picasso

Hmm, w raportach FRST nie widać jawnie tej modyfikacji... Jakie ikony i gdzie zlokalizowane? To wygląda na obiekt Mail.Ru, co dopiero zainstalowany. Ale zagnieżdżenie się Mail.Ru prawdopodobnie jest powiązane z tym ruskim programem do aktualizacji sterowników: DriverPack Notifier (HKLM-x32\...\DriverPack Notifier) (Version: 2.0.3 - DriverPack Solution) HKLM-x32\...\Run: [DriverPack Notifier] => C:\Program Files (x86)\DriverPack Notifier\DriverPackNotifier.exe [258560 2015-12-18] () W systemie działa niepożądany program ByteFence Anti-Malware. Czyli wstępnie do usunięcia to co widać w raportach (niepożądane programy i obiekty na dysku oraz puste wpisy po aktualizacji z Windows 7 oraz puste skróty). Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj: - Adware/PUP: Amazon Assistant, AVG Web TuneUp, Booking.com version 1.1.0.5019, ByteFence Anti-Malware, UmmyVideoDownloader. Sugeruję też wywalić DriverPack Notifier. - Stare niebezpieczne wersje: Apple Software Update, Obsługa programów Apple, QuickTime 7. Krytyczna luka w QuickTime, nie zostanie to już naprawione, Apple zlikwidowało wsparcie dla Windows. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Tcpip\..\Interfaces\{67F0F069-108B-4A8B-85DD-3CD0825E7F5B}: [DhcpNameServer] 7.254.254.254 CHR HomePage: Default -> mail.ru/cnt/11956636?rciguc__PARAM__ HKU\S-1-5-21-2239338972-1551992166-3321489046-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://mail.ru/cnt/10445?gp=811013 SearchScopes: HKU\S-1-5-21-2239338972-1551992166-3321489046-1000 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BAF79B743-4B87-41DB-8625-3D9FDDCD09B8%7D&gp=811014 SearchScopes: HKU\S-1-5-21-2239338972-1551992166-3321489046-1000 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={899E28AD-EA21-4714-8C12-20A489295FE3}&mid=e17a99b0360f47ccbcce0119df8f5d75-ad1491be2ce6c122f6b66faa90e70c2decf7d34c&lang=en&ds=AVG&coid=avgtbavg&cmpid=0516tb&pr=fr&d=2016-04-11 17:00:30&v=4.3.1.831&pid=wtu&sg=&sap=dsp&q={searchTerms} SearchScopes: HKU\S-1-5-21-2239338972-1551992166-3321489046-1000 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={SearchTerms}&product_id=%7BAF79B743-4B87-41DB-8625-3D9FDDCD09B8%7D&gp=811014 BHO-x32: Ďîčńę@Mail.Ru -> {8E8F97CD-60B5-456F-A201-73065652D099} -> C:\Users\nowy\AppData\Local\Mail.Ru\Sputnik\IESearchPlugin.dll [2016-07-07] S3 TSSKX64; C:\Windows\System32\drivers\tsskx64.sys [54904 2016-05-20] (电脑管家) Task: {077EA9CC-ACC3-401C-9963-BBED6A5DEA6B} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {09EE72F6-6E8F-42AB-B85E-998C2F77552B} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {10F70484-57C6-44D7-BC81-1A8244DC4857} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {228B07F1-A117-4BE0-9513-678511A9581C} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {3066F3EB-AC1F-44C3-B5A9-F7F9D28008E0} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {446129A1-A481-4B11-BA06-5E59844127D4} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {48E73E6F-C346-4E40-8D44-1E5803DC3C46} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {4BE776B4-1D85-44DA-AEAD-ADAB1D67F725} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {4EE37228-CE37-4D1E-9CD3-D8F8AB4CA935} - System32\Tasks\Booking_helper => C:\PROGRA~2\Booking.com\BOOKIN~2.EXE Task: {57C39656-424C-4DA3-9900-B54F740C2BCC} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {5BBCF3E0-3468-47C0-ADF3-9DD367724FC6} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {67E26006-8A4A-4DB2-9BCC-73289E2CF5DE} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {6DE98B1F-132C-4465-A5CA-A0B6B8BE51E4} - System32\Tasks\syslog => C:\Users\nowy\AppData\Local\syslog\syslog.exe <==== UWAGA Task: {7B0569FE-FD0D-46D5-B075-0D45A41FB597} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {7B4AA29B-8195-4C72-8AC0-5DB3C6008881} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {8348C5F0-D2B9-4A66-B635-1C8ED66B00F1} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {851A1C4E-A679-4EB7-B96F-BD680E3D5163} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {8E2B22C5-A1B0-4840-9A6E-38E6C31F1D18} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {AE9871FE-461E-421F-BA7F-AEA3DC0C5ACE} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {BDEF2B3F-2630-4E64-950F-4BC5045B9478} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {D177C1BD-74EE-4973-9C4A-82011C810B58} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {D75ACE74-2C39-47BA-9C48-485D2F2BC545} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {E133FDB2-1E82-4501-A6B3-A77AE927763A} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {F1A1AED4-7752-4C3B-9A67-40E8FDA493B7} - System32\Tasks\{4AEEFC02-FEDC-4FFE-8EF8-8A1059C9302E} => pcalua.exe -a C:\WINDOWS\SysWOW64\ZALSDK_uninst\unins000.exe Task: {F9EDCDF9-FBAB-4D49-8A37-9FD4A764C47D} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {FD608AF1-8209-495B-A6EE-6E379308E44D} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: C:\WINDOWS\Tasks\Booking_helper.job => C:\PROGRA~2\Booking.com\BOOKIN~2.EXE U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\MpsSvc DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\rtop DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Apple DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\prefs.js C:\Program Files (x86)\ContentPush C:\Program Files (x86)\Phtawardgaely C:\Program Files (x86)\WeatherChickn C:\ProgramData\mntemp C:\ProgramData\moshou_gl_010.exe C:\ProgramData\ppzip_3987.exe C:\ProgramData\Mail.Ru C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Booking.com C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\Need for Speed - Rivals\Play Need for Speed - Rivals (x32).lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Mechanics\Need for Speed - Rivals\Play Need for Speed - Rivals (x64).lnk C:\Users\nowy\AppData\Local\Gejelekagied C:\Users\nowy\AppData\Local\Mail.Ru C:\Users\nowy\AppData\Local\syslog C:\Users\nowy\AppData\Local\Поиcк в Интeрнете C:\Users\nowy\AppData\Roaming\agent.dat C:\Users\nowy\AppData\Roaming\GiftBag.db C:\Users\nowy\AppData\Roaming\Installer.dat C:\Users\nowy\AppData\Roaming\Main.dat C:\Users\nowy\AppData\Roaming\Daexsys C:\Users\nowy\AppData\Roaming\MailProducts C:\Users\nowy\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk C:\Users\nowy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Sparta C:\Users\nowy\Desktop\Искать в Интернете.url C:\Users\nowy\Desktop\Gry\GTA San Andreas.lnk C:\Users\nowy\Desktop\Gry\Need for Speed - Rivals (x64).lnk C:\Users\nowy\Desktop\Gry\NFS14 — skrót.lnk C:\Users\nowy\Desktop\Gry\NFS14_x86 — skrót.lnk C:\Users\nowy\Desktop\Gry\Outlast.lnk C:\Users\nowy\Favorites\Mail.Ru Агент - используй для общения!.url C:\Users\nowy\Favorites\Mail.Ru.url C:\Windows\ehome C:\Windows\System32\drivers\tsskx64.sys C:\Windows\System32\Tasks\Apple C:\Windows\System32\Tasks\Microsoft\Windows\Media Center CMD: sc config MpsSvc start= auto CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal są problemy w Google Chrome.

