picasso

Nie wspominałam nic o aktualizacji, chodziło mi o wyszukanie analogicznych ustawień w panelu zarządzania Intel. Podlikowany artykuł odnosi się do innej wersji panelu, więc może się coś nie zgadzać. Nawiasem mówiąc artykuł nie wspomina o "zakładce" tylko o "przycisku". Zrób zrzuty ekranu z ustawień zarządzania Intel co jest dostępne w Twojej wersji. PS. Jeśli chodzi o to sprawdzanie aktualności sterowników, to prędzej na stronie producenta zasadniczego - czyli albo ASUS (sterowniki dostosowane), albo Intel (sterowniki ogólne) - niż via ograniczony interfejs Microsoftu. Wersja była już tu znana z raportów: ==================== Installed Programs ====================== Intel® Processor Graphics (HKLM-x32\...\{F0E3AD40-2BBD-4360-9C76-B9AC9A5886EA}) (Version: 9.17.10.3347 - Intel Corporation) + powiązany plik sterownika: DRV:64bit: - [2013-11-07 02:52:44 | 005,363,200 | ---- | M] (Intel Corporation) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\igdkmd64.sys -- (igfx) Wg strony Intel wersja owszem wygląda na najnowszą z dostępnych (KLIK). .

Zadanie wykonane. Możesz skasować plik C:\DelFix.txt z dysku. Temat rozwiązany, zamykam. Hobby, pasja.

Ostatni post kasuję. Odpowiedź się pojawia, gdy ktoś jest obecny i ma czas oraz pomysł jak przetworzyć temat. Odpowiedź może się w ogóle nie pojawić i nie ma to związku z postępowaniem użytkownika. Kasuję te ostatnie logi, wyraźnie zaznaczyłam, iż brak zmian, więc nie są mi one teraz potrzebne. Te same dane są post wcześniej. Mały obrazek, ledwo odczytałam co jest napisane. Skoro Autoruns nie umie tego wyłączyć (prawdopodobnie próbuje tworzyć ponownie folder o tej samej nazwie), skorzystaj z systemowego msconfig - te wpisy powinny być w karcie Uruchamianie. Jeśli po wyłączeniu tych wpisów i restarcie komputera nadal będzie problem ("Przy starcie dalej muli i słychać te dźwięki."), to przetestuj tymczasową deinstalację Avast. Przykładowe tematy na forum: KLIK / KLIK. Nie jestem fanem pakietów kombinowanych, lepiej mieć pojedyncze aplikacje specjalizowane w danym zadaniu, niż kombajn do wszystkiego. .

OK, skrypt pomyślnie wykonany. Skasuj ręcznie pobrany GMER i zastosuj DelFix. To tyle.

Log z DelFix nie pokazuje żadnych kasacji... Sprawdź czy jest na dysku folder C:\FRST, ręcznie go skasuj, podobnie jak i inne narzędzia Skrypt do FRST wykonaj już teraz, nie można czekać, bo Brontok może się rozmnożyć. Natomiast logi z innych kont mogą poczekać. .

AdwCleanerR0.txt = opcja Szukaj, AdwCleanerS0.txt = opcja Usuń. Tylko drugi log potrzebny. Wszystko wykonane. Kończymy: 1. Skasuj ręcznie pobrany GMER oraz folder Stare dane programu Firefox z Pulpitu. Zastosuj DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. To tyle.

