picasso

Tak, nie było, bo AdwCleaner nie jest wolny od błędów i fałszywych alarmów, dlatego najpierw sprawdzam w trybie "tylko do odczytu". Po jego weryfikacji zadałam czynności usuwające. Jak mówiłam, wgląd do listy zaszyfrowanym plików musi poczekać, bo lista gruba. A teraz: 1. Już ostatnie poprawki. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3326234350-4050991087-374296464-1005\...\RunOnce: [scrSav] => C:\Windows\Screensavers\PackardBell\run_PackardBell ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File GroupPolicyUsers\S-1-5-21-3326234350-4050991087-374296464-1002\User: Group Policy restriction detected <======= ATTENTION SearchScopes: HKU\S-1-5-21-3326234350-4050991087-374296464-1005 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\Users\Public\Desktop\CC Support RemoveDirectory: C:\Users\Wujo\AppData\Local\IDTool CMD: del /q "C:\Users\Wujo\Desktop\programy\Adobe Reader X.lnk" CMD: del /q "C:\Users\Wujo\Downloads\Avast! Premier 2015 10.0.2206 + Crack [bRSHARES].exe" CMD: del /q C:\Users\Wujo\Downloads\avast_premier_antivirus_setup_online.exe CMD: del /q C:\Users\Wujo\Desktop\cccc.log CMD: del /q C:\fix.txt CMD: del /q C:\Windows\SetACL.exe CMD: del /q C:\Windows\Minidump\*.dmp Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\avast! Antivirus" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\avast! Firewall" /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Pokaż wynikowy fixlog.txt. 2. Dla pewności zrób peny skan komputera za pomocą zainstalowanego MBAM. Dodatkowo jeszcze Hitman Pro. Jeśli coś znajdą, dostarcz raporty.

Mam pytanie: czy na tym czarnym ekranie jesteś w stanie wywołać sekwencję CTRL+ALT+DEL lub CTRL+SHIFT+ESC uruchamiającą Menedżer zadań?

Tak, log niestety nadpisany. Delfix uruchomiony więcej niż raz zastępuje poprzedni raport. Skasuj C:\Delfix.txt z dysku. To tyle.

Masz przecież w podanym linku cały opis z obrazkami: KLIK.

Teraz Fix dokończył sprawę. A te raporty przed są w złym kodowaniu, czyli ANSI a nie UTF-8, stąd problemy z polskimi ogonkami. FRST zapisuje pliki w Unicode, to nie są oryginały. Zdaje się, że wszystko zostało wykonane, tzn. punkty ładowania infekcji zostały zdjęte. Spóbuj więc wejść do Windows. Jeśli to się uda, to zrób świeże logi FRST spod Windows: KLIK (dostarcz oryginalne pliki, nie zapisuj ich ponownie do nowych plików, nie przeklejaj nigdzie).

Skoro już pełny skan się robi, pozwól mu skończyć. W konfiguracji programu jest napisane, że należy zaznaczyć stosowne pole w oknie, by ten log powstał:

Nowy skan FRST nie był mi potrzebny (usuwam), tylko plik fixlog.txt. Końcowe kroki: 1. Otwórz Notatnik i wklej w nim: C:\Users\Piotrek\Start Menu Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nie muszę sprawdzać już wyników. 2. Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz w konfiguracji Google Chrome wyłącz wtyczkę Adobe Flash NPAPI Firefoxa: KLIK.

