picasso

Końcowe poprawki. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\distromatic DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\istartsurf.com DeleteKey: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\sweet-page.com DeleteKey: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\DOMStorage\v9.com DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\(HKLM) OperaStable DeleteKey: HKLM\SOFTWARE\Wow6432Node\istartsurfSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp DeleteKey: HKLM\SOFTWARE\Wow6432Node\WdsManPro DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Users\dom\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\dom\Downloads\9uo0ls8e.exe CMD: del /q C:\Users\dom\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Operacje przeprowadzone pomyślnie. Poprawki: 1. Otwórz Notatnik i wklej w nim: Task: {0979839E-0076-40D6-B579-5CEAE38D8604} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo C:\Program Files (x86)\Lenovo C:\Users\dom\REACHit C:\Users\dom\AppData\Local\Lenovo C:\Windows\System32\Tasks\Lenovo Reg: reg query HKLM\SOFTWARE\Clients\StartMenuInternet Reg: reg add HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command /ve /t REG_SZ /d "\"C:\Program Files (x86)\Opera\Launcher.exe"" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Nie wiem o co chodzi, ale plik Dziennika TuneUp (mimo że był odblokowany) stoi jak przyklejony. Na razie go pomijam. Foldery przestały się pokazywać, bo je usunęłam, ale to wcale nie znaczy że się nie utworzą nowe tego rodzaju. One wyglądają na pochodną nieudanych instalacji programów opartych na Instalatorze Windows, a problemem podskórnym może być brak uprawnień w którymś miejscu. Logi są bardzo ograniczone, zrobiłam tylko sprawdzanie na wyrywki kilku miejsc. Nadal różne foldery w root dysku C mają niedomyślne uprawnienia, a RECYCLER (czyli Kosz), który był w całości usuwany czyli i folder regenerował się od zera, ma je całkowicie wymazane, stąd pewnie ten problem ze zszarzoną opcją. Pozostaje także problem z pustym plikiem Shortcut.txt. Kolejne podejście: 1. Pobierz XCACLS. W dialogu nakieruj na instalację w folderze C:\Windows. 2. Skrypt do FRST: CMD: xcacls.vbs C:\ /O Administratorzy /F /T /E CMD: xcacls.vbs C:\ /G Administratorzy:F /F /T /E CMD: xcacls.vbs C:\ /G SYSTEM:F /F /T /E CMD: xcacls.vbs C:\ /G Użytkownicy:X /F /T /E CMD: xcacls.vbs C:\ /P Wszyscy:X /F /T /E ListPermissions: C:\ ListPermissions: C:\Config.Msi ListPermissions: C:\Documents and Settings ListPermissions: C:\Program Files ListPermissions: C:\RECYCLER ListPermissions: C:\System Volume Information ListPermissions: C:\WINDOWS ListPermissions: C:\WINDOWS\system32\config\TuneUp.evt Reg: reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders /s Reg: reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders /s Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders /s Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders /s

Koniec zmagań. Skasuj folder C:\Users\user\Downloads\gmer z FRST i jego logami. Następnie popraw jeszcze za pomocą DelFix, wyczyść foldery Przywracania systemu i zaktualizuj Adobe Reader: KLIK.

Jak powyżej zaznaczyłam, zmieniona nazwa to tylko powierzchowny znak, że pliki są zamienione zaszyfrowanymi ekwiwalentami. Zmiana nazwy nic kompletnie nie wskóra.

