picasso

Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 VSSS; C:\Users\Ola\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [105317504 2015-06-23] (Microsoft Corporation) [File not signed] HKLM-x32\...\Run: [TaskTray] => [X] Task: {3B1039D2-C7C9-4E40-B837-4EC757365118} - System32\Tasks\{6A8B768F-F083-40B1-836F-C0593A6F7036} => pcalua.exe -a C:\Windows\SysWOW64\Samsung_USB_Drivers\2\SSM_Uninstall.exe Task: {64D5FEE5-226B-4BB7-8F84-6534E66AE29E} - System32\Tasks\{E187F430-7B35-4A1A-AE6D-046292D2C464} => pcalua.exe -a C:\Windows\SysWOW64\Samsung_USB_Drivers\5\SSSDUninstall.exe Task: {6E8B6CAF-3F8C-4102-BFC2-C8D272673125} - System32\Tasks\{CBF18997-2AED-4BBC-A0A7-BDE79C1709B4} => C:\Program Files (x86)\Skype\\Phone\Skype.exe Task: {A8FD0B9A-7BD2-477D-9B7D-02CDDB7F7E8D} - System32\Tasks\{6BAB1883-5FF8-43B6-980F-F1E0700EC112} => pcalua.exe -a C:\Users\Ola\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=cor Task: {C2006566-8FF7-42F7-A069-E8E67E9E088C} - System32\Tasks\{F3BEEA16-6920-434F-ACB3-2A5D46C76928} => E:\Install.exe Task: {C78DD98D-4740-41A4-BC17-6E583F2E07AF} - System32\Tasks\{D8A5CD5D-4746-408A-88B5-E79D10FB5B11} => pcalua.exe -a E:\Setup.exe -d E:\ Task: {D0BB8E73-0E0C-41E3-A4EF-9949CC60F046} - System32\Tasks\{A562F978-FCA7-4A48-9546-50874C9FEB78} => Firefox.exe http://ui.skype.com/ui/0/5.3.0.120.259/pl/abandoninstall?source=lightinstaller&page=tsDownload&installinfo=google-toolbar:notoffered;ienotdefaultbrowser2,google-chrome:notoffered;systemlevelpresent Task: {F310FE67-9D68-401D-8F9A-3015F9025055} - System32\Tasks\{62B8DF6A-F8D0-4B3E-893E-CB533BFF500C} => C:\Program Files (x86)\Skype\\Phone\Skype.exe HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-21-1365672938-4047589735-543654078-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com BHO-x32: Winamp Toolbar Loader -> {4accc990-3dc7-4456-a734-5cb4b610a7f5} -> C:\Program Files (x86)\Winamp Toolbar\winamppltb.dll No File Toolbar: HKLM-x32 - Winamp Toolbar - {a0b1221c-a3ff-4f7c-a393-dc63af5301e9} - C:\Program Files (x86)\Winamp Toolbar\winamppltb.dll No File FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-1365672938-4047589735-543654078-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 C:\Program Files (x86)\mozilla firefox\plugins C:\Program Files\*.exe C:\Users\Ola\*.exe C:\Users\Ola\AppData\Roaming\obthqktxba.exe C:\Users\Ola\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Ola\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Zrób nowe logi: FRST z opcji Scan (bez Addition i Shortcut) + Farbar Service Scanner. Dołącz też plik fixlog.txt. Podsumuj czy jest jakaś poprawa.

MARC Poproszę o nowy zestaw raportów FRST, mający udowodnić czy DhcpNameServer zostało zaktualizowane poprawnie. Tym razem zestaw logów ma być kompletny, tzn. także pliki Addition + Shortcut. Po sprawdzeniu kompletu będą jeszcze drobne rzeczy do wykonania, w tym czyszczenie cache (bufor DNS i cache przeglądarek). jessika Wartość DhcpNameServer jest automatycznie aktualizowana z routera - wystarczy restart komputera, by to odpalić. Fix.reg zbędny, on nawet nie utrzyma żadnych modyfikacji, bo Windows dynamicznie koryguje te wartości. I jeszcze z bazy Technet (KLIK):

Czy jesteś w stanie skombinować / pożyczyć od kogoś płytę instalacyjną DVD z Windows 7? Co to za model laptopa?

Log FRST nadal nie jest cały, obie dostarczone kopie FRST.txt są urwany w połowie. Poproszę o nowy log FRST.txt. Tak, system jest zainfekowany - usługa udająca "cieniowanie woluminu": S2 VSSS; C:\Users\Ola\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [105317504 2015-06-23] (Microsoft Corporation) [File not signed] ---- Processes - GMER 2.1 ---- Process C:\Users\Ola\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe (*** suspicious ***) @ C:\Users\Ola\AppData\Roaming\Microsoft\SystemCertificates\VSSVC.exe [2176] (Microsoft® Volume Shadow Copy Service/Microsoft Corporation)(2015-06-23 08:34:59) 0000000000400000 Przejdę do usuwania, gdy dostarczysz kompletny FRST.txt.

To nie jest problem infekcji, skoro Windows był już reinstalowany w całości, problem zdaje się być relatywny do sprzętu lub zainstalowanych sterowników. W Dzienniku zdarzeń jest nagrany kod BSOD typu THREAD_STUCK_IN_DEVICE_DRIVER: System errors: ============= Error: (06/23/2015 02:37:34 PM) (Source: BugCheck) (EventID: 1001) (User: ) Description: 0x000000ea (0xfffffa8002b72060, 0x0000000000000000, 0x0000000000000000, 0x0000000000000000)C:\Windows\MEMORY.DMP062315-23758-01 Temat przenoszę do stosowniejszego działu - Hardware. Dostarcz materiały wymagane działem (KLIK) oraz wyniki debugowania plików DMP (KLIK - punkt 5).

Tam jest tylko jeden poradnik jak wejść do WinRE (czyli opcji "Napraw komputer"): https://www.fixitpc.pl/topic/54-winre-metody-startu-opis-funkcji-naprawczych/ Mówisz, że F8 nie działa. Czy masz płytę instalacyjną DVD z Windows 7?

ganisz, na razie nic tu nie wskazuje, by usuwanie per se było przyczyną awarii. Wg Twojego opisu po użyciu Fixlist uruchomiła się jakaś procedura "naprawcza": Co było na tym ekranie? Jaka konkretnie treść? Czy to było sprawdzanie dysku pod kątem błędów czy inna forma naprawcza? Czy jesteś w stanie: - Wejść w Tryb awaryjny przez F8? - Wejść do środowiska WinRE, by zrobić log FRST z tego poziomu: KLIK?

malutka, podałaś tu dwa zestawy logów (na przyszłość: Shortcut też jest obowiązkowy), które pochodzą z dwóch różnych wersji FRST. Te jakoby "nowsze" z 19 czerwca są zrobione archaiczym FRST 30-08-2014 (!), pozbawionym licznych skanów i bugfiksów. Tak więc bardziej wiarygodne są te starsze logi z pierwszego posta. Przy czym, między tymi zestawami raportów i tak nie ma wybitnych różnic (poza tym, że w pierwszych są widoczne wpisy nie skanowane starszym FRST) W żadnych z logów nie ma oznak infekcji. Nic tu nie wskazuje, by o nią chodziło, a opis pachnie problemem sprzętowym. Temat przenoszę do działu sprzętowego. Dostarcz dane wymagane tych działem (KLIK).

jessika otrzymała taką propozycję ode mnie kilka miesięcy temu (końcowka sierpnia 2014) i odmówiła.

