picasso

1. Myślałam, że przez USBFix. Wyglądają w logu USBFix w taki sam sposób, nie da się ich odróżnić, choć różnica jest zasadnicza (inna metoda blokowania). Usuwanie ich celowe i nadal aktualne. Te foldery powodują skutki uboczne na dyskach twardych (utrata etykiet). Poza tym, obecnie to przestarzałe i liche zabezpieczenie. Infekcje autorun.inf to przeszłość, gdyż łaty systemowe odcięły tę drogę. Bieżące infekcje stosują inne triki uruchomienione, np. sztuczki socjotechniczne: KLIK. 2. Hitman wykrył tylko drobne ciastka w Firefox oraz kopie FRST. Kopie FRST i tak są do usunięcia. Zastosuj Delfix oraz wyczyść foldery Przywracania systemu: KLIK.

Problemem jest szkodliwy, ale już martwy skrót w starcie próbujący uruchamiać jakiś plik BAT: Startup: C:\Users\EWA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\d1b95.lnk [2016-09-19] Shortcut: C:\Users\EWA\AppData\Local\1c468\fd575.lnk -> C:\Users\EWA\AppData\Local\1c468\3f6b1.bat (Brak pliku) Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj starą niebezpieczną wersję Java™ 6 Update 14. Następnie uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń ukryty wpis po niechcianej instalacji Lenovo Metric Collection SDK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Users\EWA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\d1b95.lnk [2016-09-19] HKLM\...\Run: [] => [X] HKU\S-1-5-21-2592791242-802997460-2401244277-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> ShellIconOverlayIdentifiers: [0PerformanceMonitor] -> {3B5B973C-92A4-4855-9D3F-0F3D23332208} => Brak pliku Task: {0E2C5447-7862-4283-AAB7-0D90D8B860BD} - System32\Tasks\Norton Identity Safe\Norton Error Processor => C:\Program Files (x86)\Norton Identity Safe\Engine\2014.7.8.23\SymErr.exe Task: {13B87513-9C0C-4EB5-BED3-F9B505FD1DBE} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {23E5E7E0-E789-4428-A524-3CB215FC9F10} - System32\Tasks\Driver Booster SkipUAC (EWA) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {2E52D03D-27A9-42BE-B8D8-BDB78D51CDF0} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => C:\Program Files (x86)\Norton Identity Safe\Engine\2014.7.8.23\SymErr.exe Task: {372646E3-0835-479C-AD54-ED60558A795A} - System32\Tasks\{02270F72-E05B-421A-9850-25291D480653} => pcalua.exe -a C:\Games\ATC4\Uninstall_ATC4_RJTT.exe Task: {6F89BF9C-BAF2-45D2-9B50-E3C202FFC8B6} - System32\Tasks\Auslogics\Driver Updater\Start Driver Updater оn logon => C:\Program Files (x86)\Auslogics\Driver Updater\DriverUpdater.exe Task: {EA3B1581-2F63-43BC-A622-A5240B333042} - System32\Tasks\{A36A99E1-F151-48A4-ACE7-DA98E95DFD9B} => pcalua.exe -a C:\Users\EWA\Downloads\openvpn-2.1_rc15-install.exe -d C:\Users\EWA\Downloads DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Auslogics DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo S2 TeamViewer; "C:\Program Files (x86)\TeamViewer\TeamViewer_Service.exe" [X] S3 NAVENG; \??\C:\Program Files (x86)\Norton Security\NortonData\22.1.0.9\Definitions\SDSDefs\20160615.023\ENG64.SYS [X] S3 NAVEX15; \??\C:\Program Files (x86)\Norton Security\NortonData\22.1.0.9\Definitions\SDSDefs\20160615.023\EX64.SYS [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcmscsvc => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MCODS => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MpfService => ""="Service" SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-2592791242-802997460-2401244277-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-2592791242-802997460-2401244277-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = FF Plugin-x32: adobe.com/AdobeExManDetect -> C:\Program Files (x86)\Adobe\Adobe Extension Manager CS6\npAdobeExManDetectX86.dll [brak pliku] FF HKLM\...\Firefox\Extensions: [{C1CA7765-44E4-452e-9D00-A04F3D434281}] - => nie znaleziono C:\cookies.sqlite C:\Program Files (x86)\Lenovo C:\ProgramData\Lenovo C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ATC4 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Toshiba\Rejestracja gwarancji firmy Toshiba.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WorldUnlock Calculator C:\Users\EWA\AppData\Local\1c468 C:\Users\EWA\AppData\Local\Lenovo C:\Users\EWA\AppData\Roaming\0dad7 C:\Users\EWA\AppData\Roaming\Microsoft\Excel\dicota%2003305225561915752396\dicota%2003.xls.lnk C:\Users\EWA\AppData\Roaming\Microsoft\Excel\Kopia%20euro%202016%2002%2001304980271548788618\Kopia%20euro%202016%2002%2001.xls.lnk C:\Users\EWA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OpenVPN C:\Windows\System32\Tasks\Auslogics C:\Windows\System32\Tasks\Lenovo CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\EWA\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Z GMER nie ma problemu i go usuwam. To wszystkie logi FRST są uszkodzone. Mówisz o Wordpad, proszę otwórz oryginalne pliki FRST utworzone na dysku w Notatniku (Otwórz za pomocą > Notatnik) i powiedz mi czy widzisz uszkodzenia czcionek.

