picasso

Defekt WMI nie powinien mieć nic do rzeczy w kwestii powiązań ze sterownikami ESET. WMI ma znaczenie przy rejestracji programu w obszarze Centrum zabezpieczeń. Rejestracja WMI została wykonana pomyślnie, gdyż ostatni log Addition pokazuje ESET w obszarze nazw WMI: ==================== Security Center ======================== AV: ESET NOD32 Antivirus 8.0 (Enabled - Up to date) {19259FAE-8396-A113-46DB-15B0E7DFA289} AS: ESET NOD32 Antivirus 8.0 (Enabled - Up to date) {A2447E4A-A5AC-AE9D-7C6B-2EC29C58E834} Prędzej wersja ESET i jego sterowników ma znaczenie. Czy BSODy nadal występują? - OpenOffice.org 3.2 należy odinstalować, by go zastąpić najnowszą wersją Apache OpenOffice 4.x. Bezpośrednia aktualizacja nie zadziała, gdyż jest zbyt duży skok między wersjami, a program w międzyczasie zmienił zupełnie brandowanie (to nie jest już program Oracle / Sun). - Adobe Flash ActiveX jest tylko i wyłącznie dla Internet Explorer, odinstaluj tę starą wersję i zainstaluj najnowszą wersję ActiveX. Inne wersje wtyczki (NPAPI - wcześniej występująca pod nazwą "Plugin" oraz PPAPI) nie będą działać. Całe zamieszanie z Adobe Flash jest rozpisane w przyklejonym: KLIK. - Google Toolbar - jeśli korzystasz, to go zostaw.

Nowy log z FRST został zrobiony sprzecznie ze wskazówkami w przyklejonym - sekcje "Drivers MD5" i "List BCD" nie miały być zaznaczone. Zadania wykonane. Teraz uruchom AdwCleaner. Wybierz opję Szukaj (nie stosuj Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner. AdwCleaner ma być pobrany z linka w przyklejonym a nie innych portali zewnętrznych.

Raporty z przestarzałego OTL już nie są obowiązkowe, usuwam. Zestaw raportów obowiązkowych niekompletny: brak trzeciego pliku FRST Shortcut oraz GMER. Poza tym, FRST jest uruchamiany ze złej ścieżki tymczasowych plików: Running from C:\Users\Sławek\AppData\Local\Microsoft\Windows\INetCache\IE\07TBKA9L Pobierz na Pulpit i stamtąd uruchom. W ogóle nie podałeś w czym - proszę przeklej ze skanu te wyniki.

1. Uruchom AdwCleaner ponownie, tym razem jednak zastosuj sekwencję Szukaj + Usuń. Po ukończeniu czyszczenia: 2. Ostatni skrypt do FRST. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Zestaw logów FRST niekompletny - brak trzeciego pliku Shortcut. Problem tworzą niepoprawnie usunięte obiekty adware - ten konkretny błąd pochodzi z Harmonogramu zadań. Dodatkowo, adware przekonwerowało przeglądarkę Google Chrome z wersji stabilnej do developerskiej i wymagana kompleksowa reinstalacja od zera. Jako trzeci problem występuje "Windows 7 Ultimate key generator 2014.exe" uruchamiany w starcie, to na pewno nic dobrego, to wygląda na trojana. Akcja: 1. Odinstaluj poszkodowane Google Chrome, zbędny FileHippo Update Checker (strona FileHippo nie jest już zaufana, mogą być programy supportowane przez downloader z adware) oraz co dopiero zainstalowaną starą dziurawą przeglądarkę Safari. Resztę fragmentów Google doczyści mój skrypt poniżej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Users\Samsung\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows 7 Ultimate key generator 2014.lnk Task: {1954526C-237C-4AA0-BFEC-DBC539C6219C} - System32\Tasks\{98555B8A-D61E-45CB-B4CC-471751C187FF} => pcalua.exe -a C:\Users\Samsung\Desktop\xxxx\setup.exe -d C:\Users\Samsung\Desktop\xxxx Task: {19AA96B8-0330-4A1B-A1EC-DC7DB41A852D} - System32\Tasks\{D911C210-1345-40CF-A74B-1225394CDBE2} => pcalua.exe -a C:\Users\Samsung\AppData\Local\Temp\Temp1_QCA_WLAN_Driver_1.0.0.1.ZIP\setup.exe Task: {3130B7B7-C5A0-4446-A6DC-06F6C02F83BA} - System32\Tasks\Microsoft\Windows\Multimedia\SMupdate3 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update3 Task: {3460DAF1-2273-474E-B1B4-487178AFB295} - System32\Tasks\Microsoft\Windows\Maintenance\SMupdate2 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update2 Task: {A1D60D55-A6B8-401B-BC05-2938E02DF2F2} - System32\Tasks\Microsoft\Windows Defender\MP Scheduled Scan => d:\program files\windows defender\MpCmdRun.exe Task: {C4E8B14A-4159-4C58-BDAD-281DBBFC97E8} - System32\Tasks\Microsoft\Windows Defender\MpIdleTask => d:\program files\windows defender\MpCmdRun.exe Task: {FB4248FB-BFA1-45E6-A25D-6659C5E4F897} - System32\Tasks\{CB3748BB-DECC-45B9-853B-6BDE93EDC9AF} => pcalua.exe -a C:\Users\Samsung\Desktop\Setup.exe -d C:\Users\Samsung\Desktop HKU\S-1-5-21-4116335502-1715231642-2624900261-1000\...\Policies\system: [DisableLockWorkstation] 0 CHR HKLM\SOFTWARE\Policies\Google: Policy restriction BHO: Sense -> {11111111-1111-1111-1111-110611901159} -> C:\Program Files (x86)\Sense\Sense-bho64.dll No File BHO: HQCinema Pro 2.1V15.01 -> {11111111-1111-1111-1111-110611901161} -> C:\Program Files (x86)\HQCinema Pro 2.1V15.01\HQCinema Pro 2.1V15.01-bho64.dll No File BHO: Ge-Force -> {11111111-1111-1111-1111-110611971195} -> C:\Program Files (x86)\Ge-Force\Ge-Force-bho64.dll No File BHO: youtubeadblocker -> {4a4b9e26-a975-461b-9e90-7d62707ad2c0} -> C:\Program Files (x86)\youtubeadblocker\dSQCPloJQaDpXe.x64.dll No File BHO: uunissallesi -> {64de91ea-b170-4954-bc48-88ef751949dd} -> C:\Program Files (x86)\uunissallesi\KtoqeHTt8aLIPL.x64.dll No File C:\Program Files (x86)\77ccfe43-195c-48b3-97ee-5d117e86ab3a C:\Program Files (x86)\a6b34475-ba37-4641-9f0b-f8eb6abcc17c C:\Program Files (x86)\f70139f1-5e27-4171-a09f-9c2b0f5c3a25 C:\Program Files (x86)\DllTool C:\Program Files (x86)\HQCinema Pro 2.1V15.01 C:\Program Files (x86)\Google C:\Program Files (x86)\Temp C:\Program Files (x86)\Unisalesi C:\ProgramData\{ce374ec4-91e5-b5e1-ce37-74ec491e3b12} C:\ProgramData\mfjacjbcmpphmplkbgpljjdjioljnbmn C:\ProgramData\MGS C:\Users\Samsung\AppData\Local\CrashDumps C:\Users\Samsung\AppData\Local\Google C:\Users\Samsung\AppData\Local\Pro_PC_Cleaner C:\Users\Samsung\Desktop\aktywator.exe C:\Users\Samsung\Downloads\legitcheck*.hta C:\Users\Samsung\Documents\ProPCCleaner Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Samsung\AppData\Local CMD: dir /a C:\Users\Samsung\AppData\LocalLow CMD: dir /a C:\Users\Samsung\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (zaznacz pola Addition i Shortcut). Dołącz też plik fixlog.txt.