Temat przenoszę do działu Windows. To konto utworzone przez ESET Smart Security. Dużo podobnych tematów na forum, np.: KLIK. PS. Kosmetyczne akcje poboczne w spoilerze:

Na logach z przestarzałego OTL (usuwam) to w ogóle tu się już nie pracuje od ponad dwóch lat. Obowiązkowe logi to teraz FRST. Ale one raczej nic nie wniosą do sprawy. A zachowanie usługi aktualizacji niestety wygląda "normalnie", obciążenie będzie mieć miejsce dopóki nie ukończy się proces aktualizacji. Od końca roku 2015 nastąpiły zmiany w systemie Windows Update, wyszukiwanie trwa znacznie dłużej na starych systemach (Windows 7 i Vista). Podobne tematy: KLIK, KLIK, KLIK.

Ten skrypt FRST, który sam stworzyłeś, całkowicie błędny. Linie zainstalowanych programów są nieprzetwarzalne w skryptach, co jest wyraźnie w logu zaznaczone: "W fixlist dozwolone tylko załączanie programów adware z flagą "Hidden" w celu ich uwidocznienia. Programy adware powinny zostać w poprawny sposób odinstalowane". A usuwanie kwarantanny FRST podczas gdy nic nie było usuwane bez sensu. I ogólnie problem infekcji adware jest tu zbyt złożony, by dało się to załatwić tylko skryptem FRST. Działania do przeprowadzenia: 1. Przez Dodaj/Usuń programy odinstaluj adware groover, mpck version 1.1, SafeFinder, shopperz, trotux - Uninstall oraz antywirus Microsoft Security Essentials (brak wsparcia dla XP, od ponad roku nie aktualizuje już definicji na XP). 2. Otwórz Notatnik i wklej w nim: CreateRestorePoint: R2 dowidoly; C:\Program Files\Win32_ComputerSystemProduct-1467283879---\jnsj30B.tmp [244224 2016-06-30] () [brak podpisu cyfrowego] R2 Lamzap; C:\Documents and Settings\All Users\Dane aplikacji\\Lamzap\\Lamzap.exe [956416 2016-06-30] () [brak podpisu cyfrowego] R2 rijufoze; C:\Program Files\Win32_ComputerSystemProduct-1467283879---\hnsz311.tmp [138240 2016-06-30] () [brak podpisu cyfrowego] R2 wogisihizbt; C:\Program Files\Win32_ComputerSystemProduct-1467283879---\knsm1F3.tmp [229888 2016-07-07] () [brak podpisu cyfrowego] R2 zigipyro; C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\AF2785AA-1467922800-154A-A7B9-E28B593A609D\qnsx27F.tmp [158720 2015-12-26] () [brak podpisu cyfrowego] AppInit_DLLs: C:\DOCUME~1\ALLUSE~1\DANEAP~1\Lamzap\Lexiplus.dll => C:\Documents and Settings\All Users\Dane aplikacji\Lamzap\Lexiplus.dll [257536 2016-06-30] () Task: C:\WINDOWS\Tasks\Magetytofish Client.job => C:\Program Files\Atubotckipi\MagetytofishclnFerkilesawaward.exe Task: C:\WINDOWS\Tasks\Manager.job => C:\Documents and Settings\Paweł\Dane aplikacji\Adobe\Manager.exe Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files\UCBrowser\Application\update_task.exe HKLM\...\Run: [] => [X] HKLM\...\RunOnce: [update] => C:\Documents and Settings\Paweł\Dane aplikacji\ASPackage\ASPackage.exe /runonce HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKU\S-1-5-21-1547161642-261478967-1801674531-1003\...\Run: [svchost0] => C:\Program Files\UCBrowser\Application\UUC0789.exe HKU\S-1-5-21-1547161642-261478967-1801674531-1003\...\Run: [apphide2] => C:\Program Files\badu\uc.exe HKU\S-1-5-21-1547161642-261478967-1801674531-1003\...\MountPoints2: {0aa184c1-476e-11e5-af6a-001d601423bb} - G:\AutoRun.exe HKU\S-1-5-21-1547161642-261478967-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617911&ResetID=131122773446406250&GUID=226AF64F-431A-4AFC-83F4-532F433AC592 SearchScopes: HKLM -> DefaultScope - brak wartości FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension ShortcutWithArgument: C:\Documents and Settings\Paweł\Menu Start\Programy\Google Chrome\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\DOCUME~1\PAWE~1\USTAWI~1\DANEAP~1\kemgadeojglibflomicgnfeopkdfflnk" hxxp://navsmart.info ShortcutWithArgument: C:\Documents and Settings\Paweł\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\DOCUME~1\PAWE~1\USTAWI~1\DANEAP~1\kemgadeojglibflomicgnfeopkdfflnk" hxxp://navsmart.info ShortcutWithArgument: C:\Documents and Settings\Paweł\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Program uruchamiający aplikacje Chrome.lnk -> C:\Program Files\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\DOCUME~1\PAWE~1\USTAWI~1\DANEAP~1\kemgadeojglibflomicgnfeopkdfflnk" hxxp://navsmart.info DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-21-1547161642-261478967-1801674531-1004\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-21-1547161642-261478967-1801674531-1004\Software\Microsoft\Internet Explorer\SearchScopes AlternateDataStreams: C:\Documents and Settings\Paweł:gs5sys [2048] AlternateDataStreams: C:\Documents and Settings\All Users\Szablony:gs5sys [2048] AlternateDataStreams: C:\Documents and Settings\All Users\Dane aplikacji\desktop.ini:gs5sys [2816] AlternateDataStreams: C:\Documents and Settings\Paweł\Cookies:gs5sys [2048] AlternateDataStreams: C:\Documents and Settings\Paweł\Pulpit:gs5sys [2048] AlternateDataStreams: C:\Documents and Settings\Paweł\Szablony:gs5sys [2048] AlternateDataStreams: C:\Documents and Settings\Paweł\Dane aplikacji\desktop.ini:gs5sys [2560] AlternateDataStreams: C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji:gs5sys [2560] AlternateDataStreams: C:\Documents and Settings\Paweł\Ustawienia lokalne\Historia:gs5sys [2560] AlternateDataStreams: C:\Documents and Settings\Paweł\Moje dokumenty\desktop.ini:gs5sys [2560] C:\Documents and Settings\All Users\Dane aplikacji\Lamzap C:\Documents and Settings\All Users\Dane aplikacji\IObit C:\Documents and Settings\All Users\Dane aplikacji\ProductData C:\Documents and Settings\LocalService\Dane aplikacji\Mozilla C:\Documents and Settings\LocalService\IETldCache C:\Documents and Settings\Paweł\Dane aplikacji\*.* C:\Documents and Settings\Paweł\Dane aplikacji\Adobe\Manager.exe C:\Documents and Settings\Paweł\Dane aplikacji\IObit C:\Documents and Settings\Paweł\Dane aplikacji\UPUpdata C:\Documents and Settings\Paweł\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk C:\Documents and Settings\Paweł\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Uruchom przeglądarkę Internet Explorer.lnk C:\Documents and Settings\Paweł\Menu Start\Programy\Internet Explorer.lnk C:\Documents and Settings\Paweł\Menu Start\Programy\Aplikacje Chrome\Ad.Block Plus.lnk C:\Documents and Settings\Paweł\Menu Start\Programy\Akcesoria\Narzędzia systemowe\Internet Explorer (bez dodatków).lnk C:\Documents and Settings\Paweł\Menu Start\Programy\UC浏览器.lnk C:\Documents and Settings\Paweł\Menu Start\Programy\UC浏览器 C:\Documents and Settings\Paweł\Pulpit\Nowy folder\Program uruchamiający aplikacje Chrome.lnk C:\Documents and Settings\Paweł\Pulpit\Nowy folder\pulpit syf\Google Chrome.lnk C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\file__0.localstorage C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\AF2785AA-1467292092-154A-A7B9-E28B593A609D C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\AF2785AA-1467295254-154A-A7B9-E28B593A609D C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\AF2785AA-1467891255-154A-A7B9-E28B593A609D C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\AF2785AA-1467922800-154A-A7B9-E28B593A609D C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\fjientfagetherdrimo C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\kemgadeojglibflomicgnfeopkdfflnk C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\tuto_monetize_120160630 C:\Documents and Settings\Paweł\Ustawienia lokalne\Dane aplikacji\UCBrowser C:\Documents and Settings\UpdatusUser\IETldCache C:\Program Files\Atubotckipi C:\Program Files\Jeicsetpa C:\Program Files\JeicsetpaUn C:\Program Files\mpck C:\Program Files\Sohmibr C:\Program Files\SohmibrUn C:\Program Files\UCBrowser C:\Program Files\Win32_ComputerSystemProduct-1467283879--- C:\Program Files\Common Files\Restrong C:\WINDOWS\IObit C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\Drivers\etc\hp.bak CMD: netsh firewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: W raporcie adware GsearchFinder, które wstawia fałszywy profil Firefox. Wykonaj kompleksowe czyszczenie Firefox: Wyeksportuj z Firefox zakładki, o ile są dostępne. Zamknij Firefox. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: "C:\Program Files\Mozilla Firefox\firefox.exe" -p Pousuwaj wszystkie profile z wyjątkiem właściwego. Następnie zaloguj się na właściwy i go też wyczyść: Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Ad.Block Plus, Fast search v3.5. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut. Dołącz też plik fixlog.txt.

