picasso

W systemie działa infekcja Gamarue - wpis startowy kierujący do pliku msubmb.exe. Infekcja ta utworzyła na pendrive folder o nazwie "spacji" do którego przesunęła wszystkie dane, a następnie folder ukryła. Więcej na ten temat tu: KLIK. Czyli do wykonania będzie usunięcie wpis infekcji oraz odkrycie danych na pendrive. Przy okazji będą prowadzone akcje dodatkowe, takie jak usuwanie wpisów odpadkowych i pustych skrótów. Akcje do przeprowadzenia: 1. Deinstalacje: ----> Odinstaluj stare wersje i zbędniki: Adobe Flash Player 15 Plugin, Akamai NetSession Interface, Google Talk Plugin (już nie działa), Java 7 Update 51 (64-bit), Java 7 Update 60, Java 8 Update 45 (64-bit), Java 8 Update 45, Java SE Development Kit 7 Update 51 (64-bit), Mozilla Firefox 32.0.3 (x86 pl), OpenOffice.org 3.4.1, Opera Stable 22.0.1471.70, Secure Download Manager. Przy deinstalacji Firefox zaznacz usuwanie profilu. ----> Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowe wpisy po odinstalowanym RealPlayer: RealDownloader, RealNetworks - Microsoft Visual C++ 2008 Runtime, RealNetworks - Microsoft Visual C++ 2010 Runtime, RealNetworks - Microsoft Visual C++ 2010 Runtime, RealUpgrade 1.1, UpdateService, Video Downloader > Dalej. Narzędzie nie umożliwia akcji hurtowej, należy je uruchomić tyle razy ile wpisów. 2. FRST jest uruchomiony z niepoprawnej lokalizacji, czyli katalogu Temp. Pobierz go ponownie i zapisz na Pulpicie. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Policies\Explorer\Run: [1071341723] => C:\ProgramData\msubmb.exe [83999872 2010-11-21] () HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-3341007479-885208892-836665845-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-3341007479-885208892-836665845-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Toolbar: HKU\S-1-5-21-3341007479-885208892-836665845-1000 -> Brak nazwy - {1DAC0C53-7D23-4AB3-856A-B04D98CD982A} - Brak pliku FF Plugin-x32: @real.com/nppl3260;version=17.0.15.10 -> C:\Program Files (x86)\Real\RealPlayer\Netscape6\nppl3260.dll [brak pliku] FF Plugin-x32: @real.com/nprpplugin;version=17.0.15.10 -> C:\Program Files (x86)\Real\RealPlayer\Netscape6\nprpplugin.dll [brak pliku] S2 PanService; C:\Program Files (x86)\PANDORA.TV\PanService\PandoraService.exe [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 cpuz136; \??\C:\Users\Szelma\AppData\Local\Temp\cpuz136\cpuz136_x64.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S4 nvvad_WaveExtensible; system32\drivers\nvvad64v.sys [X] Task: {0138F2B6-291F-4D0C-A9B8-E302400240CB} - System32\Tasks\Microsoft\Windows\TabletPC\InputPersonalization => C:\Program Files\Common Files\Microsoft Shared\Ink\InputPersonalization.exe Task: {24A2F5B5-EF3C-4AB2-B226-C3359A346C43} - System32\Tasks\RealDownloaderRealUpgradeLogonTaskS-1-5-21-3341007479-885208892-836665845-1000 => C:\Program Files (x86)\RealNetworks\RealDownloader\RealUpgrade.exe Task: {33487B79-A38E-4794-AD73-7D31CF3AD29C} - System32\Tasks\RealDownloader Update Check => C:\Program Files (x86)\RealNetworks\RealDownloader\downloader2.exe Task: {37A04020-E950-4DDF-A3F8-8FBC6D252275} - System32\Tasks\RealDownloaderRealUpgradeScheduledTaskS-1-5-21-3341007479-885208892-836665845-1000 => C:\Program Files (x86)\RealNetworks\RealDownloader\RealUpgrade.exe C:\ProgramData\msubmb.exe C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\GameExplorer\{DC1521F1-D081-473F-B0E6-0DEFCB6BF881} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ Borderlands The Pre-Sequel.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\2K Games C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Heroes of the Storm C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mirillis C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mount&Blade Warband C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Razer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RealNetworks C:\Users\Szelma\AppData\Local\{34CCC3B6-8D74-4CCA-8E76-A4D56E10857E} C:\Users\Szelma\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\ Borderlands The Pre-Sequel.lnk C:\Users\Szelma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Audiosurf 2 1.0.0.2 C:\Users\Szelma\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Microsoft AppLocale\age.lnk C:\Users\Szelma\Desktop\studia\Razer Game Booster.lnk C:\Users\Szelma\Desktop\Wszystko (2)\Audiosurf 2.lnk C:\Users\Szelma\Desktop\Wszystko (2)\Mount&Blade Warband.lnk C:\Users\Szelma\Favorites\GG dysk.lnk C:\Windows\pss\Stardock ObjectDock.lnk.Startup C:\Windows\SysWOW64\regsvr32.exe.log H:\Removable Drive (4GB).lnk CMD: attrib /d /s -s -h H:\* Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Szelma^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Stardock ObjectDock.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Akamai NetSession Interface" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Andy" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\InstallerLauncher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Privatefirewall" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RazerGameBooster" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SlimCleaner Plus" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\uTorrent" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. [Zakładam, że pendrive jest nadal podpięty i widziany pod literą H] Plik zapisz pod nazwą fixlist.txt na Pulpicie. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Na Pulpicie powstanie plik fixlog.txt. 3. Jeśli wszystko pójdzie dobrze w punkcie 2, na pendrive uwidoczni się folder o nazwie "spacji". Przenieś z niego wszystkie pożyteczne dane poziom wyżej (omijając obiekty nieznane / śmieci), a następnie ten folder skasuj przez SHIFT+DEL (omija Kosz). 4. Zrób nowe logi: FRST z opcji Skanuj (Scan), bez Addition i Shortcut, oraz USBFix z opcji Listing. Dołącz też plik fixlog.txt.