Przestarzały OTL nie jest obowiązkowy i został usunięty z wymogów. Proszę uzupełnić obowiązowe raporty z FRST.

Prawie wszystko zrobione. 1. Nadal widzę to: CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1419677414&from=smt&uid=SAMSUNGXSP1634N_1490J1FA101614" Powtarzaj zadanie: 2. Uruchom AdwCleaner. Wybierz opcję Szukaj (na razie nie używaj Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Przypuszczalne drogi nabycia adware: KLIK. Wykonaj następujące działania: 1. Przez Dodaj/Usuń programy odinstaluj stare wersje i odpadki: Adobe Reader X - Polish, Java 7 Update 65, LiveUpdate 2.7 (Symantec Corporation). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gt; C:\WINDOWS\System32\drivers\{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gt.sys [55832 2015-01-13] (StdLib) R1 {f81878fa-25e9-442d-8ada-79658b6520f2}Gt; C:\WINDOWS\System32\drivers\{f81878fa-25e9-442d-8ada-79658b6520f2}Gt.sys [55832 2015-01-12] (StdLib) R4 IHProtect Service; C:\Program Files\XTab\ProtectService.exe [158864 2014-12-29] (XTab system) R4 WindowsMangerProtect; C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect\ProtectWindowsManager.exe [473088 2015-01-12] (Fuyu LIMITED) [File not signed] S4 Update Dynamo Combo; "C:\Program Files\Dynamo Combo\updateDynamoCombo.exe" [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1421093265&from=cor&uid=ST9120822AS_5LZ3QQETXXXX5LZ3QQET&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421093265&from=cor&uid=ST9120822AS_5LZ3QQETXXXX5LZ3QQET&q={searchTerms} HKU\S-1-5-21-839522115-1450960922-2147179587-1004\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1421093265&from=cor&uid=ST9120822AS_5LZ3QQETXXXX5LZ3QQET&q={searchTerms} HKU\S-1-5-21-839522115-1450960922-2147179587-1004\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKU\S-1-5-21-839522115-1450960922-2147179587-1004\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421093265&from=cor&uid=ST9120822AS_5LZ3QQETXXXX5LZ3QQET&q={searchTerms} SearchScopes: HKU\S-1-5-21-839522115-1450960922-2147179587-1004 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear BHO: Adobe PDF Link Helper -> {18DF081C-E8AD-4283-A596-FA578C2EBDC3} -> C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll No File BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre7\bin\ssv.dll No File BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre7\bin\jp2ssv.dll No File Toolbar: HKU\S-1-5-21-839522115-1450960922-2147179587-1004 -> No Name - {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Task: C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job => C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe C:\Documents and Settings\All Users\Dane aplikacji\IHProtectUpDate C:\Documents and Settings\All Users\Dane aplikacji\Installations C:\Documents and Settings\All Users\Dane aplikacji\Lavasoft C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect C:\Documents and Settings\Aga\Dane aplikacji\omiga-plus C:\Documents and Settings\Aga\Ustawienia lokalne\Dane aplikacji\Sunbelt Software C:\Documents and Settings\Aga\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences C:\Documents and Settings\Aga\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Loca Storage\*localstorage* C:\Program Files\XTab C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\rp_rules.dat C:\WINDOWS\system32\rp_stats.dat C:\WINDOWS\System32\drivers\{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gt.sys C:\WINDOWS\System32\drivers\{f81878fa-25e9-442d-8ada-79658b6520f2}Gt.sys C:\WINDOWS\system32\Drivers\SBREDrv.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f CMD: attrib /d /s -r -s -h C:\FOUND.* CMD: for /d %f in (C:\FOUND.*) do rd /s /q "%f" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome z adware: Ustawienia > karta Rozszerzenia > odinstaluj Dynamo Combo. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Oznak czynnej infekcji brak. Natomiast blokada stron relatywnych do Steam zapewne pochodzi z modyfikacji pliku HOSTS: ==================== Hosts content: ========================== 2009-07-14 03:34 - 2015-01-17 16:26 - 00000952 ____A C:\Windows\system32\Drivers\etc\hosts 127.0.0.1 store.steampowered.com 127.0.0.1 steamcommunity.com 127.0.0.1 store.steampowered.com 127.0.0.1 steamcommunity.com Pytanie: czy wyciąłeś z logów C:\Users\Nazwę konta? Jest pokazywana dziwna spacjowa "dziura". Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj stare dziurawe wersje i zbędniki: Adobe AIR, Adobe Download Assistant, Adobe Flash Player 12 ActiveX, Adobe Flash Player 14 Plugin, Download Updater (AOL Inc.), Adobe Reader X (10.1.10) - Polish, F-Secure (wszystkie pozycje), Gadu-Gadu 10, Java 7 Update 67, McAfee Security Scan Plus, TNod User & Password Finder. Na razie nic nowego nie instaluj, najnowsze wersje uzupełnisz na końcu. Antywirus jest wskazany do usunięcia, bo jest archaiczny - silnik z 2009! 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-4213471207-3847667108-355983222-1000\...\Run: [AIM for Windows] => "C:\Users\ \AppData\Local\AOL\AIM\aim.exe" HKU\S-1-5-21-4213471207-3847667108-355983222-1000\...\MountPoints2: {637fe431-a8cf-11e1-9154-806e6f6e6963} - E:\InstAll.exe BootExecute: autocheck autochk /k:C * StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe SearchScopes: HKLM-x32 -> DefaultScope {A284AEE8-61D9-4199-8C0D-E93C593CA18E} URL = SearchScopes: HKU\S-1-5-21-4213471207-3847667108-355983222-1000 -> DefaultScope {A284AEE8-61D9-4199-8C0D-E93C593CA18E} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1750559&CUI=UN15548607411172176&UM=1 SearchScopes: HKU\S-1-5-21-4213471207-3847667108-355983222-1000 -> {A284AEE8-61D9-4199-8C0D-E93C593CA18E} URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT1750559&CUI=UN15548607411172176&UM=1 R2 HPSLPSVC; C:\Users\9DEC~1\AppData\Local\Temp\7zS52C9\hpslpsvc64.dll [1039360 2012-08-23] (Hewlett-Packard Co.) [File not signed] S3 WinRing0_1_2_0; C:\Program Files (x86)\IObit\Game Booster 3\Driver\WinRing0x64.sys [14544 2010-11-01] (OpenLibSys.org) S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] CustomCLSID: HKU\S-1-5-21-4213471207-3847667108-355983222-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\ \AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-4213471207-3847667108-355983222-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\ \AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-4213471207-3847667108-355983222-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\ \AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-4213471207-3847667108-355983222-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\ \AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File Task: {13181915-BAD8-45FC-9EEC-2D577934523C} - System32\Tasks\Opera scheduled Autoupdate 1418318732 => C:\Program Files (x86)\Opera\launcher.exe Task: {7BC85E5C-55A3-4C24-8949-60546C4451C5} - System32\Tasks\Game_Booster_AutoUpdate => C:\Program Files (x86)\IObit\Game Booster 3\AutoUpdate.exe [2014-11-25] () Task: {D142B664-41B8-4DBB-A2D0-86A8D3BFD191} - \BackgroundContainer Startup Task No Task File CHR HKLM-x32\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - No Path C:\Program Files\ESET C:\Program Files (x86)\IObit C:\ProgramData\Conduit C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Download Assistant.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Opera.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TNod User & Password Finder C:\Users\ \AppData\Local\AOL C:\Users\ \AppData\Roaming\IHlpr C:\Users\ \Downloads\*.crdownload C:\Users\ \Downloads\*.tmp C:\Users\ \Downloads\SteamInstall*.msi Hosts: Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. [Jeśli zmanipulowałeś nazwę konta, musisz w liniach C:\Users\ \ wstawić poprawną nazwę konta, w przeciwnym wypadku FRST nic nie usunie] Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj wątpliwe rozszerzenie Twojanuta.pl. Ta strona to "pobieraczkowy" scam - tu opis który wstawiłam dla rozszerzenia Firefox (to samo tyczy Chrome): KLIK. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Usterka Usług kryptograficznych pomyślnie naprawiona. Większość obiektów adware usunięta. Przechodzimy do poprawek: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: C:\WINDOWS\Tasks\APSnotifierPP1.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\WINDOWS\Tasks\APSnotifierPP2.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\WINDOWS\Tasks\APSnotifierPP3.job => C:\Program Files\AnyProtectEx\AnyProtect.exe HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k HKLM\...\Run: [userFaultCheck] => %systemroot%\system32\dumprep 0 -u HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1419677414&from=smt&uid=SAMSUNGXSP1634N_1490J1FA101614&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419677414&from=smt&uid=SAMSUNGXSP1634N_1490J1FA101614&q={searchTerms} HKU\S-1-5-21-1482476501-1409082233-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.mystartsearch.com/web/?type=ds&ts=1419677326&from=smt&uid=SAMSUNGXSP1634N_1490J1FA101614&q={searchTerms} HKU\S-1-5-21-1482476501-1409082233-725345543-1003\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.mystartsearch.com/web/?type=ds&ts=1419677326&from=smt&uid=SAMSUNGXSP1634N_1490J1FA101614&q={searchTerms} URLSearchHook: HKU\S-1-5-21-1482476501-1409082233-725345543-1003 - (No Name) - {D8278076-BC68-4484-9233-6E7F1628B56C} - No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.mystartsearch.com/?type=sc&ts=1419677326&from=smt&uid=SAMSUNGXSP1634N_1490J1FA101614 SearchScopes: HKU\S-1-5-21-1482476501-1409082233-725345543-1003 -> {FB9E195E-4F10-41C2-B20E-5AD5A93E47C8} URL = http://www.search.ask.com/web?tpid=SPC-SP&o=APN10951&pf=V7&p2=^B20^aaa166^YY^PL&gct=sb&itbv=12.16.2.1855&apn_uid=AB141755-E3F8-4E24-A95D-C83A4ADC6A85&apn_ptnrs=^B20&apn_dtid=^aaa166^YY^PL&apn_dbr=cr_37.0.2062.120&doi=2014-09-16&trgb=CR&q={searchTerms}&psv=&pt=tb Toolbar: HKU\S-1-5-21-1482476501-1409082233-725345543-1003 -> No Name - {5350432D-5350-006A-76A7-7A786E7484D7} - No File DPF: {CAFEEFAC-0017-0000-0055-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_55-windows-i586.cab S1 ISODrive; \??\D:\Karolina\Różne\UltraIso\UltraISO\drivers\ISODrive.sys [X] C:\Documents and Settings\All Users\Dane aplikacji\IePluginServices C:\Documents and Settings\All Users\Dane aplikacji\WindowsMangerProtect C:\Documents and Settings\All Users\Menu Start\Programy\Acoolsoft C:\Documents and Settings\All Users\Menu Start\Programy\DAEMON Tools Pro C:\Documents and Settings\All Users\Menu Start\Programy\Java C:\Documents and Settings\All Users\Menu Start\Programy\LizardTech C:\Documents and Settings\All Users\Menu Start\Programy\NapiProjekt C:\Documents and Settings\All Users\Menu Start\Programy\PDFCreator\Images2PDF.lnk C:\Documents and Settings\All Users\Menu Start\Programy\PDFCreator\Translation Tool.lnk C:\Documents and Settings\All Users\Menu Start\Programy\UltraISO C:\Documents and Settings\All Users\Menu Start\Programy\VideoLAN C:\Documents and Settings\All Users\Pulpit\DAEMON Tools Pro.lnk C:\Documents and Settings\All Users\Pulpit\VLC media player.lnk C:\Documents and Settings\User\Dane aplikacji\AnyProtectEx C:\Documents and Settings\User\Dane aplikacji\mystartsearch C:\Documents and Settings\User\Dane aplikacji\omiga-plus C:\Documents and Settings\User\Dane aplikacji\wiaserva.log C:\Documents and Settings\User\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK C:\Documents and Settings\User\Menu Start\Programy\FoxTab PDF Converter C:\Documents and Settings\User\Menu Start\Programy\Mobogenie C:\Documents and Settings\User\Menu Start\Programy\Start Lollipop C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\nsr1BD.tmp C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\nsx20C.tmp C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\Mobogenie C:\WINDOWS\jumpshot.com C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CMD: attrib /d /s -r -s -h C:\FOUND.* CMD: for /d %f in (C:\FOUND.*) do rd /s /q "%f" Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\UserFaultCheck" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Napraw uszkodzony skrót IE. W pasku adresów eksploratora wklej ścieżkę C:\Documents and Settings\User\Menu Start\Programy\Akcesoria\Narzędzia systemowe i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. W Google Chrome: Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres isearch.omiga-plus.com, przestaw na "Otwórz stronę nowej karty". 