Usuwam zawartość pliku DOC, to malware i Windows Defender natychmiast mi blokuje pobranie pliku. Logi z przestarzałego OTL nie są tu już w ogóle brane pod uwagę i też je usuwam. Obecnie nowoczesny skaner zastępujący w pełni OTL to FRST, posiada znacznie więcej możliwości niż OTL. Zabrakło za to trzeciego obowiązkowego raportu FRST Shortcut oraz GMER. Owszem, tu jest problem, ale nie chodzi o sam wscript.exe - to jest poprawny systemowy silnik uruchamiania skryptów VBS. Problemem jest uruchamiany przez ten silnik docelowy szkodliwy skrypt VBS zlokalizowany w folderze temp użytkownika: HKU\S-1-5-21-2154850424-1150076514-2689900897-1000\...\Run: [sysinfY2X] => C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfY2X.db To infekcja WORM_FORBIX.A. Działania do przeprowadzenia: 1. Odinstaluj stare wersje Adobe Flash Player 20 ActiveX, Java SE Development Kit 8 Update 25 (zagrożenie infekcjami szyfrującymi dane) oraz lewy skaner-naciągacz SpyHunter 4. Następnie, niezależnie od tego czy deinstalacja SpyHunter się powiedzie zastosuj narzędzie SpyHunterCleaner. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2154850424-1150076514-2689900897-1000\...\Run: [SysinfY2X] => C:\WINDOWS\system32\cmd.exe /c start wscript /e:VBScript.Encode %temp%\SysinfY2X.db HKU\S-1-5-21-2154850424-1150076514-2689900897-1000\...\Policies\Explorer: [] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-2154850424-1150076514-2689900897-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main HKU\S-1-5-21-2154850424-1150076514-2689900897-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird Task: {25BBDA8D-C74D-486C-95B0-BDDE285CB0AA} - System32\Tasks\{E7EFB6B2-B613-4374-91A5-AE0F8DE7F5B0} => pcalua.exe -a "F:\Instalki do gier\Gothic\gothic1_playerkit108k\gothic1_playerkit-1.08k\gothic1_playerkit-1.08k.exe" -d "F:\Instalki do gier\Gothic\gothic1_playerkit108k\gothic1_playerkit-1.08k" Task: {5632745C-3716-4DBB-906B-EBBD1E1273D0} - System32\Tasks\{BF03AFC3-95E7-4133-87D0-7EEFF4C6A1D3} => pcalua.exe -a "F:\Instalki do gier\Mount&amp;Blade Fire and Sword +MULTIPLAYER by iMortaluz\DirectX - install if the game doesn't work.exe" -d "F:\Instalki do gier\Mount&amp;Blade Fire and Sword +MULTIPLAYER by iMortaluz" Task: {5F1D028C-2B6A-4656-B777-5B78939C1108} - System32\Tasks\{A1BB2123-6A4F-488E-9384-ABD5C6C0739B} => pcalua.exe -a "F:\Programy instalacyjne\Huawei sterowniki\64280_slate-driver-s1082-win7-wwan3.5g-2.0.6.718\slate-driver-s1082-win7-wwan(3.5g)-2.0.6.718\DriverSetup.exe" -d "F:\Programy instalacyjne\Huawei sterowniki\64280_slate-driver-s1082-win7-wwan3.5g-2.0.6.718\slate-driver-s1082-win7-wwan(3.5g)-2.0.6.718" Task: {9C164DEE-2A4B-42CC-B60D-D7139F347519} - System32\Tasks\{56F32D16-EAA8-4BFA-9EA2-0766728E5FDD} => pcalua.exe -a "F:\Wonder pliki\Setup.exe" -d "F:\Wonder pliki" Task: {B1334EE1-7936-495D-84E5-E9FA60826902} - System32\Tasks\{23003EB3-106F-4E9C-8DB4-40B56E653C87} => pcalua.exe -a "F:\Programy instalacyjne\Sterowniki\sp65178 Sterownik oprogramowania Ralink Bluetooth.exe" -d "F:\Programy instalacyjne\Sterowniki" Task: {F1F19554-0B64-4214-8C62-0A0882539896} - System32\Tasks\{30B5BC00-99C7-4790-ABF2-61515936C33A} => pcalua.exe -a "F:\Programy instalacyjne\wmp11-windowsxp-x86-PL-PL.exe" -d "F:\Programy instalacyjne" Task: {F66A11B6-628D-4A73-994E-A086E39F802F} - System32\Tasks\{2D6DDA36-CDCC-4EDF-8099-0A75282CC5A3} => pcalua.exe -a C:\Users\Karol\Desktop\wmp11-windowsxp-x86-PL-PL.exe -d C:\Users\Karol\Desktop MSCONFIG\startupreg: Akamai NetSession Interface => "C:\Users\Karol\AppData\Local\Akamai\netsession_win.exe" S3 BtAudioBusSrv; System32\Drivers\BtAudioBus.sys [X] S3 BthL2caScoIfSrv; System32\Drivers\BtL2caScoIf.sys [X] S3 btUrbFilterDrv; System32\Drivers\IvtUrbBtFlt.sys [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" DisableService: PLAY ONLINE. RunOuc CMD: del /q "C:\Users\Karol\Desktop\Manuel z pendrive.txt" Reg: reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced /v Hidden /t REG_DWORD /d 0x1 /f Reg: reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowe logi: FRST z opcji Skanuj (Scan) z zaznaczonym polem Shortcut oraz USBFix z opcji Listing przy podpiętym pendrive (o ile nie zostanie sformatowany ponownie). Dołącz też plik fixlog.txt.

Na początek proszę odpowiedz mi czy zawartość logów FRST przeklejona na wklej.org to taka która była oryginalnie w plikach na dysku? Wszystkie logi FRST mają skopane formatowanie (wygląda na ANSI zamiast UTF-8) oraz zepsute polskie czcionki. Jeśli masz oryginalne pliki, proszę otwórz je i potwierdź mi co widzisz. Jeśli oryginalne logi jednak wyglądają poprawnie, dostarcz je ponownie. Do wyczyszczenia będą odpadki po instalacjach adware/PUP, ale na razie proszę ustalmy co tu się dzieje z kodowaniem logów. Te skróty są puste i kierują na jakiś plik MP3 na dysku D: Shortcut: C:\Users\iwona\Desktop\Nowy folder\020z1b — skrĂłt.lnk -> D:\020z1b.mp3 (Brak pliku) Czy był podpinany taki dysk? Obecnie w logu nie widać takiego dysku, a wszystkie te skróty można skasować.

Tak, to zrozumiałam. Moim pytaniem jest czy zostały ponownie odinstalowane? Jeśli tak, dostarcz nowe raporty z FRST (bez Shortcut), to doczyszczę ewentualne resztki. Nie ma jednego określonego programu, który załatwia wszystko. Małe skanery awaryjne oraz skanery bez rezydentów są na tych listach: KLIK / KLIK. Czyli przykładowo Kaspersky Virus Removal Tool, ESET Online Scanner, Hitman Pro, MBAM.

1. Przez SHIFT+DEL (omija Kosz) dokasuj jeszcze te elementy z dysku: C:\ProgramData\encinfo.jpg C:\Users\Kuba i Michał\AppData\Roaming\.ACEStream C:\Users\Kuba i Michał\AppData\Roaming\ACEStream Natomiast ten drugi C:\ProgramData\encfiles.log zawiera listę zakodowanych plików, więc sobie porównaj z tym co się stało na dysku. Zakodowane pliki zachowaj na wypadek gdyby w przyszłości pojawił się jakiś ratunek. 2. Uruchom DelFix. GMER i RansomNoteCleaner dokasuj ręcznie. 3. Zabezpieczenia przed infekcjami szyfrującymi dane. Lista programów zabezpieczających tutaj: KLIK. Pod kątem infekcji szyfrujących dane: Niezbędne też wykonywanie kopii zapasowych cennych danych, a kopie umieszczane na odizolowanym dysku podłączanym tylko tymczasowo. Infekcje szyfrujące dane atakują każdy dostępny dysk lokalny, wymienny i sieciowy.