Przypominam, że forum na które się powołujesz, jest związane z oficjalnym supportem MBAM i Naathim pełni określoną rolę z tym związaną, pomoc w usuwaniu malware i moderacja w rozumieniu tu dyskutowanym jest tam drugorzędna (wg Ciebie pierwszoplanowa). Cytując ponownie: "Mamy nowy release programu (czyli MBAM) na głowie" = To nie są prace publiczne i żadnych postów na ten temat nie znajdziesz, bo to dane nie przeznaczone dla przeciętnego użytkownika. To czy on napisał jakiś post w widocznej dla Ciebie sekcji czy nie, nie może definiować tamtejszej rzeczywistej aktywności, bo to nie ta aktywność. Nie trzeba mnie też "pouczać", żem taka głupia i nie sprawdziłam sobie dat aktywności, bo mimo wszystko jestem jedyną widoczną osobą z polskiego środowiska, która ma określony dostęp do istotnych w środowisku malware forów (a nie lokalnych polskich tworów), gdzie się dzieją kluczowe rzeczy, i posiadam więcej informacji na temat aktywności i możliwości określonych jednostek. To prawda, że nie spodziewałam się, iż po chwili aktywności nastąpi jego niezapowiedziana nieobecność (tu na forum) i w tym kontekście czuję się nieswojo. Jednakże muszę stanowczo podkreślić, że podawane tu dane liczenia "ostatnim postem" to manipulacja.

jessika, Do prac nad programem i niepublicznych sekcji nie mają dostępu standardowi użytkownicy, nie są w stanie więc ocenić aktywności. A przy sprzątaniu tematów to każdego można złapać na tym, że omyłkowo pominął temat.

Z Moderatorni: Nie będę jednak ukrywać, że rozmija się to z moimi wyobrażeniami i nie zostałam przygotowana na nieobecność zaraz na wstępie.

Temat już podnoszony na forum: https://www.fixitpc.pl/topic/27082-pomoc-przy-lockerze/

W związku z moją słabą dyspozycyjnością i ciągłymi problemami zdrowotnymi ostatnimi czasy: Do działu Malware została przypisana nowa osoba pomagająca - Naathim. Kompetencje: technik z Malwarebytes (także Moderator na forum MBAM), oraz autoryzowany pomocnik w serwisie Geeks2Go.

Strzelczanin, wpis w HKLM (globalny) już zmodyfikowany przez jakieś narzędzie czyszczące - przypuszczalnie AdwCleaner - bez poprawnego prefiksu http://, dlatego zadany do przetworzenia via FRST (przywróci domyślną wartość systemową). Narzędzia czyszczące nie zachowują się spójnie i zastępują przejęte przez adware wartości na różną modłę, staram się wszędzie przywracać domyślne wartości Windows, nawet jeśli ma to nikłe bądź zerowe znaczenie.

Infekcji "Locker" tu jeszcze nie było. Opis infekcji: http://www.bleepingcomputer.com/virus-removal/locker-ransomware-information Wczoraj opublikowano już narzędzie deszyfrujące - Locker Unlocker: http://www.bleepingcomputer.com/forums/t/577953/locker-developer-releases-private-key-database-and-3rd-party-decrypter-released/

Phantomek, mówiłam wyraźnie, że wszystkie akcje masz wykonać będąc zalogowanym na koncie Jarosław, a Ty wykonałeś Fix FRST z poziomu konta Zbyszek (brak widoczności wpisów Jarosława) + Google Chrome wygląda kompletnie inaczej. Powtarzaj 1 do 4 będąc zalogowanym na koncie Jarosław.

Wszystko zrobione. Teraz uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nic nie usuwaj) i dostarcz log z folderu C:\AdwCleaner.

"Crypt0L0cker" to nowy wariant TorrentLocker: KLIK. Odszyfrowanie plików nie jest możliwe. Infekcja nie jest już czynna, więc mogę się zająć sprawami porządkowymi typu usunięcie innych śladów tej infekcji (masowe pliki DECRYPT_INSTRUCTIONS.* + zaszyfrowane kopie *.encrypted) oraz odpadków adware i wpisów pustych. Jeśli temat nadal aktualny: 1. Przez Panel sterowania odinstaluj zbędnik McAfee Security Scan Plus. 2. Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator. Wyszukaj na liście szczątkowy wpis avast! Firewall NDIS Filter Miniport, odinstaluj i zresetuj system. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {adb41315-fba7-4b86-be27-b2401a20c8d2}Gw64; C:\Windows\System32\drivers\{adb41315-fba7-4b86-be27-b2401a20c8d2}Gw64.sys [48776 2014-11-21] (StdLib) R2 HPSLPSVC; C:\Users\Uzytkownik\AppData\Local\Temp\7zS4604\hpslpsvc64.dll [1039360 2013-02-06] (Hewlett-Packard Co.) [File not signed] AppInit_DLLs: c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll => c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll File Not Found Task: {1793C275-831E-45E7-AE5E-6A07C21105CE} - System32\Tasks\{B30B8FAD-107F-48F8-84BA-C2CE5A42B1E9} => pcalua.exe -a C:\Users\Uzytkownik\Downloads\VP-Female_Install-1.exe -d C:\Users\Uzytkownik\Downloads Task: {8A49326D-1555-4A2B-B9FB-A57A0B7769B1} - System32\Tasks\{4B7A1CFF-8B77-40C8-984F-2F7C37C9F5D8} => pcalua.exe -a C:\Users\Uzytkownik\Downloads\AdobeAIRInstaller(2).exe -d C:\Users\Uzytkownik\Downloads Task: C:\Windows\Tasks\DriverDoc_UPDATES.job => C:\Program Files (x86)\DriverDoc\Solvusoftdd.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1416603967&from=smt&uid=WDCXWD5000AAKX-003CA0_WD-WMAYUA99096690966&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1416603967&from=smt&uid=WDCXWD5000AAKX-003CA0_WD-WMAYUA99096690966&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1416603967&from=smt&uid=WDCXWD5000AAKX-003CA0_WD-WMAYUA99096690966&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1416603967&from=smt&uid=WDCXWD5000AAKX-003CA0_WD-WMAYUA99096690966&q={searchTerms} SearchScopes: HKLM-x32 -> {B7665F00-A1F2-44B2-BE8E-467C72273AAD} URL = ${SEARCH_URL}{searchTerms} SearchScopes: HKU\S-1-5-21-2268915923-2210327002-2334318671-1001 -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKU\S-1-5-21-2268915923-2210327002-2334318671-1001 -> {B7665F00-A1F2-44B2-BE8E-467C72273AAD} URL = http://startsear.ch/?src=sp&aff=67&cf=cd90d133-af86-11e2-b47a-8c89a56e1b2c&q={searchTerms} Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File Toolbar: HKU\S-1-5-21-2268915923-2210327002-2334318671-1001 -> No Name - {759D9886-0C6F-4498-BAB6-4A5F47C6C72F} - No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1416603818&from=smt&uid=WDCXWD5000AAKX-003CA0_WD-WMAYUA99096690966 FF Plugin-x32: @esn/npbattlelog,version=2.3.2 -> C:\Program Files (x86)\Battlelog Web Plugins\2.3.2\npbattlelog.dll No File FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll No File CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1416603967&from=smt&uid=WDCXWD5000AAKX-003CA0_WD-WMAYUA99096690966" C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\Elex-tech C:\ProgramData\ykesecizacubipyv C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bethesda Softworks C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Easy GIF Animator C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Heroes of Might and Magic III - Złota Edycja\Instrukcje C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StarCraft II\Pomoc techniczna Blizzard.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StarCraft II\Publiczny serwer testowy StarCraft II.lnk C:\Users\Uzytkownik\AppData\Local\Microsoft\Windows\GameExplorer\{1FCDCECF-8F1F-46E7-AB60-0E24452A50CC} C:\Users\Uzytkownik\AppData\Local\Microsoft\Windows\GameExplorer\{F5A58C89-646C-48EF-9635-40A0183A2CB0} C:\Users\Uzytkownik\AppData\Roaming\eCyber C:\Users\Uzytkownik\AppData\Roaming\Elex-tech C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BitGuard C:\Users\Uzytkownik\Desktop\Continue Free FLV Converter installation.lnk C:\Users\Uzytkownik\Desktop\Registry Booster C:\Users\Uzytkownik\Desktop\K2\AION Free-to-Play.lnk C:\Users\Uzytkownik\Desktop\K2\Convert Doc.lnk C:\Users\Uzytkownik\Desktop\K2\Gameforge Live.lnk C:\Users\Uzytkownik\Desktop\K2\GIMP 2.lnk C:\Users\Uzytkownik\Desktop\K2\Gothic II Demo spielen.lnk C:\Users\Uzytkownik\Desktop\K2\McAfee Security Scan Plus.lnk C:\Users\Uzytkownik\Desktop\K2\Mumble (Klient Kompatybilny Wstecz).lnk C:\Users\Uzytkownik\Desktop\K2\Overwolf.lnk C:\Users\Uzytkownik\Desktop\K2\Play FortressMU S6 EP3.lnk C:\Users\Uzytkownik\Desktop\K2\Ventrilo.lnk C:\Users\Uzytkownik\Desktop\K2\Pliki\Pionek.lnk C:\Users\Uzytkownik\Downloads\sh-remover.exe C:\Users\Uzytkownik\Downloads\yet_another_cleaner_sk_4272543.exe C:\Users\Public\Desktop\Oblivion.lnk C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\System32\drivers\{adb41315-fba7-4b86-be27-b2401a20c8d2}Gw64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset CMD: attrib -h -s C:\DECRYPT_INSTRUCTIONS.* /s CMD: attrib -h -s D:\DECRYPT_INSTRUCTIONS.* /s CMD: del /q /s C:\DECRYPT_INSTRUCTIONS.* CMD: del /q /s D:\DECRYPT_INSTRUCTIONS.* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