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Zestaw logów FRST niekompletny - brak pliku Shortcut. W systemie jest wiele obiektów adware. Próbując rozwiązać problemy używałeś wątpliwe skanery SpyHunter + YAC (Yet Another Cleaner). Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj wątpliwy YAC(Yet Another Cleaner!). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {127a069d-96fc-463f-b75f-e01a70166822}w64; C:\Windows\System32\drivers\{127a069d-96fc-463f-b75f-e01a70166822}w64.sys [48832 2014-11-29] (StdLib) R1 {1de0dec0-675e-482f-a756-fd24c6796c8e}w64; C:\Windows\System32\drivers\{1de0dec0-675e-482f-a756-fd24c6796c8e}w64.sys [48832 2014-12-01] (StdLib) R1 {38fc16c9-a7b4-4377-b565-cc5a76f2c89f}w64; C:\Windows\System32\drivers\{38fc16c9-a7b4-4377-b565-cc5a76f2c89f}w64.sys [48824 2014-10-11] (StdLib) R1 {3c9eada7-386c-4a04-ab1e-4eb122397ced}w64; C:\Windows\System32\drivers\{3c9eada7-386c-4a04-ab1e-4eb122397ced}w64.sys [48824 2014-10-20] (StdLib) R1 {44b76908-31ad-4fdd-90ce-abbdbb78f175}w64; C:\Windows\System32\drivers\{44b76908-31ad-4fdd-90ce-abbdbb78f175}w64.sys [48824 2014-10-15] (StdLib) R1 {45df5bc0-27fc-482b-88e9-68b0812c4d00}w64; C:\Windows\System32\drivers\{45df5bc0-27fc-482b-88e9-68b0812c4d00}w64.sys [48824 2014-10-11] (StdLib) R1 {58ff284e-6a3e-41bc-8147-d768e1c0e4a3}w64; C:\Windows\System32\drivers\{58ff284e-6a3e-41bc-8147-d768e1c0e4a3}w64.sys [48824 2014-10-21] (StdLib) R1 {6191cc23-5db4-4079-aaac-546c45b08af1}w64; C:\Windows\System32\drivers\{6191cc23-5db4-4079-aaac-546c45b08af1}w64.sys [48824 2014-10-27] (StdLib) R1 {6fcd6092-9615-4f7f-8898-8df53980e5d2}w64; C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}w64.sys [61624 2014-08-06] (StdLib) R1 {6fd9ae77-e80c-4df0-b53d-23fcb52b001a}w64; C:\Windows\System32\drivers\{6fd9ae77-e80c-4df0-b53d-23fcb52b001a}w64.sys [48824 2014-10-21] (StdLib) R1 {75d07d19-b619-45eb-aba7-fd8d77feb6b6}w64; C:\Windows\System32\drivers\{75d07d19-b619-45eb-aba7-fd8d77feb6b6}w64.sys [48824 2014-10-13] (StdLib) R1 {8c345751-8420-408b-b348-58a70dc555b2}w64; C:\Windows\System32\drivers\{8c345751-8420-408b-b348-58a70dc555b2}w64.sys [48824 2014-10-18] (StdLib) R1 {9a9b956a-1677-4d20-830c-6c34a0594e62}w64; C:\Windows\System32\drivers\{9a9b956a-1677-4d20-830c-6c34a0594e62}w64.sys [48832 2014-11-30] (StdLib) R1 {9cdb10b4-16db-41f0-b75d-2e3cfff0fbde}w64; C:\Windows\System32\drivers\{9cdb10b4-16db-41f0-b75d-2e3cfff0fbde}w64.sys [48824 2014-10-17] (StdLib) R1 {a00759f4-8f6e-4f04-880d-18a7306588c3}w64; C:\Windows\System32\drivers\{a00759f4-8f6e-4f04-880d-18a7306588c3}w64.sys [48824 2014-10-13] (StdLib) R1 {b7f87806-4a32-46e7-ad9b-12f73fb810a9}w64; C:\Windows\System32\drivers\{b7f87806-4a32-46e7-ad9b-12f73fb810a9}w64.sys [48832 2014-11-29] (StdLib) R1 {cb987b80-b481-4623-9e86-1b830e33479a}w64; C:\Windows\System32\drivers\{cb987b80-b481-4623-9e86-1b830e33479a}w64.sys [48832 2014-11-26] (StdLib) R1 {eb00a2af-f43a-4114-8049-3fd98517b465}w64; C:\Windows\System32\drivers\{eb00a2af-f43a-4114-8049-3fd98517b465}w64.sys [48824 2014-10-14] (StdLib) R1 {f916f162-d4e9-413b-95d2-589769dc98ff}w64; C:\Windows\System32\drivers\{f916f162-d4e9-413b-95d2-589769dc98ff}w64.sys [48824 2014-10-15] (StdLib) R1 {fe0c5df8-6353-4020-a876-2550aa3760cf}w64; C:\Windows\System32\drivers\{fe0c5df8-6353-4020-a876-2550aa3760cf}w64.sys [48824 2014-10-19] (StdLib) R2 MaintainerSvc2.04.9173792; C:\ProgramData\0fd8dc4b-3fdb-4d7c-a6d4-ff64cff56cc4\maintainer.exe [123680 2015-01-16] () S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S2 Update NetCrawl; "C:\Program Files (x86)\NetCrawl\updateNetCrawl.exe" [X] S2 Util NetCrawl; "C:\Program Files (x86)\NetCrawl\bin\utilNetCrawl.exe" [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" Task: {D39CF886-93EE-4EF4-8A50-AB2760D9CDBE} - System32\Tasks\Launch ASUS Sync Loader => C:\Program Files (x86)\ASUS\ASUS Sync\asusUPCTLoader.exe CustomCLSID: HKU\S-1-5-21-2397908092-2257794209-2186997661-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\jarosław\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll No File GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank SearchScopes: HKU\S-1-5-21-2397908092-2257794209-2186997661-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = C:\ProgramData\0fd8dc4b-3fdb-4d7c-a6d4-ff64cff56cc4 C:\Windows\System32\drivers\{127a069d-96fc-463f-b75f-e01a70166822}w64.sys C:\Windows\System32\drivers\{1de0dec0-675e-482f-a756-fd24c6796c8e}w64.sys C:\Windows\System32\drivers\{38fc16c9-a7b4-4377-b565-cc5a76f2c89f}w64.sys C:\Windows\System32\drivers\{3c9eada7-386c-4a04-ab1e-4eb122397ced}w64.sys C:\Windows\System32\drivers\{44b76908-31ad-4fdd-90ce-abbdbb78f175}w64.sys C:\Windows\System32\drivers\{45df5bc0-27fc-482b-88e9-68b0812c4d00}w64.sys C:\Windows\System32\drivers\{58ff284e-6a3e-41bc-8147-d768e1c0e4a3}w64.sys C:\Windows\System32\drivers\{6191cc23-5db4-4079-aaac-546c45b08af1}w64.sys C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}w64.sys C:\Windows\System32\drivers\{6fd9ae77-e80c-4df0-b53d-23fcb52b001a}w64.sys C:\Windows\System32\drivers\{75d07d19-b619-45eb-aba7-fd8d77feb6b6}w64.sys C:\Windows\System32\drivers\{8c345751-8420-408b-b348-58a70dc555b2}w64.sys C:\Windows\System32\drivers\{9a9b956a-1677-4d20-830c-6c34a0594e62}w64.sys C:\Windows\System32\drivers\{9cdb10b4-16db-41f0-b75d-2e3cfff0fbde}w64.sys C:\Windows\System32\drivers\{a00759f4-8f6e-4f04-880d-18a7306588c3}w64.sys C:\Windows\System32\drivers\{b7f87806-4a32-46e7-ad9b-12f73fb810a9}w64.sys C:\Windows\System32\drivers\{cb987b80-b481-4623-9e86-1b830e33479a}w64.sys C:\Windows\System32\drivers\{eb00a2af-f43a-4114-8049-3fd98517b465}w64.sys C:\Windows\System32\drivers\{f916f162-d4e9-413b-95d2-589769dc98ff}w64.sys C:\Windows\System32\drivers\{fe0c5df8-6353-4020-a876-2550aa3760cf}w64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v ASUSQuickGesture(x64) /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v ASUSQuickGesture(x86) /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v mcpltui_exe /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 4. Zrób nowy log FRST z opcji Scan, zaznacz pole Shortcut, by powstał brakujący log. Dołącz też plik fixlog.txt.