Ten "rootkit" w GMER to sterownik dtsoftbus01.sys od instalacji DAEMON Tools Lite. Programu nie widzę na liście zainstalowanych, ani tego sterownika. Log musiał być robiony przed jego deinstalacją. Natomiast owszem mamy tu niezły bajzel będący konsekwencją instalacji adware, w procesach liczne obiekty adware oraz szkodliwy skaner YAC, co jest przypuszczalną przyczyną spowolnienia. Ponadto, problemy w przeglądarkach: jako domyślna przeglądarka jest ustawiony fałszywy klon "Google Chrome" pod nazwą Seteat, a w Firefox jest ustawiony jako domyślny profil sfabrykowany przez adware. Działania do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj: Adobe Reader 9.5.0 - Polish, HP Customer Participation Program 14.0, PC Clean 2005, Qtrax Player, Shared C Run-time for x64, Uncheckit, YAC(Yet Another Cleaner!) - Uruchom Program Install and Uninstall Troubleshooter i usuń Metric Collection SDK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 IhPul; C:\Users\cech1\AppData\Roaming\setup1\TSvr.exe [205520 2016-09-18] (Trend Corp.) R2 InterHop; C:\Program Files (x86)\InterHop\InterHop.exe [444648 2016-09-18] () S2 Winsere; C:\Program Files (x86)\Winsere\Winsere\Winsere.exe [316984 2016-03-23] () R2 yahoochrometechnology; C:\ProgramData\yahoochrome\desktop25.exe [236768 2016-05-02] (YahooChrome) R1 {0c0bb4a8-45a4-4685-9c1d-08d98af4b926}Gw64; C:\Windows\System32\drivers\{0c0bb4a8-45a4-4685-9c1d-08d98af4b926}Gw64.sys [61112 2014-06-23] (StdLib) S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-06-13] () S3 HipShieldK; C:\Windows\System32\drivers\HipShieldK.sys [196440 2012-04-20] (McAfee, Inc.) S3 mferkdet; C:\Windows\System32\drivers\mferkdet.sys [106552 2013-02-19] (McAfee, Inc.) S3 ewusbmbb; \SystemRoot\system32\DRIVERS\ewusbwwan.sys [X] S3 ew_hwusbdev; \SystemRoot\system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; \SystemRoot\System32\drivers\ew_usbenumfilter.sys [X] S3 GPU-Z; \??\C:\Users\cech1\AppData\Local\Temp\GPU-Z.sys [X] S3 hwdatacard; \SystemRoot\system32\DRIVERS\ewusbmdm.sys [X] S3 wfpcapture; \SystemRoot\System32\drivers\wfpcapture.sys [X] Task: {0962EE7A-1594-4E44-BFA6-09B3F443062E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {15465625-8690-43F7-B425-400D077EFD01} - System32\Tasks\UncheckitTaskMN => C:\Program Files (x86)\Uncheckit\cktSvc.exe [2016-04-28] (EVANGEL TECHNOLOGY (HK) LIMITED) Task: {2A009335-2277-45E9-B4BA-BD068F6ABD65} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {2E5DE81D-8333-4CB5-822E-CCCCB39B4E78} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {38E5D729-C8EE-4598-A350-D58DA84C8E0E} - System32\Tasks\QtraxPlayer => 2139035685.portal.qtrax.com Task: {53C93E9C-3C7F-4CCE-AF9C-38EC34D1EB9F} - System32\Tasks\ChelfNotify Task => C:\ProgramData\ChelfNotify\BrowserUpdate.exe [2016-06-30] (Tencent) Task: {5C564755-41E9-424E-84F8-706C1210595D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {61F6EE9B-D8C0-43D6-816E-78EFDB476A4B} - System32\Tasks\{26832AD1-980D-41AC-8855-FA0CFC37756D} => pcalua.exe -a E:\SimsCS_Uninst.exe -d E:\ Task: {6E713946-15B4-429F-B12D-60A1B92AA53B} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {7D6C00D2-43B5-43E5-B618-63366E5747FB} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {8C75DB6A-79F0-43F5-A435-174F03A7AE58} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {95A96AD7-CEB6-44D4-B925-0EFE23746CB8} - System32\Tasks\WinTaske => C:\Program Files (x86)\WinTaske\WinTaske\WinTaske.exe [2016-03-23] () Task: {A3A03DE6-F67F-461C-8672-9D35AC4CF632} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {A8FEBF8F-BC13-4645-81B8-C108D458167B} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {ABE2CBCC-0F91-4A6F-B9A9-C809E7A83415} - System32\Tasks\{072B3995-A951-4D89-A128-E878F206BB93} => pcalua.exe -a "C:\Program Files (x86)\Binboy\EdHTMLv5.0\EdHTML.exe" -d "C:\Program Files (x86)\Binboy\EdHTMLv5.0" Task: {AD60AC76-DD38-492D-BDF9-3965D0155FB3} - System32\Tasks\Browser Updater Task(Core) => C:\Program Files (x86)\QQBrowser\Update\Download\1CFBF412E68A59679C3BE57838603880\Update\BrowserUpdate.exe [2016-03-17] (Tencent) Task: {B46DFFDC-BB0C-48E4-88D2-01CEDBAEA05B} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {D798EEDB-D949-48E5-96F8-1ABD6174F476} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {F6E9AE48-105A-476A-91A6-E5DA61894D79} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {FC33DBE7-C910-4F1C-B383-007FD7E6ABC7} - System32\Tasks\Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser => Rundll32.exe generaltel.dll,RunTelemetryW Task: C:\WINDOWS\Tasks\Browser Updater Task(Core).job => C:\Program Files (x86)\TXQQBrowser\Update\1CFBF412E68A59679C3BE57838603880\Update\BrowserUpdate.exe IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\dprotectsvc.exe: [Debugger] tasklist.exe IFEO\jumpflip: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\searchinstaller.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\searchprotector.exe: [Debugger] tasklist.exe IFEO\searchsettings.exe: [Debugger] tasklist.exe IFEO\searchsettings64.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\umbrella.exe: [Debugger] tasklist.exe IFEO\utiljumpflip.exe: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe IFEO\websteroids.exe: [Debugger] tasklist.exe IFEO\websteroidsservice.exe: [Debugger] tasklist.exe GroupPolicy: Ograniczenia HKLM-x32\...\Run: [fst_pl_146] => [X] HKLM-x32\...\Run: [Raptr] => "C:\Program Files (x86)\Raptr\raptrstub.exe" --startup ShortcutWithArgument: C:\Users\cech1\Desktop\Lubię\Avast SafeZone Browser.lnk -> C:\Program Files\AVAST Software\SZBrowser\launcher.exe (Avast Software) -> hxxp://www.nuesearch.com/?type=sc&ts=1472469252&z=bf942921031c2f1064411bagaz7meo7z5q4t2o0e7e&from=wpm0829&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS ShortcutWithArgument: C:\Users\cech1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.nuesearch.com/?type=sc&ts=1472469252&z=bf942921031c2f1064411bagaz7meo7z5q4t2o0e7e&from=wpm0829&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS ShortcutWithArgument: C:\Users\cech1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.nuesearch.com/?type=sc&ts=1474189066&z=78370a9db7dc3e7be16619dg2z0maz3g3b9tce5q8o&from=wpm0912&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.nuesearch.com/?type=sc&ts=1474189066&z=78370a9db7dc3e7be16619dg2z0maz3g3b9tce5q8o&from=wpm0912&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.nuesearch.com/?type=sc&ts=1472469252&z=bf942921031c2f1064411bagaz7meo7z5q4t2o0e7e&from=wpm0829&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS Edge HomeButtonPage: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001 -> hxxp://www.nuesearch.com/?type=hp&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.nuesearch.com/?type=hp&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.nuesearch.com/?type=hp&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.nuesearch.com/search/?type=ds&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.nuesearch.com/search/?type=ds&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.nuesearch.com/?type=hp&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.nuesearch.com/?type=hp&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS&q={searchTerms} HKU\S-1-5-21-4093141958-3356348692-1623629913-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 