"Crypt0L0cker" to nowy wariant TorrentLocker: KLIK. Odszyfrowanie plików nie jest możliwe. W mojej gestii będzie tylko usunięcie czynnej infekcji oraz pozostałych jej komponentów (masowe pliki DECRYPT_INSTRUCTIONS.* + zaszyfrowane kopie *.encrypted). Dodatkowo, w systemie jest innego typu poważne uszkodzenie - wszystkie usługi i sterowniki Microsoftu mają od góry do dołu oznaczenie braku podpisu cyfrowego, co oznacza uszkodzenie jednej z baz Usług krytptograficznych. O ile temat nadal aktualny, działania do przeprzeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1558899207-2086174334-889782467-1001\...\Run: [omuvyquf] => D:\ProgramData\exoqokut.exe [280618 2015-05-12] () BootExecute: Task: {1FB1E602-C75E-4058-A07D-F484BFE05B0A} - System32\Tasks\{5A2009E5-6320-4D3B-A0DB-B65318DCC085} => pcalua.exe -a E:\Friends2\Setup.exe -d E:\Friends2 Task: {341BCCB6-C7AF-43F9-81A7-C657AAA4A638} - System32\Tasks\{64219EC1-8128-4FB3-9570-CDD6E4F3230A} => pcalua.exe -a D:\Users\Grzegorz\Downloads\irfanview_lang_polski.exe -d "D:\Windows.old\Program Files (x86)\Mozilla Firefox" Task: {771254C5-4C59-47F7-B655-3F28CE64AB3A} - System32\Tasks\{9A78C34F-C038-4D46-BDCF-351D737B21BA} => pcalua.exe -a F:\startuj.exe -d F:\ Task: {849F1AB7-4252-48BD-96C1-A1A26574DFD7} - System32\Tasks\Norton Identity Safe\Norton Error Processor => D:\Program Files (x86)\Norton Identity Safe\Engine\2013.3.0.26\SymErr.exe Task: {9BF1D99A-1594-4B05-B002-9CD3CB538150} - System32\Tasks\{2E74451B-3AF2-474E-83F6-D22461150861} => pcalua.exe -a D:\Users\Grzegorz\Downloads\splinter_cell_chaos_theory_1.00_To_1.05_euro.exe -d "D:\Windows.old\Program Files (x86)\Mozilla Firefox" Task: {AA94ECA0-421A-410F-91FE-7ACD25C28CED} - \{FCCEDEE0-E01C-496C-8726-EE30BEA9B2C4} No Task File Task: {BFDCDE43-F85A-42D3-9444-01763F9C6AAA} - System32\Tasks\{B9EC3D08-51AB-4D83-8FC4-A52E5EF1FB2F} => pcalua.exe -a D:\Users\Grzegorz\Downloads\Sims3_1.29.55.014017_from_1.26.89.013017.exe -d "D:\Windows.old\Program Files (x86)\Mozilla Firefox" Task: {CEF68548-7B8B-4E22-929D-84FFB126103F} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => D:\Program Files (x86)\Norton Identity Safe\Engine\2013.3.0.26\SymErr.exe Task: {D0289035-C57F-4163-9794-410F559F2268} - System32\Tasks\{459348B8-5B57-4F28-8D64-9D39FAFF2EEB} => H:\start.exe Task: {E102499C-F43E-48A4-8BE4-94A2452E3F29} - \{37F04893-F64D-4A04-803F-48442CA068F6} No Task File Task: {F9784703-5FEA-4AA9-A7AE-9119E09A3570} - System32\Tasks\{DA10C2B5-B8F0-494A-8E9A-64362960C238} => pcalua.exe -a "E:\saints row 2\steam.exe" -c steam://uninstall/9480 Task: D:\Windows\Tasks\Adobe Flash Player Updater.job => Task: D:\Windows\Tasks\AutoKMS.job => Task: D:\Windows\Tasks\AutoKMSDaily.job => R2 MWAgent; D:\Program Files (x86)\Common Files\MicroWorld\Agent\MWASER.EXE [858632 2011-12-20] (MicroWorld Technologies Inc.) S3 clwvd; system32\DRIVERS\clwvd.sys [X] S3 EraserUtilDrv11220; \??\D:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilDrv11220.sys [X] S1 GLogin; No ImagePath S3 keycrypt; system32\DRIVERS\KeyCrypt64.sys [X] S3 MSI_MSIBIOS_010507; \??\D:\Program Files (x86)\MSI\Live Update 5\msibios64_100507.sys [X] S3 NTIOLib_1_0_4; \??\D:\Program Files (x86)\MSI\Live Update 5\NTIOLib_X64.sys [X] S3 pccsmcfd; system32\DRIVERS\pccsmcfdx64.sys [X] S3 Prot6Flt; system32\DRIVERS\Prot6Flt.sys [X] U0 SR; No ImagePath U2 SRService; No ImagePath CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKU\S-1-5-21-1558899207-2086174334-889782467-1001 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www1.delta-search.com/?q={searchTerms}&affID=119887&babsrc=SP_ss&mntrId=30ED00FFEF4CC11E SearchScopes: HKU\S-1-5-21-1558899207-2086174334-889782467-1001 -> {951265FF-C6C2-4D61-8785-6091AB57CA33} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000YYPL&apn_uid=BAFFE972-3829-48E6-BDF9-833E7EDB2B69&apn_sauid=AE9ED8C3-B03C-4847-8963-0510F9522738 FF Plugin-x32: @Bitdefender.com/PasswordManager;version=17.8 -> D:\Program Files\Bitdefender\Bitdefender\Antispam32\pmbxnp.dll No File FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - D:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 D:\Program Files (x86)\Common Files\MicroWorld D:\ProgramData\{808801f6-940f-1c0f-8088-801f694007da} D:\ProgramData\{a479e98a-190a-2b2c-a479-9e98a190a628} D:\ProgramData\abekelataheficij D:\ProgramData\exoqokut.exe D:\ProgramData\hpeC2D1.dll D:\ProgramData\TEMP D:\ProgramData\Media Center Programs\DriverParallelLines.lnk D:\ProgramData\Media Center Programs\gu.lnk D:\ProgramData\Microsoft\Windows\GameExplorer\{19A1D145-1267-4D28-8A59-3D9F9F3886E9} D:\ProgramData\Microsoft\Windows\GameExplorer\{6ACBFF89-89D4-47C3-A0F3-47C3A9A5AC7E} D:\ProgramData\Microsoft\Windows\GameExplorer\{71F420AA-9315-414B-A883-CE353045E77D} D:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ashampoo\Ashampoo Home Designer Pro\Manuals\Manual Ashampoo Home Designer Pro.lnk D:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ashampoo\Ashampoo Home Designer Pro\Manuals\Manual Shortcuts.lnk D:\ProgramData\Microsoft\Windows\Start Menu\Programs\New Super Mario Forever\New Super Mario Forever.lnk D:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALLPlayer D:\ProgramData\Microsoft\Windows\Start Menu\Programs\AP Tuner 3.08 D:\ProgramData\Microsoft\Windows\Start Menu\Programs\Atari D:\ProgramData\Microsoft\Windows\Start Menu\Programs\Chicken Invaders UO Polski D:\ProgramData\Microsoft\Windows\Start Menu\Programs\Digital Image Recovery D:\ProgramData\Microsoft\Windows\Start Menu\Programs\HTC Home D:\ProgramData\Microsoft\Windows\Start Menu\Programs\OLYMPUS Camera D:\Users\Grzegorz\AppData\Local\Microsoft\Windows\GameExplorer\{55CC7FD2-42F0-41D5-82AD-0954A243B333} D:\Users\Grzegorz\AppData\Local\Microsoft\Windows\GameExplorer\{92C17B13-64D9-44D2-95B0-27C276B0A921} D:\Users\Grzegorz\AppData\Local\Microsoft\Windows\GameExplorer\{D9B56526-5886-47A5-8A78-32780D3CC589} D:\Users\Grzegorz\AppData\Local\SpaceKace D:\Users\Grzegorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BrowserProtect D:\Users\Grzegorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Oddworld Abe's Oddysee D:\Users\Grzegorz\AppData\Temp D:\Users\Grzegorz\Desktop\VR-360,D-760,VR-350,D-755,VR-340,D-750 Instrukcja obsługi.lnk D:\Users\Grzegorz\Desktop\Wznów pobieranie.lnk D:\Users\Grzegorz\Downloads\SpyHunter-Installer.exe D:\Users\Public\Desktop\Your Software Deals.url D:\Windows\System32\Tasks\Norton Identity Safe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Identity Safe Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Zemana AntiLogger Free Packages" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Live Update 5" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Steam" /f CMD: netsh advfirewall reset CMD: attrib -h -s C:\DECRYPT_INSTRUCTIONS.* /s CMD: attrib -h -s D:\DECRYPT_INSTRUCTIONS.* /s CMD: attrib -h -s E:\DECRYPT_INSTRUCTIONS.* /s CMD: del /q /s C:\DECRYPT_INSTRUCTIONS.* CMD: del /q /s D:\DECRYPT_INSTRUCTIONS.* CMD: del /q /s E:\DECRYPT_INSTRUCTIONS.* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Naprawa usterki Usług kryptograficznych: - Upewnij się, że nie masz zainstalowanej felernej łaty KB3004394. Jeśli w zainstalowanych aktualizacjach ona występuje, odinstaluj. - Uruchom narzędzie Fix It 50202: KLIK. Zaznacz tryb agresywny, gdyż to on m.in. zawiera reset bazy catroot2. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. menu Historia > Wyczyść historię przeglądania 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