Obawiam się, że tu możemy mieć do czynienia z infekcją szyfrującą dane i nie wiadomo jaki jest zakres tego działania. W pierwszym logu było widać dewastację obiektów związanych z zabezpieczeniami, konkretnie uszkodzony Windows Defender (i zapewne jest więcej uszkodzeń, tylko log FRST spod RE jest zbyt ograniczony). Toteż sprawdziłam zawartość jego folderu i okazuje się że nie dość, że przetrzebiony, to jeszcze pliki w środku mają suffiksy wskazujące na szyfrowanie danych: ========================= Folder: C:\Program Files\Windows Defender ======================== 2015-01-23 04:59 - 2015-01-23 04:59 - 2097152 ___SH () C:\Program Files\Windows Defender\MSASCui.exe.config 2006-12-04 21:20 - 2015-01-23 05:01 - 0000000 ____D () C:\Program Files\Windows Defender\pl-PL.57YO9.13T2C 2006-12-04 21:16 - 2006-12-04 21:16 - 0049152 ____N (Microsoft Corporation) C:\Program Files\Windows Defender\pl-PL.57YO9.13T2C\MpAsDesc.dll.mui.9iz3S.aGhM6 2006-12-04 21:17 - 2006-12-04 21:17 - 0023552 ____N (Microsoft Corporation) C:\Program Files\Windows Defender\pl-PL.57YO9.13T2C\MpEvMsg.dll.mui.fSRV1.5269q 2006-12-04 21:16 - 2006-12-04 21:16 - 0069632 ____N (Microsoft Corporation) C:\Program Files\Windows Defender\pl-PL.57YO9.13T2C\MsMpRes.dll.mui.yv8.x65m Fix FRST nie wszystko wykonał. Nie usunęły się obiekty ze ścieżek C:\Users. Nie wiem dlaczego, może to przez polską czcionkę w ścieżce, a może przez kodowanie raportu. Ponowne podejście: 1. Do Notatnika wklej: HKU\Właściciel\...\Winlogon: [shell] explorer.exe, C:\Users\Wlasciciel\AppData\Local\Temp C:\Users\Właściciel\AppData\Local\Temp C:\Users\Właściciel\AppData\Roaming\*.exe C:\Users\Właściciel\AppData\Roaming\WinMediaManager00 Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 2. Uruchom FRST, klik w Fix, pokaż wynikowy fixlog.txt.

Chyba nie zauważyłeś mojej odpowiedzi powyżej...

Logi proszę umieszczaj w postaci oryginalnej jako załączniki posta. Wstawiłam raport jak należy. Widzę różne modyfikacje, w tym niejaki delikwent WinMediaManager00. Działania wstępne: 1. W Notatniku przygotuj plik o treści: HKLM\...\Run: [*WinMediaManager00] => C:\ProgramData\WinMediaManager00\unsecapp.exe [150456 2009-04-10] (Stoically6) HKU\Właściciel\...\Winlogon: [shell] explorer.exe, IFEO\MPLog-11022006-050241.log: [Debugger] wuauclt.exe IFEO\Scans: [Debugger] wuauclt.exe IFEO\Support: [Debugger] wuauclt.exe GroupPolicyUsers\S-1-5-21-671787287-3483274435-3103815376-1004\User: Group Policy restriction detected S2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe -service [X] S2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe -service [X] C:\ProgramData\WinMediaManager00 C:\ProgramData\Winrar_Update C:\Users\Wlasciciel\AppData\Local\Temp C:\Users\Właściciel\AppData\Roaming\*.exe C:\Users\Właściciel\AppData\Roaming\WinMediaManager00 Folder: C:\Program Files\Windows Defender Reg: reg query "HKLM\SYSTEM\ControlSet003\Control\Session Manager" CMD: type C:\service.log Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i wstaw na pendrive E:\ tam gdzie siedzi FRST. Uruchom FRST i kliknij w Fix. Na pendrive powstanie fixlog.txt. 2. Na razie nie próbuj uruchamiać Windows, tylko zrób nowy log FRST z opcji Scan + dostarcz wynikowy Fixlog.txt. Jest tu podejrzenie określonej modyfikacji (PendingFileRenameOperations przesuwającej pliki Windows przy starcie) i muszę się upewnić z czym mam do czynienia zanim zresetujesz system.

Co to konkretnie oznacza: zawieszenie, autorestart, inne objawy? Ech, jakoś przeoczyłam linię z opisem.

Przejrzenie listy zaszyfrowanych plików zajmie mi sporo czasu. Na razie to pomijam i adresuję inne wątki: 1. Uruchom AdwCleaner ponownie i tym razem zastosuj sekwencję Szukaj + Usuń. Po czyszczeniu: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\found.000 RemoveDirectory: C:\TDSSKiller_Quarantine Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt. 3. Skoro zmienił się układ konfiguracyjny, to na wszelki wypadek zrób nowy log FRST z opcji Scan (z Addition), by sprawdzić czy po Avast coś się nie ostało.

Masz zrobić w Autoruns tylko to co wskazałam. Reszta "kolorów" Cię nie interesuje. Żółty "not found" = brak pliku, są określone "puste" wpisy w systemie, którymi nie należy się zajmować. Różowy to oznaczenie braku producenta (pusta kolumna Publisher), jest conajmniej jeden wpis stricte systemowy mający takie oznaczenie (Scheduled Tasks > gathernetworkinfo.vbs). Działania w Autoruns to tylko poboczna "kosmetyka", bo to tu nie odgrywa roli. Natomiast temat zasadniczy USB prowadzi kto inny.