Nazwy logów FRST wskazują, że je wyciągnąłeś z folderu C:\FRST\Logs. To jest archiwum logów. Bieżące powstają zawsze tam skąd uruchomiono FRST, czyli w tym przypadku C:\Users\dom\Downloads. Raport mówi, że infekcję nabyłeś z portalu dobreprogramy.pl podczas pobierania "Media Player Classic", uruchamiając świński "Asystent pobierania" tego portalu. Więcej na ten temat: KLIK. Widać nadal niepożądane instalacje w systemie (m.in. Lenovo REACHit), zainfekowany Firefox oraz zmodyfikowane skróty LNK przeglądarek (mają dopisaną stonę istartsurf). Akcje do przeprowadzenia: 1. Deinstalacje: - Przez Panel sterowania odinstaluj REACHit. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście ukryty Metric Collection SDK > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdsManPro; C:\ProgramData\aWMiniProa\WMiniPro.exe [301704 2015-11-09] (DTools LIMITED) ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1447103206&z=b26153ea73a040a16a9a720gaz3z7m3gfe2oetde1c&from=cor&uid=ST1000DM003-1ER162_W4Y2QD7JXXXXW4Y2QD7J ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.istartsurf.com/?type=sc&ts=1447103206&z=b26153ea73a040a16a9a720gaz3z7m3gfe2oetde1c&from=cor&uid=ST1000DM003-1ER162_W4Y2QD7JXXXXW4Y2QD7J ShortcutWithArgument: C:\Users\dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1447103206&z=b26153ea73a040a16a9a720gaz3z7m3gfe2oetde1c&from=cor&uid=ST1000DM003-1ER162_W4Y2QD7JXXXXW4Y2QD7J ShortcutWithArgument: C:\Users\dom\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.istartsurf.com/?type=sc&ts=1447103206&z=b26153ea73a040a16a9a720gaz3z7m3gfe2oetde1c&from=cor&uid=ST1000DM003-1ER162_W4Y2QD7JXXXXW4Y2QD7J ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.istartsurf.com/?type=sc&ts=1447103206&z=b26153ea73a040a16a9a720gaz3z7m3gfe2oetde1c&from=cor&uid=ST1000DM003-1ER162_W4Y2QD7JXXXXW4Y2QD7J ShortcutWithArgument: C:\Users\Public\Desktop\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.istartsurf.com/?type=sc&ts=1447103206&z=b26153ea73a040a16a9a720gaz3z7m3gfe2oetde1c&from=cor&uid=ST1000DM003-1ER162_W4Y2QD7JXXXXW4Y2QD7J StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1447103206&z=b26153ea73a040a16a9a720gaz3z7m3gfe2oetde1c&from=cor&uid=ST1000DM003-1ER162_W4Y2QD7JXXXXW4Y2QD7J StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.istartsurf.com/?type=sc&ts=1447103206&z=b26153ea73a040a16a9a720gaz3z7m3gfe2oetde1c&from=cor&uid=ST1000DM003-1ER162_W4Y2QD7JXXXXW4Y2QD7J FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\dom\AppData\Roaming\Mozilla\Firefox\Profiles\7ron4s7c.default\extensions\defsearchp@gmail.com FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\dom\AppData\Roaming\Mozilla\Firefox\Profiles\7ron4s7c.default\extensions\deskCutv2@gmail.com HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-842412909-2400916400-2872321181-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\istartsurf uninstall DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\sweet-page uninstall C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\aWMiniProa C:\Users\dom\AppData\Roaming\istartsurf C:\Users\dom\Downloads\*-dp*.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. Dołącz też plik fixlog.txt.

Wszystko zrobione. Jeszcze drobniutka poprawka na dwa foldery Lenovo, jeden jest pusty, a drugi zawiera tylko szczątki odinstalowanego REACHit. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files (x86)\Lenovo RemoveDirectory: C:\Users\user\AppData\Local\Lenovo Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Prawie wszystko zrobione, ale znów stawił opór jeden z odpadkowych Dzienników zdarzeń, tym razem od TuneUp. Poza tym, jeszcze mamy do usunięcia foldery które były poza widocznością raportu FRST. Kolejna para Fixlist do zastosowania z poziomu Trybu awaryjnego, po każdym restart komputera: RemoveDirectory: C:\_024687_ RemoveDirectory: C:\_286828_ RemoveDirectory: C:\_310359_ RemoveDirectory: C:\_357343_ RemoveDirectory: C:\_376312_ RemoveDirectory: C:\_479250_ RemoveDirectory: C:\_527812_ RemoveDirectory: C:\_579343_ RemoveDirectory: C:\_762843_ RemoveDirectory: C:\_817718_ RemoveDirectory: C:\_881406_ RemoveDirectory: C:\_906812_ RemoveDirectory: C:\_948375_ RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\MSI240cf.tmp RemoveDirectory: C:\MSI240d6.tmp RemoveDirectory: C:\MSI240df.tmp RemoveDirectory: C:\MSI240e9.tmp RemoveDirectory: C:\MSI240ef.tmp RemoveDirectory: C:\MSI240f4.tmp RemoveDirectory: C:\MSI240fe.tmp RemoveDirectory: C:\MSI2410b.tmp RemoveDirectory: C:\MSI2411e.tmp RemoveDirectory: C:\MSI2412a.tmp RemoveDirectory: C:\MSI2413b.tmp RemoveDirectory: C:\MSI24142.tmp RemoveDirectory: C:\MSI24149.tmp RemoveDirectory: C:\MSI24156.tmp RemoveDirectory: C:\MSI2415c.tmp RemoveDirectory: C:\MSI24163.tmp RemoveDirectory: C:\MSI2416a.tmp RemoveDirectory: C:\MSI24170.tmp ListPermissions: C:\ ListPermissions: C:\Config.Msi ListPermissions: C:\RECYCLER ListPermissions: C:\System Volume Information CMD: dir /a C:\ CMD: sc config Eventlog start= disabled + C:\WINDOWS\system32\config\TuneUp.evt CMD: sc config Eventlog start= auto