"Crypt0L0cker" to nowy wariant TorrentLocker: KLIK. Odszyfrowanie plików nie jest możliwe. Wg raportów infekcja per se została już czymś usunięta. Jedyne co jest w mojej mocy, to usunięcie pozostałych śladów infekcji z systemu (masowe pliki DECRYPT_INSTRUCTIONS.* + zaszyfrowane kopie *.encrypted) oraz innych śmieci (są obiekty adware). Jeśli sprawa nadal aktualna: 1. Deinstalacje: ----> Przez Panel sterowania odinstaluj: - Adware: iLivid, Movies Toolbar for Firefox (Dist. by Bandoo Media, Inc.), Movies Toolbar for Internet Explorer (Dist. by Bandoo Media, Inc.), omiga-plus uninstall, Torch. - Stare wersje i zbędniki: Adobe Shockwave Player, Java™ 6 Update 15 (64-bit), Java™ 6 Update 21, Java™ SE Development Kit 6 Update 15 (64-bit), McAfee Security Scan Plus. ----> Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Google Update Helper > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: IFEO\browsemngr.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browsermngr.exe: [Debugger] tasklist.exe IFEO\bundlesweetimsetup.exe: [Debugger] tasklist.exe IFEO\cltmngsvc.exe: [Debugger] tasklist.exe IFEO\delta babylon.exe: [Debugger] tasklist.exe IFEO\delta tb.exe: [Debugger] tasklist.exe IFEO\delta2.exe: [Debugger] tasklist.exe IFEO\deltainstaller.exe: [Debugger] tasklist.exe IFEO\deltasetup.exe: [Debugger] tasklist.exe IFEO\deltatb.exe: [Debugger] tasklist.exe IFEO\deltatb_2501-c733154b.exe: [Debugger] tasklist.exe IFEO\iminentsetup.exe: [Debugger] tasklist.exe IFEO\rjatydimofu.exe: [Debugger] tasklist.exe IFEO\sweetimsetup.exe: [Debugger] tasklist.exe IFEO\tbdelta.exetoolbar783881609.exe: [Debugger] tasklist.exe AppInit_DLLs: C:\PROGRA~3\Wincert\WIN64C~1.DLL => C:\PROGRA~3\Wincert\WIN64C~1.DLL File Not Found AppInit_DLLs: C:\PROGRA~2\MOVIES~1\Datamngr\x64\mgrldr.dll => C:\PROGRA~2\MOVIES~1\Datamngr\x64\mgrldr.dll File Not Found HKLM\...\AppCertDlls: [x86] -> C:\Program Files (x86)\Movies Toolbar\Datamngr\apcrtldr.dll HKLM\...\AppCertDlls: [x64] -> C:\Program Files (x86)\Movies Toolbar\Datamngr\x64\apcrtldr.dll HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [Adobe Photo Downloader] => "C:\Program Files (x86)\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" ShortcutWithArgument: C:\Users\Sylwia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX ShortcutWithArgument: C:\Users\Sylwia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX ShortcutWithArgument: C:\Users\Sylwia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX&q={searchTerms} HKU\S-1-5-21-2276001092-626760555-1109151234-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX HKU\S-1-5-21-2276001092-626760555-1109151234-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX URLSearchHook: HKU\S-1-5-21-2276001092-626760555-1109151234-1000 - (No Name) - {87d5d709-40f2-48a7-8f47-7bb821af70ab} - No File SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX&q={searchTerms} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX&q={searchTerms} SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=418&systemid=406&v=n9854--15857&apn_uid=8014618541484302&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX&q={searchTerms} SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=418&systemid=406&v=n9854--15857&apn_uid=8014618541484302&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms} SearchScopes: HKU\S-1-5-21-2276001092-626760555-1109151234-1000 -> DefaultScope {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=418&systemid=406&v=n9854--15857&apn_uid=8014618541484302&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms} SearchScopes: HKU\S-1-5-21-2276001092-626760555-1109151234-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1418916722&from=cor&uid=HitachiXHTS725032A9A364_100224PCE300VKH4JREMX&q={searchTerms} SearchScopes: HKU\S-1-5-21-2276001092-626760555-1109151234-1000 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2406} URL = http://dts.search.ask.com/sr?src=ieb&gct=ds&appid=418&systemid=406&v=n9854--15857&apn_uid=8014618541484302&apn_dtid=BND406&o=APN10645&apn_ptnrs=AG6&q={searchTerms} SearchScopes: HKU\S-1-5-21-2276001092-626760555-1109151234-1000 -> {C733E0BE-0ADF-4AC9-BC07-3D044A797762} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3289075&CUI=UN41641281112939549&UM=1 BHO-x32: No Name -> {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} -> No File Toolbar: HKU\S-1-5-21-2276001092-626760555-1109151234-1000 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File Toolbar: HKU\S-1-5-21-2276001092-626760555-1109151234-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Toolbar: HKU\S-1-5-21-2276001092-626760555-1109151234-1000 -> No Name - {87D5D709-40F2-48A7-8F47-7BB821AF70AB} - No File StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\firefox.cfg [2015-04-21] R2 TorchCrashHandler; C:\Users\Sylwia\AppData\Local\Torch\Update\TorchCrashHandler.exe [1217032 2014-10-29] (TorchMedia Inc.) S2 DatamngrCoordinator; C:\Program Files (x86)\Movies Toolbar\Datamngr\DatamngrCoordinator.exe [X] S2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe -service [X] S2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -service [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 RtsUIR; system32\DRIVERS\Rts516xIR.sys [X] S3 USBCCID; system32\DRIVERS\RtsUCcid.sys [X] Task: {5097392E-DD1C-4372-ACE2-4E1B2C5119B5} - System32\Tasks\DVDAgent => c:\Program Files (x86)\Hewlett-Packard\Media\DVD\DVDAgent.exe Task: {CB2DDD60-30F5-40BF-AB1D-A1501E1D3514} - System32\Tasks\{0311E9AF-D466-4180-A452-C4128DEC5CC8} => pcalua.exe -a "C:\Instalki\Autorun exe 669 kb\InstMsiW.exe" -d "C:\Instalki\Autorun exe 669 kb" Task: {CC682861-B271-4ACA-8466-D73446F1C2A3} - System32\Tasks\FoxTab => C:\Users\Sylwia\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE Task: {D4BFBA55-AA55-499F-A9D0-C11C081377CF} - System32\Tasks\{096D8D83-4CC6-40C9-A084-C347BC510563} => pcalua.exe -a C:\Instalki\avira_antivir_personal_en.exe -d C:\Users\Sylwia\Desktop Task: {F9A1D246-37C2-46E8-A35A-2A2C7EAC2B3A} - System32\Tasks\{770D2E1F-A600-449B-8825-ECDE3B9BDE1C} => c:\program files (x86)\opera\opera.exe Task: C:\Windows\Tasks\FoxTab.job => C:\Users\Sylwia\AppData\Roaming\FoxTab\UPDATE~1\UPDATE~1.EXE C:\Program Files (x86)\Avira C:\Program Files (x86)\Movies Toolbar C:\ProgramData\*.log C:\ProgramData\dsgsdgdsgdsgw.pad C:\ProgramData\lsass.exe C:\ProgramData\Avira C:\ProgramData\TorchCrashHandler C:\ProgramData\ykesecizacubipyv C:\ProgramData\Microsoft\Windows\GameExplorer\{b6602113-b3c7-45a1-a9f3-d54cfd381d30} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\HP Advisor\AdvisorVideo.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ESET\ESET NOD32 Antivirus\Dokumentacja.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ESET\ESET NOD32 Antivirus\Umowa Licencyjna.lnk C:\Users\Public\Desktop\Avira.lnk C:\Users\Sylwia\Autorun.exe C:\Users\Sylwia\wrar393pl.exe C:\Users\Sylwia\AppData\Local\tmp*.* C:\Users\Sylwia\AppData\Local\Google C:\Users\Sylwia\AppData\Local\Torch C:\Users\Sylwia\AppData\Roaming\Avira C:\Users\Sylwia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\iLivid.lnk C:\Users\Sylwia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Torch.lnk C:\Users\Sylwia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\iLivid.lnk C:\Users\Sylwia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Torch.lnk C:\Users\Sylwia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Torch C:\Users\Sylwia\Desktop\Pierdołasy\Adobe Photoshop Album Starter Edition 3.0.lnk C:\Users\Sylwia\Desktop\Pierdołasy\Continue WinZip Installation.lnk C:\Users\Sylwia\Desktop\Pierdołasy\DSCN2667 — skrót.lnk C:\Users\Sylwia\Desktop\Pierdołasy\iLivid.lnk C:\Users\Sylwia\Desktop\Pierdołasy\McAfee Security Scan Plus.lnk C:\Users\Sylwia\Desktop\Pierdołasy\OpenFM.lnk C:\Users\Sylwia\Desktop\Pierdołasy\Opera.lnk C:\Users\Sylwia\Desktop\Pierdołasy\Panopticon Path of Reflections.lnk C:\Users\Sylwia\Desktop\Pierdołasy\PhotoScape.lnk C:\Users\Sylwia\Desktop\Pierdołasy\Rzeźnik MPEG'ów .lnk C:\Users\Sylwia\Desktop\Pierdołasy\Sweet Home 3D.lnk C:\Users\Sylwia\Desktop\Pierdołasy\VoxBox 2.52.lnk C:\Users\Sylwia\Desktop\Pierdołasy\WildTangent Games App - hp.lnk C:\Users\Sylwia\Desktop\Pierdołasy\WinZip.lnk C:\Users\Sylwia\Desktop\Pierdołasy\AGAD\FIRMA\Baza firm — skrót.lnk C:\Users\Sylwia\Desktop\Pierdołasy\AGAD\FIRMA\witraże\* — skrót.lnk C:\Users\Sylwia\Desktop\Pierdołasy\AGAD\FIRMA\głowica\* — skrót.lnk C:\Users\Sylwia\Desktop\Pierdołasy\AGAD\prywatne\DSCN1794 - Kopia — skrót.lnk C:\Users\Sylwia\Desktop\Pierdołasy\AGAD\prywatne\eMule.lnk C:\Users\Sylwia\Desktop\Pierdołasy\AGAD\prywatne\Gadu-Gadu 10.lnk C:\Users\Sylwia\Desktop\Pierdołasy\AGAD\prywatne\list — skrót (2).lnk C:\Users\Sylwia\Desktop\Pierdołasy\AGAD\prywatne\list — skrót.lnk C:\Users\Sylwia\Desktop\Pierdołasy\AGAD\prywatne\Wolfenstein (Single Player).lnk C:\Users\Sylwia\Desktop\Pierdołasy\AGAD\prywatne\oferty\Nowy folder\AGAD EXCEL\Nowy Dokument programu Microsoft Office Word — skrót.lnk C:\Users\Sylwia\Desktop\Pierdołasy\Wycięte\OpenFM.lnk C:\Users\Sylwia\Desktop\Pierdołasy\Wycięte\The Sims™ 3.lnk C:\Users\Sylwia\Pictures\Google Chrome.lnk RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\found.000 RemoveDirectory: C:\Users\TEMP Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Mozilla\Thunderbird /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f CMD: netsh advfirewall reset CMD: attrib -h -s C:\DECRYPT_INSTRUCTIONS.* /s CMD: attrib -h -s D:\DECRYPT_INSTRUCTIONS.* /s CMD: del /q /s C:\DECRYPT_INSTRUCTIONS.* CMD: del /q /s D:\DECRYPT_INSTRUCTIONS.* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