Nie jest dla mnie jasne czy w obecnej chwili system się w ogóle uruchamia. Jeśli tak, należy podać obowiązkowe logi FRST i GMER zrobione spod Windows: KLIK. Jeśli nie, to podaj log FRST zrobiony z poziomu środowiska zewnętrznego: KLIK. A SpyHunter to program wątpliwej reputacji z czarnej listy! Reklamiarz występujący w wysoko pozycjonowanych na Google tendencyjnie skonstruowanych opisach "usuwania infekcji" jako "szczepionka", po czym po instalacji wychodzi na jaw, że usuwanie jest płatne. Proszę nie spamować na forum zakładając wielokrotne tematy w różnych działach (to grozi blokadą konta za spam). Wszystko idzie do śmieci.

Zadania pomyślnie wykonane. Google Chrome wygląda już poprawnie. Małe poprawki. Otwórz Notatnik i wklej w nim: Folder: C:\Users\Piotrek\Start Menu DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Kierując Cię do instrukcji nie miałam na myśli tylko "sprawdzenia", lecz od razu i korektę - przecież tam jest podana naprawa. Ona miała być wykonana przed jakimikolwiek krokami podanymi poniżej, by się system ani FRST nie męczył podczas zadanych operacji. Proszę nie zmieniaj instrukcji. Tryb awaryjny był celowo dobrany, by zmniejszyć problem zablokowania obiektów. Dokładnie tych które pojawiły się na komunikacie: vs. FRST ich nie był w stanie przetworzyć. Uszkodzona struktura plików. Problem z dyskiem może być jednak głębszy. To będzie jeszcze analizowane. Kolejna porcja działań: 1. Skoryguj tryb PIO. Z prawokliku na Podstawowy kanał IDE > Odinstaluj > restart kompa > Windows przebuduje kanał i powinien wyasygnować DMA, co znacznie przyśpieszy system. 2. Przeprowadź skan powierzchni dysku: Start > Uruchom > cmd, wklep komendę chkdsk /f /r i ENTER, na pytanie o dezinstalację woluminu odpowiedz twierdząco z klawiatury i zresetuj system. Podczas restartu powinno się wykonać sprawdzanie dysku. Start > Uruchom > eventvwr.msc, w sekcji Aplikacja wyszukaj zdarzenie Winlogon numer 1001, pobierz jego Szczegóły, skopiuj je i wklej do posta. 3. Dostarcz zaległe dane tzn. zrób nowy log FRST z opcji Scan (zaznacz ponownie pola Addition i Shortcut).

Dostarcz raporty FRST zrobione z poziomu środowiska zewnętrznego: KLIK.

Widać w Google Chrome adware Solution Real, są też polityki blokujące jakieś funkcje przeglądarki. A ten Spybot to program o przestarzałej konstrukcji i nie za wiele może (główną robotę z pewnością wykonywał AdwCleaner), na dodatek przeprowadził niekorzystną modyfikację pliku HOSTS. Taki "Spybot" już jest natywnie zintegrowany w systemie - jest nim Windows Defender. Działania wstępne: 1. Przez Panel sterowania odinstaluj stare wersje: Adobe AIR, Adobe Reader XI MUI, Java 7 Update 9 (64-bit), Java 7 Update 9, Spybot - Search & Destroy. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {162481FA-5E3A-4BE4-8F27-DBA16DAB062E} - System32\Tasks\{F44B71D2-BAE3-4C68-9FDA-656292B35C18} => pcalua.exe -a C:\Users\Anna\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=cor Task: {7374CE32-4165-4C0A-A4DB-A92F859B6236} - System32\Tasks\Opera scheduled Autoupdate 1420903856 => C:\Program Files (x86)\Opera\launcher.exe Task: {C3DD61C1-7863-4646-9B77-A346B3996F07} - System32\Tasks\{98572158-1F60-4199-AF8F-6AA5D6577147} => pcalua.exe -a "C:\Program Files (x86)\Solution Real\SolutionRealuninstall.exe" HKLM-x32\...\Run: [mcui_exe] => "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MiniTool Power Data Recovery 6.8 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk C:\ProgramData\whoislive C:\Users\Anna\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Anna\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Anna\AppData\Local\Opera Software C:\Users\Anna\AppData\Roaming\Opera Software C:\WINDOWS\system32\Drivers\etc\hosts.*.backup Hosts: Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware Solution Real. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (aktywujesz ręcznie). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. Ustaw Chrome jako domyślną przeglądarkę 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy są widoczne jeszcze jakieś problemy.