Blokadą są same sterowniki per se, które zabezpieczają własne komponenty, filtry nie mają tu nic do rzeczy. FRST nie usunie tych sterowników, gdyż nie działa na poziomie kernel (nie ma własnego sterownika). Oporne sterowniki zostaną usunięte z poziomu środowiska zewnętrznego. Przy okazji jeszcze różne puste skróty po usuniętych programach. 1. Otwórz Notatnik i wklej w nim: R0 MPCBase; C:\Windows\System32\drivers\MPCBase.sys [29032 2016-07-07] (DotC United Inc) R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [52968 2016-07-07] (DotC United Inc) S2 AdobeARMservice; "C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe" [X] S2 MPCProtectService; "C:\Program Files\MPC Cleaner\MPCProtectService.exe" [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\*Torrent.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Super DVD Ripper C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StreamTransport\Help.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PES6J Launcher C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NVIDIA Corporation\GeForce Experience.lnk C:\Users\Człowiek11\AppData\Roaming\Microsoft\Windows\Start Menu\Uninstall Programs.lnk C:\Users\Człowiek11\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\*Torrent.lnk C:\Users\Człowiek11\Desktop\Gry\Football Manager 2015 Editor.lnk C:\Users\Człowiek11\Desktop\Gry\Football Manager 2015 Resource Archiver.lnk C:\Users\Człowiek11\Desktop\Gry\Football Manager 2015.lnk C:\Users\Człowiek11\Desktop\Gry\PIT Format 2014.lnk C:\Users\Człowiek11\Desktop\Gry\Pro Evolution Soccer 6.lnk C:\Users\Człowiek11\Desktop\Nowy folder (2)\Kaspersky Internet Security.lnk C:\Users\Człowiek11\Desktop\Nowy folder (2)\Safe Money.lnk C:\Users\Człowiek11\Desktop\Nowy folder (2)\µTorrent.lnk C:\Users\Człowiek11\Desktop\Programy\DAEMON Tools Pro.lnk C:\Users\Człowiek11\Desktop\Programy\DocuFreezer.lnk C:\Users\Człowiek11\Desktop\Programy\Kaspersky Anti-Virus.lnk C:\Windows\System32\drivers\MPCBase.sys C:\Windows\System32\drivers\MPCKpt.sys Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt. Plik ten oraz FRST umieść na pndrive. Uruchom FRST z poziomu środowiska zewnętrznego: KLIK. Kliknij w Napraw (Fix). Na pendrive powstanie plik fixlog.txt. 2. Zaloguj się z powrotem do Windows. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-3089286444-2483143546-3086545405-1001_Classes\CLSID\{cb4c77f0-ab2a-407c-93ac-963769824b18}\localserver32 -> C:\Users\CZOWIE~1\AppData\Local\Temp\{b3ede298-ae75-4a1c-ab7e-1b9229b77bbe}\IDriver.NonElevated.exe (dane wartości zawierają 13 znaków więcej). Task: {1C163BB2-F61E-42DA-9A3F-023F7CCFBA92} - System32\Tasks\{5753477E-42BF-4565-BB15-5BD960CF03E7} => K:\Install.exe Task: {89E24557-ADD5-4103-940C-2F26A76BFA71} - System32\Tasks\{F7034FAB-0E05-4F25-B9FD-112BF35C6664} => K:\Install.exe Task: {A7B37647-A1CB-4071-AF02-3D0A7429091D} - System32\Tasks\{86DD9D89-231C-4B13-9285-0EEFE32E3191} => K:\Install.exe Task: {B667C6D8-F35D-4393-A9D3-3FFEA7F4B04D} - System32\Tasks\Process Explorer-Komputer1-Człowiek11 => C:\USERS\CZłOWIEK11\DESKTOP\PROCEXP.EXE Task: {BAFCC9AC-CA1C-41E6-9D33-D886A74BF712} - System32\Tasks\{2F19E7D3-190D-49A9-AE9D-41821890CABC} => D:\Pobrane\Word 2003 Portable\Word 2003 Portable\Microsoft Office Word 2003.exe Task: {C1FEC88A-B9EF-437F-849E-216000AA2185} - System32\Tasks\{21C40001-BB28-4922-99D0-C9A5FEE11C90} => K:\Install.exe Task: {C57FEA9D-85EF-42AA-A43B-121BF8704AF1} - System32\Tasks\Uninstaller_SkipUac_Człowiek11 => C:\Program Files\IObit\IObit Uninstaller\IObitUninstaler.exe Task: {C6427866-D782-4A14-827B-22EA3BFB15FF} - System32\Tasks\{E21A7E4C-85A7-446B-B05A-0D9BEBF57B8E} => K:\Install.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W raporcie było adware GsearchFinder, które wstawia fałszywy profil Firefox. Wykonaj kompleksowe czyszczenie Firefox: Wyeksportuj z Firefox zakładki, o ile są dostępne. Zamknij Firefox. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: "D:\Program Files\Mozilla Firefox\firefox.exe" -p Pousuwaj wszystkie profile z wyjątkiem właściwego. Następnie zaloguj się na właściwy i go też wyczyść: Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. 4. Zrób nowy log FRST z opcji Skanuj (Scan), już bez Addition. Dołącz też oba pliki fixlog.txt.

Skrypt FRST pomyślnie wykonany. Natomiast SFC nie podołał zadaniu, nie jest w stanie naprawić uszkodzonego pliku: 2016-06-20 18:03:33, Info CSI 00003846 [SR] Cannot repair member file [l:11]"winhttp.dll" of Microsoft.Windows.WinHTTP, version 5.1.10586.420, arch x86, nonSxS, pkt {l:8 b:31bf3856ad364e35} in the store, hash mismatch 2016-06-20 18:03:33, Info CSI 00003849 [SR] Unable to repair \SystemRoot\WinSxS\x86_microsoft.windows.winhttp_31bf3856ad364e35_5.1.10586.420_none_8cfec9a9847b23ae\\[l:11]"winhttp.dll" 2016-06-20 18:03:33, Info CSI 0000384a [SR] Repaired file \SystemRoot\WinSxS\x86_microsoft.windows.winhttp_31bf3856ad364e35_5.1.10586.420_none_8cfec9a9847b23ae\\[l:11]"winhttp.dll" by copying from backup 2016-06-20 18:03:33, Info CSI 0000384c [SR] Cannot repair member file [l:11]"winhttp.dll" of Microsoft.Windows.WinHTTP, version 5.1.10586.420, arch x86, nonSxS, pkt {l:8 b:31bf3856ad364e35} in the store, file is missing 2016-06-20 18:03:33, Info CSI 0000384d [SR] This component was referenced by [l:77]"Package_381_for_KB3163018~31bf3856ad364e35~x86~~10.0.1.2.3163018-1167_neutral" 2016-06-20 18:03:33, Info CSI 0000384f [SR] Could not reproject corrupted file [l:23 ml:24]"\??\C:\Windows\System32"\[l:11]"winhttp.dll"; source file in store is also corrupted Na początek podaj mi spis kopii pliku. Uruchom FRST w polu Szukaj wklej winhttp.dll i klik w Szukaj plików.

W raportach nie ma żadnych oznak, by zagnieździła się infekcja.