hhaczyk - Na Vista i nowszych tylko jeśli jest włączone Przywracanie systemu (ShadowExplorer to tylko dostęp selektywny do punktów Przywracania systemu, nakładka na Właściwości > Poprzednie wersje) i punkty nie zostały skasowane przez infekcję. Ta infekcja kasuje punkty Przywracania systemu. Skoro Ci się udało z ShadowExplorer, to miałeś po prostu szczęście i infekcja nie wykonała roboty do końca. - Na XP nie ma to zastosowania wcale, bo Przywracanie systemu działa w innej technice, nie jak cieniowanie woluminu, nie uwzględnia też określonych typów obiektów i lokalizacji jak w nowszych systemach. SpyHunter to program-naciągacz z czarnej listy! Z daleka od tego dziadostwa! mateomix0 "Crypt0L0cker" to nowy wariant TorrentLocker: KLIK. Odszyfrowanie plików nie jest możliwe. Jedyne co można zrobić, to ewentualnie szukać poprzednich wersji plików w punktach Przywracania systemu lub przy udziale softu do odzyskiwania danych (wymagana nikła aktywność dysku, im więcej zapisów = tym gorzej). Tutaj jest bieda z punktami Przywracania systemu, tylko dwa: ==================== Restore Points ========================= 08-05-2015 23:44:51 Windows Update 12-05-2015 17:05:54 Windows Update Jak mówię powyżej, infekcja ta kasuje punkty Przywracania systemu. Skoro już tu wypróbowany nie zdołał przywrócić poprzednich plików, to nie ma stosownego punktu Przywracania systemu. ShadowExplorer nie tu. Wg logów, infekcja szyfrująca nie jest już czynna. O ile nie zrobiłeś formatu, jedyne czym mogę się zająć, to usunięcie pozostałych śladów tej infekcji z systemu (masowe pliki DECRYPT_INSTRUCTIONS.* + zaszyfrowane kopie *.encrypted) oraz adware. Decyduj co robimy.

