picasso

hgps, jak mówię, to nie są pliki zdjęć tylko skróty LNK. Właściwości skrótów (które teraz pokazujesz na obrazku) są znane już z pliku Shortcut.txt i to nic nie wnosi do sprawy, bo skrótu nie zmienisz w zdjęcie. Te pliki są do niczego (będą do usunięcia). Ponawiam pytanie gdzie miały się znajdować właściwe pliki graficzne (JPG, PNG, etc.), w jakiej ścieżce, czy dokładnie tej samej gdzie są skróty? Przeszukaj wszystkie dyski pod kątem przykładowej nazwy pliku graficznego, rezultaty będące skrótami się nie liczą.

Ja tylko dodam, gdyby ktoś inny szukał informacji, że Dr. Web dekoduje warianty infekcji, jeśli infekcja nastąpiła przed czerwcem 2016: Files compromised by CryptXXX can now be decrypted by Doctor Web. Obecnie nie ma innych możliwości. Wprawdzie Trend Micro Ransomware File Decryptor deklaruje obsługę formatu crypz, ale dekodowanie może być tylko częściowe (wynikiem są i tak uszkodzone pliki).

Brak oznak infekcji malware. Widać tu tylko szczątkowe ślady używania "Asystenta pobierania" dobrychprogramów (przy pobieraniu programu Faktury Express 7), inne odpadki oraz śmieci Lenovo. 1. Deinstalacje: - Klawisz z flagą Windows > Programy i funkcje > odinstaluj: Amazon 1Button App, Badanie mające na celu poprawę produktów HP Deskjet 1510 series, CCSDK, Maxthon Cloud Browser, Metric Collection SDK 35, SHAREit (jeśli nie używany), UESDK. Maxthon jest związany z aferą z prywatnością: KLIK. - Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą zlikwiduj Metric Collection SDK 35. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] S3 mfeaack01; \Device\mfeaack01.sys [X] Task: {0D8A891D-890C-4808-84D8-2F436AB14653} - \Microsoft\Windows\Application Experience\AitAgent -> Brak pliku Task: {1274336E-AB06-46B6-A48C-0671C5557CC6} - \Microsoft\Windows\TaskScheduler\Maintenance Configurator -> Brak pliku Task: {1687544D-7247-4F5A-965A-A6E920E55278} - \Microsoft\Windows\TaskScheduler\Manual Maintenance -> Brak pliku Task: {6F02587F-8A2B-4552-97F6-DEEF229E335B} - \Microsoft\Windows\TaskScheduler\Idle Maintenance -> Brak pliku Task: {82CF0AC9-856E-4DCF-8EE0-68CD870D41CD} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-08-18] (Lenovo) Task: {B7992938-01F1-4F40-A0EC-0D23D2F0F152} - \Microsoft\Windows\TaskScheduler\Regular Maintenance -> Brak pliku Task: {BB1A751C-D87A-4F7D-9CAA-01DBF80279AE} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2014-09-10] (Lenovo) Task: {CFD7C21A-808B-487B-A6EC-8A10E44E8360} - \Microsoft\Windows\SettingSync\BackupTask -> Brak pliku Task: {D6F4A061-CEFB-4F38-81EC-6E80ECDD3011} - System32\Tasks\Microsoft\Windows\Location\Notifications => C:\Windows\System32\LocationNotificationWindows.exe Task: {DCF2D225-A323-4EEA-8684-CDD53E02BA70} - System32\Tasks\Microsoft\Windows\DiskFootprint\Diagnostics => C:\Windows\system32\disksnapshot.exe Tcpip\..\Interfaces\{1F8F68F4-87F8-4758-B32B-7FABA8C4AD59}: [DhcpNameServer] 150.204.1.2 SearchScopes: HKU\S-1-5-21-2752686036-204500338-1366304317-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = C:\Users\User\AppData\Local\Microsoft\Windows\Application Shortcuts\E046963F.LenovoCompanion_k1h2ywk1493x8\App.lnk C:\Users\User\AppData\Local\Microsoft\Windows\Application Shortcuts\DailymotionSA.Dailymotion_6dqnvyezrysvy\App.lnk C:\Users\User\AppData\Local\Microsoft\Windows\Application Shortcuts\TripAdvisorLLC.TripAdvisorHotelsFlightsRestaurants_qj0v5chwq8f2g\App.lnk C:\Users\User\AppData\Local\Microsoft\Windows\Application Shortcuts\Microsoft.BingTranslator_8wekyb3d8bbwe\App.lnk C:\Users\User\AppData\Local\Microsoft\Windows\Application Shortcuts\Weather.TheWeatherChannelforLenovo_t3yemqpq4kp7p\App.lnk C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lenovo Web Start.lnk C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Menu.lnk C:\Users\User\Desktop\Booking.URL C:\Users\User\Desktop\Continue Faktury Express installation.lnk C:\Users\User\Desktop\Faktury-Express-12203-dp(1).exe C:\Users\User\Desktop\PRO PC Cleaner.lnk C:\Users\User\Documents\PROPCCleaner C:\Users\Public\Desktop\ByteFence Anti-Malware.lnk DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Application Restart #2" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows" /v AppInit_DLLs /t REG_SZ /d "" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.

