picasso

Tak się stało, bo nic nie wykonałeś. Sprawdź zawartość pliku Fixlog = pusty plik, nic nie wkleiłeś do Notatnika. To do powtórzenia. Może to jest problem na poziomie grafiki / sterowników graficznych? Proponuję zgłosić problem bezpośrednio u źródła, czyli na forum COMODO.

Zestaw obowiązkowych logów niekompletny - brak trzeciego pliku FRST Shortcut. Jest tu kilka poważnych problemów: - CTB Locker: odszyfrowanie danych jest awykonalne technicznie. Jeśli nie masz kopii zapasowej danych, zostały utracone. Ewentualna droga to próbowanie softu do odzyskiwania danych, ale to raczej nie przyniesie rezultatów - przykład: KLIK. - Rootkit Necurs blokujący wiele poprawnych sterowników systemowych. - Adware, elementy innych infekcji oraz szkodliwe polityki oprogramowania blokujące oprogramowanie zabezpieczające. - Za dużo antywirusów (AVG, Avira, STOPzilla) oraz zainstalowany wątpliwy skaner SpyHunter z czarnej listy. Na pierwszy problem nie jestem w stanie zaradzić, zajmę się pozostałymi. Na początek musi zostać usunięty rootkit, dopiero potem można przejść dalej. Działania wstępne: 1. Uruchom Kaspersky TDSSKiller. Powinien wykryć Rootkit.Win32.Necurs.gen (pozycja 9384717eede54217) - dla tego wyniku zostaw domyślną akcję Delete. Natomiast wszystkie wyniki typu LockedFile.Multi.Generic mają mieć przyznane Skip, gdyż to prawidłowe sterowniki zablokowane przez rootkita. Jeśli rootkit zostanie poprawnie usunięty, sterowniki samoczynnie się odblokują. Zresetuj system. 2. Zrób nowe logi: FRST z opcji Scan (zaznaczone pola Addition i Shortcut, by powstały trzy pliki) oraz GMER. Dołącz log utworzony przez TDSSKiller.

Zasady działu, nie zostały dostarczone obowiązkowe logi: KLIK.

Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście Java™ SE Runtime Environment 6 Update 1 > Dalej.

Zasadniczy problem: czy wyłączenie uruchamiania widżetu w opcjach COMODO wpływa na zanik tego artefaktu na Pulpicie? Zgodnie z podejrzeniem nie ma tu oznak infekcji. Możesz wykonać tylko kosmetykę (wpisy puste i mini szczątki adware oraz czyszczenie Tempów). Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-682003330-299502267-839522115-1004\...\Run: [] => [X] HKU\S-1-5-21-682003330-299502267-839522115-1004\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-682003330-299502267-839522115-1004\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = http://www.mail.ru/cnt/7227 SearchScopes: HKLM -> {cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8} URL = http://search.tb.ask.com/search/GGmain.jhtml?p2=^HJ^xdm073^YYA^pl&si=pconvIE&ptb=813D1524-F357-4CB4-83B6-AB77E8A757F0&ind=2014030807&n=780babd7&psa=&st=sb&searchfor={searchTerms} SearchScopes: HKU\S-1-5-21-682003330-299502267-839522115-1004 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-682003330-299502267-839522115-1004 -> {CB4863DE-77C2-4F48-A517-7B88FB3E33DE} URL = http://go.mail.ru/search?utf8in=1&fr=ietb&q={SearchTerms} SearchScopes: HKU\S-1-5-21-682003330-299502267-839522115-1004 -> {cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8} URL = http://search.tb.ask.com/search/GGmain.jhtml?p2=^HJ^xdm073^YYA^pl&si=pconvIE&ptb=813D1524-F357-4CB4-83B6-AB77E8A757F0&ind=2014030807&n=780babd7&psa=&st=sb&searchfor={searchTerms} FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - D:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension D:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension S3 ctdvda2k; System32\drivers\ctdvda2k.sys [X] S3 HDAudBus; system32\DRIVERS\HDAudBus.sys [X] S3 kxwdmdrv; system32\drivers\kx.sys [X] Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Alcmtr" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GEST" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\tvncontrol" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny, gdyż COMODO uniemożliwi wykonanie zadania. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik.

Gładko poszło. Na wszelki wypadek jeszcze dodatkowe sprawdzanie: Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Zoek nie pokazuje w ogóle, by zadanie zostało wykonane. Czy na liście Dodaj/Usuń programy nadal widzisz wpis Java™ SE Runtime Environment 6 Update 1? Był uruchamiany GMER. Sprawdź czy nie nastąpiło obniżenie transferu dysku z DMA do PIO. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

OK. Skasuj plik C:\Delfix.txt z dysku. Temat rozwiązany. Zamykam.

