picasso

Kaspersky wyczyścił pendrive. Możesz jeszcze go dodatkowo zimmunizować za pomocą Panda i opcji USB Vaccination. To jest jednak ograniczona metoda i nie wyklucza tworzenia na pendrive obiektów Brontok. Niestety trzeba ubić źródło, a źródłem zdaje się być komputer opornego brata.

Ten plik plik.bat do wyrzucenia, to nie jest poprawna metoda startu powłoki i problem nie leży w tym miejscu. Proponuję więc odinstalować Avast - jest to możliwe z poziomu Trybu awaryjnego.

Operacja ukończona pomyślnie. Na koniec zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zamień starą wersję Adobe Flash Player 11 ActiveX najnowszą: KLIK.

MBAM jest jak najbardziej OK, choć akurat pod zadanie tutaj mniej pasuje, bo nie jest programem stricte antywirusowym. Problemem nie jest tu jednak program skanujący tylko okropna infekcja grasująca w systemie. Pendrive załatwił system i to w takim stopniu, że będzie ciężko się z tego wykaraskać. Ramnit to wirus plików wykonywalnych - atakuje wszystkie pliki tego rodzaju na wszystkich dyskach. Ten niedziałający WinRAR dlatego, bo WinRAR jest już zniszczony / zawirusowany (podobnie jak inne programy) i MBAM musiał usunąć plik z wirusem. Użycie Przywracania systemu było tu niezasadne, bo przywróciłeś zawirusowane pliki, to zresztą jest zupełnie nieskuteczne i nie pomoże zlikwidować wirusa. Ta infekcja ma kierunek na kompleksowy format dysku. Jest tu sporo partycji, wszystkie są pod radarem infekcji: ==================== Drives ================================ Drive c: () (Fixed) (Total:29.29 GB) (Free:3.5 GB) NTFS Drive e: () (Fixed) (Total:97.65 GB) (Free:3.66 GB) NTFS Drive f: () (Fixed) (Total:19.53 GB) (Free:0.34 GB) NTFS ==>[Drive with boot components (Windows XP)] Drive g: () (Fixed) (Total:86.33 GB) (Free:9.19 GB) NTFS Infekcja jest bardzo uporczywa i trudno ją zatrzymać spod działającego Windows. Jeśli podejmujesz walkę, to zrób skan wszystkich partycji po kolei z poziomu środowiska zewnętrznego Kaspersky Rescue Disk. Wszelkie zainfekowane pliki leczyć, a gdy się nie uda wyrzucać. Nie wolno zostawić ani jednego pliku z genem Ramnit, gdyż jego przypadkowe uruchomienie rozpocznie cykl infekcji na nowo. Po operacji mogą pozostać uszkodzone programy i pliki Windows, programy trzeba będzie reinstalować na nowo ze świeżych instalotorów, z plikami Windows gorzej. Nie wiadomo jak szeroki jest tu zakres infekcji, ani czy Kaspersky pomoże. Poza tym, w przypadku infekcji wykonywalnych i tak zawsze jest sugerowany format, nawet jeśli uda się infekcję zatrzymać. Powód jest następujący: zakres szkód w plikach jest niemożliwy do oceny, mogą pozostać uszkodzenia, które wyjdą na jaw dopiero w późniejszym terminie.

Zestaw logów FRST niekompletny - brak trzeciego pliku Shortcut. Na razie sobie to jednak daruj: Owszem, widać tu wpisy infekcji, ale one są oznaczone jako puste i na razie nie będę się tym zajmować. To nie jest przyczyna problemów z utratą dostępu do danych. To co się tu dzieje to odrzucanie przez system Windows poprzedniego katalogu konta i tworzenie nowego. Obecnie Twoje konto działa z folderów: C:\Documents and Settings\All Users.WINDOWS C:\Documents and Settings\Asia.KOMP Poprzednie nie są już powiązane z kontem: C:\Documents and Settings\All Users C:\Documents and Settings\Asia Problem asocjacji kont teoretycznie można zacząć naprawiać poprzez przekierowanie na stare ścieżki, ale to może być nieskuteczne oraz jest możliwe że nie ma ta akcja sensu. Przyczyną stanu rzeczy mogą być m.in. błędy dysku. I w Dzienniku zdarzeń są takie właśnie błędy oznaczające złe bloki dysku: System errors: ============= Error: (02/02/2015 00:31:53 PM) (Source: 0) (EventID: 7) (User: ) Description: \Device\Harddisk0\D Temat przenoszę na diagnostykę do działu Hardware. Dostarcz dane wymagane działem: KLIK. Proponuję też od razu zabezpieczyć co cenne kopiując na jakiś nośnik zewnętrzny, bo nie wiadomo co jest na widoku.

Fix "nie pomógł", bo nie wykrywa tego wpisu? Chodziło mi o użycie tego narzędzia, by usunąć więcej danych instalacyjnych. Skoro brak wyników, to po prostu usuń sam wpis z klucza Uninstall. Ostatni skrypt do FRST: Otwórz Notatnik i wklej w nim: Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3248F0A8-6813-11D6-A77B-00B0D0160010} /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Wpis Java nie powinien być już widoczny na liście Dodaj/Usuń.