Kolejna porcja czynności: Z POZIOMU ŚRODOWISKA ZEWNĘTRZNEGO: 1. Otwórz Notatnik i wklej w nim: R2 MPCProtectService; C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe [350688 2016-06-27] (DotC United Inc) R2 WifiSrv; C:\Program Files (x86)\Wifisrv\WifiService.exe [219392 2015-12-16] () R1 160WifiNetPro; C:\Program Files (x86)\Wifisrv\160WifiNetPro64.sys [129784 2015-12-16] () R1 MPCKpt; C:\Windows\System32\DRIVERS\MPCKpt.sys [60136 2016-06-27] (DotC United Inc) R0 wifinetmini; C:\Windows\System32\wifinetmini64.sys [16624 2015-12-02] () C:\Program Files (x86)\MPC Cleaner C:\Program Files (x86)\mpck C:\Program Files (x86)\Wifisrv C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\160WiFi C:\ProgramData\UniqueId C:\ProgramData\Microsoft\Windows\Start Menu\Programs\160WiFi C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MPC C:\Users\R\AppData\Roaming\*.* C:\Users\R\AppData\Roaming\MCorp C:\Users\R\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\160WiFi.lnk C:\Users\R\AppData\Roaming\Microsoft\Windows\SendTo\MPC Desktop.lnk C:\Windows\system32\fis C:\Windows\system32\wifinetinit64.dll C:\Windows\system32\wifinetmini64.sys C:\Windows\system32\Drivers\MPCKpt.sys Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt. Plik ten oraz FRST umieść na pndrive. 2. Uruchom FRST z poziomu środowiska zewnętrznego: KLIK. Kliknij w Napraw (Fix). Na pendrive powstanie plik fixlog.txt. Z POZIOMU WINDOWS: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2593204490-2210076326-4199956363-1001\...\Run: [Napisy24Update] => "C:\Program Files (x86)\Napisy24\Napisy24Update.exe" "sleep" HKU\S-1-5-21-2593204490-2210076326-4199956363-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-2593204490-2210076326-4199956363-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-2593204490-2210076326-4199956363-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope - brak wartości FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2012-10-01] (Microsoft Corporation) Task: {7F19FE09-C49B-44F2-B7C6-5FD6FC703924} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe Task: {9F3E5341-EF79-41B8-9E6A-9124B9588D69} - System32\Tasks\AutoPico Daily Restart => C:\Program Task: {E67C8417-233B-4138-9DC6-E0A618FF0369} - System32\Tasks\Driver Booster SkipUAC ® => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 CMD: netsh advfirewall reset RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\R\Desktop\Stare dane programu Firefox EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wprawdzie są ślady czyszczenia profilu Firefox, ale już zdążyły wskoczyć w nim preferencje MPC. Ponownie: Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też oba pliki fixlog.txt.

To nadal aktualne: Na podstawie nowych raportów będzie doczyszczanie tego co pozostało. MPC Cleaner prawdopodobnie trzeba będzie usuwać z poziomu środowiska zewnętrznego RE, bo rzeczywiście w Twoim przypadku nie widzę obecnie w jego folderze deinstalatora.

1. Sprawdź więc drugi folder. Dodatkowo, poprzednio się śpieszyłam i przeoczyłam, że jest więcej niepożądanych programów aktywnych. Czyli wejdź do poniższych folderów i szukaj deinstalatorów: C:\Program Files (x86)\mpck C:\Program Files (x86)\USBBoxLite C:\Program Files (x86)\Wifisrv Co najmniej jeden ma deinstalator, widać go w pliku Shortcut.txt: Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\160WiFi\卸载160WiFi.lnk -> C:\Program Files (x86)\Wifisrv\Uninstall.exe (深圳市驱动人生软件技术有限公司) Na znalezione deinstalatory z prawokliku "Uruchom jako administrator" i zresetuj system. 2. W przypadku niepowodzenia poproszę o listę co jest w tych folderach. Otwórz Notatnik i wklej w nim: Folder: C:\Program Files (x86)\mpck Folder: C:\Program Files (x86)\MPC Cleaner Folder: C:\Program Files (x86)\USBBoxLite Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Od dawna na forum jest używany bardzo prosty sposób. Należy ten program po prostu odinstalować w normalny sposób. Czyli: 1. Wejdź do folderu C:\Program Files (x86)\MPC Cleaner, z prawokliku na plik deinstalatora "Uruchom jako administrator". Zresetuj system. Ta procedura powinna zlikwidować wszystkie aktywne sterowniki i większość elementów programu. 2. W raporcie było adware GsearchFinder, które wstawia fałszywy profil Firefox. Na razie to tu było powierzchowne usuwanie tego co widać w logu. Wykonaj kompleksowe czyszczenie Firefox: Wyeksportuj z Firefox zakładki, o ile są dostępne. Zamknij Firefox. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -p Pousuwaj wszystkie profile z wyjątkiem właściwego. Następnie zaloguj się na właściwy i go też wyczyść: Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition.

Deinstalacja tych aplikacji nie powinna mieć nic wspólnego z aspektami gwarancji. Nie wspominając już o tym, że ten "Lenovo Browser Guard" to jest po prostu adware/PUP bezczelnie preinstalowany na Lenovo. W Twoim interesie jest pozbyć się tego.

Uruchomiłeś Fix FRST aż 4 razy (!), skrypty są jednorazowego użytku i nie przetworzą ponownie tego samego. W podanym Fixlog (ostatnim z serii) prawie nic nie przetwarzone, gdyż już pierwsze podejście pewnie załatwiło instrukcje. A reklamy są dalej, bo w międzyczasie powiększył się zakres infekcji i weszła infekcja serwerów DNS... Poza tym, widzę że coś kombinowałeś, są ślady usuwania aplikacji "Uzyskaj Windows 10", a jedna z usług Microsoftu (DiagTrack) nagle nie ma podpisu cyfrowego. Kolejne podejście: 1. Pobierz ponownie FRST, jest już nowsza wersja. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Tcpip\..\Interfaces\{0A543904-EF72-46C9-8BC4-95B264675839}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{439F60FC-B755-4442-B84A-D1FA2A7A29ED}: [NameServer] 104.197.191.4 HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCTRAY.EXE" /regrun /qqrepair Task: {1774EF03-7AF0-4DD2-BBB3-F8726C3FF15F} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {220E4994-1B1B-46E5-B793-C79A27573F33} - System32\Tasks\AutoKMSDaily => C:\Windows\AutoKMS.exe Task: {37E14062-5E56-4C5D-BD72-F4EEAE055BA4} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS.exe Task: {44B0E29C-E5C2-4753-BFF5-54F1D2EB2492} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {467038DD-FCBA-4769-8160-0AA18FE342A7} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {69BF19D3-B076-4EFC-A00F-780E443B3597} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku Task: {8B317F18-274B-4D4B-996B-8876EBA08E13} - \Microsoft\Windows\Application Experience\Microsoft Compatibility Appraiser -> Brak pliku Task: {A0A7E15E-E0DB-4630-BD16-885FE5555682} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {A1D60D55-A6B8-401B-BC05-2938E02DF2F2} - System32\Tasks\Microsoft\Windows Defender\MP Scheduled Scan => d:\program files\windows defender\MpCmdRun.exe Task: {C4E8B14A-4159-4C58-BDAD-281DBBFC97E8} - System32\Tasks\Microsoft\Windows Defender\MpIdleTask => d:\program files\windows defender\MpCmdRun.exe Task: {FA1EC4C2-CD35-4D2A-A5DB-99EEE9F88C1D} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe Task: C:\Windows\Tasks\AutoKMS.job => C:\Windows\AutoKMS.exe Task: C:\Windows\Tasks\AutoKMSDaily.job => C:\Windows\AutoKMS.exe C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\Users\Miłosz\AppData\Local\Google\Chrome\User Data\ChromeDefaultData C:\Users\Miłosz\AppData\Local\Google\Chrome\User Data\Profile 1 C:\Users\Miłosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\9501e18d7c2ab92e\Google Chrome.lnk C:\Users\Miłosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\Google Chrome.lnk C:\Windows\system32\aefo C:\Windows\system32\cecq C:\Windows\system32\eqo C:\Windows\system32\fale C:\Windows\system32\hoi C:\Windows\system32\jero C:\Windows\system32\kiyw C:\Windows\system32\nan C:\Windows\system32\osos C:\Windows\system32\uaz C:\Windows\system32\vidc DisableService: DiagTrack CMD: ipconfig /flushdns CMD: netsh advfirewall reset Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal widzisz problemy.