HKU\S-1-5-21-4093141958-3356348692-1623629913-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.nuesearch.com/?type=hp&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS HKU\S-1-5-21-4093141958-3356348692-1623629913-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.msn.com/?PC=AV01 HKU\S-1-5-21-4093141958-3356348692-1623629913-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.nuesearch.com/?type=hp&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS&q={searchTerms} SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=209&systemid=488&v=a12834-385&apn_uid=0559871564264374&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS&q={searchTerms} SearchScopes: HKLM-x32 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = hxxp://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = hxxp://dts.search.ask.com/sr?src=ieb&gct=ds&appid=209&systemid=488&v=a12834-385&apn_uid=0559871564264374&apn_dtid=TCH001&o=APN11459&apn_ptnrs=AG1&q={searchTerms} SearchScopes: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS&q={searchTerms} SearchScopes: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.nuesearch.com/search/?type=ds&ts=1466676304&z=f109b62ac92ec4747f79169g6zaqaq2q0m1q2obt5t&from=wpm0616&uid=TOSHIBAXMQ01ABD064_92G3F19PSXX92G3F19PS&q={searchTerms} SearchScopes: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = hxxp://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2488} URL = Toolbar: HKLM - Brak nazwy - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku CustomCLSID: HKU\S-1-5-21-4093141958-3356348692-1623629913-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\cech1\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku FF Plugin: @mcafee.com/MSC,version=10 -> C:\Program Files\mcafee\msc\npMcSnFFPl64.dll [brak pliku] FF Plugin-x32: @mcafee.com/MSC,version=10 -> C:\Program Files (x86)\McAfee\msc\npMcSnFFPl.dll [brak pliku] DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\AION DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Greenshot Packages DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Visual C++ Packages DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\WarThunder DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Uninstall ior DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedHomepages /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\Protected - It is a violation of Windows Policy to modify. See aka.ms/browserpolicy" /v ProtectedSearchScopes /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\MicrosoftEdge\OpenSearch" /f C:\END C:\Program Files (x86)\eBay C:\Program Files (x86)\InterHop C:\Program Files (x86)\Lenovo C:\Program Files (x86)\Mobogenie C:\Program Files (x86)\Opera C:\Program Files (x86)\QQBrowser C:\Program Files (x86)\SearchesToYesbnd C:\Program Files (x86)\SFK C:\Program Files (x86)\TXQQBrowser C:\Program Files (x86)\Uncheckit C:\Program Files (x86)\WinSaber C:\Program Files (x86)\Winsere C:\Program Files (x86)\WinTaske C:\Program Files (x86)\WinRAR C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins C:\ProgramData\C__Users_cech1_Downloads_Hide IP Easy v5.1.6.6 + Crack { LAtest 2012 Version } Mr.Perfect_Hide IP Easy v5.1.6.6 + Crack { LAtest 2012 Version } Mr.Perfect_Crack_HideIPEasy.exe C:\ProgramData\3winp3 C:\ProgramData\ChelfNotify C:\ProgramData\OnlineUpdate C:\ProgramData\Origin C:\ProgramData\Seteat C:\ProgramData\Skype C:\ProgramData\Uncheckit C:\ProgramData\yahoochrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Sims 4.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Origin C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Play C:\ProgramData\Microsoft\Windows\Start Menu\Programs\qksee C:\ProgramData\Microsoft\Windows\Start Menu\Programs\To jest chemia – zakres podstawowy C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Uncheckit C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip C:\Users\cech1\AppData\Local\{10732D89-18D7-4531-A002-9369B664F11E} C:\Users\cech1\AppData\Local\{C6A41083-4899-430D-92D4-85B4EB6E949C} C:\Users\cech1\AppData\Local\{D0C81687-B1CE-498D-87AD-F1C826B5AB06} C:\Users\cech1\AppData\Local\GG C:\Users\cech1\AppData\Local\Mobogenie C:\Users\cech1\AppData\Local\OpenFM C:\Users\cech1\AppData\Roaming\apachesrvin.vbs C:\Users\cech1\AppData\Roaming\die.bat C:\Users\cech1\AppData\Roaming\Minecraft 1.5 NonPremium.rar C:\Users\cech1\AppData\Roaming\ClassicShell\Pinned\startscreen.lnk C:\Users\cech1\AppData\Roaming\setup1 C:\Users\cech1\AppData\Roaming\Skype C:\Users\cech1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\AION.lnk C:\Users\cech1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\cech1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\qksee (2).lnk C:\Users\cech1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\qksee.lnk C:\Users\cech1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome (2).lnk C:\Users\cech1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\OpenFM.lnk C:\Users\cech1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Users\cech1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Mobogenie C:\Users\cech1\Desktop\Ale fajny\Play Just Cause 2.lnk C:\Users\cech1\Desktop\Duperele z Pulpitu\DAEMON Tools Lite.lnk C:\Users\cech1\Desktop\Duperele z Pulpitu\GG.lnk C:\Users\cech1\Desktop\Duperele z Pulpitu\OpenFM.lnk C:\Users\cech1\Desktop\Duperele z Pulpitu\Opera.lnk C:\Users\cech1\Desktop\Duperele z Pulpitu\To jest chemia – zakres podstawowy.lnk C:\Users\cech1\Desktop\Lubię\*.lnk C:\Users\cech1\Desktop\Lubię\Pulpit\DAEMON Tools Pro.lnk C:\Users\cech1\Desktop\Lubię\Pulpit\EA Download Manager.lnk C:\Users\cech1\Desktop\Lubię\Pulpit\eBay.lnk C:\Users\cech1\Desktop\Lubię\Pulpit\Installer Microsoft Visual C++ 2008 Express Edition with SP1.lnk C:\Users\cech1\Desktop\Lubię\Pulpit\Mobogenie.lnk C:\Users\cech1\Desktop\Lubię\Pulpit\OpenFM.lnk C:\Users\cech1\Favorites\eBay.url C:\Users\Default\Favorites\eBay.url C:\Users\Public\Documents\report1.dat C:\Windows\system32\CECH_cech1_HistoryPrediction.bin C:\Windows\System32\drivers\{0c0bb4a8-45a4-4685-9c1d-08d98af4b926}Gw64.sys C:\Windows\System32\drivers\EsgScanner.sys C:\Windows\System32\drivers\HipShieldK.sys C:\Windows\System32\drivers\mferkdet.sys C:\Windows\System32\Tasks\Lenovo C:\WINDOWS\SysWOW64\_SSpm CMD: netsh advfirewall reset CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\cech1\AppData\Local CMD: dir /a C:\Users\cech1\AppData\LocalLow CMD: dir /a C:\Users\cech1\AppData\Roaming RemoveProxy: Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Wyeksportuj zakładki z obecnego profilu, o ile jest co eksportować. Klawisz z flagą Windows + R > w polu Uruchom wklej komendę "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -p i ENTER. Załóż nowy profil, a pozostałe całkowicie skasuj. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj sponsorowane rozszerzenie Avast SafePrice. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Ustaw jako domyślną przeglądarkę tymczasowo Firefox lub Internet Explorer. Na razie nie da się ustawić Google Chrome, dopóki nie zostaną wyczyszczone wpisy klona Seteat z rejestru. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Uruchom FRST ponownie, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt. Seteat;Tencent