Zadania wykonane. vs. Nasuwa się, że problemem może być właśnie ta instalacja Blue Coat K9 Web Protection. Przychodzą mi na myśl dwa tropy: 1. Kolizja z Avast. Czy jest zrobione wykluczenie tego typu: KLIK? Czy pomaga tymczasowe wyłączenie wszystkich osłon Avast? 2. Reinstalacja. Jest tu problem z poprawną deinstalacją. Jedyne co znalazłam u nich w pomocy, to próba nakładkowej reinstalacji, a w przypadku niemożności deinstalacji kontakt z supportem: KLIK.

Wszystko wykonane. Drobne poprawki: 1. Otwórz Notatnik i wklej w nim: C:\Users\Aga\AppData\Roaming\DYHIB C:\Users\Aga\AppData\Roaming\SJFAH Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {D28989EA-AAFA-40B4-91DD-D07D3723C0D7} /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes" /v DefaultScope /t REG_SZ /d {D28989EA-AAFA-40B4-91DD-D07D3723C0D7} /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Szukaj i przedstaw log z folderu C:\AdwCleaner.

Pytałam, bo są ślady infekcji, która ma na celu zaszyfrować dane. Skoro jednak określone pliki się poprawnie otwierają, to może nie zdążyło się szyfrowanie wykonać. I kolejne poprawki: 1. Uruchom ponownie AdwCleaner, ale tym razem zaaplikuj sekwencję Szukaj + Usuń. Po czyszczeniu: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\TDSSKiller_Quarantine RemoveDirectory: C:\Users\admin\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\admin\Downloads\qhilom7d.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt.

Nie widać tu żadnej infekcji. I skoro to się dzieje po czystym postawieniu systemu (nawiasem mówiąc: jaki był powód formatowania?), to można podejrzewać sprzęt. W Dzienniku zdarzeń jest zresztą złapany jakiś BSOD: System errors: ============= Error: (01/13/2015 04:48:51 PM) (Source: System Error) (EventID: 1003) (User: ) Description: Kod błędu 10000050, parametr 1 a77020fe, parametr 2 00000001, parametr 3 bfa60918, parametr 4 00000000. Application errors: ================== Error: (01/24/2015 10:21:55 AM) (Source: Application Error) (EventID: 1000) (User: ) Description: Aplikacja powodująca błąd iexplore.exe, wersja 8.0.6001.18702, moduł powodujący błąd mshtml.dll, wersja 8.0.6001.23580, adres błędu 0x00044b4b. Przetwarzanie zdarzenia określonego nośnika dla [iexplore.exe!ws!] Przenoszę na diagnostykę sprezętową do innego działu. Dostarcz materiały wymagane w Hardware: KLIK.