PIERWSZY KOMPUTER: Na zakończenie: 1. Usuń używane narzędzia za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK LAPTOP: Na laptopie zgodnie z podejrzeniem również grasuje Brontok. Wdróż podobne działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM-x32\...\Run: [bron-Spizaetus] => C:\Windows\ShellNew\RakyatKelaparan.exe [44417 2012-11-25] () HKLM-x32\...\Winlogon: [shell] Explorer.exe "C:\Windows\KesenjanganSosial.exe" [44417 ] () HKU\S-1-5-21-980471489-3258700235-4020359182-1003\...\Run: [Tok-Cirrhatus-2223] => C:\Users\KJAdmin\AppData\Local\br5469on.exe [44417 2012-11-25] () HKU\S-1-5-21-980471489-3258700235-4020359182-1003\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-21-980471489-3258700235-4020359182-1003\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-980471489-3258700235-4020359182-1003\...\Policies\Explorer: [NoFolderOptions] 1 Startup: C:\Users\KJAdmin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif () AlternateShell: cmd-brontok.exe S3 IPCTYPE; \??\C:\ProgramData\Pro-face\GP-Pro EX 3.6\Simulator\IPCType.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File CustomCLSID: HKU\S-1-5-21-980471489-3258700235-4020359182-1003_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\KJAdmin\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File SearchScopes: HKLM - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF HKLM-x32\...\Thunderbird\Extensions: [msktbird@mcafee.com] - C:\Program Files\McAfee\MSK CHR StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hp&ts=1411311658&from=cor&uid=INTELXSSDSC2BB300G4_BTWL404105SG300PGN" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" CMD: for /d %f in (C:\Users\AZ\AppData\Local\*Bron*) do rd /s /q "%f" CMD: for /d %f in (C:\Users\KJ\AppData\Local\*Bron*) do rd /s /q "%f" CMD: for /d %f in (C:\Users\KJAdmin\AppData\Local\*Bron*) do rd /s /q "%f" CMD: for /d %f in (C:\Users\PBG\AppData\Local\*Bron*) do rd /s /q "%f" C:\Users\AZ\AppData\Local\*.exe C:\Users\AZ\AppData\Local\*.txt C:\Users\AZ\AppData\Local\*Bron* C:\Users\KJ\AppData\Local\*.exe C:\Users\KJ\AppData\Local\*.txt C:\Users\KJ\AppData\Local\*Bron* C:\Users\KJAdmin\AppData\Local\*.exe C:\Users\KJAdmin\AppData\Local\*.txt C:\Users\KJAdmin\AppData\Local\*Bron* C:\Users\PBG\AppData\Local\*.exe C:\Users\PBG\AppData\Local\*.txt C:\Users\PBG\AppData\Local\*Bron* C:\Windows\KesenjanganSosial.exe C:\Windows\ShellNew\RakyatKelaparan.exe C:\Windows\SysWOW64\cmd-brontok.exe Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\1ClickDownload /f Hosts: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, system zostanie zresetowany, opuść Tryb awaryjny. Powstanie plik fixlog.txt. 2. W systemie są aż 4 konta: ========================= Accounts: ========================== AZ (S-1-5-21-980471489-3258700235-4020359182-1002 - Administrator - Enabled) => C:\Users\AZ KJ (S-1-5-21-980471489-3258700235-4020359182-1001 - Limited - Enabled) => C:\Users\KJ KJAdmin (S-1-5-21-980471489-3258700235-4020359182-1003 - Administrator - Enabled) => C:\Users\KJAdmin PBG (S-1-5-21-980471489-3258700235-4020359182-1000 - Administrator - Enabled) => C:\Users\PBG Potrzebne są logi z każdego konta z osobna. Po kolei się na każde zaloguj poprzez pełny restart komputera (nie poprzez Wyloguj czy Przełącz użytkownika) i zrób na każdym nowy log FRST z opcji Scan (bez Addition i Shortcut). Na koncie limitowanym KJ uruchom FRST poprzez dwuklik a nie opcją "Uruchom jako Administrator". Dołącz też plik fixlog.txt. .

"Win32/HackTool.Crack.CC potencjalnie niebezpieczna aplikacja" w "C:\Gry\Władca Pierścieni Wojna na Północy\steam_api.dll" nie wygląda mi na rzeczywistą infekcję. Skrypt nie wykonał się wcale. Przejdź w Tryb awaryjny Windows (nie działają programy zabezpieczające) i ponów próbę.

Nie rozumiem dlaczego wcześniej komendy się nie udały, ale tym razem jest jak należy. Kolejne działania poprawkowe: 1. Otwórz Notatnik i wklej w nim: C:\Program Files (x86)\GreenTree Applications C:\Program Files (x86)\MediaBuzzV1 C:\Program Files (x86)\MediaViewerV1 C:\Program Files (x86)\MediaViewV1 C:\Program Files (x86)\MediaWatchV1 C:\Program Files (x86)\Optimizer Pro C:\Program Files (x86)\RandomPrice C:\Program Files (x86)\RichMediaViewV1 C:\Program Files (x86)\SimilarSites C:\Program Files (x86)\Spytech Software C:\ProgramData\AgentSL C:\ProgramData\AgentSS C:\ProgramData\Babylon C:\ProgramData\sa C:\Users\Admin\AppData\Local\cache C:\Users\Admin\AppData\Local\Lollipop C:\Users\Admin\AppData\Local\Mobogenie C:\Users\Admin\AppData\LocalLow\Temp RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Dostarcz log wynikowy z folderu C:\AdwCleaner. .