Opisy infekcji: KLIK / KLIK / KLIK. Niestety, nie ma szans na odkodowanie plików nowych wariantów, a id-numer.{mailrepa.lotos@aol.com}.CrySiS to nowy wariant. Niektóre starsze warianty był w stanie odkodować ESET, dla swoich klientów. W podanych tu raportach nie ma żadnych śladów aktywnej infekcji, tylko notki ransom (m.in. wstawione do katalogu Autostart). Skanery więc tu raczej nic nie wykryją, bo nie ma co wykrywać... Brak obecności / widoczności infekcji może wynikać z następujących przyczyn: - Przeważnie infekcja ma planowane samoczynne skasowanie się po wykonaniu zadania szyfrowania, gdy nie jest już po prostu potrzebna. - Oglądamy nie to środowisko użytkownika co należy. Podałeś raporty z wbudowanego serwisowego konta Administrator, wg FRST są conajmniej dwa dodatkowe Adm1n i k. A nie wykluczone że więcej. FRST wykrywa tylko i wyłącznie jeden typ kont lokalnych, schematy serwerowe nie są obsługiwane. - Widziany tu serwer nie jest źródłem. Atak mógł nastąpić z poziomu komputera klienckiego. Infekcja szyfrująca atakuje wszystkie możliwe dyski lokalne i sieciowe. Wystarczyło, że jeden z komputerów miał częściowy dostęp do serwera i już po zabawie. Ostrzeżenie, zwróć uwagę na zdolności wykradania haseł (cytat z trzeciego linka) : Z zakodowanymi danymi nic nie jestem w stanie zrobić. Jedyne więc w czym mogę pomóc, to usunięcie masowo nabitych notatek ransom i działania poboczne. 1. Usunięcie notatek ransom. Otwórz Notatnik i wklej: attrib -r -h -s "C:\How to decrypt your files.*" /s del /q /s "C:\How to decrypt your files.*" pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako DEL.BAT Kliknij prawym na plik i z menu wybierz opcję Uruchom jako administrator. 2. Próbując się ratować zainstalowałeś lewy skaner SpyHunter. Skorzystaj z narzędzia SpyHunterCleaner. 3. Konieczna szybka zmiana wszystkich poświadczeń logowania. Sugerowany też kompleksowy format.

Nie komentujesz sprawy pendrive, ale wg Fixlog zadanie pomyślnie wykonane, więc zakładam, że reszta poszła sprawnie. Operacje dla pozostałych systemów wykonane, aczkolwiek Fixy (jednorazowego użytku) zapuściłeś więcej niż raz. Czekam jeszcze na odczyt z trzeciego kompa i będziemy kończyć.

Jeśli chodzi o sprawę infekcji, to wygląda na to że mamy z głowy. Na Pracowniku skasuj FRST i jego logi. Na Adminie zostaw jeszcze FRST, bo może się okazać potrzebny. I z poziomu Admina zrób jeszcze na wszelki wypadek skan za pomocą Hitman Pro. Ewentualne znaleziska przedstaw, o ile będzie coś innego niż wykryty FRST (to fałszywy alarm). Nie ma potrzeby. Chodziło mi tylko o zawartość katalogu Scripts (okazał się pusty) oraz pliku Registry.pol (wg ostatniego Fixlog zawiera politykę deaktywującą system raportowania błędów Windows). Jak mówiłam, FRST notuje jakiś błąd operacyjny WMI. To należałoby rozwiązać, tylko na razie nie wiem o co chodzi. WmiDiag nie pokazuje nic strasznego (w tym kilka odczytów w ogóle do zignorowania). Dlatego właśnie mam zagwozdkę i potrzebuję więcej czasu.