KOMPUTER Z WINDOWS 8: Uruchom AdwCleaner ponownie, wybierz po kolei oipcje Skanuj + Oczyść. Przedstaw wynikowy log z czyszczenia. KOMPUTER Z WINDOWS XP: To skrypt z 64-bitowego Windows 8 a nie XP, nie mający żadnego zastosowania na XP, ani związku z infekcją pendrive. W raportach z XP nie ma oznak aktywnej infekcji. A co do pendrive, to nie widzę by został wykonany ten zestaw instrukcji:

Rosyjskie rozszerzenia reinstalują się w kółko w Chrome, gdyż są zarejestrowane ich reinstalatory na poziomie rejestru (wpisy typu CHR HKLM-x32). Poza tym, są ustawione rosyjskie serwery DNS (91.109.206.194,98.158.96.96) oraz nadal aktywna usługa "Ghostery Storage Server" (instalowana w grupie ruskiej). Operacje do wdrożenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Ghostery Storage Server; C:\Program Files (x86)\Ghostery Storage Server\ghstore.exe [346624 2016-08-17] () [brak podpisu cyfrowego] Tcpip\..\Interfaces\{58F486DD-7583-4CDC-A8DE-0209DD939032}: [NameServer] 91.109.206.194,98.158.96.96 Tcpip\..\Interfaces\{820C23CE-8DC9-4EBA-9569-A78B775FB618}: [NameServer] 91.109.206.194,98.158.96.96 Tcpip\..\Interfaces\{846ee342-7039-11de-9d20-806e6f6e6963}: [NameServer] 91.109.206.194,98.158.96.96 Tcpip\..\Interfaces\{8C6ED356-C0DF-4D39-ADA0-BAF5F00A23CF}: [NameServer] 91.109.206.194,98.158.96.96 Tcpip\..\Interfaces\{93576207-9A2E-47C2-A63B-32BE74D79751}: [NameServer] 91.109.206.194,98.158.96.96 Tcpip\..\Interfaces\{B27F2DF6-92B8-4E29-8227-2ED170ADEB86}: [NameServer] 91.109.206.194,98.158.96.96 Tcpip\..\Interfaces\{DE87F1A1-F6EC-4D09-B587-B813C3E4094E}: [NameServer] 91.109.206.194,98.158.96.96 FirewallRules: [{89F61C04-AB02-4363-B0D0-C3D852EDD25E}] => (Allow) C:\Users\Szymon\AppData\Local\Amigo\Application\amigo.exe CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__ CHR StartupUrls: Default -> "hxxp://mail.ru/cnt/10445?gp=811040" CHR HKLM-x32\...\Chrome\Extension: [ccfifbojenkenpkmnbnndeadpfdiffof] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [oelpkepjlgmehajehfeicfbjdiobdkfj] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ojlcebdkbpjdpiligkdbbkdkfjmchbfd] - hxxps://clients2.google.com/service/update2/crx SearchScopes: HKU\S-1-5-21-2855020868-3869322530-1295888790-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2855020868-3869322530-1295888790-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = CustomCLSID: HKU\S-1-5-21-2855020868-3869322530-1295888790-1000_Classes\CLSID\{820D63D5-8CFF-46DE-86AF-4997DEDD6DB5}\localserver32 -> "C:\Windows\system32\igfxEM.exe" => Brak pliku DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Ghostery Storage Server C:\Program Files (x86)\Temp CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Домашняя страница Mail.Ru, Визуальные Закладки Mail.Ru, Mail.Ru. Po użyciu skryptu FRST nie powinny się już reinstalować Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Wszystko wykonane, ale pojawił się nowy aktywny element adware. Poprawki: 1. Otwórz Notatnik i wklej w nim: (Trend Corp.) C:\Users\admin\AppData\Roaming\setup1\TSvr.exe R2 IhPul; C:\Users\admin\AppData\Roaming\setup1\TSvr.exe [210128 2016-08-12] (Trend Corp.) Task: {EBC54C24-E30F-4495-8AB0-E9C96FDFE9C9} - \ChelfNotify Task -> Brak pliku HKU\S-1-5-21-4038774321-322845962-4165907321-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\admin\AppData\Local\Akamai\netsession_win.exe" HKU\S-1-5-21-4038774321-322845962-4165907321-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://search.avast.com/AV772/ SearchScopes: HKLM-x32 -> {8C31F27B-BE8A-4e4b-A478-17760AF1F5D9} URL = hxxps://search.avast.com/AV772/search/web?q={searchTerms} SearchScopes: HKU\S-1-5-21-4038774321-322845962-4165907321-1001 -> {8C31F27B-BE8A-4e4b-A478-17760AF1F5D9} URL = hxxps://search.avast.com/AV772/search/web?q={searchTerms} FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF C:\ProgramData\cwinpc C:\Users\admin\AppData\Roaming\setup1 C:\WINDOWS\SysWOW64\pl.html C:\WINDOWS\SysWOW64\pl_146046.html Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Wszystko pomyślnie wykonane. Kończymy: 1. Otwórz Notatnik i wklej w nim: Task: {09B54DF9-A9F9-4BF1-8945-9A1A5103891A} - System32\Tasks\TuneUpUtilities_Task_BkGndMaintenance2013 => C:\Program Files (x86)\AVG\AVG PC TuneUp\OneClick.exe Task: {79D63C87-5185-4AC8-AFE9-B58B4B869EF5} - System32\Tasks\AVGPCTuneUp_Task_BkGndMaintenance => C:\Program Files (x86)\AVG\AVG PC TuneUp\tuscanx.exe RemoveDirectory: C:\MATS RemoveDirectory: C:\Quarantine Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). 2. Przez SHIFT+DEL (omija Kosz) upłynnij FRST i jego logi z folderu: C:\Users\Żaneta\Documents\diagnostyka 3. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Logi powinny być załączone z osobna, brak też trzeciego obowiązkowego pliku FRST Shortcut.txt. Temat przenoszę do właściwego działu, tzn. diagnostyki infekcji, gdyż omawiana klasa to pozostałość po adware. Prawdopodobnie klucz klas "Unknown" jest skojarzony z nieistniejącym już programem adware. Wstępnie będę tylko pobierać dane o klasach (edycje dopiero w drugim podejściu). Dodatkowo do wyczyszczenia są Tempy, drobne śmieci (odpadkowe / puste wpisy) oraz pozostałości niepoprawnie odinstalowanego Proxifiera. Działania do przeprowadzenia: 1. Google Chrome jest tu w wersji development. Skoro występują tu ślady adware Multiplug ("YooutubeeAdBLLocke"), przypuszczalnie to właśnie adware przekonwertowało edycję stabilną do tej postaci i należy przeinstalować przeglądarkę od zera. Przy okazji odinstaluj stare wersje i zbędny program HP: Adobe AIR, Adobe Shockwave Player 12.0, HP Customer Participation Program 13.0, Java 8 Update 45. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Winsock: Catalog5 07 C:\Windows\SysWOW64\PrxerNsp.dll [56424 2012-11-22] () Winsock: Catalog5-x64 07 C:\Windows\system32\PrxerNsp.dll [57448 2012-11-22] () Task: {49CAE9FF-DF32-48E1-8920-770C1AE506E8} - System32\Tasks\{1F18FC31-3DA1-4FA2-88A1-52C2A30B9567} => C:\Program Files (x86)\JoWooD\Gothic II\System\Gothic2.exe Task: {64436CC6-553E-4815-A48A-EFE14475F0D8} - System32\Tasks\{4E44C36A-E3A4-48B5-86A1-73D0EEB00C48} => pcalua.exe -a C:\Users\Mati\Downloads\RW2009setup.exe -d C:\Users\Mati\Downloads Task: {6869087B-C180-416A-8895-7796DA81F697} - System32\Tasks\{D800E1D9-F658-4167-A4E6-2E2D5C28DF29} => pcalua.exe -a "C:\Program Files (x86)\Hi-Rez Studios\HiRezGamesDiagAndSupport.exe" -c uninstall=17 Task: {6BE95FB3-0A10-4413-8C01-003D80718D66} - System32\Tasks\{C2FDA208-A79E-4B58-A282-58FFAF728BAA} => C:\Users\Mati\Downloads\Need for Speed Underground 2 PL\Keygen & Patch & Crack\Crack 1.2\SPEED2.EXE Task: {6C752971-78E1-4A8D-9810-F04B1DCA6E46} - System32\Tasks\{CBD6E9F2-C465-4724-B8FF-794E8AE423C4} => pcalua.exe -a C:\Users\Mati\Desktop\NFS_ProStreet_Booster_Pack_tool\NFSPSBoosterPack.exe -d C:\Users\Mati\Desktop\NFS_ProStreet_Booster_Pack_tool Task: {6D7A136E-838F-4503-9767-395BAAE68C0F} - System32\Tasks\{7F14CB24-C768-44F6-9342-A4E030B84336} => C:\Users\Mati\Downloads\Need for Speed Underground 2 PL\Keygen & Patch & Crack\Crack 1.2\SPEED2.EXE Task: {778DE264-FB73-4FCB-9F80-8CA83A1DBAA4} - System32\Tasks\{CA002BCA-0B1B-403D-BFEB-57EA7DF4DB62} => C:\Users\Mati\Downloads\Euro Truck Simulator 2 v1.16.2s (20 DLC)(2015)(2-click run)\Euro Truck Simulator 2 v1.16.2s (20 DLC)(2015)(2-click run).exe Task: {8B9A58DA-C471-4CEF-B05D-F2C06EEC313C} - System32\Tasks\{5D30DFBA-5E59-483E-9EED-7B571D614B92} => pcalua.exe -a C:\Users\Mati\Downloads\setup(1).exe -d C:\Users\Mati\Downloads Task: {964EDBF1-40F6-4721-A054-B44B33BD54B1} - System32\Tasks\{7D45E101-DCA7-49B2-A0A9-D3B8914DB52E} => C:\Program Files (x86)\JoWooD\Gothic II\System\Gothic2.exe Task: {B14EC349-8374-4AAC-8EF2-80C2179D434F} - System32\Tasks\{8208E0EB-06AB-4211-8A5F-CB3C9D747165} => pcalua.exe -a C:\Users\Mati\Downloads\VirtualBox-4.3.20-96997-Win(1).exe -d C:\Users\Mati\Downloads Task: {B32AAFE4-74A7-447C-9920-1C37AD3D19D2} - System32\Tasks\{BEAC4FD1-644D-4466-B2C4-064466CF6112} => pcalua.exe -a "C:\Program Files (x86)\Ubisoft Studios\Zombi\Support\Installers\GDFInstall.exe" -d "C:\Program Files (x86)\Ubisoft Studios\Zombi\Support\Installers" Task: {B4FFC200-A3D3-48CD-BBD5-97C74954DAAE} - System32\Tasks\{C6B68A44-CFDE-4F02-AFB2-55F2DAF21A82} => C:\Program Files (x86)\JoWooD\Gothic II\System\Gothic2.exe Task: {B50433E8-C7B2-4B0A-8EF7-619FDE447765} - System32\Tasks\{28DC3871-FA8C-4CCB-A69B-C133A73E20E8} => C:\Program Files (x86)\JoWooD\Gothic II\System\Gothic2.exe Task: {C29C6286-9710-49A7-A993-B1142429BAD4} - System32\Tasks\{0F11F36A-5495-492B-93FA-DF26285BA183} => C:\Program Files (x86)\JoWooD\Gothic II\System\Gothic2.exe Task: {CBD3CC4F-6199-43BB-88D0-3738DA69B74F} - System32\Tasks\{5DF46304-91CE-4E5B-8B4A-81564DA276FA} => pcalua.exe -a C:\Users\Mati\Downloads\dotNetFx35setup(1).exe -d C:\Users\Mati\Downloads Task: {CEAAB02F-23DE-4ED9-AC20-501662C693CA} - System32\Tasks\{9A13FBD3-C4D6-4988-9ECA-380431AD569A} => C:\Program Files\Rockstar Games\Grand Theft Auto V\PlayGTAV.exe Task: {D49D641D-C7A0-4753-A821-13F9EBD97F58} - System32\Tasks\{74F1C71F-101F-4CBD-AEC2-B932A33AE927} => pcalua.exe -a "C:\Program Files (x86)\Steam\steamapps\common\Left 4 Dead 2\bin\addoninstaller.exe" -d "C:\Program Files (x86)\Steam\steamapps\common\Left 4 Dead 2" -c /register Task: {E23028BF-8EE5-43D3-A0C6-82D7CE1C415D} - System32\Tasks\{D8254A74-75DE-4C25-BBB1-2143F9E2BCAC} => C:\Program Files (x86)\JoWooD\Gothic II\System\Gothic2.exe Task: {FA1953E6-E58F-4ED3-87A7-CDA8438D1B68} - System32\Tasks\{17E1EBD4-BF2B-4A80-9B84-A4B0F443D3D8} => C:\Users\Mati\Downloads\Euro Truck Simulator 2 v1.16.2s (20 DLC)(2015)(2-click run)\Euro Truck Simulator 2 v1.16.2s (20 DLC)(2015)(2-click run).exe Task: {FE2154A0-813F-494E-8A2E-FC867F2C0CB0} - System32\Tasks\{2ACD87F0-C08E-4D7A-91DF-3971D2CB193C} => C:\Users\Mati\Downloads\Euro Truck Simulator 2 v1.16.2s (20 DLC)(2015)(2-click run)\Euro Truck Simulator 2 v1.16.2s (20 DLC)(2015)(2-click run).exe CustomCLSID: HKU\S-1-5-21-2663191338-1560983532-3104920657-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Mati\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku HKU\S-1-5-21-2663191338-1560983532-3104920657-1000\...\Run: [blueStacks Agent] => C:\Program Files (x86)\Bluestacks\HD-Agent.exe HKU\S-1-5-21-2663191338-1560983532-3104920657-1000\...\Policies\Explorer: [HideClock] 0 HKU\S-1-5-21-2663191338-1560983532-3104920657-1000\...\Policies\Explorer: [NoFind] 0 HKU\S-1-5-21-2663191338-1560983532-3104920657-1000\...\Policies\Explorer: [NoViewContextMenu] 0 GroupPolicyScripts: Ograniczenia S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] U0 sr; Brak ImagePath FF Plugin: adobe.com/AdobeAAMDetect -> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\CCM\Utilities\npAdobeAAMDetect64.dll [brak pliku] FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-2663191338-1560983532-3104920657-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Users\Mati\AppData\Roaming\update.dat C:\Windows\system32\PrxerNsp.dll C:\Windows\SysWOW64\PrxerNsp.dll Reg: reg query HKLM\SOFTWARE\Classes\Unknown /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 3. Uruchom FRST ponownie, w polu Szukaj wklej poniższą frazę i klik w Szukaj w rejestrze. Dostarcz wynikowy SearchReg.txt. YooutubeeAdBLLocke