Fixlist musi ukończyć pracę, by reset miał sens. FRST wykłada się na komendzie Unlock C:\. Na razie to opuść ograniczając Fixlist do tej postaci: Hosts: RemoveDirectory: C:\11be7b36-b8bb-4741-8589-f35d8f1c86df RemoveDirectory: C:\43bf5f03-3db5-4b41-bcb7-f16c39d03c56 RemoveDirectory: C:\bd19c747-0b9a-4ab4-acbd-34e2aa87633e RemoveDirectory: C:\$AVG RemoveDirectory: C:\AVG_BFEfix RemoveDirectory: C:\AVG_SysInfo RemoveDirectory: C:\Dbz0A5CD RemoveDirectory: C:\Dbz70C5E RemoveDirectory: C:\MATS RemoveDirectory: C:\MSIa6ea7.tmp RemoveDirectory: C:\MSI6e240.tmp RemoveDirectory: C:\MSI7321e.tmp RemoveDirectory: C:\MSI7321c.tmp RemoveDirectory: C:\MSI7321a.tmp RemoveDirectory: C:\MSI4f3d3.tmp RemoveDirectory: C:\MSI1e1e9.tmp RemoveDirectory: C:\MSI1e1e7.tmp RemoveDirectory: C:\MSI1e1e5.tmp RemoveDirectory: C:\MSI197e5.tmp RemoveDirectory: C:\MSI799ad.tmp RemoveDirectory: C:\MSI799a7.tmp RemoveDirectory: C:\MSI799a1.tmp RemoveDirectory: C:\MSI7998f.tmp RemoveDirectory: C:\MSIa4b17.tmp RemoveDirectory: C:\MSIa4b15.tmp RemoveDirectory: C:\MSIa4b13.tmp RemoveDirectory: C:\MSIa026b.tmp RemoveDirectory: C:\MSId29a5.tmp RemoveDirectory: C:\MSIab77c.tmp RemoveDirectory: C:\MSIab77a.tmp RemoveDirectory: C:\MSIab778.tmp RemoveDirectory: C:\MSIa78c2.tmp RemoveDirectory: C:\MSI64a5e.tmp RemoveDirectory: C:\MSI64a5c.tmp RemoveDirectory: C:\MSI64a5a.tmp RemoveDirectory: C:\MSI3be87.tmp RemoveDirectory: C:\MSI3be78.tmp RemoveDirectory: C:\MSI3fe6a.tmp RemoveDirectory: C:\MSI3fe68.tmp RemoveDirectory: C:\MSI3fe66.tmp RemoveDirectory: C:\MSI8f1b.tmp RemoveDirectory: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CMD: dir /a C:\ CMD: sc config Eventlog start= disabled Jest możliwe, że FRST znów wypluje jakiś błąd przy którejś z komend RemoveDirectory (obchodzi problem uprawnień).