Podaj raport z FRST zrobionego z poziomu środowiska zewnętrznego. To normalne zachowanie ... W trybie Recovery ujawniają się partycje ukryte (np. "Zastrzeżone przez system" z plikami startowymi) i otrzymują literę, dlatego partycja z Windows może być przesunięta na dalszą literę. To tylko kwestia innego mapowania z poziomu różnych środowisk. I w tej sytuacji to był błąd i mam nadzieję, że nic nie popsułeś: .

Tak jak mówiłam, MBAM wykrywa Brontok, tylko pod inną nazwą kodową. Te masowe wyniki "Trojan.Dropper" to właśnie Brontok. Przeskanuj za pomocą MBAM także wszystkie dyski zewnętrznę / pendrive. Gdy to ukończysz, podam czynności końcowe na tym komputerze i trzeba będzie się zabrać za służbowego laptopa.

Nie rozumiem dlaczego output w Fix jest pusty. Ponów próbę. Otwórz Notatnik i wklej w nim: CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Admin\AppData\Local CMD: dir /a C:\Users\Admin\AppData\LocalLow CMD: dir /a C:\Users\Admin\AppData\Roaming Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt.

Nie mam instalacji SteadyState, więc będę musiała to zainstalować w którejś maszynie, by namacalnie sprawdzić co tworzy "Other User". Na razie wyszukałam materiał tyczący ogólnych restrykcji dostępnych w SteadyState: KLIK. Podejrzenia budzi pierwsza pozycja "Do not display user names in the 'Log On to Windows' dialog box". Podaj mi skan dodatkowy. Skrypt do FRST: Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\SpecialAccounts" /s

Fix wykonany. MBAM powinien wykryć te EXE Brontok. Jeśli nie wykrywa, to zamiennie skorzystaj z Kaspersky Virus Removal Tool. Domyślnie narzędzie prowadzi ekspresowe skanowanie, w konfiguracji zmień na pełne. Z tym, że są tu dwie partycje i skan wszystkich na raz może trwać długo, podziel skan na dwa etapy: na początek dysk C, gdy ukończysz skanowanie ponów je dla dysku D. Dostarcz wyniki z wykryciami (nie interesuje mnie cały log z wynikami typu "OK", tylko wyniki ze szkodnikami są istotne).

Wprawdzie ponownie wszystko usunięte, ale te zadania AT* się regenerują... Kolejna porcja czynności: 1. Otwórz Notatnik i wklej w nim: Task: {0A1ED6CB-B289-4B71-BB74-3DA83D45BAA8} - System32\Tasks\At4 => C:\Users\KJ\AppData\Roaming\Microsoft\Windows\Templates\5160-NendangBro.com Task: {D7409D75-43D9-48C1-8E17-F1E4C119EDCF} - \At2 No Task File Task: {DED75273-6311-4F53-8213-695422A9DA3E} - System32\Tasks\At3 => C:\Users\KJ\AppData\Roaming\Microsoft\Windows\Templates\5160-NendangBro.com Task: {E997EB2D-EEDF-4541-A9A2-65FF4B4D46CC} - \At1 No Task File C:\windows\Tasks\At*.job RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Zrób pełny skan całego dysku za pomocą Malwarebytes Anti-Malware (przy instalacji odznacz trial). Dostarcz wynikowy raport. .

Na wszelki wypadek proszę o zrzuty ekranu. Ten plik Fixlog jest urwany, nie wykonana połowa zadań z niego. Co się działo podczas opcji Fix, czy przypadkiem działanie nie zostało przerwane ręcznie? Poprawka. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 JavaQuickStarterService; C:\Program Files\Java\jre7\bin\jqs.exe [161776 2012-06-27] (Oracle Corporation) DPF: {CAFEEFAC-0017-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} FF Plugin: @divx.com/DivX Content Upload Plugin,version=1.0.0 -> C:\Program Files\DivX\DivX Content Uploader\npUpload.dll No File FF Plugin: @java.com/DTPlugin,version=10.5.1 -> C:\WINDOWS\system32\npDeployJava1.dll (Oracle Corporation) FF Plugin: Web Components -> C:\Program Files\Web Components\npWebVideoPlugin.dll No File FF Plugin: yaxmpb@yahoo.com/YahooActiveXPluginBridge;version=1.0.0.1 -> C:\Program Files\Yahoo!\Common\npyaxmpb.dll No File FF Plugin HKCU: @adobe.com/FlashPlayer -> C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CHR HKLM\...\Chrome\Extension: [pbiamblgmkgbcgbcgejjgebalncpmhnp] - C:\Program Files\StartSearch plugin\vshareplg.crx [2011-10-27] DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg C:\Documents and Settings\All Users\Dane aplikacji\Alwil Software C:\Documents and Settings\All Users\Dane aplikacji\avg7 C:\Documents and Settings\All Users\Dane aplikacji\MSScanAppDataDir C:\Documents and Settings\All Users\Dane aplikacji\Panda Security C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\LocalService\Dane aplikacji\AVG7 C:\Documents and Settings\acer\Dane aplikacji\AVG7 C:\Documents and Settings\acer\Pulpit\Continue PC Performer installation.lnk C:\Documents and Settings\acer\Pulpit\Nieużywane skróty pulpitu C:\Documents and Settings\acer\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences C:\Program Files\mozilla firefox\plugins C:\Program Files\StartSearch plugin C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation C:\WINDOWS\pss\*.lnkStartup C:\WINDOWS\pss\*.lnkCommon Startup C:\WINDOWS\system32\Adobe\Director EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Przedstaw wynikowy fixlog.txt. .

