brak pliku ShellIconOverlayIdentifiers-x32: [Groove Explorer Icon Overlay 4 (GFS Unread Mark)] -> {2916C86E-86A6-43FE-8112-43ABE6BF8DCC} => Brak pliku FF Plugin-x32: @google.com/npPicasa3,version=3.0.0 -> C:\Program Files (x86)\Google\Picasa3\npPicasa3.dll [brak pliku] FF Plugin HKU\S-1-5-21-1372155535-1573679487-2427515968-1000: ubisoft.com/uplaypc -> C:\Program Files (x86)\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll [brak pliku] HKLM\...\Run: [VIAxHCUtl] => C:\Program Files\VIA XHCI UASP Utility\usb3Monitor HKU\S-1-5-21-1372155535-1573679487-2427515968-1000\...\Run: [spol] => http://www.toya.net.pl/~spol/site/index.htm Startup: C:\Users\Użytkownik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\7A74.lnk [2015-03-15] Task: {333BADE7-3758-40EA-B1CD-56CFE3203D87} - System32\Tasks\{CEEA4540-C955-4A48-9CF5-1105B20337DF} => D:\Downloads\powerpoint\setup.exe Task: {3DF53271-EB28-4586-ADA5-E72F1A319421} - System32\Tasks\{E39508FF-E83A-4AC7-88C1-BC97A2E73FA0} => D:\Downloads\The Sims 4 (Origin) PC full game + DLC ^^nosTEAM^^\Sims4-Origins-nosTEAM.part1.exe Task: {66D65D02-F263-43F3-9DBA-993ACE291C3F} - System32\Tasks\fun4u_notification_service => C:\Program Files (x86)\fun4u\fun4u_notification_service.exe Task: {687CA7BA-8AAB-409F-8C5D-C53BCDFA5BFC} - System32\Tasks\{0640B752-2DB5-4491-9185-1F852DE06B37} => pcalua.exe -a C:\Users\Użytkownik\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor Task: {75A0D18C-E711-4AEB-BC36-2B7D24E85D70} - System32\Tasks\3cbe22f7-961e-437d-9efc-d36f6fc91279 => C:\Program Files (x86)\HD+v2.1\671f96b9-d4df-4985-b3e8-cfc4c17dabea-4.exe Task: {7F161D23-5628-4834-8750-E4A90C6908C6} - System32\Tasks\{31FC6AEE-C0D3-4444-AFCF-FD58CBF6FC5A} => pcalua.exe -a C:\Users\Użytkownik\AppData\Local\Temp\Temp1_AdobePhotoshop10pl_PL_www.INSTALKI.pl.zip\pl_PL\20070503.t4ce.089\Retail\Setup.exe Task: {9024F296-8D28-4156-80A2-FA0F87434EEB} - System32\Tasks\fun4u_updating_service => C:\Program Files (x86)\fun4u\fun4u_updating_service.exe Task: {90E02E87-C5D7-436C-B12E-3DAD12ADB252} - System32\Tasks\{1EAF0B47-444A-4720-AD7C-31C5CD202256} => C:\Program Files (x86)\Maxis\SimCity 4 Deluxe\Apps\SimCity 4.exe Task: {B0B5F124-9DD1-4673-B6D2-C3CB912B73C4} - System32\Tasks\{74D1E7B2-A043-4EBE-9553-E273271A2C70} => pcalua.exe -a C:\Users\Użytkownik\Desktop\MinecraftZyczu.exe -d C:\Users\Użytkownik\Desktop Task: {B3BE5D56-0646-477F-929A-9000A2FE713B} - System32\Tasks\{1D3921D1-0DB6-416D-B18A-A67EC185EB4D} => pcalua.exe -a "C:\ProgramData\Block The Ads\Block The Ads.exe" -c /progname=Block The Ads /progver=3.4.2 /progpub=Block The Ads /proguninstallurl=asdahjka.com /deleteappfolder=0 /VERYSILENT Task: {B55F411F-63F2-4D25-8C53-899D0B8E49FA} - System32\Tasks\{74EF57E1-C8B6-4F8E-A56F-FB367492D6C8} => pcalua.exe -a C:\Users\Użytkownik\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=cornl Task: {B80BF7D3-BEE6-4523-9C4A-AF1BEFA82F78} - System32\Tasks\{B4EB70D1-EA7E-410C-A735-E277132B7AB4} => C:\Program Files (x86)\Maxis\SimCity 4 Deluxe\Apps\SimCity 4.exe Task: {D7C4C2F7-2073-4F77-AA00-EB80644C8365} - System32\Tasks\{3F4EB819-C360-44DB-88E0-F730B2D9D97A} => D:\Downloads\The Sims 4 (Origin) PC full game + DLC ^^nosTEAM^^\Sims4-Origins-nosTEAM.part1.exe Task: {D917081B-5408-4D8C-843C-013E079CE760} - System32\Tasks\{E78C3DA1-16F2-486D-965D-91070990F5E1} => D:\Downloads\powerpoint\setup.exe Task: C:\Windows\Tasks\3cbe22f7-961e-437d-9efc-d36f6fc91279.job => C:\Program Files (x86)\HD+v2.1\671f96b9-d4df-4985-b3e8-cfc4c17dabea-4.exe Task: C:\Windows\Tasks\4ecNkCsMtlOukIB0eUIyhNB.job => C:\Users\Uý˙ytkownik\AppData\Roaming\4ecNkCsMtlOukIB0eUIyhNB.exe Task: C:\Windows\Tasks\fun4u_notification_service.job => C:\Program Files (x86)\fun4u\fun4u_notification_service.exeá/url='hxxp:/cdn.selectbestopt.com/notf_sys/index.html' /crregname='fun4u' /appid='73143' /srcid='2913' /bic='cd76fe34736b471c80de2031516beb11' /verifier='d066b6494bca0a74337cf0ec91606b37' /installerversion='1.50.3.10' /statsdomain='hxxp:/stats.buildomserv.com/data.gif?' /errorsdomain='hxxp:/stats.buildomserv.com/data.gif?' /monetizationdomain='hxxp:/logs.buildomserv.com/monetization.gif Task: C:\Windows\Tasks\fun4u_updating_service.job => C:\Program Files (x86)\fun4u\fun4u_updating_service.exe¦ /campid=2913 /verid=1 /url=hxxp:/cdn.buildomserv.com/txt/@CAMPID@/@VER@/file.txt /appid=73143 /taskname=fun4u_updating_service /funurl=hxxp:/stats.buildomserv.com S1 {16d667ee-6782-4b21-81df-8ded8ebc3868}Gw64; system32\drivers\{16d667ee-6782-4b21-81df-8ded8ebc3868}Gw64.sys [X] S1 {55dce8ba-9dec-4013-937e-adbf9317d990}Gw64; system32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}Gw64.sys [X] S1 {e9bebce7-deb3-4ab9-896c-549739f208c5}w64; system32\drivers\{e9bebce7-deb3-4ab9-896c-549739f208c5}w64.sys [X] S3 cpuz134; \??\C:\Users\UYTKOW~1\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X] S3 gdrv; \??\C:\Windows\gdrv.sys [X] C:\Program Files (x86)\fun4u C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Picasa 3 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sierra C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Unknown Horizons C:\Users\Użytkownik\AppData\Local\file__0.localstorage C:\Users\Użytkownik\AppData\Local\nsh365F.tmp C:\Users\Użytkownik\AppData\Local\nsmF5BB.tmp C:\Users\Użytkownik\AppData\Local\Temp-log.txt C:\Users\Użytkownik\AppData\Local\Opera Software C:\Users\Użytkownik\AppData\Local\Microsoft\Windows\GameExplorer\{10CF5DCA-7873-4FBF-9BC6-3FB6AEE61D64} C:\Users\Użytkownik\AppData\Local\Microsoft\Windows\GameExplorer\{2226BCF0-C576-46FB-A39E-D8E8C6B9E643} C:\Users\Użytkownik\AppData\Local\osu!\Songs\169475 Vladimir Putin - I am gay\[YTPMV] PUTIRETA! HD - Shortcut.lnk C:\Users\Użytkownik\AppData\Roaming\4ecNkCsMtlOukIB0eUIyhNB C:\Users\Użytkownik\AppData\Roaming\4ecNkCsMtlOukIB0eUIyhNB.exe C:\Users\Użytkownik\AppData\Roaming\Opera Software C:\Users\Użytkownik\AppData\Roaming\.minecraft\PaintTool SAI Ver.1.lnk C:\Users\Użytkownik\AppData\Roaming\.minecraft\screenshots\Camtasia Studio 8.lnk C:\Users\Użytkownik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\IMVU C:\Users\Użytkownik\Desktop\jgdfuyd ;-;\Fran Bow Demo.lnk C:\Users\Użytkownik\Desktop\jgdfuyd ;-;\MEGAsync.lnk Folder: C:\Users\UĹĽytkownik Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: netsh advfirewall reset CMD: type C:\Users\Użytkownik\AppData\Roaming\Mozilla\Firefox\Profiles\2oiu0f1a.default\extensions.ini EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Użytkownik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy podkreślanie słów nadal występuje (i jakie opisy mają te reklamy) i w której przeglądarce.