Będę sprawdzać polityki Windows Defender ustawione w rejestrze. To nie jest raczej związane z infekcją. Być może: nie działa usługa wyszukiwania, naruszone komponenty systemowe, wadliwe rozszerzenie powłoki eksplorer. To normalne. Twój system nie obsługuje edycji gpedit. Ta możliwość jest w Pro i Enterprise. Platform: Windows 10 Home (X64) Język: Polski (Polska) Nie próbuj przypadkiem instalować nieoficjalnych paczek rzekomo implementujących gpedit na edycjach Home. To nie działa poprawnie. W systemie widać tylko szczątki infekcji i odinstalowanych aplikacji. Działania do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj zbędny program Lenovo Experience Improvement. Jeśli nie korzystasz, możesz się też pozbyć REACHit i SHAREit. - Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń Metric Collection SDK i Metric Collection SDK 35. Dwie pozycje, więc program należy uruchomić dwa razy. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: AppInit_DLLs: C:\ProgramData\Konksolex\ZoneGotam.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Konksolex\Hattraxtouch.dll => Brak pliku ShellIconOverlayIdentifiers: [JzShlobj] -> {7B286609-DA97-47E1-AC6B-33B8B4732C95} => Brak pliku ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => Brak pliku SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-3562009082-1077438095-1519389639-1001 -> {046BF511-2AAC-4E4A-96F8-813EB01E3F81} URL = S2 Citdhwa; "C:\Users\OSHI\AppData\Roaming\AzigcWig\Geeswu.exe" -cms [X] S2 mccspsvc; "C:\Program Files\Common Files\McAfee\CSP\1.5.471.0\McCSPServiceHost.exe" [X] S2 nplus; "C:\Program Files\ktip\ktip.exe" /s iid=8202248 did=APSFTuto4PC sid=11 ref=42b4b248-27ad-c56a-8635-19532422e091-PolicyMac id=2f06fafcae001e9deaa8c16f5bb034930462277e3185461210b98f9f4f562a1f [X] S4 ZAMSvc; "C:\Program Files (x86)\Zemana AntiMalware\ZAM.exe" /service [X] R1 ZAM_Guard; C:\WINDOWS\System32\drivers\zamguard64.sys [203680 2016-08-14] (Zemana Ltd.) S1 ZAM; \??\C:\WINDOWS\System32\drivers\zam64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" Task: {5C6D597E-D422-4F1F-ACD9-DB72AB5CADD6} - System32\Tasks\PDVDServ12 Task => C:\Program Files (x86)\Lenovo\PowerDVD12\PDVD12Serv.exe Task: {83579E3D-859E-4993-94E8-78C5A414E94B} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {8A5B1FAF-F2BC-4DD3-BA36-0860DF12FE67} - \{CF64F1F3-5270-43E2-8720-4927EC49D27F} -> Brak pliku Task: {B2B5E1D6-758F-4DF0-91BB-83349233FD95} - System32\Tasks\{9B7C31D8-3596-4F2E-A6F3-D9C67824A619} => pcalua.exe -a "C:\Program Files (x86)\ContentPush\uninstall.exe" -c /uninstall Task: {EC76D032-914D-4187-927B-1887EE2ED5D7} - System32\Tasks\Dahashhecech Reports => C:\Program Files (x86)\Phervck\DahashhecechReportszlt.exe Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{B6790A07-E8FA-4B86-844E-EA12EFC94972} DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files\Plumbytes Software C:\Program Files\żěŃą C:\Program Files\nplus C:\Program Files (x86)\bsgB99D C:\Program Files (x86)\sbqh C:\Program Files (x86)\Security Task Manager C:\Program Files (x86)\UCBrowser C:\Program Files (x86)\Winamp C:\Program Files (x86)\yu6D58C C:\Program Files (x86)\Zemana AntiMalware C:\ProgramData\AVAST Software C:\ProgramData\SecTaskMan C:\Users\OSHI\AppData\Local\cooqolemetetionsuzaward C:\Users\OSHI\AppData\Local\Tempfolder C:\Users\OSHI\AppData\Local\UCBrowser C:\Users\OSHI\AppData\Local\Zemana C:\Users\OSHI\AppData\LocalLow\Company C:\Users\OSHI\AppData\Roaming\*.* C:\Users\OSHI\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9501e18d7c2ab92e\Google Chrome.lnk C:\Users\OSHI\AppData\Roaming\Mozilla C:\WINDOWS\ZAM_Guard.krnl.trace C:\WINDOWS\ZAM.krnl.trace C:\WINDOWS\system32\Drivers\zamguard64.sys C:\WINDOWS\system32\Drivers\etc\hp.bak C:\WINDOWS\system32\pido CMD: netsh advfirewall reset Reg: reg query "HKLM\SOFTWARE\Policies\Microsoft\Windows Defender" /s Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\WSearch /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Wszystko zrobione. Drobne poprawki: 1. Otwórz Notatnik i wklej w nim: S2 KuaizipUpdateChecker; C:\Program Files\żěŃą\X86\kuaizipUpdateChecker.dll [X] StartMenuInternet: IEXPLORE.EXE - iexplore.exe RemoveDirectory: C:\32788R22FWJFW RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\WINDOWS\erdnt Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Czyli wszystko w porządku. Na zakończenie, o ile już tego nie zrobiłeś, przez SHIFT+DEL (omija Kosz) skasuj folder C:\FRST z kwarantanną oraz FRST i jego logi. Wyczyść też foldery Przywracania systemu: KLIK. To wszystko.