Na pendrive nic ciekawego, tylko ten ukryty plik H:\desktop.ini wygląda na pochodną infekcji, ale nie jest on ważny i nic nie robi (zero bajtów), a poza tym to bootowalny pen który i tak będziesz przerabiać. 1. Ostatni skrypt do FRST usuwający odpadkowe katalogi po deinstalacjach oraz immunizację autorun.inf z dysków twardych dorobioną przez USBFix (to ma skutki uboczne na lokalnych dyskach). Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\Lenovo RemoveDirectory: C:\Program Files\Java RemoveDirectory: C:\autorun.inf RemoveDirectory: D:\autorun.inf RemoveDirectory: E:\autorun.inf Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Na wszelki wypadek zrób jeszcze skan za pomocą Hitman Pro. Jeśli wykryje coś innego niż kopie FRST (fałszywy alarm), dostarcz log.

To nie jest malware w rozumieniu aktywności charakterystycznej dla trojanów. To po prostu niepożądane rozszerzenie typu adware, tzn. produkujące reklamy i przekierowania w przeglądarce. Wg raportu siedziało w systemie od zeszłego roku (data instalacji 2015-11-28). Informacyjnie: AdBlock został po cichu przejęty przez Adblock Plus i od wersji 3.0 jeździ na silniku Adblock Plus, a konsekwencją było pojawianie się w nim tej felernej listy "akceptowalnych reklam" (domyślnie zaznaczone). Tak, uBlock Origin jest definitywnie polecany zamiast Adblock Plus i jego klonów. Jeśli chodzi o zgłoszony problem: czy to kółko się kręci na konkretnych stronach, czy po instalacji uBlock Origin modyfikowałeś jego ustawienia domyślne (np. zaznaczyłeś hurtem wszystkie filtry, co obciążyłoby przeglądarkę), czy na pewno efekt jest powiązany z tą instalacją?

Kolejna porcja zadań: 1. Otwórz Notatnik i wklej w nim: ShortcutWithArgument: C:\Users\Konrad\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ ShortcutWithArgument: C:\Users\Konrad\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ ShortcutWithArgument: C:\Users\Konrad\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ ShortcutWithArgument: C:\Users\Konrad\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.mylucky123.com/?type=sc&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avast SafeZone Browser.lnk -> C:\Program Files\AVAST Software\SZBrowser\launcher.exe (Avast Software) -> hxxp://www.mylucky123.com/?type=sc&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ ShortcutWithArgument: C:\Users\Public\Desktop\Avast SafeZone Browser.lnk -> C:\Program Files\AVAST Software\SZBrowser\launcher.exe (Avast Software) -> hxxp://www.mylucky123.com/?type=sc&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.mylucky123.com/?type=hp&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mylucky123.com/search/?type=ds&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ&q={searchTerms} HKU\S-1-5-21-3340888716-2642510718-1188868624-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.mylucky123.com/?type=hp&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ&q={searchTerms} SearchScopes: HKU\S-1-5-21-3340888716-2642510718-1188868624-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.mylucky123.com/search/?type=ds&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.mylucky123.com/?type=sc&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ CHR HomePage: Default -> hxxp://www.mylucky123.com/?type=hp&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ CHR StartupUrls: Default -> "hxxp://www.mylucky123.com/?type=hp&ts=1475225934&z=abf1d6dbca36a3f5767da02gaz4mbwao3o4wat1c1g&from=uvc0929&uid=ST3250820A_9QE7CENJXXXX9QE7CENJ" DeleteKey: HKLM\SOFTWARE\Wow6432Node\Bossseed DeleteKey: HKU\S-1-5-21-3340888716-2642510718-1188868624-1000\Software\Bossseed DeleteKey: HKU\S-1-5-21-3340888716-2642510718-1188868624-1000\Software\Classes\ChromeHTML DeleteKey: HKU\S-1-5-21-3340888716-2642510718-1188868624-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\cc6d5ee0_0 DeleteKey: HKU\S-1-5-21-3340888716-2642510718-1188868624-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\eeaf0632_0 Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\AVAST Software\Avast\PUB-Removed" /v 1d2164d87635cc3 /f Reg: reg delete "HKU\S-1-5-21-3340888716-2642510718-1188868624-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /v "C:\Program Files (x86)\Bossseed\Application\chrome.exe" /f RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Konrad\AppData\Local\Bossseed RemoveDirectory: C:\Users\Konrad\Desktop\Stare dane programu Firefox Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Cóż, dokładnie tak jak w poprzednich wypadkach nie ma tu żadnych śladów infekcji. Problemem jest IP i należy wymusić jego zmianę. PS. Odinstaluj starszą wersję Java 8 Update 66. I możesz uruchomić kosmetyczny skrypt usuwający drobnostki i czyszczący Tempy. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia S4 sptd2; System32\Drivers\sptd2.sys [X] HKLM-x32\...\Run: [FAStartup] => [X] HKLM\...\StartupApproved\Run32: => "SunJavaUpdateSched" HKU\S-1-5-21-598763898-964273417-681385867-1001\...\StartupApproved\Run: => "OneDrive" HKU\S-1-5-21-598763898-964273417-681385867-1001\...\StartupApproved\Run: => "Advanced SystemCare 9" ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => C:\Users\Bartlomiej\AppData\Local\Microsoft\OneDrive\17.3.6281.1202\amd64\FileSyncShell64.dll Brak pliku ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => C:\Users\Bartlomiej\AppData\Local\Microsoft\OneDrive\17.3.6281.1202\amd64\FileSyncShell64.dll Brak pliku ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => C:\Users\Bartlomiej\AppData\Local\Microsoft\OneDrive\17.3.6281.1202\amd64\FileSyncShell64.dll Brak pliku ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => C:\Users\Bartlomiej\AppData\Local\Microsoft\OneDrive\17.3.6281.1202\amd64\FileSyncShell64.dll Brak pliku ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => C:\Users\Bartlomiej\AppData\Local\Microsoft\OneDrive\17.3.6281.1202\amd64\FileSyncShell64.dll Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => C:\Users\Bartlomiej\AppData\Local\Microsoft\OneDrive\17.3.6281.1202\FileSyncShell.dll Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => C:\Users\Bartlomiej\AppData\Local\Microsoft\OneDrive\17.3.6281.1202\FileSyncShell.dll Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => C:\Users\Bartlomiej\AppData\Local\Microsoft\OneDrive\17.3.6281.1202\FileSyncShell.dll Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => C:\Users\Bartlomiej\AppData\Local\Microsoft\OneDrive\17.3.6281.1202\FileSyncShell.dll Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => C:\Users\Bartlomiej\AppData\Local\Microsoft\OneDrive\17.3.6281.1202\FileSyncShell.dll Brak pliku CustomCLSID: HKU\S-1-5-21-598763898-964273417-681385867-1001_Classes\CLSID\{71DCE5D6-4B57-496B-AC21-CD5B54EB93FD}\localserver32 -> C:\Users\Bartlomiej\AppData\Local\Microsoft\OneDrive\17.3.6281.1202\FileCoAuth.exe => Brak pliku DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Eushully C:\Users\Bartlomiej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TEATIME C:\Users\Bartlomiej\Desktop\ReiEditAA2.lnk C:\Users\Bartlomiej\Desktop\らぶギア.lnk C:\Users\Bartlomiej\Desktop\らぶギアスクリーンショットフォルダ.lnk C:\Users\Bartlomiej\Desktop\らぶギア取扱説明書.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST zbędne.