OK, błąd sterownika pomyślnie rozwiązany i prawdopodobnie instalacja SP1 się uda, o ile nie ma następnego zdefektowanego sterownika w serii. Zdarza się, że jest więcej niż jeden rekord, ale o tym to się można dowiedzieć dopiero przy ponowieniu instalacji SP1, gdyż dane w setupapi.dev.log są nagrywane tylko do momentu wystąpienia pierwszego błędu. Tu na forum był nawet przypadek z defektem kilkunastu / kilkudziesięciu sterowników i po kilku podejściach ręcznych byłam zmuszona dać batch na oko, bo robota ręczna plik po pliku trwałaby do uśmiechniętej śmierci. Zanim jednak zabierzesz się za instalację SP1, jeszcze podaj mi dodatkowy skan na komponenty zgłaszane w Checksur. Uruchom SystemLook x64 i w oknie wklej: :file C:\Windows\winsxs\Manifests\x86_microsoft-windows-t..igbackend.resources_31bf3856ad364e35_6.1.7600.16385_pl-pl_8b78b555ebf15b14.manifest C:\Windows\winsxs\Manifests\x86_microsoft-windows-t..ied-chinese-quanpin_31bf3856ad364e35_6.1.7600.16385_none_f79af98021986eab.manifest C:\Windows\winsxs\Manifests\x86_microsoft-windows-t..ied-chinese-zhengma_31bf3856ad364e35_6.1.7600.16385_none_632cd22f8aba00e7.manifest :dir C:\Windows\winsxs\x86_microsoft-windows-t..igbackend.resources_31bf3856ad364e35_6.1.7600.16385_pl-pl_8b78b555ebf15b14 C:\Windows\winsxs\x86_microsoft-windows-t..ied-chinese-quanpin_31bf3856ad364e35_6.1.7600.16385_none_f79af98021986eab C:\Windows\winsxs\x86_microsoft-windows-t..ied-chinese-zhengma_31bf3856ad364e35_6.1.7600.16385_none_632cd22f8aba00e7 Klik w Look i dostarcz wynikowy log. .

Podałam poprawny link. W linku jest ustęp "Disable hardware acceleration in Flash". .

Po pierwsze: Microsoft wycofał ten program z użytku ze względu na błędy, program jest też mocno przestarzały. Zastąpiło go to narzędzie: KLIK. Po drugie: oba te narzędzia nie prowadzą tradycyjnej deinstalacji, one specjalizują się w usuwaniu rejestracji MSI produktu, co oznacza, że nie usuwają innych komponentów programów (mogą pozostać czynne sterowniki, foldery / pliki na dysku oraz inne wpisy rejestru). Ich używanie jest dyktowane niemożnością poprawnej deinstalacji, uszkodzeniami deinstalatora. Tych programów nie należy zapuszczać na w pełni zainstalowanych programach, które można odinstalować w normalny sposób. W obu aplikacjach są pokazywane programy ukryte, których nie widać z poziomu Panelu sterowania, określonych aplikacji nie wolno naruszyć. Nie powiedziałeś co konkretnie usuwałeś za pomocą Windows Installer Cleanup. W obecnej sytuacji użyj Przywracanie systemu, by odkręcić szkody poczynione programem. .

Zadania wykonane i adware zostało usunięte, ale coś tu nie gra. Załączyłam w skrypcie komendy DIR, by sprawdzić zawartość określonych folderów, a otrzymałam puste zwroty, co jest niemożliwe, gdyż foldery na pewno nie są puste. Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej poniższą przykładową komendę i ENTER. Co się pokazuje? dir /a C:\ProgramData Program ma adware w instalatorze: KLIK. .