Na koniec: 1. Skasuj używane narzędzia z D:\Inne\Logi OTL. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK 2. Zainstaluj oryginalną Tibia. Na wszelki wypadek zmień login do konta, bo nie wiadomo czy coś już nie wyciekło.

Proszę nie wklejaj w CODE, źle się to czyta. Na przyszłość: preferuję oryginalne pliki raportów, by uniknąć ewentualnych zniekształceń podczas wklejania ich w postach. Tu akurat logi krótkie i nic takiego w nich nie było, więc mogły być wklejone w poście. Start > w polu szukania wklep regedit > z prawokliku Uruchom jako Administrator > skasuj poniższy klucz: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\Ip Changer Updater_RASMANCS

Singapjap, proszę zakładaj tematy w odpowiednich działach. Przenoszę. Tematy infekcji idą do Działu pomocy doraźnej, tematy Windows do działu Windows. W dziale Software omawia się problemy innych aplikacji. Nie dubluj też wątków. Oba tematy powstałe w krótkim przedziale czasowym o podobnym charakterze łączę. Nie podałeś jaki plik i z jakiego linka - proszę o konkrety (dokładny link pobierania). Nie można się w ogóle odnieść do wyników, gdyż nazwy zagrożenia są ogólne i pasują do mnóstwa obiektów - mogą to być fałszywe alarmy lub i nie. Jedyne co na razie się wydaje po tych wynikach i fakcie że pobieranie było z serwisu hostingowego, to jakaś nielegalna / piracka produkcja i jest w paczce jakiś obiekt mający coś scrackować. Najprostsza droga, by nie łamać sobie głowy czy coś jest (nie)bezpieczne = nie pobierać na lewo. PS. Dodam, że jednak niektóre formy malware mają detekcję wirtualnej maszyny i nie uruchomią się w niej fałszując skutki uruchomienia danego pliku.

Fix wykonany, a te wyniki z wyszukiwania to nic takiego, to mało istotne klucze. Kolejny Fix, do Notatnika wklej: Reg: reg delete "HKLM\SOFTWARE\Microsoft\Tracing\Ip Changer Updater_RASAPI32" /f Reg: reg delete "HKU\S-1-5-21-1745938249-244550939-3845965806-1000\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted" /v "D:\Pobrane\Tibia 8.60.exe" /f DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt.

1. Małe poprawki. Otwórz Notatnik i wklej w nim: Toolbar: HKU\S-1-5-21-1745938249-244550939-3845965806-1000 -> No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File C:\Program Files\DAEMON Tools Toolbar C:\Windows\comdlg32.ocx Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 2. Na wszelki wypadek jeszcze zrób szukanie w rejestrze. Uruchom FRST, w polu Search wklej: Asprate;IP Changer;Tibia Klik w Search Registry. Podaj wynikowy log.

Zaćmienie mnie ogarnęło, jakoś nie zauważyłam spacji w ścieżkach dostępu i nie ujęłam ich w "", dlatego nie wykonały się komendy kierujące na te ścieżki. Trzeba załadować skrypt poprawkowy o potaci: CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\0816\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\0804\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\0416\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\0404\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\001F\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\001D\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\0019\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\0015\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\0014\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\0013\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\0012\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\0011\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\0010\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\000E\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\000D\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\000C\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\000B\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\000A\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\0009\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\0008\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\0007\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\0006\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\0005\_TransactionBridgePerfCounters.ini" CMD: copy /y C:\TMP\_TransactionBridgePerfCounters2.ini "C:\Windows\inf\MSDTC Bridge 4.0.0.0\0001\_TransactionBridgePerfCounters.ini" I zostaje jeszcze ten rekord:

Tak, zainstalowałeś szkodliwy "IP Changer". Właściwości logerskie. Przykład co się stało po jego pobycie w systemie, włamanie na konto Tibia: KLIK. Składników Changera jest więcej niż tylko plik w starcie. On prawdopodobnie mógłby być poprawnie odinstalowany, bo był plik deinstalatora, ale naruszyłeś to: Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Asprate\Tibia Multi IP Changer\Tibia MULTI-IP Changer.lnk -> D:\Program Files\Tibia Multi IP Changer\Tibia MULTI-ip changer.exe (No File) Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Asprate\Tibia Multi IP Changer\UNinstaller.lnk -> D:\Program Files\Tibia Multi IP Changer\UNinstaller.exe (No File) Poza tym, jest tu też pasek adware. 1. Przez Panel sterowania odinstaluj DAEMON Tools Toolbar (adware) oraz Tibia (nie ufam teraz tej instalacji, folder aplikacji modyfikowany wtedy gdy powstawały obiekty "changera"). Dopiero po wyczyszczeniu systemu zainstalujesz na nowo oryginalny klient Tibia pobrany ze strony domowej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\windate.exe () HKLM\...\Run: [] => [X] Task: {1B8659C9-C5ED-441A-ADE4-C5DE4467921E} - System32\Tasks\MSIAfterburner => C:\Program Files\MSI Afterburner\MSIAfterburner.exe CMD: regsvr32 /u C:\Windows\comdlg32.ocx C:\Program Files\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Asprate C:\Users\Admin\Desktop\Ip Changer.lnk C:\Windows\*.lang C:\Windows\ipchanger.exe C:\Windows\Ip Changer Updater.exe C:\Windows\Last.dat C:\Windows\Language.dat C:\Windows\Language C:\Windows\libcurl.dll C:\Windows\libeay32.dll C:\Windows\memlist.dat C:\Windows\os4.exe C:\Windows\ssleay32.dll C:\Windows\test.dat C:\Windows\windate.exe C:\Windows\zlib1.dll D:\Pobrane\Ip Changer 8.60 Folder: C:\Users\Admin\AppData\Roaming\WinRAR EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Takie wyłączanie COMODO nie deaktywuje czynności sterowników COMODO. Niestety nie ma innej możliwości wśród opcji COMODO. Skoro jest to nieskuteczne, spróbuj uruchomić skan FRST z poziomu Trybu awaryjnego Windows. Nie uściśliłeś czy była taka próba, informacja o awaryjnym dotyczy tylko GMER.

Przypuszczanie COMODO blokuje tworzenie kopii rejestru. Na czas kolejnego podejścia z FRST wyłącz kompletnie COMODO. To jest błąd COMODO, nie wpływa tu żadna infekcja. W temacie tamtego użytkownika napisałam także:

W raportu ostatnie instalacje wykonane w dniu zgłoszenia problemu to Avast oraz MBAM rzekomo "portable" - programy nie są ładowane w Trybie awaryjnym. Nie jest wykluczone, że mają coś do rzeczy. W systemie uruchamia się też wiele obiektów startowych. Ale infekcja tu jest, tzn. wpis run32dll.exe. Na początek więc usuwanie infekcji, wpisu startowego MBAM oraz pustych wpisów i zobaczymy jakie wyniki osiągniemy. Dodatkowo, w starcie jest niejaki plik.bat - czy to celowa akcja? Działania wstępne: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Run: [run32d] => C:\Windows\system\run32dll.exe [2560 2010-06-18] () HKLM\...\Run: [] => [X] HKLM\...\RunOnce: [Malwarebytes Anti-Rootkit (cleanup)] => C:\ProgramData\Malwarebytes' Anti-Malware (portable)\mbamdor.exe [54072 2015-01-09] (Malwarebytes Corporation) HKU\S-1-5-21-704376898-2786838306-483735257-1000\...\Run: [fsm] => [X] HKU\S-1-5-21-704376898-2786838306-483735257-1000\...\Run: [AdobeBridge] => [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKU\S-1-5-21-704376898-2786838306-483735257-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-704376898-2786838306-483735257-1000\Software\Microsoft\Internet Explorer\Main,Start Page Restore = http://securityresponse.symantec.com/avcenter/fix_homepage/ SearchScopes: HKLM -> DefaultScope value is missing. SearchScopes: HKLM -> {A0B271A9-D8AA-8E74-7392-2164D6A1C03C} URL = http://www.iesearch.com/s/?q={searchTerms} SearchScopes: HKU\S-1-5-21-704376898-2786838306-483735257-1000 -> DefaultScope {A0B271A9-D8AA-8E74-7392-2164D6A1C03C} URL = http://www.iesearch.com/s/?q={searchTerms} SearchScopes: HKU\S-1-5-21-704376898-2786838306-483735257-1000 -> {A0B271A9-D8AA-8E74-7392-2164D6A1C03C} URL = http://www.iesearch.com/s/?q={searchTerms} BHO: No Name -> {1E8A6170-7264-4D0F-BEAE-D42A53123C75} -> No File Toolbar: HKU\.DEFAULT -> No Name - {30F9B915-B755-4826-820B-08FBA6BD249D} - No File Toolbar: HKU\S-1-5-21-704376898-2786838306-483735257-1000 -> No Name - {37B85A29-692B-4205-9CAD-2626E4993404} - No File Toolbar: HKU\S-1-5-21-704376898-2786838306-483735257-1000 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mbamchameleon => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mbamchameleon => ""="Driver" S3 EagleNT; \??\C:\Windows\system32\drivers\EagleNT.sys [X] S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [X] S3 lvupdtio; \??\C:\Program Files\ASUS\ASUS Live Update\SYS\lvupdtio.sys [X] S3 TKCtrl; \??\C:\Windows\system32\TKCtrl2k.sys [X] S3 TKFsAvM; \??\C:\Windows\system32\TKFsAv.sys [X] S3 TkFsFtM; system32\TKFsFt.sys [X] S1 TKFWFV; system32\TKFWFV.sys [X] S3 TKFWVT; \??\C:\Windows\system32\TKFWVT.sys [X] S3 TkIdsVt; \??\C:\Windows\system32\TkIdsVt.sys [X] S3 TKPcFt; \??\C:\Windows\system32\TKPcFtCb.sys [X] S3 WinRing0_1_2_0; \??\D:\Program Files\Razer\Razer Game Booster\Driver\WinRing0.sys [X] Task: {0E124394-404C-45CC-9E9E-D299C3132190} - System32\Tasks\TuneUpUtilities_Task_BkGndMaintenance => C:\Program Files\TuneUp Utilities 2010\OneClick.exe Task: {12EE620F-2080-4729-8A24-4F288C7B5F52} - System32\Tasks\{B4C768D3-F036-4B93-8ECF-0A47AD8B6344} => pcalua.exe -a C:\Users\Łukasz\Desktop\hlof\shared.EXE -d C:\Users\Łukasz\Desktop\hlof Task: {1491E300-AD96-4575-B82D-4D15BB39F96B} - System32\Tasks\{D50AF43B-A3FF-4A7B-A00D-9BEE61E8CCB5} => pcalua.exe -a "C:\speedtouch_for_windows\ZXDSL 852V2.1.0a_D14_PL\setup.exe" -d "C:\speedtouch_for_windows\ZXDSL 852V2.1.0a_D14_PL" Task: {18640F16-0EAE-4657-A34F-23AD11A6186F} - System32\Tasks\{62BBD44E-6449-412A-AF1B-F96C8D51248D} => pcalua.exe -a E:\directx\dxsetup.exe -d E:\directx Task: {1CC9542E-0AE1-4202-BAA2-9C8CFBE337AA} - System32\Tasks\{230EDA7A-06F8-484F-89B9-F1B50ED3D8F4} => pcalua.exe -a E:\setup.exe Task: {20C6924C-1383-4812-99D1-B7C76D2F4C61} - System32\Tasks\Razer_Game_Booster_AutoUpdate => D:\Program Files\Razer\Razer Game Booster\AutoUpdate.exe Task: {26E36B8C-1CE0-4C0B-9CCE-BDAA3C524F94} - System32\Tasks\{33388587-3C7B-4D90-B947-9C21E5A8F9A5} => pcalua.exe -a F:\Autorun.exe -d F:\ Task: {2CAA0853-2A47-412F-9E65-5732CC67D124} - System32\Tasks\{5EA6750A-0A3C-43C0-942C-46CA079D8503} => pcalua.exe -a "C:\Users\Łukasz\Desktop\ZXDSL 852V2.1.0a_D14_PL\setup.exe" -d "C:\Users\Łukasz\Desktop\ZXDSL 852V2.1.0a_D14_PL" Task: {3441C6B7-987C-4C01-A941-E05ED450C7DD} - System32\Tasks\{0943E9CC-2D9A-4E54-AFB7-61884D190540} => pcalua.exe -a C:\Users\Łukasz\Desktop\Metin2_20080219.exe -d C:\Windows\system32 Task: {3C0631EF-B5CF-4845-9285-DF47772F6EC0} - System32\Tasks\{2919CD96-03E1-42C6-A57B-94D17F3624E9} => pcalua.exe -a "C:\Users\Łukasz\Desktop\Predator2\Aliens vs. Predator 2\Aliens vs. Predator 2\Aliens vs. Predator 2\Uninstall.exe" -d "C:\Users\Łukasz\Desktop\Predator2\Aliens vs. Predator 2\Aliens vs. Predator 2\Aliens vs. Predator 2" Task: {400F09E1-FC52-43E8-BC84-6E84CD5C030F} - System32\Tasks\{CAAD7982-C19B-44DC-8839-A5F2406242A6} => pcalua.exe -a C:\Users\Łukasz\Desktop\Dokumenty\hlof\opinstall.EXE -d C:\Users\Łukasz\Desktop\Dokumenty\hlof Task: {46EF0E59-4F46-4680-A333-E8189372A578} - System32\Tasks\{8B092452-7BCB-495D-B714-5F6A5FB8B030} => pcalua.exe -a "C:\Program Files\Loonies\ISIIM\ISIIMan.exe" -d "C:\Program Files\Loonies\ISIIM" Task: {4B828BEC-FB88-4471-881B-6DD139F5329E} - System32\Tasks\{03840F14-8D97-424E-A110-559B8CB78482} => pcalua.exe -a "D:\Program Files\THQ\MotoGP URT 3\unins001.exe" -d "D:\Program Files\THQ\MotoGP URT 3" Task: {4C45FD5C-BBCC-487B-9B72-473CDC0C0524} - System32\Tasks\{2F193CE0-1943-4700-895C-AE079ADC3B06} => pcalua.exe -a E:\Patch\DXP2-111-120.EXE -d E:\Patch Task: {4C6E1DC6-43C1-4D03-8D5A-EE6A0D28F5D7} - System32\Tasks\{77BD6FCD-C7C3-41D9-B917-33934DF96AC7} => pcalua.exe -a "C:\Users\Łukasz\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\OWRUAFN6\HC2Setup[1].exe" -d C:\Windows\system32 Task: {52E4A1C1-D19C-4903-8FEA-7B6A505ED270} - System32\Tasks\{2469D803-D3D7-4D8D-9255-FC5B241CD2DF} => pcalua.exe -a C:\Users\Łukasz\Documents\Downloads\vegaspro90c_32bit.exe -d C:\Users\Łukasz\Documents\Downloads Task: {5ABC08E0-5FDE-481F-A8CE-3F6AFE9A051F} - System32\Tasks\{068F5BB0-94D5-4734-818F-DD4ED2759FE6} => pcalua.exe -a E:\WAG200G.exe -d E:\ Task: {668368F9-F123-4380-8AE5-77EF59B2C73D} - System32\Tasks\{850AAEE9-DC53-4149-B7B1-52D954A372BB} => pcalua.exe -a C:\Users\Łukasz\Desktop\Dokumenty\Metin2_PL_20090526.exe -d C:\Users\Łukasz\Desktop\Dokumenty Task: {6D1926BD-5D55-45F6-A8E1-59ACA105ED7A} - System32\Tasks\Game_Booster_AutoUpdate => D:\Program Files\IObit\Game Booster 3\AutoUpdate.exe Task: {6DAE9572-F5C5-47D0-8E02-680C8280D13D} - System32\Tasks\{79E064DD-9AD2-4309-B46F-AD753FAC82FB} => pcalua.exe -a C:\Users\Łukasz\Desktop\Juiced\Juiced\SetupReg.exe -d C:\Users\Łukasz\Desktop\Juiced\Juiced Task: {70727FAA-8A8C-4404-9B33-010C95DC06DA} - System32\Tasks\{832FC3CA-B4B3-4B83-B137-F624BFF761D3} => pcalua.exe -a F:\DirectX\dxsetup.exe -d F:\DirectX Task: {7B087615-415A-48B8-B8D4-BBF8533276DE} - System32\Tasks\avast! Emergency Update => C:\Program Files\Alwil Software\Avast5\AvastEmUpdate.exe Task: {805A110D-0E57-424B-B5E4-A7C28981397C} - System32\Tasks\{4D4EEDA7-B774-45FB-957B-51895B18F3D3} => pcalua.exe -a C:\Users\Łukasz\Desktop\gmod_904c.exe -d C:\Users\Łukasz\Desktop Task: {A7B262E0-B7A2-494E-85A6-445F07A7C2BD} - System32\Tasks\{8A2922A6-ADA8-4956-834B-E474D2E4B84D} => pcalua.exe -a F:\CD1\SETUP.EXE -d F:\CD1 Task: {B05D5E3F-F9A4-4018-B813-059B5D7E5B3C} - System32\Tasks\{A02E8612-8BCD-4EF7-85D4-E953A59DD6ED} => pcalua.exe -a C:\Users\Łukasz\Desktop\Metin2_PL_20090526.exe -d C:\Users\Łukasz\Desktop Task: {D37975BE-7B2F-44F3-A7DC-1DBFB04DAE74} - System32\Tasks\{C7894965-B283-4C4E-B4AE-7046498EC278} => pcalua.exe -a C:\Users\Łukasz\Desktop\hlof\opinstall.EXE -d C:\Users\Łukasz\Desktop\hlof Task: {D7E37258-F378-4F39-B287-CD0C565C0F80} - System32\Tasks\{6DD04473-B3A7-46DD-8A6E-123C005FBDF4} => pcalua.exe -a "C:\Users\Łukasz\Desktop\Soldier Of Fortune\demo32.exe" -d "C:\Users\Łukasz\Desktop\Soldier Of Fortune" Task: {E666D7D7-BC0E-46B2-9B0B-7643FE97F3BB} - System32\Tasks\{A87680A9-3F2E-40B0-AF47-35AE87F79D2F} => pcalua.exe -a C:\Users\Łukasz\Desktop\Wog\WoG_Install\Install.exe -d C:\Users\Łukasz\Desktop\Wog\WoG_Install Task: {E89BB720-2B13-446F-95ED-84A795863CAB} - System32\Tasks\Desk 365 RunAsStdUser => C:\Program Files\Desk 365\desk365.exe CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{0000002F-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{00020420-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{00020421-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{00020422-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{00020423-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{00020424-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{00020425-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{0BE35203-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{0BE35204-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{1EFB6596-857C-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{2C247F23-8591-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{35053A22-8589-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{46763EE0-CAB2-11CE-8C20-00AA0051E5D4}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{66833FE6-8583-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{8E3867A3-8586-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{B196B286-BAB4-101A-B69C-00AA00341D07}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{BDD1F04B-858B-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{C27CCE32-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{C27CCE33-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{C27CCE34-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{C27CCE35-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{C27CCE36-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{C27CCE37-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{C27CCE38-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{C27CCE39-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{C27CCE3A-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{C27CCE3B-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{C27CCE3C-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{C27CCE3D-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{C27CCE3E-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{C27CCE3F-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{C27CCE40-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{C27CCE41-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{C27CCE42-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{C74190B6-8589-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{d0a0ed0a-55ac-4469-a197-1d08ce99cfb9}\localserver32 -> C:\Users\UKASZ~1\AppData\Local\Temp\{4f5e3a76-f453-4882-ab42-7224f3310de7}\IDriver.NonElevated.exe (Macrovision Corporation) CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{D5DE8D20-5BB8-11D1-A1E3-00A0C90F2731}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{DD9DA666-8594-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-704376898-2786838306-483735257-1000_Classes\CLSID\{F08DF954-8592-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Download Assistant.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bethesda Softworks\Oblivion C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bohemia Interactive C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cry of Fear C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Deadhunt C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DOSBox-0.73 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FTP Commander Pro C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HyperCam 2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Minecraft\Minecraft.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\osu!\osu! updater.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VUGames\SWAT 4 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZD Soft C:\ProgramData\TEMP C:\Users\Gość\Desktop\*.lnk C:\Users\Łukasz\AppData\Local\Temp*.html C:\Users\Łukasz\AppData\Roaming\Mozilla C:\Users\Łukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome (2).lnk C:\Users\Łukasz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Paint (2).lnk C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\SendTo\Znajomy Xfire.lnk C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Magic Hub C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Halflife Logo Creator C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\HyperCam 2 C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Virtua Cop 2 C:\Users\Łukasz\Desktop\Dokumenty\avast! Free Antivirus.lnk C:\Users\Łukasz\Desktop\Dokumenty\Dark Souls Prepare to Die Edition.lnk C:\Users\Łukasz\Desktop\Dokumenty\Gry\LFS.lnk C:\Users\Łukasz\Desktop\Dokumenty\Gry\Minecraft.lnk C:\Users\Łukasz\Desktop\Dokumenty\Gry\Skyrim.lnk C:\Users\Łukasz\Desktop\Dokumenty\Gry\TERA.lnk C:\Users\Łukasz\Desktop\Dokumenty\Gry\Tunngle beta.lnk C:\Users\Łukasz\Desktop\Dokumenty\Programy\avast! Free Antivirus.lnk C:\Users\Łukasz\Desktop\Dokumenty\Programy\Nokia PC Suite.lnk C:\Users\Łukasz\Documents\Euro Truck Simulator 2 C:\Windows\3F5C371F8EA24F259D3DD0B4526E3AEA.TMP C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\system\run32dll.exe Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f CMD: sc config WinDefend start= demand CMD: type "C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\plik.bat" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Sprawdź czy jesteś w stanie uruchomić normalnie Windows. Jeśli tak, to odinstaluj stare wersje i zbędniki: Adobe AIR, Adobe Download Assistant, Adobe Reader 8.1.2, Adobe Reader 8.1.2 Security Update 1 (KB403742), Adobe Shockwave Player 11.6, Akamai NetSession Interface, AutoUpdate, Bing Bar, MyFreeCodec, Software Informer 1.0 BETA. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Czy problem szkodliwych e-mail nadal występuje? Nie widzę podstaw, by reinstalować system. Nic groźnego nie było robione, poza niezgodnościmi o których już mówiłam *. Jakieś małe odpadki adware i wpisy puste, wpis startowy Office oraz zadania Google i Facebook. Widzę, że zaplątał się jeszcze jeden kwiatek, czyli próba "usuwania" zainstalowanego programu Gramblr. Nieznajomość obsługi FRST (nie obsługuje takiej funkcji) i nieumiejętność oceny wpisu (w tym przypadku "Attention" to jest fałszywy alarm). Wpis nie został przetworzony, więc uszkodzeń brak. * Poprawka. Nie wiem jak to się stało, ale spojrzałam na zły Addition. Te zadania były widoczne wcześniej w Addition: Task: {25D53D71-6B38-460C-9FF9-0015E4A70326} - System32\Tasks\{C10512F8-06B7-4256-B8E0-4CECE60D9227} => pcalua.exe -a "C:\Program Files (x86)\InstallShield Installation Information\{9F1A6A24-4901-42F6-A355-5DD2B82E62AE}\setup.exe" -c -runfromtemp -l0x0009 -removeonly Task: {6C48071A-6A11-4180-A4E2-752617A2D59D} - System32\Tasks\{C73231FD-18C3-421A-93F5-2DB088528B42} => pcalua.exe -a "D:\Downloads\DriveManager_v1.0.172_Full\Samsung Drive Manager\Drive Manager Install.exe" -d "D:\Downloads\DriveManager_v1.0.172_Full\Samsung Drive Manager" Task: {BF439209-EE5D-45B5-B1F0-AB7BF3B437E0} - System32\Tasks\{6B29EA5F-7741-4B6B-A904-1078E21C646D} => pcalua.exe -a "K:\Samsung Drive Manager\Drive Manager Install.exe" -d "K:\Samsung Drive Manager" Ich usunięcie to nic takiego, oczyszczenie Harmonogramu ze zbędników (sama to wykonuję czesto tu na forum). Ale w Twoim systemie jest o wiele więcej takich zadań z pcalua.exe.