Fix FRST wykonany. Na zakończenie wiadome kroki końcowe.

Brak oznak infekcji. Nie za bardzo jest się tu czym zajmować. Do wykonania tylko drobne działa typu "kosmetycznego". 1. Odinstaluj starsze wersje Adobe Reader XI (11.0.13), Java 8 Update 31. 2. Zastosuj Fix-it likwidujący błąd WMI: KLIK. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicyScripts: Ograniczenia FF user.js: detected! => C:\Users\MSI\AppData\Roaming\Mozilla\Firefox\Profiles\j6y8151y.default-1431953739520\user.js [2015-05-18] Task: {19F5E8A3-F38F-4AD4-B98D-71C9AD02AE28} - System32\Tasks\{66F55FFA-E138-4A27-B129-B756B2AA0083} => pcalua.exe -a "G:\Nowy folder (4)\Przydatne dokumenty\AdobeAIRInstaller.exe" -d "G:\Nowy folder (4)\Przydatne dokumenty" Task: {4CF32D4C-E796-4EA6-ABB6-9F5C2D20948C} - System32\Tasks\{AFCD173D-BE53-4C4B-942E-CC73F03BEC30} => pcalua.exe -a C:\Users\MSI\Downloads\AntizeRe\AdobeAIRInstaller.exe -d C:\Users\MSI\Downloads\AntizeRe Task: {6368ED86-8248-41F6-90D8-E219D5FFDF16} - System32\Tasks\{E1662E52-D955-4A49-BB64-3A1FE9BAB228} => C:\Users\MSI\Downloads\4711_UrbanTerror_41_FULL.exe [2015-01-21] (Frozen Sand LLC) EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Zapisz jako fixlist.txt tam gdzie siedzi FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. To tyle.

Poproszę jeszcze o świeży log USBFix z opcji Listing zrobiony przy podpiętym pendrive.