Coś mało tych plików "Files encrypted.txt" skasowanych. Czy na pewno nigdzie ich już nie widzisz? I tu więcej nic nie jestem w stanie zrobić, poza pobocznymi działaniami. Doczyść inne elementy oraz wpisy odpadkowe: 1. Deinstalacje: - Odinstaluj Ace Stream Media 3.1.7 (zintegrowany moduł reklamodawczy uruchamiany po predefiniowanym czasie) oraz !xSpeedPro 1.4 (archaiczny tweaker pod stare systemy). - W Google Chrome odmontuj rozszerzenia Hola - Free VPN, Ad;Block Plus. Hola powiązana z niepożądanymi aktywnościami: KLIK / KLIK. Natomiast to drugie rozszerzenie jest podejrzane i zostało usunięte z Chrome Web Store. - W Firefox sugeruję usunąć Youtube Downloader - 4K Download. To rozszerzenie jest znane z niepożądanych aktywności: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicy: Ograniczenia Startup: C:\Users\Kuba i Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\einfo.exe [2016-09-28] () CustomCLSID: HKU\S-1-5-21-2670859206-3087183214-2171256421-1000_Classes\CLSID\{41B89628-3BF9-D1E3-385B-EC1E477BD28F}\InprocServer32 -> C:\Users\Kuba i Michał\AppData\Roaming\.minecraft\saves\Nowy świat\playerdata\a00bb2dd-3847-3b06-85a5-bdf0c869b306.txt () CustomCLSID: HKU\S-1-5-21-2670859206-3087183214-2171256421-1000_Classes\CLSID\{9C77117E-049E-1C48-2950-AB001B022A89}\InprocServer32 -> C:\Users\Kuba i Michał\AppData\Roaming\.minecraft\saves\Nowy świat-\data\Mineshaft.inf () FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI ipt;version=4.0.5 -> C:\Program Files (x86)\Intel\Intel® Management Engine Components\IPT\npIntelWebAPIIPT.dll [brak pliku] FF Plugin-x32: @intel-webapi.intel.com/Intel WebAPI updater -> C:\Program Files (x86)\Intel\Intel® Management Engine Components\IPT\npIntelWebAPIUpdater.dll [brak pliku] Task: {01B82FEB-2FEA-4FDB-A1FE-01A926B06B66} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {07CE7B31-C7C1-43B4-B482-0AA05F953FDD} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {1134E9A8-8395-401C-B872-202A5894F173} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {143DA133-667F-4AAD-8C93-7FC742D6731A} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {17A9195F-C078-48A7-AE95-916B24C41AF3} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {1AA648AD-D8CF-4759-8400-3B042AA8C0C1} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {1D6A95B1-CEEC-4DA8-A1C8-D1F2E2DB04E7} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {24A522B9-26BA-4E94-B918-1810F2274D3D} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {41A84CA8-E449-4BCA-B816-F18C62F256EA} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {44A89FCF-8DF1-45B7-ACFB-1E33FF61F8F0} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {44E790EF-4BA6-4C30-B738-C5F5C2083B66} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {487A6CE3-1B91-4364-A961-3044C6EB39A8} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {53F3150E-44D5-4D61-8F0B-3B69317295D2} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {56375E71-59CE-4F87-93CC-A96F1524607F} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {61ECBEC7-7149-47B7-9E29-EC31ADE8B256} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {6489B22C-8840-4016-B8C3-FD979BC60FCF} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {69FCE008-65E2-4702-B071-6880EBF38A3B} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku Task: {6A0C031B-EFE5-4451-B80B-FA1B4701AC0B} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {6B77198A-B7C1-4CA3-8E13-EE3E855691BE} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {7D67E329-0850-4D81-8B54-AE9C13FCF306} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {85533619-3A11-4D9C-BEBB-E7E6641C830D} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {8A5F7929-44F2-424F-AD21-2FB17101DCD2} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {8C57B184-E0AC-47B1-A8B2-68C0DB6FF468} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {97043218-AA71-478C-95A3-21B323980277} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {9E18ED44-5AC6-42D6-AAD6-E38D1AE0EB06} - System32\Tasks\{539563CC-23A7-404B-BAE5-E9D5491D82A4} => pcalua.exe -a "D:\Program Files (x86)\Deluxe Ski Jump 4\Setup.exe" -d "D:\Program Files (x86)\Deluxe Ski Jump 4" Task: {A8420187-73E0-420F-A947-E552CF4FF391} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {AC3F17C5-5D79-458B-ADAD-5FB9C2C3C237} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {BAE9E25D-401A-4A58-9F2A-B76ED5F04221} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {BE639ED8-6B8A-450C-8F83-2B9C4ABEFFD3} - System32\Tasks\{AC7EEBDE-C856-4D68-B400-9E09F7FE87D4} => pcalua.exe -a "C:\Users\Kuba i Michał\Downloads\ME(v9.5.15.1730_1.5M)\setup.exe" -d "C:\Users\Kuba i Michał\Downloads\ME(v9.5.15.1730_1.5M)" Task: {D002887D-A383-4099-A7FB-61BC80E2D625} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {D35A1C42-F74D-44BA-8444-BDC9B98B0383} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {D9A832D0-AAE4-4F83-B6E4-4A8636D05AF4} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {DAFD5D86-200A-4817-A8FD-BC115B4E86CD} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {DC56DAA5-BC1C-4846-AA96-CDC6C7FF7D3B} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentLogOn => C:\Program Files\Microsoft Office\Office15\msoia.exe Task: {DEDE361C-067B-4786-A542-9C0C552BC85B} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {E58830CB-6465-47E7-B74F-15B2C30A7259} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {E87A98B3-F18D-4475-8675-342E7CEA4A28} - System32\Tasks\{2F64E152-E0AD-41F3-857F-9861B8B0D51D} => pcalua.exe -a "C:\Program Files (x86)\DS3_service\ScpService.exe" -d "C:\Program Files (x86)\DS3_service" Task: {F7AC6972-47A9-42D8-B4FB-DD7168A4FCCD} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {F9E8EA9C-8D60-4255-9A31-5BB1B5B36871} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentFallBack => C:\Program Files\Microsoft Office\Office15\msoia.exe Task: {FD879963-45A1-4658-9161-DEEF0DAB432B} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\Mozilla\Firefox\Extensions DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center HKU\S-1-5-21-2670859206-3087183214-2171256421-1000\...\StartupApproved\Run: => "AceStream" R3 gkernel; C:\Users\Kuba i Michał\AppData\Local\Temp\gkernel.sys [44544 2016-09-28] () [brak podpisu cyfrowego] U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath CMD: netsh advfirewall reset CMD: type C:\ProgramData\uid.txt C:\ProgramData\uid.txt C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lightworks C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Minecraft C:\Users\Kuba\Desktop\Fallout 4.lnk C:\Users\Kuba i Michał\AppData\Roaming\uid.txt C:\Users\Kuba i Michał\AppData\Roaming\.minecraft\saves\Nowy świat\playerdata\a00bb2dd-3847-3b06-85a5-bdf0c869b306.txt C:\Users\Kuba i Michał\AppData\Roaming\.minecraft\saves\Nowy świat-\data\Mineshaft.inf C:\Users\Kuba i Michał\Desktop\decryptor.exe C:\Users\Kuba i Michał\Desktop\uid.txt C:\Users\Kuba i Michał\Desktop\Battlefield 4.lnk C:\Users\Kuba i Michał\Documents\decryptor.exe C:\Users\Kuba i Michał\Documents\uid.txt C:\Windows\ehome C:\Windows\System32\Tasks\Microsoft\Windows\Media Center EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Wszystko zdaje się być zrobione. Temat więc zamykam. W przypadku podejrzanych objawów lub ujawnienia nowych konsekwencji tej infekcji poproś o otworzenie tematu. Jeśli pojawią się jakieś nowe informacje, oczywiście dostarczę. Na razie "ciemno wszędzie, głucho wszędzie".