Log Defogger ma pewnie rozszerzenie *.LOG, w załącznikach dopuyszczam tylko *.TXT. Wykonaj następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 SPDRIVER_1483.0.0.0; \??\C:\Program Files (x86)\ShopperPro\JSDriver\1483.0.0.0\jsdrv.sys [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/ HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com/ HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com SearchScopes: HKU\S-1-5-21-1103311512-3379090863-2572892851-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Handler: WSWSVCUchrome - No CLSID Value StartMenuInternet: IEXPLORE.EXE - iexplore.exe HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe HKLM-x32\...\Run: [DelaypluginInstall] => C:\ProgramData\Wondershare\Video Converter Ultimate\DelayPluginI.exe Task: {7AB4DC7B-2CA4-40D8-9D7B-46782E559CD4} - System32\Tasks\{1CC424F9-3079-4C4E-9F8E-BE92BA7B846D} => Firefox.exe http://ui.skype.com/ui/0/7.0.59.102/pl/abandoninstall?page=tsBing Task: {F103CC3C-C36C-4B35-B6DA-AA5034C6920D} - \SPBIW_UpdateTask_Time_323439313237313137362d4a375b5a5a6c783245343741 No Task File CMD: C:\Windows\SysWOW64\regsvr32.exe /u /s C:\Windows\SysWOW64\AniGIF.ocx CMD: C:\Windows\SysWOW64\regsvr32.exe /u /s C:\Windows\SysWOW64\WSCM64.dll C:\Program Files (x86)\DAP C:\ProgramData\McAfee C:\ProgramData\Norton C:\ProgramData\SpeedBit C:\ProgramData\TEMP C:\ProgramData\Wondershare Video Converter Ultimate C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\user\AppData\Local\CrashDumps C:\Users\user\AppData\Local\NPE C:\Users\user\AppData\Roaming\{950EB46C-6AC7-4ACC-AB36-9A6A77C08B6A} C:\Users\user\AppData\Roaming\Wondershare Video Converter Ultimate C:\Users\user\Documents\Wondershare MediaServer C:\Users\user\Documents\Wondershare Video Converter Ultimate C:\Users\Public\Documents\GOOBZO C:\Users\Public\Documents\ShopperPro C:\Users\Public\Documents\Wondershare C:\Users\Public\Documents\YTAHelper C:\Users\UpdatusUser\Desktop\My DAP Downloads.lnk C:\Windows\SysWOW64\AniGIF.ocx C:\Windows\SysWOW64\WSCM64.dll Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia Adblock Plus i Blur trzeba będzie przeinstalować. 3. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware Solution Real. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Napraw uszkodzony skrót IE. W pasku adresu eksploratora wklej poniższa ścieżkę i ENTER: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txtoraz raporty z folderu C:\AdwCleaner (był używany, trzeba sprawdzić co usuwał).