Owszem, jest tu infekcja - w starcie działa szkodnik pagefile.sys.vbs, który wygląda jak infekcja przeniesiona przy udziale czegoś w typie pendrive. Ale nie jest wykluczone, że opisywane problemy są pochodną czegoś innego niż infekcja: jest to laptop Lenovo z dużą ilością procesów, poza tym objawy mogą sugerować nawet problem sprzętowy. Na razie usuń infekcję oraz odpadkowy sterownik po niepoprawnie odinstalowanym pasku AVG i zobaczymy co z tego wyniknie. Przy okazji będą też usuwane różne puste wpisy i skróty, co jednak nie będzie mieć związku z poprawą stanu. Akcje do wykonania: 1. Była próba z uruchomieniem GMER. Do sprawdzenia Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [MSRegInfo] => C:\WINDOWS\pagefile.sys.vbs [3478 2009-08-28] () HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k HKLM\...\Run: [] => [X] HKLM\...\Policies\Explorer: [NoCDBurning] 0 HKU\S-1-5-21-2304005903-1271469063-473161586-1008\...\Policies\Explorer: [] GroupPolicyScripts: Ograniczenia GroupPolicyScripts\User: Ograniczenia R1 avgtp; C:\WINDOWS\system32\drivers\avgtpx86.sys [37664 2013-11-10] (AVG Technologies) S3 Amsmpu4p; Brak ImagePath S3 EagleNT; Brak ImagePath S3 NSNDIS5; \??\C:\WINDOWS\system32\NSNDIS5.SYS [X] S3 PcdrNdisuio; Brak ImagePath S3 TVTPktFilter; system32\DRIVERS\tvtpktfilter.sys [X] S0 VClone; system32\DRIVERS\VClone.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nm => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\nm.sys => ""="Driver" CustomCLSID: HKU\S-1-5-21-2304005903-1271469063-473161586-1008_Classes\CLSID\{0E55CBE1-B06A-49B6-AD8D-9EFAA0160C6F}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-2304005903-1271469063-473161586-1008_Classes\CLSID\{218D2740-5A50-42A8-AB9F-62FF1B168782}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-2304005903-1271469063-473161586-1008_Classes\CLSID\{29A96789-9595-4947-BEDB-0FCC776F7DB8}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-2304005903-1271469063-473161586-1008_Classes\CLSID\{320F0FDB-BE0A-4648-9D18-4A2C3448C007}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-2304005903-1271469063-473161586-1008_Classes\CLSID\{7EBDAAE0-8120-11CF-899F-00AA00688B10}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-2304005903-1271469063-473161586-1008_Classes\CLSID\{7EBDAAE1-8120-11CF-899F-00AA00688B10}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-2304005903-1271469063-473161586-1008_Classes\CLSID\{7EBDAAE2-8120-11CF-899F-00AA00688B10}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-2304005903-1271469063-473161586-1008_Classes\CLSID\{DB25D157-76D4-41C1-97B5-359E4A4CECEB}\InprocServer32 -> Brak ścieżki do pliku DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.8.0/jinstall-1_8_0_45-windows-i586.cab DPF: {CAFEEFAC-0018-0000-0045-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.8.0/jinstall-1_8_0_45-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.8.0/jinstall-1_8_0_45-windows-i586.cab BHO: Brak nazwy -> {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} -> Brak pliku Toolbar: HKLM - Brak nazwy - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - Brak pliku Toolbar: HKU\S-1-5-21-2304005903-1271469063-473161586-1008 -> Brak nazwy - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - Brak pliku HKU\S-1-5-21-2304005903-1271469063-473161586-1008\Software\Microsoft\Internet Explorer\Main,Search Bar = www.bing.com SearchScopes: HKU\S-1-5-21-2304005903-1271469063-473161586-1008 -> {3F474D50-78A8-4145-A876-24A8D16C80E1} URL = hxxps://www.google.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-2304005903-1271469063-473161586-1008 -> {6570ADBF-FEA7-4A31-B436-4362A834BA0A} URL = hxxps://www.google.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-2304005903-1271469063-473161586-1008 -> {DECA3892-BA8F-44b8-A993-A466AD694AE4} URL = hxxp://search.yahoo.com/search?p={searchTerms}&fr=chr-flv FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF Plugin: @real.com/nprphtml5videoshim;version=15.0.4.53 -> C:\Documents and Settings\All Users\Dane aplikacji\Real\RealPlayer\BrowserRecordPlugin\MozillaPlugins\nprphtml5videoshim.dll [2012-05-20] (RealNetworks, Inc.) C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{1976EC82-8CA2-423B-8D8A-60A47FF4FE66} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{1BCE643F-97C0-4B44-890D-A43BFE74A5D9} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{58C3E267-9392-4778-9F6B-128799DAA44F} C:\Documents and Settings\All Users\Dane aplikacji\Real C:\Documents and Settings\All Users\Menu Start\Programy\NEMA Simulator C:\Documents and Settings\All Users\Menu Start\Programy\PDF reDirect v2 C:\Documents and Settings\All Users\Menu Start\Programy\PURPLE Simulator C:\Documents and Settings\Piotr\swt-win32-3802.dll C:\Documents and Settings\Piotr\Pulpit\Gry\Darkest Hour (2).lnk C:\Documents and Settings\Piotr\Pulpit\Gry\MFS2004\FS Online Center C:\Documents and Settings\Piotr\Pulpit\Gry\SH3 dodatki\GWX 3.0 Manual (English).lnk C:\Documents and Settings\Piotr\Pulpit\Studia\od KP\inst sanit\wyk\Skrót do wyk.lnk C:\Documents and Settings\Piotr\Ustawienia lokalne\Dane aplikacji\69ff07055291669bb2b218.72821112 C:\WINDOWS\pagefile.sys.vbs C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google C:\WINDOWS\system32\drivers\avgtpx86.sys Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Clients\StartMenuInternet\chrome.exe /f Reg: reg delete "HKLM\SOFTWARE\Clients\StartMenuInternet\Google Chrome.DBI472VIG2ANCM6KGTLBICVTXI" /f Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run /f Reg: reg delete HKU\S-1-5-18\Software\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy jest jakaś poprawa.