Wykonane tylko trzy pierwsze linie. Pierwszy Fixlist do powtórzenia z nieprzetworzoną częścią: Unlock: C:\ ListPermissions: C:\ RemoveDirectory: C:\11be7b36-b8bb-4741-8589-f35d8f1c86df RemoveDirectory: C:\43bf5f03-3db5-4b41-bcb7-f16c39d03c56 RemoveDirectory: C:\bd19c747-0b9a-4ab4-acbd-34e2aa87633e RemoveDirectory: C:\$AVG RemoveDirectory: C:\AVG_BFEfix RemoveDirectory: C:\AVG_SysInfo RemoveDirectory: C:\Dbz0A5CD RemoveDirectory: C:\Dbz70C5E RemoveDirectory: C:\MATS RemoveDirectory: C:\MSIa6ea7.tmp RemoveDirectory: C:\MSI6e240.tmp RemoveDirectory: C:\MSI7321e.tmp RemoveDirectory: C:\MSI7321c.tmp RemoveDirectory: C:\MSI7321a.tmp RemoveDirectory: C:\MSI4f3d3.tmp RemoveDirectory: C:\MSI1e1e9.tmp RemoveDirectory: C:\MSI1e1e7.tmp RemoveDirectory: C:\MSI1e1e5.tmp RemoveDirectory: C:\MSI197e5.tmp RemoveDirectory: C:\MSI799ad.tmp RemoveDirectory: C:\MSI799a7.tmp RemoveDirectory: C:\MSI799a1.tmp RemoveDirectory: C:\MSI7998f.tmp RemoveDirectory: C:\MSIa4b17.tmp RemoveDirectory: C:\MSIa4b15.tmp RemoveDirectory: C:\MSIa4b13.tmp RemoveDirectory: C:\MSIa026b.tmp RemoveDirectory: C:\MSId29a5.tmp RemoveDirectory: C:\MSIab77c.tmp RemoveDirectory: C:\MSIab77a.tmp RemoveDirectory: C:\MSIab778.tmp RemoveDirectory: C:\MSIa78c2.tmp RemoveDirectory: C:\MSI64a5e.tmp RemoveDirectory: C:\MSI64a5c.tmp RemoveDirectory: C:\MSI64a5a.tmp RemoveDirectory: C:\MSI3be87.tmp RemoveDirectory: C:\MSI3be78.tmp RemoveDirectory: C:\MSI3fe6a.tmp RemoveDirectory: C:\MSI3fe68.tmp RemoveDirectory: C:\MSI3fe66.tmp RemoveDirectory: C:\MSI8f1b.tmp RemoveDirectory: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Hosts: CMD: dir /a C:\ CMD: sc config Eventlog start= disabled

Skoro usunięcie Pandy przyniosło pozytywne skutki to wygląda jednak na to, że coś stało się Pandzie podczas tego ataku adware. Teraz drobne poprawki korekcyjne na wpisy szczątkowe oraz usunięcie szczątków po używanych skanerach: 1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście ukryty odpadek Lenovo Metric Collection SDK > Dalej. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] S2 panda_url_filtering; C:\Program Files\Panda Security URL Filtering\Panda_URL_Filteringb.exe -- [X] S3 panda_url_filteringd; \??\C:\Program Files\Panda Security URL Filtering\panda_url_filteringd.sys [X] U0 Partizan; system32\drivers\Partizan.sys [X] S2 PdiService; C:\Program Files (x86)\Common Files\Portrait Displays\Drivers\pdisrvc.exe [X] S4 RAMDiskVE; System32\Drivers\RAMDiskVE.sys [X] S3 WinRing0_1_2_0; \??\C:\Program Files (x86)\BatteryCare\WinRing0x64.sys [X] HKLM-x32\...\Run: [] => [X] HKLM\...\Winlogon: [userinit] C:\Windows\SysWOW64\userinit.exe, Winlogon\Notify\ScCertProp: HKU\S-1-5-21-3455464757-3093656346-2702893615-1000\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) BootExecute: autocheck autochk * sdnclean64.exe Task: {25ED5BC3-10CC-48ED-93CB-F55B7B72108B} - System32\Tasks\{A785BDC3-EA77-4CFB-B446-28129F11A650} => pcalua.exe -a "C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\D4UPCHB0\sp52211.exe" -d C:\Users\Administrator\Desktop Task: {6795F5F2-457E-45EC-AEE0-81BEC4DE31DE} - System32\Tasks\{97F9A8A6-0A04-4FCB-B979-581D1F680188} => pcalua.exe -a C:\Users\user\Downloads\sp61783.exe -d C:\Users\user\Downloads Task: {68271B30-EB14-41AB-A0A8-CB6C0FEB2BF9} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {7C126D02-5C56-4F87-B01F-258C4879A02D} - System32\Tasks\{EE207310-3657-4921-888A-BC1576655CC5} => pcalua.exe -a "C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\KG5G8L6C\sp55757.exe" -d C:\Users\Administrator\Desktop Task: {7C85F6D7-5A89-4371-87B6-46AC53B18B91} - System32\Tasks\Driver Booster SkipUAC (user) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {9ED8420B-7CE5-4B2A-99B4-F812FF740749} - System32\Tasks\{D5B23B92-5528-49B5-A7AF-4D30BA9F1090} => pcalua.exe -a "C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\TO44V2D5\sp54614.exe" -d C:\Users\Administrator\Desktop Task: {C9DBB28D-2647-41C4-8EC4-44A94521C598} - System32\Tasks\{4263683A-706B-4A3F-8F63-2D51FA86BC01} => pcalua.exe -a "C:\Users\user\Downloads\dxwebsetup (1).exe" -d C:\Users\user\Downloads Task: {D36D0AA6-3E4E-4F2B-B98C-88F63306A13C} - System32\Tasks\BatteryCareAuto => C:\Program Files (x86)\BatteryCare\BatteryCare.exe Task: {D464F946-6549-4A8B-88FD-B6FEA9C7EAF9} - System32\Tasks\{72FB0EC8-F6F1-4A08-AECA-F3BD82B2B52D} => pcalua.exe -a "C:\Users\Administrator\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VNQIDYNS\sp54317.exe" -d C:\Users\Administrator\Desktop Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> No File DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\EEK RemoveDirectory: C:\Program Files\McAfee Security Scan RemoveDirectory: C:\Program Files (x86)\Lenovo\Customer Feedback Program RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2 RemoveDirectory: C:\Program Files\Common Files\AV RemoveDirectory: C:\ProgramData\Panda Security RemoveDirectory: C:\ProgramData\panda_url_filtering RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Team17 RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows 7 - Codec Pack RemoveDirectory: C:\Users\user\AppData\Roaming\Panda Security RemoveDirectory: C:\Users\user\REACHit RemoveDirectory: C:\Windows\Tasks\ImCleanDisabled RemoveDirectory: C:\Windows\System32\Tasks\Lenovo RemoveDirectory: C:\Windows\System32\Tasks\Safer-Networking Folder: C:\Program Files (x86)\Lenovo Folder: C:\Users\user\AppData\Local\Lenovo CMD: del /q C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat CMD: del /q C:\Users\user\Downloads\*.crdownload CMD: del /q C:\Users\user\Downloads\adwcleaner*.exe CMD: del /q C:\Users\user\Downloads\gmer.zip CMD: del /q C:\Users\user\Downloads\hitmanpro*.exe CMD: del /q C:\Users\user\Downloads\iExplore*.exe CMD: del /q C:\Users\user\Downloads\spybot-2.4.exe CMD: del /q C:\Users\user\Downloads\tdsskiller.exe CMD: del /q "C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\JDownloader 2.lnk" CMD: del /q "C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\KaraFun Player 2.lnk" CMD: del /q "C:\Users\user\Desktop\Start Emsisoft Emergency Kit.lnk" CMD: del /q C:\Windows\system32dbgraw.bmp CMD: netsh advfirewall reset Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\nvsvc" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\nwiz" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\StartCCC" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są mi już potrzebne.