I o to chodzi, zmienili po prostu nazwę opcji. Tak więc to do wykonania, a po tym zrób już ostatni log FRST (bez Addition i Shortcut).

Zainstalowałaś wątpliwy podejrzany program YAC(Yet Another Cleaner!). Więcej na jego temat w tym poście: KLIK. Są tu także ślady stosowania kolejnego wątpliwego skanera z czarnej listy: SpyHunter. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj YAC(Yet Another Cleaner!). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HomePage: Default -> hxxp://www.delta-homes.com/?type=hp&ts=1420240618&from=wpm12311&uid=HitachiXHTS547564A9E384_J2130053DUP57BDUP57BX CHR StartupUrls: Default -> "hxxp://www.delta-homes.com/?type=hp&ts=1420240618&from=wpm12311&uid=HitachiXHTS547564A9E384_J2130053DUP57BDUP57BX" CHR DefaultSearchKeyword: Default -> v9 HKU\S-1-5-21-2557106379-4252444901-3873938366-1001\...\Run: [AdobeBridge] => [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com URLSearchHook: [s-1-5-21-2557106379-4252444901-3873938366-1004] ATTENTION ==> Default URLSearchHook is missing. SearchScopes: HKU\S-1-5-21-2557106379-4252444901-3873938366-1004 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = C:\Users\Zuzanna\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Zuzanna\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Zuzanna\AppData\Local\WorldofTanks C:\Users\Zuzanna\Downloads\*(*)-dp*.exe C:\Users\Zuzanna\Downloads\*Downloader.exe C:\Users\Zuzanna\Downloads\SpyHunter-Installer.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (włącz ręcznie). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy v9 oraz inne niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Verdugo, jeśli nikt jeszcze nie odpisał, nie twórz posta pod postem, tylko jeden post i funkcja Edytuj, by go uzupełnić o nowe dane. Skleiłam powyższe. Fix jest jednorazowy i w zasadach działu jest napisane, by go nie powtarzać tylko w przypadku problemu od razu zgłosić się na forum. Tu jest prawdopodobne, że wieszają Fix dwie ostatnie komendy CMD rekursywnie ściągające atrybuty i kasujące z całego dysku C pliki o modelu nazwy HELP_DECRYPT.*. Czy w folderze archiwum logów C:\FRST\Logs są jakieś pliki o nazwie Fixlog_data_czas.txt? Jeśli tak, wszytkie dotarcz do wglądu. Nie interesują mnie pliki o nazwie FRST_data_czas.txt, bo to poprzednie skany FRST.

Proszę: - Nie wysyłaj do mnie PW z logami. Mam wyraźnie w profilu napisane, że nie rozwiązuję spraw technicznych via PW. - Jeśli nikt jeszcze nie odpisał, zamiast pisać post pod postem korzystaj z opcji Edytuj. Posty sklejone. - Opisz dokładniej problem. Z treści "Mam bardzo podejrzny fastbar" nic nie wynika konkretnego. - Uzupełnij wymagane logi. Był tu podany tylko FRST Addition, a mają być trzy logi FRST (FRST.txt, Addition.txt i Shortcut.txt): KLIK. - Nie wklejaj logów w postach. Oryginalne pliki mają być wstawione jako załączniki.

Akcje wykonane. Ostatni skrypt do FRST. Wklej do Notatnika: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Monix\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\Monix\Downloads\f0mc7f0d.exe Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls" /v Tabs /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURls" /v Tabs /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt.

Tylko się upewnię: czy wskazujesz te ścieżki ręcznie przy instalacji sterownika?