Jest tu nadal dużo obiektów adware. Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {6dd55e9a-3d06-4d70-b5e7-05fc3e0a3d66}Gw64; C:\Windows\System32\drivers\{6dd55e9a-3d06-4d70-b5e7-05fc3e0a3d66}Gw64.sys [48776 2015-05-25] (StdLib) R1 {848705a5-8a27-403e-9b59-732d0608bcbc}Gw64; C:\Windows\System32\drivers\{848705a5-8a27-403e-9b59-732d0608bcbc}Gw64.sys [48776 2015-05-26] (StdLib) R1 innfd_1_10_0_14; system32\drivers\innfd_1_10_0_14.sys [X] S1 scfd_1_10_0_16; system32\drivers\scfd_1_10_0_16.sys [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.oursurfing.com/?type=hppp&ts=1432568229&z=cd26e4127d86168df51016cgaz5c6o3w3qdbeoboat&from=amt&uid=HitachiXHTS545050B9A300_101213PBN403X7D5XVGLX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.oursurfing.com/?type=hppp&ts=1432568229&z=cd26e4127d86168df51016cgaz5c6o3w3qdbeoboat&from=amt&uid=HitachiXHTS545050B9A300_101213PBN403X7D5XVGLX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oursurfing.com/web/?type=ds&ts=1432727395&z=0b4a5484ef0b4b14dcd9db1g8z7cao2m8o4mdc0t6w&from=cmi&uid=HitachiXHTS545050B9A300_101213PBN403X7D5XVGLX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.oursurfing.com/web/?type=ds&ts=1432727395&z=0b4a5484ef0b4b14dcd9db1g8z7cao2m8o4mdc0t6w&from=cmi&uid=HitachiXHTS545050B9A300_101213PBN403X7D5XVGLX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.oursurfing.com/?type=hppp&ts=1432568229&z=cd26e4127d86168df51016cgaz5c6o3w3qdbeoboat&from=amt&uid=HitachiXHTS545050B9A300_101213PBN403X7D5XVGLX HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.oursurfing.com/?type=hppp&ts=1432568229&z=cd26e4127d86168df51016cgaz5c6o3w3qdbeoboat&from=amt&uid=HitachiXHTS545050B9A300_101213PBN403X7D5XVGLX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oursurfing.com/web/?type=ds&ts=1432727395&z=0b4a5484ef0b4b14dcd9db1g8z7cao2m8o4mdc0t6w&from=cmi&uid=HitachiXHTS545050B9A300_101213PBN403X7D5XVGLX&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.oursurfing.com/web/?type=ds&ts=1432727395&z=0b4a5484ef0b4b14dcd9db1g8z7cao2m8o4mdc0t6w&from=cmi&uid=HitachiXHTS545050B9A300_101213PBN403X7D5XVGLX&q={searchTerms} HKU\S-1-5-21-3723337457-4154312555-470175651-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.oursurfing.com/web/?type=dspp&ts=1432568229&z=cd26e4127d86168df51016cgaz5c6o3w3qdbeoboat&from=amt&uid=HitachiXHTS545050B9A300_101213PBN403X7D5XVGLX&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.oursurfing.com/web/?type=ds&ts=1432727395&z=0b4a5484ef0b4b14dcd9db1g8z7cao2m8o4mdc0t6w&from=cmi&uid=HitachiXHTS545050B9A300_101213PBN403X7D5XVGLX&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.oursurfing.com/web/?type=ds&ts=1432727395&z=0b4a5484ef0b4b14dcd9db1g8z7cao2m8o4mdc0t6w&from=cmi&uid=HitachiXHTS545050B9A300_101213PBN403X7D5XVGLX&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.oursurfing.com/web/?type=ds&ts=1432727395&z=0b4a5484ef0b4b14dcd9db1g8z7cao2m8o4mdc0t6w&from=cmi&uid=HitachiXHTS545050B9A300_101213PBN403X7D5XVGLX&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.oursurfing.com/web/?type=ds&ts=1432727395&z=0b4a5484ef0b4b14dcd9db1g8z7cao2m8o4mdc0t6w&from=cmi&uid=HitachiXHTS545050B9A300_101213PBN403X7D5XVGLX&q={searchTerms} BHO-x32: No Name -> {b608cc98-54de-4775-96c9-097de398500c} -> No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.oursurfing.com/?type=sc&ts=1432568215&z=d7cb30d451e2f6f653cf379g7z0ceo1wcq9bfoeg0w&from=amt&uid=HitachiXHTS545050B9A300_101213PBN403X7D5XVGLX C:\ProgramData\IHProtectUpDate C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CoupSeek C:\Users\Mateusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\YTDownloader C:\Users\Mateusz\AppData\Roaming\systweak C:\Users\Mateusz\SupTab C:\Users\Public\Documents\ShopperPro C:\Windows\System32\roboot64.exe C:\Windows\System32\drivers\{6dd55e9a-3d06-4d70-b5e7-05fc3e0a3d66}Gw64.sys C:\Windows\System32\drivers\{848705a5-8a27-403e-9b59-732d0608bcbc}Gw64.sys C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 CMD: type C:\Windows\system32\Drivers\etc\hp.bak Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v WinCheck /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v YTDownloader" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v CoupSeek /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v YTDownloader /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v crossbrowse.lnk /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy są jeszcze jakieś problemy.