Niektóre foldery mają dziwne niedomyślne uprawnienia, tzn. tylko Wszyscy z Pełną kontrolą, brak grupy Administratorzy i konta SYSTEM. Kolejne podejście z dwoma plikami Fixlist pod rząd: S1 {273fb277-0179-4a71-a191-113c779e7d13}Gt; system32\drivers\{273fb277-0179-4a71-a191-113c779e7d13}Gt.sys [X] HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Unlock: C:\ ListPermissions: C:\ RemoveDirectory: C:\11be7b36-b8bb-4741-8589-f35d8f1c86df RemoveDirectory: C:\43bf5f03-3db5-4b41-bcb7-f16c39d03c56 RemoveDirectory: C:\bd19c747-0b9a-4ab4-acbd-34e2aa87633e RemoveDirectory: C:\$AVG RemoveDirectory: C:\AVG_BFEfix RemoveDirectory: C:\AVG_SysInfo RemoveDirectory: C:\Dbz0A5CD RemoveDirectory: C:\Dbz70C5E RemoveDirectory: C:\MATS RemoveDirectory: C:\MSIa6ea7.tmp RemoveDirectory: C:\MSI6e240.tmp RemoveDirectory: C:\MSI7321e.tmp RemoveDirectory: C:\MSI7321c.tmp RemoveDirectory: C:\MSI7321a.tmp RemoveDirectory: C:\MSI4f3d3.tmp RemoveDirectory: C:\MSI1e1e9.tmp RemoveDirectory: C:\MSI1e1e7.tmp RemoveDirectory: C:\MSI1e1e5.tmp RemoveDirectory: C:\MSI197e5.tmp RemoveDirectory: C:\MSI799ad.tmp RemoveDirectory: C:\MSI799a7.tmp RemoveDirectory: C:\MSI799a1.tmp RemoveDirectory: C:\MSI7998f.tmp RemoveDirectory: C:\MSIa4b17.tmp RemoveDirectory: C:\MSIa4b15.tmp RemoveDirectory: C:\MSIa4b13.tmp RemoveDirectory: C:\MSIa026b.tmp RemoveDirectory: C:\MSId29a5.tmp RemoveDirectory: C:\MSIab77c.tmp RemoveDirectory: C:\MSIab77a.tmp RemoveDirectory: C:\MSIab778.tmp RemoveDirectory: C:\MSIa78c2.tmp RemoveDirectory: C:\MSI64a5e.tmp RemoveDirectory: C:\MSI64a5c.tmp RemoveDirectory: C:\MSI64a5a.tmp RemoveDirectory: C:\MSI3be87.tmp RemoveDirectory: C:\MSI3be78.tmp RemoveDirectory: C:\MSI3fe6a.tmp RemoveDirectory: C:\MSI3fe68.tmp RemoveDirectory: C:\MSI3fe66.tmp RemoveDirectory: C:\MSI8f1b.tmp RemoveDirectory: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Hosts: CMD: dir /a C:\ CMD: sc config Eventlog start= disabled Ręczny reset, zignorować niedziałającą sieć i zapuścić kolejny: Unlock: C:\WINDOWS\system32\config\COMODO I.evt Unlock: C:\WINDOWS\system32\config\TuneUp.evt C:\WINDOWS\system32\config\COMODO I.evt C:\WINDOWS\system32\config\TuneUp.evt CMD: sc config Eventlog start= auto Znów ręczny reset. Przedstaw oba wynikowe pliki fixlog.txt.