W systemie aktywna instalacja adware SafeFinder (wpis AppInit_DLLs). Akcja: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj śmieci/zbędniki i PUPy integrowane na Lenovo: Amazon 1Button App, CCSDK, Host App Service, Lenovo Browser Guard, Lenovo Web Start, McAfee Security Scan Plus, SHAREit, Start Menu, UESDK oraz adware SafeFinder. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs-x32: C:\ProgramData\Viatax\Finla.dll => C:\ProgramData\Viatax\Finla.dll [257536 2016-02-26] () S2 MustangService_2015_10_10; C:\ProgramData\TempMoudleSet\MustangSer1222.exe [235776 2015-12-15] (MustangService) S2 Viatax; C:\ProgramData\\Viatax\\Viatax.exe shuz -f "C:\ProgramData\\Viatax\\Viatax.dat" -l -a Task: {1AB177D3-A267-40A2-B492-EE443DE0909A} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {21AD02CD-9873-4804-BA67-066C2CEB0D68} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {3CBD2704-7330-4CEF-B3B8-9468A1DA4620} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-08-18] (Lenovo) Task: {416244D0-795A-4462-9ECB-7C4C10EBB4D7} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {436D5F49-7C3F-4A49-BA60-C20B60637051} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {44176105-7323-471C-B326-DF575371A8F3} - System32\Tasks\SweetLabs App Platform => C:\Users\margo\AppData\Local\SweetLabs App Platform\Engine\ServiceHostAppUpdater.exe [2016-04-14] (Pokki) Task: {492A8E70-013C-4D87-B3A8-D751A3D823D1} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {7B297B15-0B02-4DF7-A01F-074C88CC9943} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {88FC3DFC-0878-41C1-B6F8-47B89690EF25} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {95F410D7-67B0-4F6F-8155-F1703E909DA7} - System32\Tasks\{413087B3-DE5C-464A-BF76-BC49D49DDC41} => Firefox.exe hxxp://ui.skype.com/ui/0/7.23.85.105/pl/abandoninstall?page=tsMain Task: {B359F89B-85CB-4A99-B504-629E8808D962} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {B75608D8-9B9D-48B4-8686-D025DE9BACD8} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-09-03] (Lenovo) Task: {D0312744-7520-4EF2-B20E-3339BD48E049} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {D42345C8-E2FB-4139-B97F-B13A85E9B516} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2014-09-10] (Lenovo) Task: {D8D247ED-1907-4F4D-99FC-18FFD823ABBD} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {E5B6FD62-5B43-4EC2-A21E-7897DB702812} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {E81C3F92-9FC9-4DD1-B84C-EADD1A926BD7} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {EB411CA3-1894-46C7-A077-046707E25717} - System32\Tasks\{BADC5A61-7B3F-4C9F-9B4F-23CD0B8216E8} => Firefox.exe hxxp://ui.skype.com/ui/0/7.16.0.102/pl/abandoninstall?source=lightinstaller&page=tsInstall HKLM-x32\...\Run: [snp2uvc] => C:\WINDOWS\vsnp2uvc.exe GroupPolicy: Ograniczenia - Chrome t Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.so-v.com/?type=ll&uid=93168a6a-3e79-44e6-be13-a3b34dfbcde5 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.so-v.com/?type=ll&uid=93168a6a-3e79-44e6-be13-a3b34dfbcde5 ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.so-v.com/?type=ll&uid=93168a6a-3e79-44e6-be13-a3b34dfbcde5 CustomCLSID: HKU\S-1-5-21-2591005290-4191423478-680388249-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\margo\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKU\S-1-5-21-2591005290-4191423478-680388249-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpK8a-1NkIliOBPhqj4Gjl2oQ8leHFGGj1PTQHg8CMNtoYyn1w9jpMg5Yq36lmrv-BpTN5-IK5GXOM31fVbY3WNQx1CGEyAAUy3RsqjTCVEGHLJRtY89s_Xjarc1aRalgXxySu79TV83cYlkFPFjS1anJFBYdA,,&q={searchTerms} HKU\S-1-5-21-2591005290-4191423478-680388249-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131046669735211896&GUID=BC9A4670-A20D-4945-A08F-BBABC750CC83 HKU\S-1-5-21-2591005290-4191423478-680388249-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpK8a-1NkIliOBPhqj4Gjl2oQ8leHFGGj1PTQHg8CMNtoYyn1w9jpMg5Yq36lmrv-BpTN5-IK5GXOM31fVbY3WNQx1CGEyAAUy3RsqjTCVEGHLJRtY89s_Xjarc1aRalgXxySu79TV83cYlkFPFjS1anJFBYdA,,&q={searchTerms} HKU\S-1-5-21-2591005290-4191423478-680388249-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpK8a-1NkIliOBPhqj4Gjl2oQ8leHFGGj1PTQHg8CMNtoYyn1w9jpMg5Yq36lmrv-BpTN5-IK5GXOM31fVbY3WNQx1CGEyAAUy3RsqjTCVEGHLJRtY89s_Xjarc1aRalgXxySu79TV83cYlkFPFjS1anJFBYdA,,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpK8a-1NkIliOBPhqj4Gjl2oQ8leHFGGj1PTQHg8CMNtoYyn1w9jpMg5Yq36lmrv-BpTN5-IK5GXOM31fVbY3WNQx1CGEyAAUy3RsqjTCVEGHLJRtY89s_Xjarc1aRalgXxySu79TV83cYlkFPFjS1anJFBYdA,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-2591005290-4191423478-680388249-1001 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpK8a-1NkIliOBPhqj4Gjl2oQ8leHFGGj1PTQHg8CMNtoYyn1w9jpMg5Yq36lmrv-BpTN5-IK5GXOM31fVbY3WNQx1CGEyAAUy3RsqjTCVEGHLJRtY89s_Xjarc1aRalgXxySu79TV83cYlkFPFjS1anJFBYdA,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-2591005290-4191423478-680388249-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3cpK8a-1NkIliOBPhqj4Gjl2oQ8leHFGGj1PTQHg8CMNtoYyn1w9jpMg5Yq36lmrv-BpTN5-IK5GXOM31fVbY3WNQx1CGEyAAUy3RsqjTCVEGHLJRtY89s_Xjarc1aRalgXxySu79TV83cYlkFPFjS1anJFBYdA,,&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.so-v.com/?type=ll&uid=93168a6a-3e79-44e6-be13-a3b34dfbcde5 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird C:\ProgramData\Pokki C:\ProgramData\TempMoudleSet C:\ProgramData\Viatax C:\Users\margo\AppData\Local\GG C:\Users\margo\AppData\Local\SweetLabs App Platform C:\Users\margo\AppData\Roaming\*.* C:\Users\margo\AppData\Roaming\GG C:\Users\margo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\PC App Store.lnk C:\Users\margo\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Start Menu.lnk C:\Users\margo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lenovo Web Start.lnk C:\Users\margo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PC App Store.lnk Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń wpis Lenovo Metric Collection SDK 35. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Opisz jak działa system.