Gruby FOUND oznacza, że był jakiś problem ze strukturą plików / błędy na dysku, więc usterka gdzie indziej niż przypuszczano. Jeśli na tym dysku były cenne dane i obecnie to właśnie w FOUND są ich szczątki, to może być trudno coś odzyskać z tej sieczki. Są wprawdzie narzędzia typu Chk-Back służące konwersji odpadków po pracy checkdiska do poprzedniej postaci, ale dobre wyniki zależą od tego jak bardzo był uszkodzony materiał wyjściowy. Nie jest to obligatoryjnie. Wystarczy odinstalować USBFix i usunąć pobrane narzędzia oraz ich logi, wliczając folder C:\FRST.

Wszystko nadal się zgadza. Te dwa foldery, o których mówiłam, są ukryte i jest to ich standardowe zachowanie. Gdy przestawisz opcję w Windows Explorer > Organizuj > Opcje folderów i wyszukiwania > Widok > odznacz Ukryj chronione pliki systemu operacyjnego, zobaczysz je. Zajęte miejsce pewnie wynika z tego co jest w tych folderach. Przy czym System Volume Information może być zablokowany przez uprawnienia fałszywie pokazując zero bajtów.

Nic z raportów nie wynika. Jest też relatywnie mało obiektów wtórnych, najbardziej rozbudowany jest Avast. 1. W Dzienniku zdarzeń jest błąd sugerujący reinstalację sterowników sieciowych: Dziennik System: ============= Error: (10/22/2015 09:15:49 PM) (Source: Microsoft-Windows-WLAN-AutoConfig) (EventID: 10000) (User: ZARZĄDZANIE NT) Description: Uruchomienie modułu rozszerzalności sieci WLAN nie powiodło się. Ścieżka modułu: C:\Windows\system32\athExt.dll Kod błędu: 126 2. W Autoruns w karcie Logon wyłącz Adobe Reader Speed Launcher, Adobe ARM, SunJavaUpdateSched. W karcie Services wyłącz WinDefend. Wątpię jednak, by to miało odbicie w poprawie działania. 3. Na wszelki wypadek wykonaj też próbną deinstalację Avast, by odsiać go jako ewentualnego podejrzanego. PS. Do usunięcia będą przekierowania interia.pl w przeglądarkach (wyglądają na robotę jakiegoś sponsora), ale to potem. Nie mają żadnego znaczenia pod kątem głównej sprawy. Nie jestem w stanie stwierdzić tego na 100% na podstawie tu widzianych danych. Wprawdzie w raporcie nie ma określonych obiektów wtórnych oraz powierzchownych oznak generowanych przez niektóre cracki (błędy licencyjne w Dzienniku zdarzeń, modyfikacje pliku hosts, patch określonych plików Windows), ale są także i takie cracki które nie dają żadnych objawów w raportach FRST. Jedyne co tu jest podejrzane, to bardzo stara data instalacji Windows: Microsoft Windows 7 Home Premium Service Pack 1 (X86) (2003-01-01 02:04:52) Windows 7 został wydany w 2009, więc nie mógł być instalowany kilka lat wcześniej. O ile FRST poprawnie odczytał datę instalacji, a dotychczas nie zauważyłam żadnych błędów w tej materii, może ona świadczyć o wykonaniu jakiejś manipulacji z aktywacją.