Nie, to nie jest normalne. Na którym etapie stoi skan FRST / jaka sekcja jest wtedy skanowana?

Na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Tak jest, obciążenie GPU pochodzi z infekcji - uruchamia się tu Bitcoin miner udający "klienta Steam". Ale to nie wszystko, są tu też ślady infekcji VBKlip/Banatrix, choć ta akurat się nie uruchamia (brak pliku). Task: {BF2E35C4-DFB1-4EEA-8A3D-8F2072F72F82} - System32\Tasks\Steam_x64-S-2-106-91 => C:\Users\Bartek\AppData\Roaming\Skype\CODEXi\Steam Client [2014-12-30] () Task: {CDFB1F42-C6C3-4ACE-82A4-2662EAAF0AD2} - System32\Tasks\SYSTEM => C:\ProgramData\wmc.exe Startup: C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Host Service.vbs () Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Windows Host Service.vbs () Task: {BF2E35C4-DFB1-4EEA-8A3D-8F2072F72F82} - System32\Tasks\Steam_x64-S-2-106-91 => C:\Users\Bartek\AppData\Roaming\Skype\CODEXi\Steam Client [2014-12-30] () Task: {CDFB1F42-C6C3-4ACE-82A4-2662EAAF0AD2} - System32\Tasks\SYSTEM => C:\ProgramData\wmc.exe Task: {2D71FDB5-5305-4AEA-A51D-6424A630AE10} - System32\Tasks\{6803F70A-1CFF-484E-9816-D8D645C4644C} => Chrome.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=6.20.0.104&LastError=12002 Task: {8696033C-5BC5-4FBF-8F9B-B79CC15E861E} - System32\Tasks\{12FA2988-EE48-486C-98C6-F31122481E69} => Chrome.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=6.20.0.104&LastError=12002 FF Plugin: @esn/npbattlelog,version=2.5.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.0\npbattlelogx64.dll No File FF Plugin-x32: @esn/npbattlelog,version=2.4.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.4.0\npbattlelog.dll No File FF Plugin-x32: @esn/npbattlelog,version=2.5.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.5.0\npbattlelog.dll No File R4 IOMap; \??\C:\Windows\system32\drivers\IOMap64.sys [X] S3 __FOX__FOXONE_DRIVER__; \??\C:\Users\Bartek\AppData\Local\Temp\FoxDriver.sys [X] C:\ProgramData\.windows.sys C:\Users\Bartek\AppData\Local\{*} C:\Users\Bartek\AppData\Roaming\Skype\CODEXi C:\Windows\system32\Drivers\113576BB.sys Hosts: Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Scan, zaznacz pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Na temat pobierania z dobrychprogramów i podobnych: KLIK. W systemie są liczne ślady po operacjach "Asystenta pobierania". Dodatkowo, będę wyrzucać szczątki Firefox, który wygląda na odinstalowany. 1. Na początek odinstaluj stare wersje i zbędniki: Acrobat.com, Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Reader 9.1 MUI, Adobe Shockwave Player 12.0, ASUS WebStorage, Gadu-Gadu 10, Java™ 6 Update 22, McAfee Security Scan Plus. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw64; C:\Windows\System32\drivers\{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw64.sys [48792 2015-01-15] (StdLib) R2 Update Dynamo Combo; C:\Program Files (x86)\Dynamo Combo\updateDynamoCombo.exe [529656 2015-01-16] () R2 Util Dynamo Combo; C:\Program Files (x86)\Dynamo Combo\bin\utilDynamoCombo.exe [529656 2015-01-16] () U3 tmlwf; No ImagePath U3 tmwfp; No ImagePath HKLM-x32\...\Run: [] => [X] AppInit_DLLs: C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\x64\datamngr.dll => C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\x64\datamngr.dll File Not Found AppInit_DLLs: C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\x64\IEBHO.dll => C:\PROGRA~2\BEARSH~1\MediaBar\Datamngr\x64\IEBHO.dll File Not Found HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hp&ts=1421355669&from=cor&uid=3219913727_67194_C0AC3FE1 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1421355669&from=cor&uid=3219913727_67194_C0AC3FE1&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hp&ts=1421355669&from=cor&uid=3219913727_67194_C0AC3FE1 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421355669&from=cor&uid=3219913727_67194_C0AC3FE1&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421355669&from=cor&uid=3219913727_67194_C0AC3FE1&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421355669&from=cor&uid=3219913727_67194_C0AC3FE1&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421355669&from=cor&uid=3219913727_67194_C0AC3FE1&q={searchTerms} SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms} SearchScopes: HKU\S-1-5-21-3827299707-3164848222-3303958406-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3827299707-3164848222-3303958406-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421355669&from=cor&uid=3219913727_67194_C0AC3FE1&q={searchTerms} SearchScopes: HKU\S-1-5-21-3827299707-3164848222-3303958406-1000 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = SearchScopes: HKU\S-1-5-21-3827299707-3164848222-3303958406-1000 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2A69} URL = http://search.bearshare.com/web?src=ieb&systemid=2&q={searchTerms} BHO-x32: Dynamo Combo 1.0.0.6 -> {986c37a1-7b65-476f-80dc-54f80bd4b0d6} -> C:\Program Files (x86)\Dynamo Combo\DynamoCombobho.dll (Dynamo