Tak, chodzi o taką formę załączników. Rootkit pomyślnie usunięty, ale kupa roboty przed nami. Kolejna porcja zadań: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\Symantec HKLM Group Policy restriction on software: C:\Program Files\Common Files\Symantec Shared HKLM Group Policy restriction on software: C:\Program Files\STOPzilla! HKLM Group Policy restriction on software: C:\Program Files\AVG HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\Malwarebytes HKLM Group Policy restriction on software: C:\Program Files\Common Files\PC Tools HKLM Group Policy restriction on software: C:\Program Files\AVG\ HKLM Group Policy restriction on software: C:\Program Files\AVG\AVG2012 HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] HKU\S-1-5-21-3848935919-3367533699-3990728495-1002\...\Policies\system: [EnableLUA] 0 HKU\S-1-5-21-3848935919-3367533699-3990728495-1002\...\Policies\Explorer: [TaskbarNoNotification] 1 HKU\S-1-5-21-3848935919-3367533699-3990728495-1002\...\Policies\Explorer: [HideSCAHealth] 1 HKU\S-1-5-21-3848935919-3367533699-3990728495-1002\...\Winlogon: [shell] explorer.exe,C:\Users\XX\AppData\Roaming\template.xml ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-3848935919-3367533699-3990728495-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-3848935919-3367533699-3990728495-1002\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1419115159&from=cor&uid=SAMSUNGXHD753LJ_S13UJDWSB02703&q={searchTerms} HKU\S-1-5-21-3848935919-3367533699-3990728495-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1419115159&from=cor&uid=SAMSUNGXHD753LJ_S13UJDWSB02703&q={searchTerms} SearchScopes: HKLM -> URL http://search.certified-toolbar.com?si=39033&bs=true&tid=114&q={searchTerms} SearchScopes: HKLM -> SuggestionsURL_JSON http://api.widdit.com/suggestions/?format=ffplugin&ua=ie&src=addon&si=39033&gid=1&dbCode=1&command={searchTerms} SearchScopes: HKLM -> TopResultURLFallback http://search.certified-toolbar.com?si=39033&bs=true&tid=114&q={searchTerms} SearchScopes: HKLM -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://search.certified-toolbar.com?si=41516&bs=true&tid=553&q={searchTerms} SearchScopes: HKLM -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = SearchScopes: HKU\S-1-5-21-3848935919-3367533699-3990728495-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.certified-toolbar.com?si=39033&bs=true&tid=114&q={searchTerms} SearchScopes: HKU\S-1-5-21-3848935919-3367533699-3990728495-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.certified-toolbar.com?si=39033&bs=true&tid=114&q={searchTerms} SearchScopes: HKU\S-1-5-21-3848935919-3367533699-3990728495-1002 -> {06913AD4-1A2E-4074-9212-5F93060F0BA4} URL = http://www.dymasearch.com/search.php?src=tops&q={SearchTerms} SearchScopes: HKU\S-1-5-21-3848935919-3367533699-3990728495-1002 -> {0FEF2D2C-CDA6-45E4-B2ED-9DF7C50C95FF} URL = http://gb.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp SearchScopes: HKU\S-1-5-21-3848935919-3367533699-3990728495-1002 -> {C907CFDE-0E1B-428A-9CE8-ABA04F73AFE1} URL = http://search.certified-toolbar.com?si=41516&bs=true&tid=553&q={searchTerms} BHO: No Name -> {2b80b144-89ad-4b68-a8cc-bb44266c7164} -> No File BHO: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO: No Name -> {905676b7-7ac2-24f3-bdb2-0b07e403792d} -> No File BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File Toolbar: HKLM - No Name - {2b80b144-89ad-4b68-a8cc-bb44266c7164} - No File Toolbar: HKU\S-1-5-21-3848935919-3367533699-3990728495-1002 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File Toolbar: HKU\S-1-5-21-3848935919-3367533699-3990728495-1002 -> No Name - {C55D30C7-3B86-4D70-98D3-CAA716DF0D83} - No File Toolbar: HKU\S-1-5-21-3848935919-3367533699-3990728495-1002 -> No Name - {0FEF2D2C-CDA6-45E4-B2ED-9DF7C50C95FF} - No File Toolbar: HKU\S-1-5-21-3848935919-3367533699-3990728495-1002 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - No File Handler: livecall - {828030A1-22C1-4009-854F-8E305202313F} - No File Handler: msnim - {828030A1-22C1-4009-854F-8E305202313F} - No File Handler: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - No File StartMenuInternet: IEXPLORE.EXE - iexplore.exe CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - No Path CHR HKLM\...\Chrome\Extension: [ipfhoepcbdngdoljpcgpbdidoknedfmc] - C:\Program Files\CertifiedToolsToolbar\chrome\CertifiedToolsToolbar.crx [Not Found] CHR HKLM\...\Chrome\Extension: [jfmjfhklogoienhpfnppmbcbjfjnkonk] - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Chrome\Ext\rphtml5video.crx [2011-11-13] CHR HKLM\...\Chrome\Extension: [nneajnkjbffgblleaoojgaacokifdkhm] - C:\Program Files\DivX\DivX Plus Web Player\chrome\DivXHTML5\DivXHTML5.crx [2011-12-12] CHR HKLM\...\Chrome\Extension: [oilihjdlfjineennpeeionkmaodanbcj] - C:\Program Files\CertifiedToolbar\chrome\CertifiedToolbar.crx [Not Found] Task: {06924F4C-784E-4DFC-A78B-55CFD6CF17E2} - System32\Tasks\DLL-files.com Fixer_UPDATES => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe Task: {12543C65-8A6D-401C-B87F-2D7189D0BFF1} - System32\Tasks\{58D2200F-DDCF-445E-BE0F-7FF74826830C} => pcalua.exe -a D:\Steam\steam.exe -c steam://uninstall/8770 Task: {13477BC6-7495-4923-A0A9-0D3C73496ACF} - System32\Tasks\FRAPS => C:\Fraps\fraps.exe Task: {1851BD8D-1CD9-4021-9B2D-AFAE68B2552C} - System32\Tasks\{E8315CC3-04B0-426F-8A47-48141DDDAAFD} => pcalua.exe -a C:\Users\XX\Desktop\FrytkiBOT\HS_Blocker.exe -d C:\Users\XX\Desktop\FrytkiBOT Task: {22EC2BE5-E133-48C0-9CC6-BA319860DD79} - System32\Tasks\{DF5B99D9-8E73-4DE4-9159-70B61871B7FC} => pcalua.exe -a E:\setup.exe -d E:\ Task: {25BFAB60-C28A-4350-8C41-A698CA80CB38} - System32\Tasks\ygedzjm => C:\Users\XX\AppData\Local\Temp\ltuohkc.exe Task: {295381B2-EB77-4598-B837-9D9C24DA9139} - System32\Tasks\{989EBDBD-62FC-4DB4-8DCB-543EC4D95931} => pcalua.exe -a "C:\Users\XX\Desktop\NAVI GUI 2012\NAVI GUI 2012\NAVI GUI 2012 (800x600).exe" -d "C:\Users\XX\Desktop\NAVI GUI 2012\NAVI GUI 2012" Task: {2D4F8C61-1477-4FA3-8D8A-27F47B01DEAD} - System32\Tasks\YTAUpdate => C:\PROGRA~1\YOUTUB~1\Updater.exe Task: {32029460-E958-44A0-BA80-8221EA9FFD74} - System32\Tasks\{FED27A72-CD48-401E-B52B-A01C84B20AC8} => pcalua.exe -a C:\Users\XX\Desktop\6.86_nforce_win2kxp_international_whql.exe -d C:\Users\XX\Desktop Task: {3B6D2E55-39E6-48BD-8C8F-551E5E38292A} - System32\Tasks\DLL-files.com Fixer_MONTHLY => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe Task: {404D011E-2713-44EB-A64B-20A415347285} - System32\Tasks\RDReminder => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe Task: {4CC0979E-EBF3-42B9-810F-6B61272D915B} - \YourFile Update No Task File Task: {4DC82095-010D-460C-825D-92E2B531A548} - System32\Tasks\{54C3F4D1-5A52-4322-BB05-C58ACAE38103} => pcalua.exe -a C:\Users\XX\Desktop\Sims3_2.3.33.003002_from_2.0.86.002002.exe -d C:\Users\XX\Desktop Task: {523ABEBE-4550-49A1-85B6-05E6C8A53F94} - System32\Tasks\APSnotifierPP1 => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: {54483DCB-4108-4760-BE2F-93CA31181498} - System32\Tasks\{E169A21B-87F1-49EC-ABDF-25EF09604D5C} => pcalua.exe -a "C:\Program Files\Common Files\Ahead\Nero Web\SetupX.exe" -d "C:\Program Files\Common Files\Ahead\Nero Web" -c -ScParameter=8 MODE="update" Task: {570B6FE7-F4A1-48B1-A4BB-ABB7D1E13151} - System32\Tasks\{A2A3B52A-3ABC-4E3B-A91D-4F6DBBCDF0F4} => pcalua.exe -a C:\Windows\IsUn0415.exe -c -f"C:\Program Files\Gimnazjum klasa 1 - Fizyka\Uninst.isu" -c"C:\Program Files\Gimnazjum klasa 1 - Fizyka\UninstallProject.dll" Task: {575C1BC2-65F3-430A-BAA1-C3B940790CBA} - System32\Tasks\Math Problem Solver GPU => C:\Users\XX\AppData\Local\Math Problem Solver\gpu\dummysleep.exe Task: {5BAAF458-EA78-4758-B398-6994CF39200F} - System32\Tasks\{4052535E-4CBB-46CE-88CE-FF3F7F2578E2} => Chrome.exe Task: {5D46EFF2-93A0-4F02-B23A-209859A96EA4} - System32\Tasks\{C32C989B-439E-4F8B-97BF-12911FE0BF77} => pcalua.exe -a "C:\Users\XX\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\9WKBOPGG\OggDS0995[1].exe" -d C:\Users\XX\Desktop Task: {68A883B9-7843-4992-9095-486DCC2BD89D} - System32\Tasks\ProtectedSearch\Protected Search => C:\Program Files\Protected Search\ProtectedSearch.exe Task: {7284FFD2-64F8-4FEB-AA07-CA9D0022173C} - System32\Tasks\{F4035CFF-BFC2-4D32-9FF5-C4CDFACAF83D} => pcalua.exe -a "D:\Electronic Arts\Game\Bin\Sims3_2.3.33.003002_from_2.0.86.002002.exe" -d "D:\Electronic Arts\Game\Bin" Task: {75DEB202-D1C3-4C4F-A15F-EB439C1091E0} - System32\Tasks\{CD37BA95-3A2E-4907-BCAE-4B8B6C705602} => c:\program files\opera\opera.exe Task: {762CB282-0F27-4DAB-A67A-36FF61F21279} - System32\Tasks\Math Problem Solver CPU => C:\Users\XX\AppData\Local\Math Problem Solver\cpu\Solve.exe [2014-02-02] () Task: {78808536-ACA4-4E4F-A7C1-1DFD81E158CA} - System32\Tasks\YTAUpdate_logon => C:\PROGRA~1\YOUTUB~1\Updater.exe Task: {7E314B7E-8E4E-4A76-AFA5-DB1C64EC1FC0} - System32\Tasks\{2AFC76AB-09AA-472C-A27F-25BD5C7E0BC6} => pcalua.exe -a "C:\Program Files\YouTube Accelerator\YTAUninstall.exe" Task: {80D5E017-E192-4F38-B011-DC5DB2D8B49F} - System32\Tasks\{1C96B60C-FCFD-419A-BA77-10F9276C98F6} => pcalua.exe -a C:\Users\XX\Downloads\dotNetFx35setup(2).exe -d C:\Users\XX\Downloads Task: {8697C433-D4DF-49F6-A307-79E271D1CF96} - System32\Tasks\Math Problem Solver Optimize => C:\Users\XX\AppData\Local\Math Problem Solver\Optimize.exe [2014-01-20] () Task: {892E0C77-F65F-42DF-B13A-4E44E40AB97C} - System32\Tasks\{88890589-C6E2-4BD2-B74A-DC9F2D89E870} => Chrome.exe Task: {9811EF5D-B8C1-4858-9FE6-62BF608D5DBD} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{BB5A512D-544A-4A1C-9B5A-B7A4AFC10F39}.exe Task: {A5134CAE-2604-44BD-BFE2-8DE663F9E3BF} - System32\Tasks\Norton Security Scan for XX => C:\PROGRA~1\NORTON~2\Engine\351~1.8\Nss.exe Task: {B6B8654D-E32F-4D4D-944F-04B8028AD5A7} - System32\Tasks\APSnotifierPP3 => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: {C04E7C3C-5167-418F-B1A2-0ADDB046C330} - System32\Tasks\{CEDCA9A4-CA14-4898-806A-951001CB2696} => pcalua.exe -a D:\CMR5.EXE -d D:\ Task: {CA4EF24A-04C7-4085-99F4-1FAD95043CF9} - System32\Tasks\{9B087F2E-F6D4-419B-B4D7-7354C5C0E970} => pcalua.exe -a "C:\Program Files\Mozilla Firefox\uninstall\helper.exe" Task: {CEA0A51F-AA11-463C-ADAC-769B8472C608} - System32\Tasks\{826D5F60-B62E-4C03-8A96-36BA93EB15BB} => pcalua.exe -a C:\Users\XX\Desktop\UniSpiker-2.6.exe -d C:\Users\XX\Desktop Task: {CFC7E1E8-97AE-4A89-A0B0-0DF0EB565419} - System32\Tasks\{6783762C-982D-497A-A37E-84E3E32719B0} => pcalua.exe -a "C:\Program Files\Steam\steam.exe" -c steam://uninstall/10 Task: {D0885CAB-62D1-4F32-8340-B5ACFD91DD1F} - System32\Tasks\{833EB77C-B397-4ABC-98C8-84A879989263} => pcalua.exe -a C:\Users\XX\Downloads\dziennik.exe -d C:\Users\XX\Downloads Task: {D5CAD9B4-3045-431D-BE45-B77677F838FF} - System32\Tasks\{17E4218E-C7C1-48EB-9827-4E3249531243} => pcalua.exe -a C:\Users\XX\AppData\Local\Temp\Temp1_AdobePhotoshop10pl_PL[www.INSTALKI.pl].zip\pl_PL\20070503.t4ce.089\Retail\Setup.exe Task: {DE0518D5-868B-4FEA-91C4-615E9AC0483F} - System32\Tasks\LaunchSignup => C:\Program Files\MyPC Backup\Signup Wizard.exe Task: {E9B9C72B-2F33-4C06-BBEA-BDFC65D0FA77} - System32\Tasks\{AE041394-CEB8-4195-9334-B0E5CF6E0BCD} => C:\Program Files\Nokia\Ovi Player\NokiaOviPlayer.exe Task: {F519B37A-5D1B-41DD-9305-FDEAB358736D} - System32\Tasks\APSnotifierPP2 => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: {F89302F3-C51D-4FBC-943F-9C567F93ADAC} - System32\Tasks\Launch HTC Sync Loader => C:\Program Files\HTC\HTC Sync 3.0\htcUPCTLoader.exe Task: {FF635474-C465-4FFD-B9B1-296C60F5D6EF} - System32\Tasks\{9A5426C8-494B-480C-88CF-13EB3DEE31CE} => pcalua.exe -a "C:\Program Files\4Media\Video Editor 2\Uninstall.exe" Task: {FFC8B55D-82F4-4FB8-B441-15E23716985B} - System32\Tasks\{A82B4408-EE86-437D-876E-374CE6D7D982} => pcalua.exe -a C:\Users\XX\Desktop\Expressivo_1_2_0_Jacek_Demo.exe -d C:\Users\XX\Desktop Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{BB5A512D-544A-4A1C-9B5A-B7A4AFC10F39}.exe Task: C:\Windows\Tasks\DLL-files.com Fixer_MONTHLY.job => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe Task: C:\Windows\Tasks\DLL-files.com Fixer_UPDATES.job => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe Task: C:\Windows\Tasks\Norton Security Scan for XX.job => C:\PROGRA~1\NORTON~2\Engine\351~1.8\Nss.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\76507945.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\76507945.sys => ""="Driver" HKU\S-1-5-21-3848935919-3367533699-3990728495-1002\Software\Classes\.exe: exefile => HKU\S-1-5-21-3848935919-3367533699-3990728495-1002\Software\Classes\exefile: S3 ServiceLayer; "C:\Program Files\Nokia\PC Connectivity Solution\ServiceLayer.exe" [X] S4 YouTubeAcceleratorService; C:\PROGRA~1\YOUTUB~1\YouTubeAcceleratorService.exe -start -scm [X] S3 EagleNT; \??\C:\Windows\system32\drivers\EagleNT.sys [X] S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [X] S3 gdrv; \??\C:\Windows\gdrv.sys [X] S3 gfiark; system32\drivers\gfiark.sys [X] S3 glynnxxGE; \??\C:\Users\XX\Desktop\[cshacked.pl]Intelligent Aimbot Gold Edition Cracked\Intelligent Aimbot Gold Edition Cracked\glynnharr.sys [X] S3 IntcAzAudAddService; system32\drivers\RTKVHDA.sys [X] S2 sbapifs; system32\DRIVERS\sbapifs.sys [X] S0 szkgfs; system32\drivers\szkgfs.sys [X] C:\sh-remover.exe C:\182186e7 C:\Program Files\007 C:\ProgramData\htnsmun.html C:\ProgramData\LM32X3ViF.dat C:\ProgramData\avg9 C:\ProgramData\InstallMate C:\ProgramData\Mozilla C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\SteelSeries C:\ProgramData\Symantec C:\ProgramData\TEMP C:\ProgramData\VOIPlay C:\ProgramData\ZugkuKoqut C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gadu-Gadu 10.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autonomiczny składnik AVG LinkScanner C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVD Flick C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\HP Photosmart Essential 3.5 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nexon C:\ProgramData\Microsoft\Windows\Start Menu\Programs\San Andreas Multiplayer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YouTube Accelerator C:\Users\XX\BullseyeCoverageError.TXT.kcirdgd C:\Users\XX\AppData\Local\{*} C:\Users\XX\AppData\Local\setup.exe C:\Users\XX\AppData\Local\Temp*.html C:\Users\XX\AppData\Local\Ares C:\Users\XX\AppData\Local\BearShare C:\Users\XX\AppData\Local\Egftion C:\Users\XX\AppData\Local\Geckofx C:\Users\XX\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\XX\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\XX\AppData\Local\Google\Picasa2 C:\Users\XX\AppData\Local\Google\Picasa2Albums C:\Users\XX\AppData\Local\Mozilla C:\Users\XX\AppData\Local\Nokia C:\Users\XX\AppData\Local\Opera C:\Users\XX\AppData\Local\Pokki C:\Users\XX\AppData\Local\screenSHU C:\Users\XX\AppData\Local\YfPack C:\Users\XX\AppData\LocalLow\bearsharemediabartb C:\Users\XX\AppData\LocalLow\CertifiedToolsToolbar C:\Users\XX\AppData\LocalLow\Sun C:\Users\XX\AppData\Roaming\6201c0551d203b.xml C:\Users\XX\AppData\Roaming\embranchment.ed C:\Users\XX\AppData\Roaming\LiveSupport.exe_log.TXT.kcirdgd C:\Users\XX\AppData\Roaming\regsvr32.exe_log.TXT.kcirdgd C:\Users\XX\AppData\Roaming\template.css C:\Users\XX\AppData\Roaming\template.log C:\Users\XX\AppData\Roaming\72C8C5EA C:\Users\XX\AppData\Roaming\.minecraft C:\Users\XX\AppData\Roaming\Adetymwu C:\Users\XX\AppData\Roaming\avidemux C:\Users\XX\AppData\Roaming\Audacity C:\Users\XX\AppData\Roaming\Balmora.pl C:\Users\XX\AppData\Roaming\DVD Flick C:\Users\XX\AppData\Roaming\FileZilla C:\Users\XX\AppData\Roaming\com.w3i.FlipToast C:\Users\XX\AppData\Roaming\Gadu-Gadu 10 C:\Users\XX\AppData\Roaming\GoldenGate C:\Users\XX\AppData\Roaming\Igosonne C:\Users\XX\AppData\Roaming\Local Store C:\Users\XX\AppData\Roaming\Mozilla C:\Users\XX\AppData\Roaming\OpenFM C:\Users\XX\AppData\Roaming\Opera C:\Users\XX\AppData\Roaming\SteelSeries C:\Users\XX\AppData\Roaming\Ubkafo C:\Users\XX\AppData\Roaming\wargaming.net C:\Users\XX\AppData\Roaming\WordToPDF C:\Users\XX\AppData\Roaming\Ynehcaac C:\Users\XX\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\XX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GameSpy Arcade C:\Users\XX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SteelSeries C:\Users\XX\Desktop\Malestia.pl client 20.12.2014.RAR.kcirdgd C:\Users\XX\Documents\Decrypt-All-Files-kcirdgd.bmp C:\Users\XX\Documents\Decrypt-All-Files-kcirdgd.txt C:\Windows\system32\Drivers\*.szcpf C:\Windows\system32\Drivers\1DF1592B.sys C:\Windows\system32\Drivers\2F6C59A4.sys C:\Windows\system32\Drivers\5EFA3319.sys C:\Windows\system32\Drivers\61C35F4E.sys C:\Windows\system32\Drivers\2F9C5F72.sys Hosts: Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query "HKCU\Control Panel\Desktop" Reg: reg query "HKCU\Software\Microsoft\Internet Explorer\Desktop" /s Reg: reg query "HKLM\Software\Microsoft\Internet Explorer\Desktop" /s Reg: reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System CMD: attrib -r -h -s C:\HELP_DECRYPT.* /s CMD: del /q /s C:\HELP_DECRYPT.* Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: - Adware: Math Problem Solver, OfferBLVDUpdate, saveron, WordToPDF Packages, YouTube Accelerator. - Zbędniki i nadwyżkę skanerów: Adobe Shockwave Player 12.1, AVG Security Toolbar, Avira, Avira Free Antivirus, SpyHunter 4, STOPzilla. Wpisy adware są uszkodzone. Jeśli ich nie będzie widać lub zgłosi się błąd, kontynuuj dalej. 3. Wyczyść Google Chrome z adware: Ustawienia > karta Rozszerzenia > odinstaluj adware PriceDownloader Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia zostaną wyłączone (aktywuj ręcznie w opcjach). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (zaznacz ponownie pola Addition + Shortcut). Dołącz też plik fixlog.txt.