Poproszę jeszcze o raporty z FRST oraz gdy FRST ukończy skan dodatkowo spakuj mi do ZIP plik C:\FRST\Hives\SYSTEM - shostuj gdzieś i podaj link. I obawiam się, że jest tu znacznie grubszy problem niż się wydaje, Harmonogram to może być kropla w morzu. Dziennik zdarzeń sugeruje to pokazując taki oto błąd innej usługi: Usługa Usługa zasad diagnostyki zakończyła działanie; wystąpił następujący błąd: Odmowa dostępu. Ten błąd jest charakterystyczny dla zresetowanych uprawnień usługi, co może oznaczać że nie tylko ta usługa jest zdefektowana, ale wszystkie jak leci. Na forum przeważnie chodziło o całą gałęź SYSTEM - przykładowe tematy: KLIK, KLIK. Jeśli zdowoduję, że z tym mam do czynienia, są następujące sposoby naprawy: precyzyjny plik przywracający uprawnienia wszystkich usług za pomocą SetACL (nie jestem w stanie go przygotować ze względu na brak czasu), reset "na oko" poprzez przyznanie hurtem grupie Wszyscy uprawnień (obniża to ogólne zabezpieczenia systemu), Przywracanie systemu do czasu gdy nie było usterki, przy niepowodzeniu reinstalacja Windows.

Następnym razem proszę nie ponawiaj Fixa. Jest o tym nawet w zasadach działu: błąd = stop. Popsułeś mi szyki, nie mam wyników o które mi chodziło. Druga sprawa, nie ma żadnych oznak, że wykonałeś punkt 1, który miał być obowiązkowo zrobiony przed Fixem FRST: Wszystkie te pozycje są nadal na liście zainstalowanych, adware TermCoach aktywnie działa. To wszystko do zrobienia i po tym nowe logi FRST (włącznie z Addition).

Zadanie wykonane. Na koniec: Skasuj pobrany FRST i jego logi z folderów w których je miałeś (conajmniej dwa różne były w obrotach). Następnie zastosuj DelFix i wyczyść foldey Przywracania systemu: KLIK.

Fix jest jednorazowego użytku. Poproszę o dostarczenie pierwszej kopii Fixlog z właściwego usuwania: wejdź do folderu C:\FRST\Logs, wyszukaj najstarszy plik Fixlog_data_czas.txt (nie pomyl z FRST_data_czas.txt, który mnie nie interesuje).

W tym katalogu jest folder ze znaczkiem "odwracającym tekst" utrudniający usuwanie. FRST to powinien umieć usuwać, ale poległ. W związku z tym skorzystaj z płyty Kaspersky Rescue Disk. Zbootuj z niej, z Desktopu uruchom File Manager, wejdź do ścieżki odpowiadającej dyskowi C i skasuj ten folder przez SHIFT+DEL (omija Kosz - to ważne): ...\Program Files (x86)\Google\Desktop

Nie. Te dwie usługi są oznaczone przez [x] = brak pliku na dysku, usługi martwe. A komenda Folder działa w trybie "tylko do odczytu" (listowanie zawartości folderu), to dodatkowa informacja dla mnie pod kątem poprawek skanu FRST.

Wszystko pomyślnie wykonane. Kończymy: 1. Usuń pobrane narzędzia i ich raporty z folderu C:\Users\3ESC\Videos\Nowy folder. Jeszcze dla pewności popraw narzędziem DelFix. 2. Wyczyść foldery Przywracania systemu oraz zainstaluj IE11, co jest również opisane pod w/w linkiem.

OK, synchronizacja może być nieczynna, nie wiem więc skąd ta strona wskoczyła. Wyczyść ją wg instrukcji i dostarcz wynikowy fixlog.txt. Podsumuj też czy są jeszcze jakieś problemy widoczne.