Oczywiście utworzenie nowego profilu rozwiązuje sprawę. Wszystko zostało zrobione, więc kończymy: 1. Skasuj pobrany GMER. Resztę usuń za pomocą DelFix i wyczyść foldery Przywracania systemu. 2. Cały system do aktualizacji: Platform: Windows 7 Ultimate (X64) OS Language: Polski (Polska) Internet Explorer Version 8 I uzupełnij antywirusa, byle nowy i nie crackowany.

Tomek1623, został zalecony DelFix (usuwa narzędzia i logi) i z mojej strony nie padła prośba o żadne nowe logi, co znaczy, że nie potrzebuję ich już. To już koniec czyszczenia.

Wszystko pomyślnie wykonane. Na koniec: 1. Usuń folder C:\Users\grzegorz\Desktop\logi i popraw za pomocą DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK.

Wszystko zrobione, toteż kończymy. Zastosuj DelFix. Punktów Przywracania systemu nie ma co czyścić, poprzednio ich nie było, a ostatnio utworzony przed użyciem Revo na wszelki wypadek zostaw jeszcze.

Tych plików-falsyfikatów nie wolno uruchomić, gdyż jak mówiłam to inicjuje infekcję. Kolejne podejście: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM-x32\...\Run: [bron-Spizaetus] => C:\Windows\ShellNew\RakyatKelaparan.exe [44417 2012-11-25] () HKLM-x32\...\Winlogon: [shell] Explorer.exe "C:\Windows\KesenjanganSosial.exe" [44417 ] () HKU\S-1-5-21-440814284-2810997126-872106338-1008\...\Run: [Tok-Cirrhatus-1233] => C:\Users\KJ\AppData\Local\br3489on.exe [44417 2012-11-25] () HKU\S-1-5-21-440814284-2810997126-872106338-1008\...\Run: [Tok-Cirrhatus] => C:\Users\KJ\AppData\Local\br3489on.exe [44417 2012-11-25] () HKU\S-1-5-21-440814284-2810997126-872106338-1008\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-440814284-2810997126-872106338-1008\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-21-440814284-2810997126-872106338-1008\...\Policies\Explorer: [NoFolderOptions] 1 Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Startup.exe () Startup: C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Startup.exe () Startup: C:\Users\Default User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Startup.exe () Startup: C:\Users\KJ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif () Startup: C:\Users\KJ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Startup.exe () AlternateShell: cmd-brontok.exe Task: {18448E81-DF41-499B-B70B-3D43253FB67F} - System32\Tasks\At2 => C:\Users\KJ\AppData\Roaming\Microsoft\Windows\Templates\5160-NendangBro.com [2012-11-25] () Task: {6FFFACFF-4708-46B1-BBC4-FA56A172B6FF} - System32\Tasks\At1 => C:\Users\KJ\AppData\Roaming\Microsoft\Windows\Templates\5160-NendangBro.com [2012-11-25] () Task: C:\windows\Tasks\At1.job => ? Task: C:\windows\Tasks\At2.job => ? CHR StartupUrls: Default -> "hxxp://www.sweet-page.com/?type=hp&ts=1411311658&from=cor&uid=INTELXSSDSC2BB300G4_BTWL404105SG300PGN" CMD: for /d %f in (C:\Users\KJ\AppData\Local\*Bron*) do rd /s /q "%f" C:\ProgramData\All Users.exe C:\Users\Data KJ.exe C:\Users\Default\Default.exe C:\Users\KJ\KJ.exe C:\Users\KJ\AppData\Local\*.bin C:\Users\KJ\AppData\Local\*.exe C:\Users\KJ\AppData\Roaming\Microsoft\Windows\Templates\5160-NendangBro.com C:\Users\KJ\AppData\Roaming\Microsoft\Windows\Templates\Templates.exe C:\Users\Public\Public.exe C:\Users\Users.exe C:\windows\0PSQcsabWsfmis C:\Windows\KesenjanganSosial.exe C:\Windows\ShellNew\RakyatKelaparan.exe C:\windows\SysWOW64\cmd-brontok.exe RemoveDirectory: C:\Users\KJ\Desktop\FRST-OlderVersion Hosts: EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Gdy Fix ukończy pracę, system zostanie zresetowany. Opuść Tryb awaryjny. Powstanie kolejny fixlog.txt. 2. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt. .