Widziałam to w Addition: ==================== Faulty Device Manager Devices ============= Name: PCI Device Description: PCI Device Class Guid: {4D36E97D-E325-11CE-BFC1-08002BE10318} Manufacturer: Service: HDAudBus Problem: : Windows cannot load the device driver for this hardware. The driver may be corrupted or missing. (Code 39) Resolution: Reasons for this error include a driver that is not present; a binary file that is corrupt; a file I/O problem, or a driver that references an entry point in another binary file that could not be loaded. Uninstall the driver, and then click "Scan for hardware changes" to reinstall or upgrade the driver. Name: PCI Device Description: PCI Device Class Guid: {4D36E97D-E325-11CE-BFC1-08002BE10318} Manufacturer: Service: HDAudBus Problem: : Windows cannot load the device driver for this hardware. The driver may be corrupted or missing. (Code 39) Resolution: Reasons for this error include a driver that is not present; a binary file that is corrupt; a file I/O problem, or a driver that references an entry point in another binary file that could not be loaded. Uninstall the driver, and then click "Scan for hardware changes" to reinstall or upgrade the driver. Usuwałam też za pomocą FRST martwe usługi: S3 ctdvda2k; System32\drivers\ctdvda2k.sys [X] S3 HDAudBus; system32\DRIVERS\HDAudBus.sys [X] S3 kxwdmdrv; system32\drivers\kx.sys [X] Skoro problem powraca, to pod kątem HDAudBus wstępnie sprawdź ten scenariusz: KLIK.