Wszystkie usługi odbudowane, a Fix FRST prawie wszystko przetworzył. Wyjątkiem jest jeden z opornych katalogów ZeroAccess, już dwa podejścia padły. Pokaż co jest w tym folderze, tzn. do Notatnika wklej: Folder: C:\Program Files (x86)\Google\Desktop Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Wszystko pomyślnie zrobione. Przestroga, co dopiero pobrałeś poniższy plik. To nie jest poprawny instalator tylko śmieć "Asystent pobierania" dobrychprogramów: KLIK. 2015-10-22 08:53 - 2015-10-22 08:53 - 00967296 _____ (Software ) C:\Users\3ESC\Downloads\Anvi-Startup-Booster-54224-dp.exe Poprawki: 1. Google Chrome było reinstalowane od zera (po dokładnym usunięciu składników via Fix FRST), a tu w nowym logu już szkodliwa strona przycisku strony domowej w Google Chrome. Czy na pewno wykonałeś to: I wyczyść tę stronę: Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień > usuń widoczny tam adres. 2. Otwórz Notatnik i wklej w nim: S2 AnviStartupTime; C:\Program Files (x86)\Anvisoft\StartupBooster\StartupTimeSrv.exe [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Anvisoft RemoveDirectory: C:\ProgramData\Anvisoft RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Anvisoft RemoveDirectory: C:\Users\3ESC\AppData\Roaming\Real RemoveDirectory: C:\Users\3ESC\Desktop\mbar CMD: del /q "C:\Users\Public\Desktop\Post Win10 Spybot-install.exe" CMD: del /q C:\Users\3ESC\Desktop\Rkill.txt CMD: del /q C:\Users\3ESC\Downloads\*-dp*.exe CMD: del /q C:\Users\3ESC\Downloads\ChromeSetup*.exe CMD: del /q C:\Users\3ESC\Downloads\eset_*.exe CMD: del /q C:\Users\3ESC\Downloads\mbar-1.09.3.1001.exe CMD: del /q C:\Users\3ESC\Downloads\OTL*.exe CMD: del /q C:\Users\3ESC\Downloads\rkill.exe CMD: del /q C:\Users\3ESC\Downloads\subsetup.exe CMD: del /q C:\Users\3ESC\Downloads\tdsskiller.exe Reg: reg delete "HKU\S-1-5-21-1513873014-1676483810-3709530833-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Powstanie kolejny plik fixlog.txt. Przedstaw go. Nowy skan FRST nie jest mi już potrzebny. To na końcu. Detale są w przyklejonym, albo najnowsza wersja DC, albo minimalizm SumatraPDF: KLIK.

Może to był przejściowy "quirk", skoro teraz system już poprawnie się zamyka. Nie widzę żadnych nowych niepożądanych zmian. Natomiast są nadal błędy, które już widziałam we wcześniejszych raportach: ==================== Inne obszary ============================ mpsdrv => Usługa "Zapora systemu Windows" nie jest uruchomiona. MpsSvc => Usługa "Zapora systemu Windows" nie jest uruchomiona. ==================== Wadliwe urządzenia w Menedżerze urządzeń ============= Niepowodzenie przy listowaniu urządzeń. Sprawdź usługę "winmgmt" lub napraw WMI. Dziennik Aplikacja: ================== Error: (10/22/2015 12:02:13 PM) (Source: VSS) (EventID: 12292) (User: ) Description: Błąd Usługi kopiowania woluminów w tle: błąd tworzenia klasy COM dostawcy kopii w tle z identyfikatorem CLSID: {65ee1dba-8ff4-4a58-ac1c-3470ee2f376a} [0x80070422, Nie można uruchomić określonej usługi, ponieważ jest ona wyłączona lub ponieważ nie są włączone skojarzone z nią urządzenia.]. Operacja: Uzyskaj możliwy do wywołania interfejs dla tego dostawcy Wyświetl listę interfejsów dla wszystkich dostawców obsługujących ten kontekst Badaj kopie w tle Kontekst: Identyfikator dostawcy: {b5946137-7b9f-4925-af80-51abd60b20d5} Identyfikator klasy: {65ee1dba-8ff4-4a58-ac1c-3470ee2f376a} Kontekst migawki: 13 Kontekst migawki: 13 Kontekst wykonywania: Coordinator Zrób nowy raport FRST na innym ustawieniu: odznacz Filtrowanie dla sekcji Usługi, nie zaznaczaj pola Addition.

System jest czysty, więc zostaje sprawa pendrive. Tylko czy tu na pewno chodzi o infekcję? Na tym pendrive obecnie nie ma żadnych śladów infekcji, ani danych osobistych. Wszystko co widać to te dwa ukryte foldery (i jest to dla nich stan domyślny): F:\ - Removable drive (FAT32) [14/10/2015 - 23:27:26 | SHD] - F:\FOUND.000 [14/10/2015 - 23:51:40 | SHD] - F:\System Volume Information FOUND.000 - folder tworzony przez narzędzie checkdisk, gdy są wykryte błędy na dysku i następuje ich "naprawa", która sprowadza się do obcinania danych i wadliwe szczątki lądują w tym folderze właśnie. System Volume Information - folder Przywracania systemu tworzony na każdym dostępnym dysku, czyli jako skutek uboczny ląduje on i na pendrive. W tym przypadku nie jest to pożądane zachowanie, ale to urok Windows. Czyli ... nie mam się czym zajmować.

Akcja pomyślnie ukończona. Kończymy: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Uruchom Windows Update i upewnij się, że masz wszystkie aktualizacje zainstalowane. Być może jest jakaś aktualizacja mająca nowszą wersję ADVAPI32.dll.