W Firefox jest adware: FF Extension: Mozilla Firefox Hotfixer - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\6aal0atz.default-1397314689778\Extensions\veggy@veggyAddon.com [2015-05-21] FF Extension: Better Finder - C:\Users\user\AppData\Roaming\Mozilla\Firefox\Profiles\6aal0atz.default-1397314689778\Extensions\{142c88f6-8b34-46f3-938d-72ffd58238dc} [2015-01-05] To normalne. Google Chrome ma architekturę separacji komponentów do osobnych procesów, co m.in. ma działanie prewencyjne, by awaria jednej karty nie spowodowała awarii całej przeglądarki. Uruchomienie programu "na czysto" już skutkuje większą ilością procesów niż jeden. A im więcej kart, tym więcej procesów. Przykład: na moim systemie Google Chrome z 6 otwartymi kartami równa się aż 11 procesów w Menedżerze zadań. Tak samo działa Internet Explorer i Opera. Wkrótce Firefox również będzie działał w podobnej technice (Multiprocess Firefox). Problemem nie jest infekcja. Może Avast i/lub MBAM przeszkadzają, może multum procesów Toshiba, a może wykonujesz w systemie takie operacje, które po prostu zapychają pamięć (jest tu podstawowa ilość około 2GB). Dodatkowo, w Dzienniku zdarzeń jest jakiś tajemniczy błąd sugerujący uszkodzenie któregoś z kont: Error: (05/25/2015 05:10:40 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1542) (User: ZARZĄDZANIE NT) Description: System Windows nie może załadować pliku rejestru klas. SZCZEGÓŁY — Nieokreślony błąd. Tylko nie wiadomo którego, bo są trzy podejrzane (UpdatusUser to ukryte konto aktualizacyjne nVidia): ==================== Accounts: ============================= MCH (S-1-5-21-1258921199-632536683-1381380009-1006 - Administrator - Enabled) => C:\Users\MCH UpdatusUser (S-1-5-21-1258921199-632536683-1381380009-1000 - Limited - Enabled) => C:\Users\UpdatusUser user (S-1-5-21-1258921199-632536683-1381380009-1001 - Administrator - Enabled) => C:\Users\user Usuwanie adware z Firefox oraz wpisów pustych. To nie będzie mieć wpływu na problem "spowalniania systemu". Akcja: 1. Wyczyśc Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 2. Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator. Wyszukaj odpadek avast! Firewall NDIS Filter Miniport po komercyjnej wersji Avast, odinstaluj i zresetuj system. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Otwórz Notatnik i wklej w nim: CreateRestorePoint: S3 BTCFilterService; system32\DRIVERS\motfilt.sys [X] S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 motccgp; system32\DRIVERS\motccgp.sys [X] S3 motccgpfl; system32\DRIVERS\motccgpfl.sys [X] S3 MotDev; system32\DRIVERS\motodrv.sys [X] S3 motmodem; system32\DRIVERS\motmodem.sys [X] S3 MotoSwitchService; system32\DRIVERS\motswch.sys [X] S3 Motousbnet; system32\DRIVERS\Motousbnet.sys [X] S3 motusbdevice; system32\DRIVERS\motusbdevice.sys [X] S2 Update Solution Real; "C:\Program Files (x86)\Solution Real\updateSolutionReal.exe" [X] S3 WPRO_40_1340; system32\drivers\WPRO_40_1340.sys [X] S3 xhunter1; \??\C:\windows\xhunter1.sys [X] Task: {024C1338-AF17-4C81-811B-52B749113CA9} - System32\Tasks\{4A6087BF-8724-4CC6-9CB9-EC29198F2DDD} => pcalua.exe -a "E:\gry\Mafia 2 (PC)\mafia_2_crackfix_skidrow_poziomeq_www.ufs.pl_www.przeklej.pl.exe" -d "E:\gry\Mafia 2 (PC)" Task: {2D2FC7F3-0886-4E07-90E0-301396059397} - System32\Tasks\{FD47AB4C-DF8F-4C0D-B9A1-48C2DC9744AB} => E:\gry\Winter Challenge\WINTER.EXE Task: {38F1A4A7-113E-4C8D-9B1C-99E25EF743EB} - System32\Tasks\{22944DC9-4BEF-4ED3-820A-79D781B7B08B} => pcalua.exe -a C:\Users\user\Downloads\subedit_b4072_install.exe -d "C:\Program Files (x86)\Mozilla Firefox" Task: {3C7FBC74-6C1C-4DE1-8026-37A35089A4F7} - System32\Tasks\{B44413EF-B4F3-4677-9078-B53ACB5AC490} => pcalua.exe -a "C:\Program Files (x86)\PowerStrip\uninstal.exe" Task: {3CA57C51-0946-476A-94F7-48D1F3F62FA5} - System32\Tasks\{2CC4F63D-8423-49D1-9F2A-2363F7598B90} => pcalua.exe -a C:\Users\user\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=cor Task: {6C45CEC7-0BBF-4419-B018-174A38CD3EE1} - System32\Tasks\{1136455A-63E7-4D04-8582-5D7A44E74437} => pcalua.exe -a C:\windows\UniFish3.exe -c C:\Program Files (x86)\Hasbro Interactive\RollerCoaster Tycoon\RollerCoaster Tycoon.log Task: {7623EADF-76B1-40B9-BEFA-00E5A8D361A0} - System32\Tasks\{E2A611C7-E77E-4BE3-84BC-CCA2FC48E38E} => pcalua.exe -a "C:\GTA IV PC Version\GTAIVPLv0.97.exe" -d "C:\GTA IV PC Version" Task: {806B77F0-6316-43A4-8DE0-7D084AF191B8} - System32\Tasks\{D3DEF838-0543-4DB2-A7B3-30D6F1562E47} => pcalua.exe -a G:\application\Setup.exe -d G:\ Task: {91B762D9-F80D-4904-83DA-7D8A1FB6F756} - System32\Tasks\{C7D2ED99-B1FB-41B2-9325-36E107CE4D70} => E:\gry\Winter Challenge\WINTER.EXE Task: {9FA73AC5-DDFE-42B9-A452-642D8AAA9A4D} - System32\Tasks\{16120F39-90A6-4D36-83F7-F3357AAADEED} => pcalua.exe -a "E:\Deluxe Ski Jump 4\Setup.exe" -d "E:\Deluxe Ski Jump 4" Task: {BEC49251-BFB3-4DBD-A275-17443628E999} - System32\Tasks\{A3FC22F2-20B2-4849-A152-675591F57F52} => pcalua.exe -a "C:\Users\user\Downloads\Daemon Tools 4.0.3.exe" -d "C:\Program Files (x86)\Mozilla Firefox" Task: {D0842725-561C-401C-B155-65E1998EEAB4} - System32\Tasks\{F032F920-AC82-4530-B8D0-4B4948E1DA88} => pcalua.exe -a D:\setup.exe -d C:\windows\SysWOW64 -c /embed"{A5932AB8-C786-42F2-B91C-F22B641C6396}" /hide_splash /hide_progress /runprerequisites"Motorola,FD,MotorolaMediaLink" /l2057 HKLM\...