Temat porządkuję. W systemie działa inwazyjne adware "ace race" oparte o sterowniki plus multum przekierowań Omiga-plus. Adware nabyłeś w następujący sposób: KLIK. Wg raportów przyczyną był serwis dobreprogramy.pl - na dysku widać plik "Asystenta pobierania" (mające pobrać Skype i TeamSpeak) i zaraz po nich wspominane obiekty adware. Wykonaj następujące operacje: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {5272c3f2-75bf-4a26-8574-fbbaa7fc6a9d}Gw64; C:\Windows\System32\drivers\{5272c3f2-75bf-4a26-8574-fbbaa7fc6a9d}Gw64.sys [48784 2015-01-13] (StdLib) R1 {fe331f63-d0ef-486b-89da-478e619996a9}Gw64; C:\Windows\System32\drivers\{fe331f63-d0ef-486b-89da-478e619996a9}Gw64.sys [48784 2015-01-10] (StdLib) R2 Update ace race; C:\Program Files (x86)\ace race\updateacerace.exe [529648 2015-01-15] () R2 Util ace race; C:\Program Files (x86)\ace race\bin\utilacerace.exe [529648 2015-01-15] () R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [158864 2014-12-29] (XTab system) R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [473088 2015-01-10] (Fuyu LIMITED) [File not signed] U4 BthAvrcpTg; No ImagePath U4 BthHFEnum; No ImagePath U4 bthhfhid; No ImagePath Winlogon\Notify\igfxcui: igfxdev.dll [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1420901188&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9BC621758 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1420901188&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9BC621758 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1420901170&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9BC621758&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1420901170&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9BC621758&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1420901188&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9BC621758 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1420901188&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9BC621758 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420901170&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9BC621758&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420901170&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9BC621758&q={searchTerms} HKU\S-1-5-21-813696060-1850952454-3919408510-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1420901188&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9BC621758 HKU\S-1-5-21-813696060-1850952454-3919408510-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1420901188&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9BC621758 HKU\S-1-5-21-813696060-1850952454-3919408510-1001\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420901188&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9BC621758&q={searchTerms} HKU\S-1-5-21-813696060-1850952454-3919408510-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420901188&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9BC621758&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420901170&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9BC621758&q={searchTerms} SearchScopes: HKLM -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420901170&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9BC621758&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420901170&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9BC621758&q={searchTerms} SearchScopes: HKLM-x32 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1420901170&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9BC621758&q={searchTerms} SearchScopes: HKU\S-1-5-21-813696060-1850952454-3919408510-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420901188&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9BC621758&q={searchTerms} SearchScopes: HKU\S-1-5-21-813696060-1850952454-3919408510-1001 -> {2fa28606-de77-4029-af96-b231e3b8f827} URL = http://eu.ask.com/web?q={searchterms}&l=dis&o=HPNTDF SearchScopes: HKU\S-1-5-21-813696060-1850952454-3919408510-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420901188&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9BC621758&q={searchTerms} BHO-x32: ace race 1.0.0.6 -> {68182220-3c75-49d9-a9c4-4093d3986279} -> C:\Program Files (x86)\ace race\aceracebho.dll (ace race) CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1420901170&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9BC621758", "hxxp://isearch.omiga-plus.com/?type=hppp&ts=1420901188&from=cor&uid=ST500LM012XHN-M500MBB_S2SVJ9BC621758" CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-01-09] C:\Program Files (x86)\XTab C:\ProgramData\IHProtectUpDate C:\ProgramData\WindowsMangerProtect C:\Users\Jakub\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Jakub\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Jakub\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage* C:\Users\Jakub\Desktop\Laptop\LAPTOP\HP Deskjet Ink Adv 2060 K110.lnk C:\Users\Jakub\Desktop\Laptop\LAPTOP\HP Photo Creations.lnk C:\Users\Jakub\Desktop\Laptop\LAPTOP\McAfee Security Scan Plus.lnk C:\Users\Jakub\Desktop\Laptop\LAPTOP\Mozilla Firefox.lnk C:\Users\Jakub\Desktop\Laptop\LAPTOP\Winamp.lnk C:\Users\Jakub\Desktop\Laptop\LAPTOP\Zakup materiałów eksploatacyjnych - HP Deskjet Ink Adv 2060 K110.lnk C:\Users\Jakub\Downloads\*(*)-dp*.exe C:\Users\Jakub\Downloads\SkypeSetup*.exe C:\WINDOWS\system32\netcfg-*.txt C:\Windows\System32\drivers\{5272c3f2-75bf-4a26-8574-fbbaa7fc6a9d}Gw64.sys C:\Windows\System32\drivers\{fe331f63-d0ef-486b-89da-478e619996a9}Gw64.sys Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj adware ace race, omiga-plus uninstall oraz kompletnie przestarzały i zbędny Adobe Shockwave Player 11.6. Ten player Adobe to NIE jest instalacja potrzebna do obsługi YouTube. Masz Google Chrome posiadające wbudowaną wtyczkę i nic nie trzeba instalować, co wyjaśnione jest w topiku przyklejonym: KLIK. 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj ace race (o ile nie zniknie po w/w deinstalacji). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Wypowiedz się czy widzisz poprawę.

Najlepiej na nośniku zewnętrznym odizolowanym od dysku systemowego, tzn. nie podpięty, o ile nie zajdzie taka potrzeba. Infekcje szyfrujące zwykle atakują wszystkie dostępne dyski i problem dotknąłby też "kopię zapasową" w postaci łatwo dostępnej i nie zabezpieczonej. Już założyłeś wątek relatywny w dziale Hardware (KLIK), więc tam kontynuuj. W dziale są inne tematy podobnej natury do porównania, np. temat z DMDE: KLIK.

autoruns.exe = graficzna postać i o tę chodzi. autorunsc.exe = wersja konsolowa (obsługa z linii komend).