Tak, w systemie działa adware Solution Real (wstawione do wszystkich przeglądarek). Działania do wykonania: 1. Przez Dodaj/Usuń programy odinstaluj Solution Real. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {1d7d694e-604c-4da2-9100-b2601d3a1c57}t; C:\WINDOWS\System32\drivers\{1d7d694e-604c-4da2-9100-b2601d3a1c57}t.sys [55832 2015-01-26] (StdLib) R1 {371bcf01-e691-44bf-9345-60788e5d16a5}t; C:\WINDOWS\System32\drivers\{371bcf01-e691-44bf-9345-60788e5d16a5}t.sys [55832 2015-01-28] (StdLib) GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction SearchScopes: HKU\S-1-5-21-1659004503-764733703-839522115-1003 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=100C00C0F05B458F&affID=119357&tsp=4987 BHO: No Name -> {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} -> No File Toolbar: HKU\S-1-5-21-1659004503-764733703-839522115-1003 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files\Microsoft Silverlight\5.1.10411.0\npctrl.dll No File CHR HomePage: Default -> hxxp://www.gazeta.pl/0,0.html?p=166 C:\WINDOWS\System32\drivers\{1d7d694e-604c-4da2-9100-b2601d3a1c57}t.sys C:\WINDOWS\System32\drivers\{371bcf01-e691-44bf-9345-60788e5d16a5}t.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 4. Wyczyść Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Solution Real (o ile nadal będzie po w/w deinstalacji) Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Skasuj z dysku plik C:\Delfix.txt. Zawartość urządzenia nieznana. Prewencyjnie na swoim komputerze zastosuj Panda USB Vaccine i opcję Computer Vaccination. Zresetuj system. Następnie podepnij urządzenie i przeskanuj za pomocą Kaspersky Virus Removal Tool. Domyślnie narzędzie prowadzi skan ekspresowy, należy w opcjach zmienić i wskazać do skanu konkretne urządzenie. Nie wiadomo co jest na jego komputerze. Można użyć jednak argumenty, że nie tylko system działa wolniej, ale nie leczony może przestać się uruchamiać i nastąpi utrata danych.