Czyli w porządku, to potwierdzenie, że infekcja nigdzie nie czyha. Jej tu po prostu już nie ma, tylko skutki jej działania. Pozostaje zachowanie zaszyfrowanych danych w nadziei na rozwiązanie w przyszłości. Na wszelki wypadek też podaję jaki był identyfikator w Twoich plikach uid.txt (nie wiem czy może to być potrzebne w przyszłości): ========= type C:\ProgramData\uid.txt ========= Your UID: U1CYB96TUT Prędzej doinstalowane ostatnio programy dodające masę obiektów startowych, a nie aktualizacje Windows. 29 września zainstalowałeś bardzo rozbudowany startowo pakiet ESET Smart Security, a także MBAM. Potencjalny kandydat to ESET. Końcowe kroki: 1. Przez SHIFT+DEL (omija Kosz) dokasuj poniższe foldery: C:\Users\hp 250\AppData\Roaming\.ACEStream C:\Users\hp 250\AppData\Roaming\ACEStream 2. Zastosuj też DelFix. GMER i jego logi oraz inne pobrane narzędzia dokasuj sobie ręcznie.

OPERACJE NA KONCIE ANIA: Tu są ślady starej infekcji ransom blokującej dostęp do systemu - tzn. odpadkowy wpis skype.dat. Infekcja ta wślizgiwała się w system poprzez exploity starych wersji Java. 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1057800693-3350837012-1661647793-1003\...\Winlogon: [Shell] explorer.exe,C:\Users\Ania\AppData\Roaming\skype.dat <==== UWAGA HKU\S-1-5-21-1057800693-3350837012-1661647793-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=128 Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nie powinno być restartu. Przedstaw wynikowy fixlog.txt. 2. Wyczyść też Firefox ze starych rozszerzeń, wykonując te same kroki co podane poprzednio. Po resecie Firefox przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu folder Stare dane programu Firefox, a przy okazji i ten z FRST. OPERACJE NA KONCIE ADMIN: 1. W międzyczasie doinstalował się firmowy Asusowy śmieć, czyli Bing Bar. Odinstaluj go. Przegapiłam też, że OpenOffice.org 3.3 do aktualizacji. 2. Następnie końcowy skrypt do FRST o zawartości: BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku Task: {B7817FBA-7A69-4F73-B6FC-E3CCD0D61D98} - System32\Tasks\{7788381F-8EEA-443D-91ED-44295FE8972F} => Firefox.exe hxxp://ui.skype.com/ui/0/5.10.0.115/pl/abandoninstall?source=lightinstaller&amp;page=tsMain RemoveDirectory: C:\AsusVibeData RemoveDirectory: C:\MATS Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nie powinno być restartu. Przedstaw wynikowy fixlog.txt. POZOSTAŁE KONTA: Skoro konta Dominik i Krzysztof są nieużywane, to je po prostu usuń z poziomu Panelu sterowania. Przy kasowaniu potwierdź usuwanie danych użytkownika, by foldery z C:\Users zostały również usunięte.

Nie trzeba "ponawiać pytań" i kasuję ten post. Odpowiadam, gdy jestem w stanie przetworzyć dany temat. Nie było nigdzie opcji zapisu do nowego pliku tekstowego czy dziennika skanowania? Nie używam tego programu, nie wiem jakie są w nim opcje. Chodziło mi o poprzednie wyniki, skany bieżące nie zawierają informacji do której zmierzałam i nie zalecałam ich nawet, podejrzewając że nic w nich nie będzie. Jak mówię, w raportach FRST i GMER żadnych oznak infekcji, a poprzednie wyniki ze skanerów miały być sprawdzone co to właściwie było, czy się wiąże ze zgłoszeniem Cybertarczy. Moim zdaniem nie, te zgłoszenia są generowane w oparciu o spalone IP będące w użyciu przez komputer. Wprawdzie nie mam pełni danych, ale te wyniki z 360 nie wyglądają na istotne, w tym podejrzenie fałszywego alarmu. Skanera tego nie biorę zresztą aż tak poważnie. Znacznie bardziej interesowały mnie wyniki z Kasperskiego, który widział jakieś "trojany", ale nie można tego ocenić. Czy skanery 360 Total Security i Kaspersky zostały już odinstalowane? Zmierzam do ewentualnego usunięcia pewnych szczątkowych wpisów. W pierwszych raportach te skanery były w formie odpadków, ale skoro nowe skany robiłeś, to sytuacja pewnie się zmieniła.