Podałam linki. Kliknij w te niebieskie odnośniki...

Betty66 Start > Uruchom > diskmgmt.msc > sprawdź czy dysk jest sformatowany oraz czy ma przypisaną literę. kris63 Nie wiem o co tu chodzi, ale wygląda na to że Recovery jest naruszone. Pokaż mi zrzut ekranu z diskmgmt.msc jak wygląda układ partycji.

Opis "CRYPTOWALL 3.0, RSA-2048" to prawdopodobnie widziałeś w oknie ransom. Pliki *.ccc oznaczają infekcję TeslaCrypt, a nie CryptoWall. Niestety odkodowanie plików jest awykonalne. Podobny temat z forum: KLIK. I proszę podaj obowiązujące tu raporty FRST i GMER, które mają pomóc zdefiniować czy infekcja jest nadal czynna.

Brakuje obowiązkowych raportów FRST. Zakreślone się nie liczą w dywagacjach, nieszkodliwe wpisy, a ten z Temp to tymczasowy sterownik GMER.

Obiekty infekcji pomyślnie usunięte. Domyślnie jest zaznaczona opcja pozostawienia zaszyfrowanych wersji i nie odznaczaj jej, bo nie ma pewności że nastąpi tu odkodowanie. Pomyślne odszyfrowanie będzie oznaczać więc podwojenie zestawu. Tak, pliki odkodowane pojawiają się w tych samych folderach gdzie występują zaszyfrowane kopie. Gdy uruchomisz narzędzie, nie przerywaj jego działania i nie wyłączaj komputera.

Posty skleiłam do oczekiwanej na starcie formy. Dopiero teraz zauważyłam, że posługujesz się strasznie starą wersją FRST (najnowsza jest z dzisiaj!): Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 02-05-2015 (ATTENTION: ====> FRST version is 200 days old and could be outdated) Pobierz najnowszą z przyklejonego tematu i podmień w pierwszym poście wszystkie logi FRST nowymi plikami.