Teraz odpowiadaj mi już w nowym poście, nie edytuj pierwszego. W systemie jest aktywna usługa adware ihpmServer oraz moduł Zonzap. Ponadto, przeglądarka Google Chrome została przekonwertowana przez adware z wersji stabilnej do tzw. "developerskiej" i jest konieczna jej reinstalacja od zera. Ostrzeżenie: poszukując rozwiązania ściągałeś lewy program SpyHunter, z daleka od niego. Akcje do przeprowadzenia: 1. Odinstaluj stare wersje Adobe Flash Player 10 ActiveX, Adobe Reader XI (11.0.13) - Polish, Java 8 Update 25, RealPlayer oraz Google Chrome: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Nie instaluj na razie nowej wersji Chrome, bo w punkcie 2 będzie doczyszczenie obiektów Chrome. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 ihpmServer; C:\Program Files (x86)\RayDld\ihpmServer.exe [270568 2015-10-12] () S2 HP LaserJet Service; "C:\Program Files (x86)\HP\HPLaserJetService\HPLaserJetService.exe" [X] S2 Zonzap; C:\ProgramData\\Zonzap\\Zonzap.exe -f "C:\ProgramData\\Zonzap\\Zonzap.dat" -l -a S3 BlueletAudio; system32\DRIVERS\blueletaudio.sys [X] S3 BT; system32\DRIVERS\btnetdrv.sys [X] S3 BTCOM; system32\DRIVERS\btcomport.sys [X] S3 Btcsrusb; System32\Drivers\btcusb.sys [X] S3 btmaudio; system32\drivers\btmaud.sys [X] R4 DRIVER_B; \??\C:\Windows\system32\Drivers\DRIVER_BIN64 [X] S1 eamonm; system32\DRIVERS\eamonm.sys [X] S1 ehdrv; system32\DRIVERS\ehdrv.sys [X] S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X] S3 IvtComBusSrv; System32\Drivers\btcombus.sys [X] S3 SANDRA; \??\C:\Program Files\SiSoftware\SiSoftware Sandra Lite 2012.SP4a\WNt500x64\Sandra.sys [X] Task: {A97E93A2-7AB1-4977-86A5-8153A0075A52} - System32\Tasks\Update\cryptex => C:\Users\3ESC\AppData\Local\Temp\ariana.exe Task: {CFA6D06E-44A5-4B08-AD85-14828D5D23F5} - System32\Tasks\{02FBDBE5-A265-4551-BCA8-FB7EC1F07E55} => pcalua.exe -a "C:\Program Files (x86)\Common Files\TrippleKix\uninstall.exe" -c -f "C:\Program Files (x86)\Common Files\TrippleKix\uninstall.dat" -a uninstallme C3C273F6-495F-4859-81DC-3770706A41F2 DeviceId=bc7c933f-4576-a6e3-9e9f-81ec6eda0ba4 BarcodeId=50028003 ChannelId=3 DistributerName=APSFIsc HKLM-x32\...\Run: [] => [X] HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> BootExecute: autocheck autochk * bootdeletesdnclean64.exe CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1513873014-1676483810-3709530833-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1445468493&z=81b5fd2827ae88f376740f7g5zez9w5z9q6b8z0tcc&from=cor&uid=st9500420as_5vj9px2fxxxx5vj9px2f&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.sweet-page.com/web/?type=ds&ts=1445468493&z=81b5fd2827ae88f376740f7g5zez9w5z9q6b8z0tcc&from=cor&uid=st9500420as_5vj9px2fxxxx5vj9px2f&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1445468493&z=81b5fd2827ae88f376740f7g5zez9w5z9q6b8z0tcc&from=cor&uid=st9500420as_5vj9px2fxxxx5vj9px2f&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.sweet-page.com/web/?type=ds&ts=1445468493&z=81b5fd2827ae88f376740f7g5zez9w5z9q6b8z0tcc&from=cor&uid=st9500420as_5vj9px2fxxxx5vj9px2f&q={searchTerms} HKU\S-1-5-21-1513873014-1676483810-3709530833-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku FF HKLM-x32\...\Firefox\Extensions: [{ABDE892B-13A8-4d1b-88E6-365A6E755758}] - C:\Program Files (x86)\Real\RealPlayer\browserrecord\firefox\ext FF HKLM-x32\...\Firefox\Extensions: [quickprint@hp.com] - C:\Program Files (x86)\Hewlett-Packard\SmartPrint\QPExtension FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\3ESC\AppData\Roaming\Mozilla\Firefox\Profiles\jtz6kni7.default-1445466581999\extensions\deskCutv2@gmail.com => nie znaleziono C:\$360Section C:\Program Files\ConvertHelper3 C:\Program Files (x86)\360 C:\Program Files (x86)\Google C:\Program Files (x86)\Iron Man Lego Adventures C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins C:\Program Files (x86)\RayDld C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\Program Files (x86)\Temp C:\Program Files (x86)\UpgraderSystem C:\Program Files\Common Files\WinPcapNmap.exe C:\ProgramData\360Quarant C:\ProgramData\TEMP C:\ProgramData\SlimWare Utilities, Inc C:\ProgramData\Spybot - Search & Destroy C:\ProgramData\Zonzap C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Driver Cleaner 3 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\mIRC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NFS Most Wanted PL C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SoftMaker Office Professional 2012 C:\Users\3ESC\AppData\Local\*CIS* C:\Users\3ESC\AppData\Local\48FD097A_stp C:\Users\3ESC\AppData\Local\5C5FDFC1_stp C:\Users\3ESC\AppData\Local\ESET C:\Users\3ESC\AppData\Local\Opera Software C:\Users\3ESC\AppData\Roaming\Opera Software C:\Users\3ESC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Office C:\Users\3ESC\Downloads\SpyHunter-Installer.exe C:\Users\3ESC\Downloads\YTDInstaller.exe C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Gość\Desktop\*.lnk C:\Users\Public\Desktop\HP Print and Scan Doctor.lnk C:\Windows\System32\Drivers\EpfwLWF.sys C:\Windows\System32\Drivers\etc\hosts.*.backup C:\Windows\System32\Tasks\Safer-Networking C:\Windows\System32\Tasks\Update DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Update Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\CCleaner Monitoring" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SlimCleaner Plus" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpybotPostWindows10UpgradeReInstall" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\TkBellExe" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox (chodzi o ten normalny a nie wersję Tor na Pulpicie): Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 4. Napraw niepoprawnie wyczyszczony (przypuszczalnie przez AdwCleaner) specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\3ESC\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Dopiero teraz możesz zainstalować najnowszą wersję Google Chrome. I po tym zrób nowe logi FRST z opcji Skanuj (Scan), zaznacz tylko pole Addition, Shortcut nie jest mi już potrzebny. Dostarcz oba logi wynikowe oraz plik fixlog.txt.