Wszystko wygląda w porządku. 1. Detaliczna operacja polegająca na usunięciu starego niekompatybinego i nie podpisanego cyfrowo rozszerzenia Hewlett-Packard w Firefox: HKLM\...\Run: [] => [X] FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-3632361876-1953191416-3316088722-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Drobny błąd WMI numer 10 w Dzienniku zdarzeń. Zastosuj narzędzie Fix-it: KLIK.

Ta metoda na pewno nie działa, a wręcz pogarsza stan, pliki zostaną pominięte przez dekoder. Zaszyfrowanym plikom nie należy samodzielnie zmieniać nazw. To robota dla dekodera (pomyślne odszyfrowanie równa się też przywróceniu poprzedniej nazwy).

Przepraszam za ten cytat po angielsku. Nawiasem mówiąc to jest w rzeczywistości mniej niż równe 120GB, tzn. "tylko" 111.8 GB. Niczego nie brakuje, są po prostu stosowane dwa typy liczenia: producent dysku marketingowo wykorzystuje obliczenia w systemie dziesiętnym (by wyglądało że jest "więcej"), ale to samo Windows kalkuluje w systemie dwójkowym (czyli "w plecy" jest troszeczkę). Tę infekcję prawdopodobnie złapałaś właśnie via e-mail otwierając jakiś załącznik. Obecnie jest to jedna z głównych dróg rozprzestrzeniania się infekcji szyfrujących dane. Jest multum takich infekcji, a Twoja nie jest tą najgorszą, bo jest jakaś szansa na odszyfrowanie. Aczkolwiek zaznaczyłam, że nie ma gwarancji, gdyż ta sama infekcja na dwóch różnych komputerach może zastosować nietożsamą siłę hasła. Są osoby, które utraciły dane, bo RakhniDecryptor poległ. Aktualnie jest specyficzne środowisko zadaniowe nie podlegające innym analizom. Procesor obciąża RakhniDecryptor, który wykonuje niewiarygodną ilość operacji, "atak siłowy" na hasło i mnogość kombinacji którą narzędzie sprawdza kosztuje. Proces dekrypcji jest niezwykle zasobożerny, a im słabszy sprzęt, tym bardziej to widoczne. Niestety nie ma możliwości, by wpłynąć na polepszenie stanu rzeczy nie przerywając pracy Kasperskiego, a ponowne jego uruchomienie sprowadzi się do tego samego efektu, bo po prostu potrzebna jest moc obliczeniowa. W obecnej sytuacji należy zostawić komputer "na wolnym biegu", tzn. nie utrudniać narzędziu dodatkowo i nie otwierać żadnych dodatkowych programów. Tu nie ma innej rady niż przeczekać to co się dzieje w tle, aż do końcowych wyników pracy narzędzia (pozytywnych lub negatywnych), by uzyskać pewność, że zrobiono wszystko co możliwe, by odszyfrować dane. Jak już powiedziane, proces próby odszyfrowania jest bardzo mozolny i Kaspersky stosuje ostrzeżenie przed rozpoczęciem, że należy się przygotować na wiele godzin, a nawet dni. W przypadku gdy RakhniDecryptor nie znajdzie u Ciebie pasującego hasła, nie widzę już innego ratunku.