Tylko drobne odpadki adware oraz puste wpisy widoczne. Poprawki: 1. Odinstaluj Surfing Protection od IOBit. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {4B393384-05CC-4F9A-8AD5-5F7948F36056} - System32\Tasks\Desk 365 RunAsStdUser => C:\Program Files (x86)\Desk 365\desk365.exe Task: {4FB330C8-9639-45C0-94EC-A4A392DAA191} - \DealPly No Task File Task: {9492AE53-2D1A-47D3-A2DF-967EB607FED4} - System32\Tasks\DealPlyUpdate => C:\Program Task: {978842C0-8FAF-4091-9634-F704C9260D3F} - System32\Tasks\EPUpdater => C:\Users\Monix\AppData\Roaming\BABSOL~1\Shared\BabMaint.exe CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1418510501&from=cor&uid=SAMSUNGXHD321KJ_S0MQJDWQ114238" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com SearchScopes: HKU\S-1-5-21-2232964261-3540459803-2901109087-1000 -> {60F2A61B-4CA9-45FF-94E5-3EBCF0BA1140} URL = https://search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=114576&p={searchTerms} Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKU\S-1-5-21-2232964261-3540459803-2901109087-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File HKU\S-1-5-21-2232964261-3540459803-2901109087-1000\...\Run: [AdobeBridge] => [X] S3 andnetndis; system32\DRIVERS\lgandnetndis64.sys [X] AlternateDataStreams: C:\ProgramData\Microsoft:gicILdp5KoPVp7kQoiQpriqtr AlternateDataStreams: C:\ProgramData\Microsoft:xgtBPX16BTfqTgtZStdgPOv AlternateDataStreams: C:\ProgramData\Microsoft:ZYRpxqYkazUXi9T6ZPaPq AlternateDataStreams: C:\Users\Monix\Cookies:G8dV1U1b6kNUbZVbVU AlternateDataStreams: C:\Users\Monix\Ustawienia lokalne:h1869xXWja3FzuFKoRvaZr AlternateDataStreams: C:\Users\Monix\AppData\Local:h1869xXWja3FzuFKoRvaZr AlternateDataStreams: C:\Users\Monix\AppData\Local\0rc4o8VX4wf2Wj:80HXJbjdqbfKejcuzVi4Aov AlternateDataStreams: C:\Users\Monix\AppData\Local\Dane aplikacji:h1869xXWja3FzuFKoRvaZr C:\Program Files\AutoRun.inf C:\Users\Monix\AppData\Local\{69BFF262-8BEF-41C7-A6D6-D36290343342} C:\Users\Monix\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Advanced SystemCare 7" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Apps Hat" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AppsHat" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Browser Extensions" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SearchSettings" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Slick Savings" /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SpeedAnalysis.com /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Napraw uszkodzony czyszczeniem specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Monix\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 6. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (by było wiadome co usuwał i skąd).