Combo) Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM-x32 - No Name - {0974BA1E-64EC-11DE-B2A5-E43756D89593} - No File Toolbar: HKU\S-1-5-21-3827299707-3164848222-3303958406-1000 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File Task: {0C591A53-BF78-4717-90A5-17F20B033475} - System32\Tasks\{06BAC61C-2CEA-45C6-8A69-D29B173DE88D} => pcalua.exe -a E:\Autorun.exe -d E:\ Task: {3D2AEA76-67EB-4661-A72D-4BBEECFEF2A1} - System32\Tasks\{49E5177D-AB23-497D-8EE7-F0B9EB15EA0F} => pcalua.exe -a E:\Setup.exe -d E:\ Task: {D0208C5A-0D27-4A6A-9FA2-D11771EE1063} - System32\Tasks\ASUS P4G => C:\Program Files\P4G\BatteryLife.exe C:\Program Files (x86)\Dynamo Combo C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Mozilla Maintenance Service C:\ProgramData\Mozilla C:\ProgramData\Temp C:\Users\Bartek Szymuś\AppData\Local\Mozilla C:\Users\Bartek Szymuś\AppData\Roaming\Mozilla C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Gość\Desktop\*.lnk C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\System32\drivers\{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Proszę przeczytaj zasady na temat autoryzowanych pomocników. Jestem jedyną osobą mogącą prowadzić pomoc w tym dziale, a to oznacza, że gdy jestem nieobecna (np. z powodu choroby) nie jestem w stanie zająć się tematem błyskawicznie. Zasady działu - jest wyraźnie powiedziane, by podać w czym antywirus wykrywa zagrożenie, tzn. konkretną ścieżkę dostępu. YAC (Yet Another Cleaner) to podejrzany program wątpliwej reputacji. Pisałam o nim np. tu: KLIK. Z daleka od niego. Na dodatek robi masowe przekierowania na search.yac.mx. FRST został uruchomiony ze złej lokalizacji, czyli tymczasowych plików: Running from C:\Users\marek_000\AppData\Local\Microsoft\Windows\INetCache\IE\5WEWR2KB Działania wstępne: 1. Przez Panel sterowania odinstaluj wątpliwe programy i adware: Softonic Assistant, VidPlaya wersja 1.0.1, YAC(Yet Another Cleaner!). 2. Pobierz ponownie FRST, ale zapisz go na Pulpicie. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=3219913727_198264_12483508 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=3219913727_198264_12483508 HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=3219913727_198264_12483508 HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=3219913727_198264_12483508 HKU\S-1-5-21-676754089-1097009511-3930790267-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=3219913727_198264_12483508 HKU\S-1-5-21-676754089-1097009511-3930790267-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=3219913727_198264_12483508 StartMenuInternet: IEXPLORE.EXE - iexplore.exe SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=3219913727_198264_12483508&ts=1421618437 SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://Vosteran.com/results.php?f=4&q={searchTerms}&a=vst_ir_14_52_ch&cd=2XzuyEtN2Y1L1QzuyDyEtByBtC0E0D0FtAyCzzyDtAyDtDzztN0D0Tzu0StCtDzzzytN1L2XzutAtFyCtFtCyDtFtAtN1L1CzutCyEtBzytDyD1V1BtN1L1G1B1V1N2Y1L1Qzu2StAzzyByDzyzzyEtAtGtAyD0DyDtG0B0F0DyBtG0B0E0EtDtGyDyEtDtCyEtCtCzztA0C0CyC2QtN1M1F1B2Z1V1N2Y1L1Qzu2SyDyCyByCyDzytC0FtG0F0E0BzztGyEyDzyyCtG0BzyyC0CtG0EyCtB0EtAtCzzzz0E0F0AtD2Q&cr=1508793227&ir= SearchScopes: HKLM -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=3219913727_198264_12483508&ts=1421618437 SearchScopes: HKLM -> {AA9A4890-4262-4441-8977-E2FFCBFB706C} URL = http://at.yhs4.search.yahoo.com/yhs/search?hspart=acer&hsimp=yhs-acer_001&p={searchTerms} SearchScopes: HKU\S-1-5-21-676754089-1097009511-3930790267-1001 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=3219913727_198264_12483508&ts=1421617539 SearchScopes: HKU\S-1-5-21-676754089-1097009511-3930790267-1001 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=3219913727_198264_12483508&ts=1421617539 SearchScopes: HKU\S-1-5-21-676754089-1097009511-3930790267-1001 -> {AA9A4890-4262-4441-8977-E2FFCBFB706C} URL = http://at.yhs4.search.yahoo.com/yhs/search?hspart=acer&hsimp=yhs-acer_001&p={searchTerms} HKU\S-1-5-21-676754089-1097009511-3930790267-1001\...\Run: [RemoteFilesTrayIcon] => "C:\Program Files\Acer\abFiles\abFilesTrayIcon.exe" Task: {5FA7E8FD-006F-4BA8-9C7B-5D22EF50019B} - System32\Tasks\Microsoft OneDrive Auto Update Task-S-1-5-21-676754089-1097009511-3930790267-1001 => %localappdata%\Microsoft\SkyDrive\SkyDrive.exe Task: {DE911CF7-1DA1-4BD0-BA19-3159D07E4910} - System32\Tasks\avastBCLRestartS-1-5-21-676754089-1097009511-3930790267-1001 => Chrome.exe C:\Program Files\Google C:\ProgramData\AVAST Software C:\ProgramData\OEM_YAHOO C:\Users\marek_000\AppData\Local\Google C:\Users\marek_000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\avast! antivirus.lnk C:\Users\marek_000\Desktop\VidPlayaSetup_v2.exe C:\Users\marek_000\Desktop\yet_another_cleaner_sfto_5_6_105.exe Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete "HKLM\SOFTWARE\Clients\StartMenuInternet\Google Chrome" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Wszystko zrobione. Skasuj plik C:\Delfix.txt z dysku. Temat rozwiązany. Zamykam.