Tak jak w przypadku wszystkich innych tematów, zero objawów infekcji trojanem. Jak wspominałam w konkurencyjnych wątkach, Cybertarcza stawia diagnozę na podstawie IP, a to w sieci Orange jest zmienne i mogłeś otrzymać IP będące wcześniej w użyciu przez zainfekowany "element". Polecono Ci reset routera asygnujący inne IP i to wszystko co można w tej kwestii zrobić. Dla świętego spokoju możesz dodać raporty z pozostałych lapków w sieci. PS. Do wykonania poboczne działania: 1. Odinstaluj stare niebezpieczne wersje: Adobe AIR, Adobe Flash Player 10 ActiveX, Adobe Flash Player 21 NPAPI, Adobe Reader X MUI, Java™ 6 Update 20. To zagrożenie infekcjami szyfrującymi dane. Najnowsze wersje w przyklejonym: KLIK. 2. Drobny kosmetyczny skrypt usuwający wpisy szczątkowe i przekierowania gazeta.pl (prawdopodobnie wtręty wprowadzone przez instalację AllPlayer lub czegoś podobnego). Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {06854BE8-025E-4083-BDC4-533096D2A033} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> Brak pliku Task: {2F57269B-1E09-4E2D-AB1E-B0FDAC7D279C} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> Brak pliku Task: {7CFF3F1D-8562-4D2D-A071-2CE3982B9B21} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> Brak pliku Task: {994C86AD-A929-4B2C-88A0-4E25A107A029} - System32\Tasks\Microsoft\Windows\SystemRestore\SR => C:\Windows\system32\srtasks.exe Task: {A6AF9377-77CE-47AB-AD7D-EC32CAD0C82D} - System32\Tasks\Microsoft\Windows\Location\Notifications => C:\Windows\System32\LocationNotificationWindows.exe Task: {AC4E5ACF-89F7-4220-BA21-81EE183975E2} - \Microsoft\Windows\Application Experience\AitAgent -> Brak pliku Task: {CEE64558-E1A7-4D9D-80A7-2001912BE5B5} - \Microsoft\Windows\MemoryDiagnostic\CorruptionDetector -> Brak pliku Task: {FA2BC0A6-8D4B-458A-85C8-2B8C72487513} - \Microsoft\Windows\MemoryDiagnostic\DecompressionFailureDetector -> Brak pliku S3 Tosrfcom; Brak ImagePath S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = HKU\S-1-5-21-1725284843-4271641495-247276432-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=190 CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx CHR HomePage: Default -> hxxp://www.gazeta.pl/0,0.html?p=190 CHR StartupUrls: Default -> "hxxp://www.gazeta.pl/0,0.html?p=190" FF Homepage: hxxp://www.gazeta.pl/0,0.html?p=190 FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 C:\Program Files (x86)\GUT9A0E.tmp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\2K Games C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALLSubtitleSearcher C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TOSHIBA\Rejestracja gwarancji firmy Toshiba.lnk C:\Users\Bartosz\Downloads\Niepotwierdzony 164862.crdownload C:\Users\Public\Desktop\Rejestracja gwarancji firmy Toshiba.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.

W raportach nie widać żadnych oznak tej infekcji. Tak jak w przypadku innych tematów, zapewne problem to IP. PS. Do wykonania tylko poboczne działania: 1. W Google Chrome w Profilu numer 4 (Moki) jest rozszerzenie adware Video AdBlock for Chrome. Odinstaluj je. 2. Drobny skrypt kosmetyczny usuwający wpisy puste i czyszczący lokalizacje tymczasowe. Otwórz Notatnik i wklej w nim: CloseProcesses: ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => Brak pliku ShellIconOverlayIdentifiers-x32: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => Brak pliku FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files\Microsoft Silverlight\5.1.41105.0\npctrl.dll [brak pliku] FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files (x86)\Microsoft Silverlight\5.1.41105.0\npctrl.dll [brak pliku] Task: {2B9BC5D7-7F8B-4A18-93CC-6EAD0BEBD7D3} - System32\Tasks\{AB83378C-1AD1-4583-9894-F45CE0708B68} => Chrome.exe hxxp://ui.skype.com/ui/0/7.13.0.101/pl/abandoninstall?source=lightinstaller&page=tsInstall EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST zbędne.

Brakuje pliku Fixlog.txt z wynikami usuwania. Nie uruchamiaj skryptu FRST ponownie, log jest w folderze z którego uruchomiłeś FRST. Tak, gdyż pomyliłeś opcje. Podawałam, by uruchomić Szukaj w rejestrze (Search Registry), a Ty uruchomiłeś Szukaj plików (Search Files). Powtarzaj wyszukiwanie. Tak, bo w międzyczasie doinstalował się nowy chłam i konfiguracja przeglądarek została ponownie zmieniona (liczne przekierowania na mylucky123.com). Będziemy to wszystko ponownie usuwać, ale najpierw czekam na w/w log z szukania w rejestrze.

W Opcjach folderów musisz odznaczyć Ukrywaj rozszerzenia znanych typów plików. W eksploratorze będziesz widzieć pełną nazwę, i wtedy normalna próba zmiany nazwy (zastąpienie .log przez .txt). Przepraszam. Literówka mi się zaplątała w jednej komendzie, tu miał być parametr /s (rekursywne usuwanie z całego dysku): del /q /s "C:\Files encrypted.txt"

Wszystko wykonane. Teraz podepnij pendrive i zrób log z USBFix z opcji Listing.

Nie wiem o co chodzi z Addition. Problemy rozwiązałeś tylko częściowo. Owszem, usunąłeś Necurs i jeden obiekt ze startu, ale infekcja uruchamiająca skrypt PowerShell nadal jest w systemie. 1. Deinstalacje: - Przez Panel sterowania odinstaluj stare wersje z lukami Adobe Reader 9.5.0 - Polish, Adobe Shockwave Player 12.2, Java 7 Update 79 oraz potencjalnie niechciany program (PUP) Lenovo SHAREit. - Uruchom Program Install and Uninstall Troubleshooter iza jego pomocą usuń Metric Collection SDK 35. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1293939364-4137197343-2779268670-1000\...\Run: [{E9C93E7A-DC36-4E9E-9FF6-DA002F8B7829}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\WSAasgKSPmqLOk').kjnHgEWOReXFkVT))); MSCONFIG\startupreg: {E9C93E7A-DC36-4E9E-9FF6-DA002F8B7829} => C:\Windows\system32\WindowsPowerShell\v1.0\powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\WSAasgKSPmqLOk').kjnHgEWOReXFkVT))); Task: {4A1C8E74-D2C8-44B7-AF4C-17ED02ED1B04} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 35 => C:\Program Files\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe S0 5d8039a9b7e0d966; \SystemRoot\System32\Drivers\5d8039a9b7e0d966.sys [X] HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> DeleteKey: HKCU\Software\Classes\WSAasgKSPmqLOk DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Mozilla\Thunderbird C:\Users\User\Desktop\j. niemiecki\Nowy folder — skrót (2).lnk C:\Windows\Installer\{B507FC13-3D3C-1391-EC52-1DFACAAC69F0} C:\Windows\System32\Tasks\Lenovo CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Utworzyłeś na Pulpicie folder o nazwie FRST + GMER i tam pobrałeś te programy, czyli z tego folderu uruchamia się FRST. Skrypt do FRST musi być w tym samym folderze gdzie jest FRST, czyli właśnie tym, i musi mieć nazwę fixlist.txt, by FRST go znalazł. Czyli nic w ogóle nie usuwasz z tego folderu, żadnych plików czy logów, tylko tworzysz tam nowy plik o nazwie fixlist.txt zawierający podany przeze mnie skrypt.

W Menu Start w Akcesoriach albo Start > w polu szukania wpisz notepad i klik na wynik.