Tak się stało, bo nic nie wykonałeś. Sprawdź zawartość pliku Fixlog = pusty plik, nic nie wkleiłeś do Notatnika. To do powtórzenia. Może to jest problem na poziomie grafiki / sterowników graficznych? Proponuję zgłosić problem bezpośrednio u źródła, czyli na forum COMODO.

Zestaw obowiązkowych logów niekompletny - brak trzeciego pliku FRST Shortcut. Jest tu kilka poważnych problemów: - CTB Locker: odszyfrowanie danych jest awykonalne technicznie. Jeśli nie masz kopii zapasowej danych, zostały utracone. Ewentualna droga to próbowanie softu do odzyskiwania danych, ale to raczej nie przyniesie rezultatów - przykład: KLIK. - Rootkit Necurs blokujący wiele poprawnych sterowników systemowych. - Adware, elementy innych infekcji oraz szkodliwe polityki oprogramowania blokujące oprogramowanie zabezpieczające. - Za dużo antywirusów (AVG, Avira, STOPzilla) oraz zainstalowany wątpliwy skaner SpyHunter z czarnej listy. Na pierwszy problem nie jestem w stanie zaradzić, zajmę się pozostałymi. Na początek musi zostać usunięty rootkit, dopiero potem można przejść dalej. Działania wstępne: 1. Uruchom Kaspersky TDSSKiller. Powinien wykryć Rootkit.Win32.Necurs.gen (pozycja 9384717eede54217) - dla tego wyniku zostaw domyślną akcję Delete. Natomiast wszystkie wyniki typu LockedFile.Multi.Generic mają mieć przyznane Skip, gdyż to prawidłowe sterowniki zablokowane przez rootkita. Jeśli rootkit zostanie poprawnie usunięty, sterowniki samoczynnie się odblokują. Zresetuj system. 2. Zrób nowe logi: FRST z opcji Scan (zaznaczone pola Addition i Shortcut, by powstały trzy pliki) oraz GMER. Dołącz log utworzony przez TDSSKiller.