Zasady działu: KLIK. Tu jest zakaz dopisywania się do cudzych tematów. Wydzielony w osobny temat. Zestaw podanych logów FRST niekompletny: po pierwsze główny log FRST.txt jest ... pusty, po drugie brak trzeciego pliku Shortcut. Zrób nowe porządne raporty i dostarcz nowe załączniki.

Proszę nie załączać logów które nie są obowiązkowe. Przestarzały OTL usunięty z wymagań - wymazuję do niego odnośniki. Za to logi z FRST niekompletne - brak trzeciego pliku Shortcut. W raportach nie widać nic szczególnego, ale w Google Chrome jest conajmniej jeden niepożądany obiekt. Przeprowadź następujące działania: 1. Odinstaluj stare wersje: Adobe Reader 8 - Polish, Java 7 Update 45, Java 7 Update 71. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HKU\S-1-5-21-3883153021-2115777462-2494107699-1000\...\Chrome\Extension: [fnelgfmpooffemibikhmcklfnnimgijo] - C:\Users\Promonas\AppData\Local\CRE\fnelgfmpooffemibikhmcklfnnimgijo.crx [2014-04-07] CHR HKLM-x32\...\Chrome\Extension: [fnelgfmpooffemibikhmcklfnnimgijo] - C:\Users\Promonas\AppData\Local\CRE\fnelgfmpooffemibikhmcklfnnimgijo.crx [2014-04-07] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com Task: {4152A0F0-8D99-4810-8E96-2C501900835C} - System32\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-3883153021-2115777462-2494107699-1000 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe Task: {7B93B735-CD77-47D2-9DFD-3945E9AD4E24} - System32\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-3883153021-2115777462-2494107699-1000 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe Task: {889B8B50-9132-48BD-88A9-B4D2DB64A66D} - System32\Tasks\{4ED975AF-85E8-4FA6-9458-97A543662597} => C:\Users\Promonas\Desktop\Launcher.exe Task: {F37E5257-31FA-486F-9B78-A2F3F8C8F0B8} - System32\Tasks\avastBCLRestartS-1-5-21-3883153021-2115777462-2494107699-1000 => Chrome.exe CustomCLSID: HKU\S-1-5-21-3883153021-2115777462-2494107699-1000_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\Promonas\AppData\Roaming\Dropbox\bin\Dropbox.exe /autoplay No File C:\Program Files (x86)\Opera C:\ProgramData\Malwarebytes C:\Users\Promonas\AppData\Local\{5B6C705E-788C-4975-B509-656F653AD077} C:\Users\Promonas\AppData\Local\CRE C:\Users\Promonas\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Promonas\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\Promonas\AppData\Local\Opera Software C:\Users\Promonas\AppData\Roaming\Opera Software C:\Windows\system32\log Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan, zaznacz pole Shortcut, by powstały dwa logi. Dołącz też plik fixlog.txt. Opisz co się dzieje.