\Run: [] => [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com SearchScopes: HKU\S-1-5-21-1258921199-632536683-1381380009-1001 -> {038E0D62-ECF8-418A-876A-B66BA3F5C564} URL = SearchScopes: HKU\S-1-5-21-1258921199-632536683-1381380009-1001 -> {09FA809C-D7FF-4999-85F9-33681221D530} URL = SearchScopes: HKU\S-1-5-21-1258921199-632536683-1381380009-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-1258921199-632536683-1381380009-1001 -> {34882F1D-847E-47DB-A55E-52AA79BF0BB5} URL = SearchScopes: HKU\S-1-5-21-1258921199-632536683-1381380009-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = BHO: SmaartComPiare -> {1903BE6A-B9E9-B38A-3CD7-3FEB87DD4BE7} -> C:\ProgramData\SmaartComPiare\Q5To2.x64.dll No File BHO: DisacouintLoCattoor -> {1E17AFD8-ED8B-DC01-25A0-AF9F34E9712E} -> C:\ProgramData\DisacouintLoCattoor\4KT3cl8.x64.dll No File BHO: SalEssChheckkeerr -> {26F9A88D-9526-B0BA-DCD8-42D6C2B134DF} -> C:\ProgramData\SalEssChheckkeerr\2rq_wYr.x64.dll No File BHO: AdobViewER -> {83A2A75B-515B-B7C5-28E5-05A503C49552} -> C:\ProgramData\AdobViewER\3bE.x64.dll No File BHO: FlasHCoiuppon -> {995709A4-5411-5421-9791-06DEEB5253DA} -> C:\ProgramData\FlasHCoiuppon\4VAK.x64.dll No File BHO: ToppdEEall -> {BA932C8E-5A4E-C9AB-C4E9-12EDDC7F1C3F} -> C:\ProgramData\ToppdEEall\pA6.x64.dll No File BHO-x32: LuckyTab Class -> {51D26BB4-4D2C-4AE4-9873-5FF41B6DED1F} -> C:\Program Files (x86)\XTab\SupTab.dll No File FF HKLM-x32\...\Firefox\Extensions: [{23fcfd51-4958-4f00-80a3-ae97e717ed8b}] - C:\Program Files (x86)\DivX\DivX Plus Web Player\firefox\DivXHTML5 CHR HKLM-x32\...\Chrome\Extension: [nneajnkjbffgblleaoojgaacokifdkhm] - C:\Program Files (x86)\DivX\DivX Plus Web Player\chrome\DivXHTML5\DivXHTML5.crx [2011-05-23] StartMenuInternet: IEXPLORE.EXE - iexplore.exe StartMenuInternet: Google Chrome - Chrome.exe C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AutoIt v3 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PANDORATV C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDF Editor 4.5 C:\ProgramData\TEMP C:\Users\MCH\Desktop\Glary Utilities.lnk C:\Users\user\AppData\Local\{28BF8435-A31F-4C29-AF2B-A1CA91F03DDB} C:\Users\user\AppData\Local\{DDDCAE1B-F139-4B5C-911D-E6EC1A75B108} C:\Users\user\AppData\Local\Microsoft\Windows\GameExplorer\{59ECCF11-9F8E-4DE6-A907-259FEF141C71} C:\Users\user\Desktop\S.K.I.L.L. - Special Force 2.lnk C:\Users\user\Downloads\Continue 7-Zip Installation.lnk C:\Users\user\Downloads\Gameforge Live\Gameforge Live.lnk C:\Users\user\Saved Games\Microsoft Games\S.K.I.L.L. - Special Force 2.lnk C:\Windows\system32\Drivers\568056C9.sys Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{E597EF89-D3DF-7708-E392-3D9C87CAB1AA} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\4F6D5E84-5826-4394-9F40-3A9A19165651_is1 /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKU\S-1-5-21-1258921199-632536683-1381380009-1000\Software\Microsoft\Windows\CurrentVersion\Run /f Reg: reg delete "HKU\S-1-5-21-1258921199-632536683-1381380009-1000\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Facebook Update" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FLV Player" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\mcui_exe" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Fix wykonany, więc wiadome kroki końcowe będą do wdrożenia. Dostarczone raporty FRST pokazywały ten program na liście Dodaj/Usuń oraz jego skróty na dysku: ==================== Installed Programs ====================== Nimo Codecs Pack v5.0 (Remove Only) (HKLM\...\NimoCorp) (Version: - ) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nimo Codec Pack\DivFix.lnk -> C:\Program Files\NimoCodec Pack\Div Fix\DivFix.exe (Budai Csaba) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nimo Codec Pack\Misc Utlities.lnk -> C:\Program Files\NimoCodec Pack\MiscStuff () Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nimo Codec Pack\Nimo.lnk -> C:\Program Files\NimoCodec Pack\Nimo.jpg () Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nimo Codec Pack\NimoPack.lnk -> C:\Program Files\NimoCodec Pack () Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nimo Codec Pack\SubMux.lnk -> C:\Program Files\NimoCodec Pack\DirectVobSub\submux.exe (Gabest) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nimo Codec Pack\SubResync.lnk -> C:\Program Files\NimoCodec Pack\DirectVobSub\subresync.exe (Gabest) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nimo Codec Pack\Uninstall.lnk -> C:\Program Files\NimoCodec Pack\uninstall.exe () Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nimo Codec Pack\Player\DivX Player 2.0 Alpha.lnk -> C:\Program Files\DivX\DivX Player 2.0 Alpha\DivX Player 2.0 Alpha.exe () Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nimo Codec Pack\Player\Playa.lnk -> C:\Program Files\The Playa\ThePlaya.exe (Project Mayo) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nimo Codec Pack\Divx 5 Codec\DivX help guide.lnk -> C:\Program Files\DivX\DivX Codec\DivX help guide.url (No File) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nimo Codec Pack\Divx 5 Codec\DivX.com.lnk -> C:\Program Files\DivX\DivX Codec\DivX.com.url (No File) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nimo Codec Pack\Divx 5 Codec\License.lnk -> C:\Program Files\DivX\DivX Codec\LICENSE.TXT (No File) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nimo Codec Pack\Divx 5 Codec\ReadMe.lnk -> C:\Program Files\DivX\DivX Codec\README.txt (No File) Czy widzisz folder C:\Program Files\NimoCodec Pack na dysku?