Wątek malware proszę porzuć, żadnego związku. Normalna sytuacja to właśnie odwrotność tego co opisujesz: standardowo te klucze są chronione i zablokowane dla Administratorów, a jeśli wcześniej nie były, to albo było to "uszkodzone" ustawienie systemu już zmanipulowane w jakiś sposób, albo chodziło o klucze wtórne wprowadzone przez jakąś instalację która inaczej przyznała uprawnienia. Te klucze domyślnie są ograniczone przez uprawnienia, ich Właścicielem jest konto sytemowe TrustedInstaller, a Administratorzy mają tylko Odczyt. Przykładowy widok uprawnień na pierwszym z brzegu podkluczu: Jeśli dany klucz ma być edytowany, wtedy należy dla tego klucza zmienić Właściciela z TrustedInstaller na Administratorzy oraz przestawić Administratorom Odczyt na Pełną kontrolę. Jeśli dany klucz ma podklucze i one też miałbyby być edytowane, to przy tej operacji należy zaznaczyć rekursywne przetwarzanie uprawnień lub dany podklucz z osobna adresować. Po edycji zaś przywrócić poprzednią blokadę. Ale opisz o co Ci tu w ogóle chodzi, po co edycje (i gdzie konkretnie), co chcesz osiągnąć?

FRST - nowoczesny program który całkowicie zastępuje OTL i posiada o wiele więcej skanów niż OTL. OTL to archaiczna aplikacja, od kilku lat nie aktualizowana, w której są nieprawione błędy i braki. GMER jest specjalizowany w szukaniu ukrytych infekcji rootkit, programy typu FRST i OTL nie pracują na poziomie który umożliwia takie detekcje i mogą zostać oszukane.

Uruchom Zoek. W oknie wklej: FontNav;u PL;u Update Manager;u VBA;u VCRedistSetup;u Klik w Run Script. Przedstaw wynikowy log zoek-results.txt (po zmianie nazwy z *.log).