Jedyne co ja tu widzę, to niedomyślne ustawienia UAC: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 2) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1) Domyślne to: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System => (ConsentPromptBehaviorAdmin: 5) (ConsentPromptBehaviorUser: 3) (EnableLUA: 1) Wejdź do Panelu sterowania do ustawień UAC, przesuń suwak na pozycję domyślną i zatwierdź. Zresetuj system. Podaj czy są zmiany.

Poprawki: 1. Nie został odinstalowany zbędny program HP Customer Participation Program 13.0. 2. W Google Chrome nadal ustawienia startowe adware. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie adresy z wyjątkiem Google. 3. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{1146AC44-2F03-4431-B4FD-889BC837521F}{1678b813} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{1146AC44-2F03-4431-B4FD-889BC837521F}{b2902a13} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{1146AC44-2F03-4431-B4FD-889BC837521F}{c7035300} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{12DA0E6F-5543-440C-BAA2-28BF01070AFA}{c6a5f59a} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\PCData App HKU\S-1-5-21-2212758980-1354942390-246654559-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Admin\AppData\Local\Akamai\netsession_win.exe" RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\PCDApp RemoveDirectory: C:\Users\Admin\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Admin\Downloads\FRST-OlderVersion Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. Do wglądu te wątki: KLIK, KLIK.

1. Pomimo użycia RepairDNS nadal w raporcie FRST widać infekcję pliku C:\Windows\SysWOW64\dnsapi.dll. Powtórz operację z RapairDNS i dostarcz wynikowy log RepairDNS.txt. 2. Kolejna operacja do przeprowadzenia przy podpiętych pendrive. Zakładam, że nadal są mapowane pod literami F i H, w przeciwnym wypadku w skrypcie podstaw pasujące litrery. Otwórz Notatnik i wklej w nim: CMD: del /q "F:\Removable Drive (16GB).lnk" CMD: del /q "H:\RYSZARD (8GB).lnk" CMD: attrib /d /s -s -h F:\* CMD: attrib /d /s -s -h H:\* CMD: ipconfig /flushdns RemoveProxy: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files\Common Files\McAfee RemoveDirectory: C:\Program Files (x86)\McAfee RemoveDirectory: C:\ProgramData\McAfee Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. 3. Jeśli wszystko pójdzie dobrze, na obu pendrivach odkryje się folder "bez nazwy", do którego infekcja przesunęła dane. Wszystko przenieś poziom wyżej, a folder "bez nazwy" skasuj przez SHIFT+DEL (omija Kosz).

1. Wprawdzie zadanie pomyślnie wykonane, ale został wykonany skrypt przed moją edycją. W pierwszej chwili nie zauważyłam Picasy od Google na liście zainstalowanych i mając w zamiarze usunięcie szczątków Google Chrome, załączyłam globalne obiekty Google. Potem się zreflektowałam i poprawiłam ścieżki zawężając do usuwania tylko obiektów Chrome, ale jak widać zrobiłam to za późno. Należy przeinstalować Picasę. 2. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Tylko się upewnię: synchronizacja obejmowała tylko element na dysku, czyli zadanie w Harmonogramie nie odtworzyło się?