rafiksq, zasady działu: KLIK. Przestarzały OTL został usunięty z wymagań i nie jest już w ogóle brany pod uwagę. Proszę dostarczyć obowiązkowe raporty z FRST.

kliszka, do wglądu zasady działu na temat oczekiwania na odpowiedź. Jestem jedyną osobą autoryzowaną do prowadzenia pomocy, a gdy mnie nie ma lub nie jestem w stanie zająć się tematem, temat jest przetwarzany nie natychmiastowo. Proszę opisz co dokładnie zrobiłeś oraz zrób nowe logi FRST (wszystkie trzy) mające przedstawić zaistniałe zmiany.

Tytułowy problem z błędami "APN Updater " tworzy instalacja adware "Search App by Ask", ale to nie jedyny obiekt adware. Dodatkowo w systemie jest i inny problem, tzn. uszkodzenie bazy Usług kryptograficznych, dlatego też wszystkie usługi i sterowniki Microsoftu są oznaczone jako niepodpisane cyfrowo. Wstępne działania: 1. Uruchom narzędzie Fix It 50202 (zaznacz tryb agresywny): KLIK. Narzędzie działa na XP, a jedna z procedur trybu agresywnego to reset bazy kryptograficznych. 2. Przez Dodaj/Usuń programy odinstaluj: - Adware: ConvertAd, FLV Player, mystartsearch uninstall, Remote Desktop Access (VuuPC), Search App by Ask, Winamp Toolbar. - Stare wersje: J2SE Runtime Environment 5.0 Update 6, Java 7 Update 55, Java™ 6 Update 34, Java™ 6 Update 7, OpenOffice.org Installer 1.0, Opera 12.17. 3. Zrób nowy log FRST z opcji Scan (zaznacz ponownie pola Addition i Shortcut).

Proszę dostosuj się do zasad działu: KLIK. To znaczy opis problemu o co Ci chodzi, z czym jest problem. Logi z FRST niekompletne, brak pliku FRST Shortcut. Nazwy logów wskazują, że je wyciągasz z folderu C:\FRST\Logs - to archiwum logów i tam się nie grzebie. Bieżące logi są zawsze w lokalizacji z której uruchamiano program, czyli w tym przypadku w katalogu Pobrane.

Logi z przestarzałego OTL zostały wycofane z użytku. Obecnie na forum posługuję się tylko FRST. Skoro FRST staje na skanie dziennika Office, to go wyczyść przed ponownym uruchomieniem FRST: Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator > wyszukaj dzienniki Office i z prawokliku wyczyść. Raporty pomogą tylko usunąć wtórne komponenty infekcji. Deszyfracja plików jest awykonalna: KLIK.

To co widać "na monitorze" oznacza, że infekcja nie została usunięta i są wymagane logi o których wspomina artus72. W zakresie logów możliwe jest tylko usunięcie komponentów infekcji, lecz nie odszyfrowanie danych: Ta infekcja szyfrująca atakuje wszystkie dyski dostępne w momencie inicjacji infekcji. Deszyfracja plików jest niemożliwa. Jedyny ratunek to próba zastosowania softu do odzyskiwania danych, jak wskazał to gajowy.