Zasady działu, nie zostały dostarczone obowiązkowe logi: KLIK.

Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście Java™ SE Runtime Environment 6 Update 1 > Dalej.

Zasadniczy problem: czy wyłączenie uruchamiania widżetu w opcjach COMODO wpływa na zanik tego artefaktu na Pulpicie? Zgodnie z podejrzeniem nie ma tu oznak infekcji. Możesz wykonać tylko kosmetykę (wpisy puste i mini szczątki adware oraz czyszczenie Tempów). Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-682003330-299502267-839522115-1004\...\Run: [] => [X] HKU\S-1-5-21-682003330-299502267-839522115-1004\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-682003330-299502267-839522115-1004\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://www.mail.ru/cnt/7227 SearchScopes: HKLM -> {cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8} URL = http://search.tb.ask.com/search/GGmain.jhtml?p2=^HJ^xdm073^YYA^pl&si=pconvIE&ptb=813D1524-F357-4CB4-83B6-AB77E8A757F0&ind=2014030807&n=780babd7&psa=&st=sb&searchfor={searchTerms} SearchScopes: HKU\S-1-5-21-682003330-299502267-839522115-1004 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-682003330-299502267-839522115-1004 -> {CB4863DE-77C2-4F48-A517-7B88FB3E33DE} URL = http://go.mail.ru/search?utf8in=1&fr=ietb&q={SearchTerms} SearchScopes: HKU\S-1-5-21-682003330-299502267-839522115-1004 -> {cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8} URL = http://search.tb.ask.com/search/GGmain.jhtml?p2=^HJ^xdm073^YYA^pl&si=pconvIE&ptb=813D1524-F357-4CB4-83B6-AB77E8A757F0&ind=2014030807&n=780babd7&psa=&st=sb&searchfor={searchTerms} FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - D:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension D:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension S3 ctdvda2k; System32\drivers\ctdvda2k.sys [X] S3 HDAudBus; system32\DRIVERS\HDAudBus.sys [X] S3 kxwdmdrv; system32\drivers\kx.sys [X] Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Alcmtr" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GEST" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\tvncontrol" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny, gdyż COMODO uniemożliwi wykonanie zadania. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik.

Gładko poszło. Na wszelki wypadek jeszcze dodatkowe sprawdzanie: Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Zoek nie pokazuje w ogóle, by zadanie zostało wykonane. Czy na liście Dodaj/Usuń programy nadal widzisz wpis Java™ SE Runtime Environment 6 Update 1? Był uruchamiany GMER. Sprawdź czy nie nastąpiło obniżenie transferu dysku z DMA do PIO. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

OK. Skasuj plik C:\Delfix.txt z dysku. Temat rozwiązany. Zamykam.

Na koniec: 1. Skasuj używane narzędzia z D:\Inne\Logi OTL. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK 2. Zainstaluj oryginalną Tibia. Na wszelki wypadek zmień login do konta, bo nie wiadomo czy coś już nie wyciekło.

Proszę nie wklejaj w CODE, źle się to czyta. Na przyszłość: preferuję oryginalne pliki raportów, by uniknąć ewentualnych zniekształceń podczas wklejania ich w postach. Tu akurat logi krótkie i nic takiego w nich nie było, więc mogły być wklejone w poście. Start > w polu szukania wklep regedit > z prawokliku Uruchom jako Administrator > skasuj poniższy klucz: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\Ip Changer Updater_RASMANCS