To nie wygląda na problem infekcji, temat zostaje przeniesiony do działu Sieci. W kwestii problemu zasadniczego, w raportach brak konkretów, ale upewnij się że problemu nie tworzy po prostu stary pakiet G DATA TOTAL PROTECTION z wbudowanym firewallem. Na próbę program odinstaluj. Jeśli nie przyniesie to rezultatów, dostarcz raporty wymagane działem Sieci: KLIK. PS. W spoilerze drobne działania poboczne (czyszczenie Tempów, reset pliku Hosts i usunięcie drobnych szczątkowych wpisów), nie związane z problemem:

Zabrakło trzeciego obowiązkowego raportu FRST Shortcut.txt. Owszem, problemem m.in. były skróty Chrome ustawione na start przeglądarki z innego profilu wprowadzonego przez adware (ChromeDefaultData2) i ładujące zewnętrzne rozszerzenie: ShortcutWithArgument: C:\Users\boogie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\boogie\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\Users\boogie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\7eacadfa43776aec\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData2 Jeden ze skrótów już odpiąłeś, zakładam że to ten ze ścieżki "User Pinned" i go ominę w usuwaniu. Ale są inne problemy widoczne, tzn. nadal aktywne zadanie adware w Harmonogramie oraz polityki oprogramowania blokujące coś w Chrome. Do usunięcia będą też różne szczątki po odinstalowanych programach. Czyli do wykonania następujące działania: 1. Odinstaluj bardzo starą dziurawą wersję Adobe Flash Player 10 ActiveX. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: testsigning: ==> 'testsigning' is set. Check for possible unsigned driver <===== ATTENTION Task: {15ED63B3-C33A-48C0-8D40-DF82716A3FF2} - System32\Tasks\UnregisterNonABICompliantCodeRange => Wscript.exe C:\PROGRA~4\ps3d6lkk\8ux7y.js Task: {1642C0E6-7B9E-4196-B81D-B79E5860E0F8} - System32\Tasks\{E8E6B69C-EE66-44AE-9890-706979C4C9A7} => pcalua.exe -a C:\Users\boogie\Downloads\Programy\TrafficShaper\TrafficShaperXpSetup.exe -d C:\Users\boogie\Downloads\Programy\TrafficShaper Task: {6A97ADB3-D41F-411A-8ED4-26C26DD2F268} - System32\Tasks\Ksation Schedule => C:\Program Files (x86)\Sieyhokesy\placty.exe [2016-09-13] (CHENGDU YIWO Tech Development Co., Ltd) Task: {F119DBC5-7536-41E4-B1A9-CD5B6711E4F8} - System32\Tasks\{A0C267A5-D070-4D3F-94C3-954A246C02EB} => pcalua.exe -a "C:\Program Files (x86)\Sieyhokesy\placty.exe" -c 4921cc4c-65ff-4aba-8595-517060699f5d "/k={6DE5D787-248D-499B-9284-6681D68BA37C}" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\33060297.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\70053003.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\81472886.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\83008810.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\33060297.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\70053003.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\81472886.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\83008810.sys => ""="Driver" HKU\S-1-5-21-3756860874-1814013104-2480899376-1000\...\Run: [Antamedia DBServer AsService] => 0 S2 Citdhwa; "C:\Users\boogie\AppData\Roaming\AzigcWig\Geeswu.exe" -cms [X] S4 qahvpk; no ImagePath S3 ndisahMP; system32\DRIVERS\ndisah.sys [X] S2 nldrv; \??\C:\Program Files\Locktime Software\NetLimiter 4\nldrv.sys [X] S1 rtdiftex; \??\C:\Windows\system32\Drivers\rtdiftex.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] GroupPolicy: Restriction - Chrome <======= ATTENTION ShortcutWithArgument: C:\Users\boogie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AdAnti DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Antamedia DBServer DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GoogleChromeAutoLaunch_5F5250ADB2CFD375AE8B1D217CB54004 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Overwolf DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RtsFT DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Seviler DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\svchost0 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\win_en_77 DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\win_en_77_is1 DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Antamedia C:\Program Files (x86)\AdAnti C:\Program Files (x86)\9j4t1kht C:\Program Files (x86)\NetPeeker C:\Program Files (x86)\ps3d6lkk C:\Program Files (x86)\sbqh C:\Program Files (x86)\Sieyhokesy C:\Program Files (x86)\SoSoIm_3 C:\Program Files (x86)\SoSoIm_4 C:\Program Files (x86)\SoSoIm_5 C:\Program Files (x86)\SoSoIm_6 C:\Program Files (x86)\Traffic Shaper XP Client C:\Program Files (x86)\Traffic Shaper XP Server C:\Program Files (x86)\win_en_77 C:\Program Files (x86)\WTFast C:\Program Files (x86)\Y2Go C:\ProgramData\zdhvmnqp.xgw C:\ProgramData\AVAST Software C:\ProgramData\Avg C:\ProgramData\Avira C:\ProgramData\Database Server C:\ProgramData\HitmanPro C:\ProgramData\SeriousBit C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Traffic Shaper XP C:\Users\boogie\AppData\Local\uts.ini C:\Users\boogie\AppData\Local\AAA_Internet_Publishing,_ C:\Users\boogie\AppData\Local\Animiprujersp C:\Users\boogie\AppData\Local\Overwolf C:\Users\boogie\AppData\Local\Tempfolder C:\Users\boogie\AppData\Local\THORN C:\Users\boogie\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2 C:\Users\boogie\AppData\LocalLow00000000003B40E8 C:\Users\boogie\AppData\LocalLow00605890 C:\Users\boogie\AppData\LocalLow02F00070 C:\Users\boogie\AppData\LocalLow\Company C:\Users\boogie\AppData\Roaming\GameLauncher C:\Users\boogie\AppData\Roaming\Hemkajdoa C:\Users\boogie\AppData\Roaming\Locktime Software C:\Users\boogie\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\boogie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antamedia C:\Users\MSUser.Default C:\Windows\Joberphlusisp C:\Windows\NetPkr.str C:\Windows\system32\wofo C:\Windows\system32\Drivers\nbdrv.sys C:\Windows\SysWOW64\bcevent.dll CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut. Dołącz też plik fixlog.txt.