Kopia raportu jest w folderze C:\FRST\Logs (plik o nazwie fixlog_data_czas.txt). Dołącz.

Ale to jest oczywiste. Hasło nie jest znane, program próbuje je "złamać" - na Twoim obrazku jest pokazane jaka masa kombinacji już była próbowana. Proces odszyfrowywania może być bardzo długi. Z linka którym podałam: "Once you select an encrypted file, you will receive a warning that the brute force process can take many hours if not days." Druga sprawa, jest potrzebne dużo wolnego miejsca na dysku, nie wiem czy to co było na początku wystarczy: Drive c: (3BETTY-XP) (Fixed) (Total:40.34 GB) (Free:12.8 GB) FAT32 ==>[dysk z komponentami startowymi (Windows XP)] Po trzecie, nie jest gwarantowane, że się uda. Wszystko zależy od tego jak "słabe zabezpieczenie" miał wariant w Twoim systemie.

Wszystko gładko poszło. Teraz już tylko poprawki: 1. Otwórz Notatnik i wklej w nim: HKLM\...\Run: [mwlDaemon] => C:\Program Files (x86)\EgisTec MyWinLocker\x86\mwlDaemon.exe HKU\S-1-5-21-173458695-754960654-3623925198-1000\...\Run: [msnmsgr] => "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background FF Plugin-x32: @microsoft.com/WLPG,version=15.4.3502.0922 -> C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll [brak pliku] S2 Crashhd; C:\Users\user\AppData\Local\Crsoft\crsvc.exe -st [X] RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Kaspersky Lab RemoveDirectory: C:\Program Files (x86)\Windows Live RemoveDirectory: C:\ProgramData\Kaspersky Lab RemoveDirectory: C:\Users\user\AppData\Local\{0D4D30AF-3AB6-4669-828D-F5B8D991DFAD} RemoveDirectory: C:\Users\user\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\user\Downloads\067prvpu.exe CMD: del /q C:\Users\user\Downloads\kavremvr 2015-11-09 18-49-55 (pid 1208).log CMD: del /q C:\Users\user\Downloads\fixlist.txt CMD: del /q C:\Users\user\Documents\fixlist.txt CMD: type C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job CMD: del /q C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v msnmsgr /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v mwlDaemon /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v EgisTecPMMUpdate /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

W sumie format jest tu bardzo dobrym rozwiązaniem, bo zakres naruszeń przez wirusa jest nieznany. Skopiuj z dysku tylko te dane, które są bardzo istotne, upewniając się że żadne z nich nie są zainfekowane.