Opcje Addition i Shortcut są dla opcji Scan a nie Fix. Ich zaznaczanie w tym momencie było bezcelowe. Zadania wykonane. Teraz: Zainstaluj Malwarebytes Anti-Malware (przy instalacji odznacz trial). Wykonaj pełny skan systemu. Jeśli program coś znajdzie, dostarcz wynikowy raport.

Tak, pendrive to jedna z dróg transportu Brontok. 1. Za pomocą MBAM usuń znaleziska, ale omiń rekord PUP.Passwordtool.Cain. Dodatkowo: globalne czyszczenie folderu Przywracania systemu (C:\System Volume Information) i tak zostanie przeprowadzone z osobna. 2. Odinstaluj starą wtyczkę Adobe Flash Player 14 ActiveX (wersja dla Internet Explorer). 3. Skasuj pobrany FRST z F:\mozilla. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. I trzeba zająć się komputerem brata. Potrzebne logi FRST i GMER z tego komputera.

Tak, to już koniec. Czyli teraz: 1. Zastosuj DelFix (co nie zostanie usunięte już ręcznie załatw) oraz wyczyść foldery Przywracania systemu. 2. Sugerowane zabezpieczenie przed infekcjami szyfrującymi to aplikacja CryptoPrevent. Dostępna wersja darmowa. 3. Na wszelki wypadek wymiana wszystkich haseł logowania w serwisach (poczta, bank, serwisy społecznościowe, etc.).