To co opisujesz to jest to co zauważyłam w Shortcut.txt. Otwierasz skróty LNK a nie pliki zasadnicze, a skróty kierują na nieistniejący plik Office: Pytaniem jest: gdzie leżą originalne pliki graficzne JPG, PNG, etc. (a nie skróty LNK do nich).

Folder C:\FRST Cię nie interesuje (służy do innych operacji). Chodzi o folder z którego uruchamiasz pobrany FRST, czyli w tym przypadku katalog Pobrane: Uruchomiony z C:\Users\Łukasz\Downloads

Użyłeś inne narzędzie, tzn. Remediate VBS Worm a nie USBFix. Wróć do opisu.

Tak, trzeba usunąć wszystkie skróty przeglądarek przekierowujące na martwy już HPSewil i resztę odpadków. Nazwy skrótów są w Unicode, to nie są zwykłe nazwy "Opera" etc. Będzie problem z usunięciem aktywnego MPC Cleaner, ale spróbuję jednak najpierw podejścia w Trybie awaryjnym Windows. Kolejna porcja działań: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 0225591471264939mcinstcleanup; C:\Windows\TEMP\022559~1.EXE [961888 2016-05-16] (McAfee, Inc.) S2 bilyqotezbt; C:\Program Files (x86)\0152F095-1471023076-E411-85C7-F0761C8993C3\knsiC824.tmp [X] R2 MPCProtectService; C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe [350688 2016-08-12] (DotC United Inc) R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-08-13] (DotC United Inc) DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\HPSewil C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореrа.lnk C:\Users\edward\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk C:\Users\edward\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Gооglе Сhrоmе.lnk C:\Users\edward\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Ореrа.lnk C:\Users\Public\Desktop\Gооglе Сhrоmе.lnk C:\Users\Public\Desktop\Ореrа.lnk C:\Program Files (x86)\MPC Cleaner C:\Windows\System32\DRIVERS\MPCKpt.sys SearchScopes: HKU\S-1-5-21-2574603618-2478407198-2579358465-1001 -> {C0042433-DA31-4F26-BEF5-066DDE07335C} URL = Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart systemu, opuść Tryb awaryjny. Powstanie kolejny plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Wszystko wykonane. Na koniec: 1. Drobna poprawka na odpadki po SpyHunter. Otwórz Notatnik i wklej w nim: S3 esgiguard; \??\C:\2-click run\SpyHunter v4.22.8.4668\esgiguard.sys [X] RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Lyssa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\1-click run RemoveDirectory: C:\Users\Lyssa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SpyHunter v4.22.8.4668 RemoveDirectory: C:\Users\Lyssa\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Lyssa\Downloads\FRST-OlderVersion CMD: del /q C:\Users\Lyssa\Downloads\RegHunter-Installer.exe Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

1. Restart jednak nastąpił, gdyż FRST natknął się na zablokowany folder C:\Users\oem\AppData\Roaming\Tlen.pl i próbował go usuwać przy restarcie. To się jednak nie udało. Czy Tlen na pewno był odinstalowany (i nie uruchomiony w procesach) w tamtym momencie? Czy w chwili obecnej da się usunąć ten folder ręcznie? 2. AdwCleaner znalazł sporo śmieci szczątkowych. Zaktualizuj program, uruchom ponownie, wybierz po kolei opccje Skanuj + Oczyść i przedstaw wynikowy log z usuwania.

Na koniec, o ile już tego nie zrobiłeś, zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Dodatkowo, przez SHIFT+DEL (omija Kosz) skasuj z dysku folder C:\MATS utworzony przez narzędzie Microsoftu. Temat rozwiązany. Zamykam.