W raportach nie widać nic podejrzanego. Do wykonania tylko drobnostki. 1. Do deinstalacji starsze wersje: Adobe AIR, Adobe Flash Player 17 ActiveX, Java 8 Update 45 . 2. Akcja "kosmetyczna" (czyszczenie Tempów + drobne wpisy odpadkowe). Otwórz Notatnik i wklej w nim: CloseProcesses: SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości S3 FairplayKD; \??\C:\ProgramData\MTA San Andreas All\Common\temp\FairplayKD.sys [X] Task: {23BDEB75-0385-46C1-B37A-1003F021795A} - System32\Tasks\{1CAF6F42-8475-4A59-8703-D5A9E16F630D} => C:\Users\Marcin\Desktop\Moorhuhn.exe Task: {8BDAF666-1C7A-41E1-893F-F2B305AE947F} - System32\Tasks\{53E68F4E-CB3B-4A82-A314-8CFA6839AD59} => pcalua.exe -a C:\Users\Marcin\Downloads\sp52814.exe -d C:\Users\Marcin\Downloads Task: {8EE34F3D-E947-48B4-BD89-1236F23B7575} - System32\Tasks\{F240D68B-B1DF-4977-AC21-74C9B645421E} => C:\Users\Marcin\Desktop\Moorhuhn.exe Task: {9467C4B2-A0A0-4586-9B42-0F6C88A29758} - System32\Tasks\{5BFCCED0-2D35-4EE7-822C-35A73FE1FCF4} => Chrome.exe hxxp://ui.skype.com/ui/0/7.1.0.105/pl/abandoninstall?source=lightinstaller&page=tsInstall Task: {A07470DB-F5A1-42F8-8387-67E1B9FDD327} - System32\Tasks\{DBAC729D-1856-41FE-B408-07394E9BF15D} => C:\Users\Marcin\Desktop\Moorhuhn.exe Task: {A725334A-47DA-4FBD-A7C0-A4A37EBA0891} - System32\Tasks\{C74941F4-F360-4518-AC85-75BEFA1CAC70} => C:\Users\Marcin\Desktop\Moorhuhn.exe Task: {B21F5154-E677-48F9-9ADC-0171AB5EA299} - System32\Tasks\{22C4DB70-584B-4B5B-8017-7F1695D9D2CA} => pcalua.exe -a C:\Users\Marcin\Downloads\sp52791(1).exe -d C:\Users\Marcin\Downloads Task: {E923C046-1A59-42CF-AE6C-0D37E6018EF5} - System32\Tasks\{4CF41A40-AC0C-4BA9-B6E1-15EF380D52A0} => pcalua.exe -a "C:\Users\Hubert\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LNUVJ7ZI\sp51976[1].exe" -d C:\Users\Hubert\Desktop C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Silverlight.lnk C:\Users\Hubert\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR C:\Users\Hubert\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. Nie potrzebuję nowych raportów FRST. 3. W kwestii błędów w Dzienniku zdarzeń. Drobny błąd WMI numer 10 zreperuje Fix-it: KLIK. A to do działu Hardware: Dziennik System: ============= Error: (11/07/2015 09:02:17 PM) (Source: Microsoft-Windows-Kernel-Power) (EventID: 88) (User: ) Description: Nastąpiło przejście systemu do stanu hibernacji z powodu krytycznego zdarzenia termicznego. Czas hibernacji = 2015-11-07T20:02:17.994150500Z Strefa termiczna ACPI = ACPI\ThermalZone\TZ01 _HOT = 363 K

Temat przenoszę do działu Sieci. Brak oznak infekcji. A te oznaczenia "UWAGA Ograniczenia" to są artefakty utworzone przez nie do końca idealne procedury "resetów" w ComboFix. Nie są one ważne i ewentualnie potem się zajmę usunięciem śmieci ComboFix. Wstępnie sprawdź czy zmieni stan deinstalacja Microsoft Security Essentials (piję do sterownika sieciowego NisDrv). Jeśli nie będzie rezultatów, dostarcz dane wymagane działem Sieci: KLIK.

Wszystko pomyślnie wykonane. Teraz kolejna porcja czynności: 1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadek Acrobat.com > Dalej. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj (nic jeszcze nie usuwaj) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Niestety infekcje adware/PUP są coraz bardziej inwazyjne i zwiększa się nakład pracy wymagany, by wszystko dobrze wyczyścić. To już wszystko. Oczywiście DAEMON Tools możesz przywrócić. Uwaga na proces instalacji: instalator DAEMON jest sponsorowany, trzeba odznaczyć instalację śmieci.

Obecnie w raportach nie ma żadnych oznak czynnej infekcji. Do usunięcia potem będą drobne odpadkowe wpisy, ale one nie mają związku z objawami. Tu prędzej jest podejrzana świeżo zainstalowana Panda, multum obiektów startowych i sterowników. Wstępnie: 1. Odinstaluj Driver Booster 3.0 (powody: KLIK) oraz Panda Free Antivirus + Panda Security Toolbar. 2. Zrób nowy log FRST z opcji Skanuj (Scan), włącznie z Addition. Opisz czy jest poprawa w działaniu.

Operacja pomyślnie wykonana. Kończymy: 1. Usuń pobrany FRST i jego logi z folderu C:\Users\Admi\Downloads\do posta. Następnie zastosuj DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. Ten typ adware wchodzi z instalatorów sponsorowanych i "downloaderów". Zjawisku jest poświęcony ten artykuł: KLIK. Z Twoich logów nie udało się wyczytać jaki konkretnie instalator i skąd pobrany był powodem, bo już były różne akcje czyszczenia wdrożone przed zgłoszeniem się na forum i otrzymałam mocno zmanipulowane raporty. Ale myślę, że podlinkowany artykuł zasygnalizuje na co uważać w przyszłości.