1. Na przyszłość, Chrome ma zintegrowany Adobe Flash we własnych trzewiach i nie jest możliwy taki rodzaj "aktualizacji". Szczegóły aktualizacji Adobe Flash w Chrome w przyklejonym: KLIK. 2. Nie wiadomo co wykrył (ścieżka dostępu) Windows Defender, gdyż nie ma wyników z jego skanu. Natomiast MBAM nie wykrył nic szczególnego i wynikami nie ma się co martwić. Kolizja z elementami Windows Defender (detekcja obiektów w kwarantannie Windows Defender). W raportach nie widać żadnych oznak infekcji. Możesz sobie wykonać tylko mały kosmetyczny skrypt usuwający śmieciarskie zadania "Asystenta kompatybilności" i czyszczący tempy. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {0A177D5D-4EFB-4E76-958C-1DE0A9355E08} - System32\Tasks\{3CF73E57-8268-47FD-84CE-CA3B0B663609} => pcalua.exe -a C:\Users\katar\Downloads\R264250.exe -d C:\Users\katar\Downloads Task: {3F123D1C-1E15-4AE5-B529-6175C5FB9691} - System32\Tasks\{9BB75590-461B-46CB-A16E-BCDEED372FE1} => Firefox.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&amp;ver=7.24.0.104&amp;LastError=12029 Task: {88DCC7D1-D59F-441A-ACB2-F697AF8E0B4C} - System32\Tasks\{BF6CF79A-043D-499E-ADAC-190BFC3A472E} => Firefox.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&amp;ver=7.24.0.104&amp;LastError=12029 Task: {BAACCC41-EB68-447A-A8A4-23F1817857F3} - System32\Tasks\{7DD794A8-D2EB-4C59-98D2-281928C7F2DA} => pcalua.exe -a C:\Users\katar\AppData\Local\Apps\2.0\BRZBWG1X.WPT\2GJRY8X0.XG5\dell..tion_6d0a76327dca4869_0007.0006_c115ed00279cd90d\Uninstaller.exe -c uninstall EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Wyłącz wszystkie programy ochronne (SpyShelter i inne). Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten log. Nowe skany FRST zbędne. 3. Wg raportu FRST jeden z plików Windows nie ma sygnatury: R3 WinHttpAutoProxySvc; C:\Windows\system32\winhttp.dll [614400 2016-05-28] (Microsoft Corporation) [brak podpisu cyfrowego] Wykonaj weryfikację sfc /scannow i dostarcz wynikowy przefiltrowany log: KLIK.

Wg Fixog skrypt się wykonał kompletnie, więc nie ma nic do poprawek. Przez SHIFT+DEL (omija Kosz) skasuj C:\FRST oraz FRST i jego logi z folderu D:\Firefox Download. Na koniec wyczyść foldery Przywracania systemu: KLIK. A te samoistne rebooty (jeśli się powtarzają), to być może sprawa sterownikowo-sprzętowa do diagnostyki w dziale Hardware. W Twoim Dzienniku zdarzeń są tego rodzaju błędy: System errors: ============= Error: (06/17/2016 01:27:45 AM) (Source: Application Popup) (EventID: 56) (User: ) Description: Driver ACPI returned invalid ID for a child device (5).

Czyli wszystko w porządku. Na koniec: 1. Przez SHIFT+DEL (omija Kosz) skasuj folder C:\FRST z dysku oraz sam FRST i jego logi. 2. Skoryguj drobny błąd WMI: KLIK. 3. Wyczyść także foldery Przywracania systemu: KLIK. To wszystko.

Spróbuj oficjalnego usuwacza toolbarów Ask (support AVG kieruje do strony domowej Ask), linkowany na spodzie: KLIK. Jeśli akcja się powiedzie i wejście zniknie z listy, zresetuj ponownie ustawienia Chrome, a potem zrób nowy log FRST (bez Addition i Shortcut).

Prawie wszystko zrobione. Ale nadal widzę: 1. Na liście zainstalowanych AVG SafeGuard by Ask. Czy jest jakiś problem z deinstalacją? 2. Zmodyfikowane przez w/w delikwenta preferencje Chrome. Czy na pewno resetowałeś ustawienia zgodnie z wytycznymi? Chrome: ======= CHR HomePage: Default -> search.ask.com/?gct=hp CHR DefaultSearchURL: Default -> hxxp://www.search.ask.com/web?q={searchTerms} CHR DefaultSearchKeyword: Default -> search.ask.com CHR DefaultSuggestURL: Default -> hxxp://ssmsp.ask.com/query?sstype=prefix&li=ff&q={searchTerms}

Tego Intela to w ogóle już nie ma w raporcie... Prowadziłeś jakieś zmiany w zainstalowanym oprogramowaniu? Natomiast wskoczył cały zestaw nVidia. Przetestuj więc co się stanie po wyłączeniu rozszerzeń nVidia.

Ten błąd "Failed to update (5)" jakiś czas temu zgłosiłam autorowi, gdyż widziałam go również w jednej z moich wirtualnych maszyn. Niestety nie wiadomo w czym problem. W takiej sytuacji należy ręcznie pobrać FRST. Skrypty pomyślnie wykonane. Jeszcze mi podaj dane jakie polityki GPO są obecnie przetwarzane w systemie, bo nie jest to dostatecznie jasne z raportu FRST. Czyli załaduj na Adminie fixlist.txt o poniższej postaci i dostarcz wynikowy log: CMD: type C:\Windows\System32\GroupPolicy\Machine\Registry.pol A problem WMI nadal mam do przemyślenia.

Poprawki: 1. Otwórz Notatnik i wklej w nim: BHO-x32: Ó¦Óñ¦Ň»Ľü°˛×°˛ĺĽţ -> {50F4150A-48B2-417A-BE4C-C83F580FB904} -> C:\Program Files (x86)\Common Files\Tencent\QQPhoneManager\2.0.201.3192\npQQPhoneManagerExt.dll [2014-05-30] (腾讯公司) S1 MPCKpt; system32\DRIVERS\MPCKpt.sys [X] S1 SRepairDrv; \??\C:\Program Files (x86)\Tencent\QQPCMGR\SRepairDrv [X] S2 tsnethlpx64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.6.17647.229\TsNetHlpX64.sys [X] CMD: for %i in ("C:\Program Files (x86)\Common Files\Tencent\*.dll") do C:\Windows\SysWOW64\regsvr32.exe /s /u %i C:\Program Files (x86)\Common Files\Tencent C:\ProgramData\Microsoft\Windows\Start Menu\Programs\腾讯软件 C:\Users\Tuscioch\AppData\Local\Google\Chrome\User Data\Default C:\Users\Tuscioch\Downloads\sh-remover.exe Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. To jest kwestia tego, że była manipulacja adware w profilach Google Chrome. Odepnij bieżący skrót z paska, przypnij od nowa.