Miszel03

O ile przeglądarka Google Chrome wygląda w porządku, tak Mozilla FireFox ma masę niedomyślnych modyfikacji i zainstalowane kontrowersyjne rozszerzenie Browser Security - klasyfikowane jako adware / PUP. Tym będziemy się zajmować, dodatkowa sprzątam system z resztek po wcześniej odinstalowanych programach / czyszczę lokalizacje tymczasowe. Profilaktycznie, proszę się zapoznać z lekturą: KLIK. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku GroupPolicy: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia S2 Nero BackItUp Scheduler 4.0; C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe [X] S2 WsDrvInst; C:\Program Files (x86)\Wondershare\dr.fone toolkit for Android\Library\DriverInstaller\DriverInstall.exe [X] U0 aswVmm; Brak ImagePath FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\48789421.js [2017-11-01] FF ExtraCheck: C:\Program Files\mozilla firefox\48789421.cfg [2017-11-01] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://uk.search.yahoo.com/yhs/web?hspart=iry&hsimp=yhs-fullyhosted_003&type=wbf_updstrcm_16_48_ssg01&param1=1&param2=f%3D1%26b%3DIE%26cc%3Dgb%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzutD0CyCtDyByCyD0D0A0FtAtDzyyDyByCtN0D0Tzu0StCyBzyzztN1L2XzutAtFtByDtFtCtFyDtBtN1L1Czu1ByEtN1L1G1B1V1N2Y1L1Qzu2StC0EtD0B0BtD0F0AtGyCyEyEtCtGtB0BzytBtGtDtByBzytG0BtD0A0DtA0C0EyD0EzyyCtA2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0CtBtDyCyDyE0EyDtGzy0CtCtCtGyE0CtDzytG0A0FzytAtGzy0B0Ezz0C0FtBtDtBzytByB2QtN0A0LzuyE%26cr%3D2113677804%26a%3Dwbf_updstrcm_16_48_ssg01%26os_ver%3D6.1%26os%3DWindows%2B7%2BUltimate HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://uk.search.yahoo.com/yhs/web?hspart=iry&hsimp=yhs-fullyhosted_003&type=wbf_updstrcm_16_48_ssg01&param1=1&param2=f%3D1%26b%3DIE%26cc%3Dgb%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzutD0CyCtDyByCyD0D0A0FtAtDzyyDyByCtN0D0Tzu0StCyBzyzztN1L2XzutAtFtByDtFtCtFyDtBtN1L1Czu1ByEtN1L1G1B1V1N2Y1L1Qzu2StC0EtD0B0BtD0F0AtGyCyEyEtCtGtB0BzytBtGtDtByBzytG0BtD0A0DtA0C0EyD0EzyyCtA2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0CtBtDyCyDyE0EyDtGzy0CtCtCtGyE0CtDzytG0A0FzytAtGzy0B0Ezz0C0FtBtDtBzytByB2QtN0A0LzuyE%26cr%3D2113677804%26a%3Dwbf_updstrcm_16_48_ssg01%26os_ver%3D6.1%26os%3DWindows%2B7%2BUltimate HKU\S-1-5-21-3829860928-2521656368-3583658347-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://uk.search.yahoo.com/yhs/web?hspart=iry&hsimp=yhs-fullyhosted_003&type=wbf_updstrcm_16_48_ssg01&param1=1&param2=f%3D1%26b%3DIE%26cc%3Dgb%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzutD0CyCtDyByCyD0D0A0FtAtDzyyDyByCtN0D0Tzu0StCyBzyzztN1L2XzutAtFtByDtFtCtFyDtBtN1L1Czu1ByEtN1L1G1B1V1N2Y1L1Qzu2StC0EtD0B0BtD0F0AtGyCyEyEtCtGtB0BzytBtGtDtByBzytG0BtD0A0DtA0C0EyD0EzyyCtA2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0CtBtDyCyDyE0EyDtGzy0CtCtCtGyE0CtDzytG0A0FzytAtGzy0B0Ezz0C0FtBtDtBzytByB2QtN0A0LzuyE%26cr%3D2113677804%26a%3Dwbf_updstrcm_16_48_ssg01%26os_ver%3D6.1%26os%3DWindows%2B7%2BUltimate SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxps://uk.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wbf_updstrcm_16_48_ssg01&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dgb%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzutD0CyCtDyByCyD0D0A0FtAtDzyyDyByCtN0D0Tzu0StCyBzyzztN1L2XzutAtFtByDtFtCtFyDtBtN1L1Czu1ByEtN1L1G1B1V1N2Y1L1Qzu2StC0EtD0B0BtD0F0AtGyCyEyEtCtGtB0BzytBtGtDtByBzytG0BtD0A0DtA0C0EyD0EzyyCtA2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0CtBtDyCyDyE0EyDtGzy0CtCtCtGyE0CtDzytG0A0FzytAtGzy0B0Ezz0C0FtBtDtBzytByB2QtN0A0LzuyE%26cr%3D2113677804%26a%3Dwbf_updstrcm_16_48_ssg01%26os_ver%3D6.1%26os%3DWindows%2B7%2BUltimate&p={searchTerms} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxps://uk.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wbf_updstrcm_16_48_ssg01&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dgb%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzutD0CyCtDyByCyD0D0A0FtAtDzyyDyByCtN0D0Tzu0StCyBzyzztN1L2XzutAtFtByDtFtCtFyDtBtN1L1Czu1ByEtN1L1G1B1V1N2Y1L1Qzu2StC0EtD0B0BtD0F0AtGyCyEyEtCtGtB0BzytBtGtDtByBzytG0BtD0A0DtA0C0EyD0EzyyCtA2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0CtBtDyCyDyE0EyDtGzy0CtCtCtGyE0CtDzytG0A0FzytAtGzy0B0Ezz0C0FtBtDtBzytByB2QtN0A0LzuyE%26cr%3D2113677804%26a%3Dwbf_updstrcm_16_48_ssg01%26os_ver%3D6.1%26os%3DWindows%2B7%2BUltimate&p={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxps://uk.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wbf_updstrcm_16_48_ssg01&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dgb%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzutD0CyCtDyByCyD0D0A0FtAtDzyyDyByCtN0D0Tzu0StCyBzyzztN1L2XzutAtFtByDtFtCtFyDtBtN1L1Czu1ByEtN1L1G1B1V1N2Y1L1Qzu2StC0EtD0B0BtD0F0AtGyCyEyEtCtGtB0BzytBtGtDtByBzytG0BtD0A0DtA0C0EyD0EzyyCtA2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0CtBtDyCyDyE0EyDtGzy0CtCtCtGyE0CtDzytG0A0FzytAtGzy0B0Ezz0C0FtBtDtBzytByB2QtN0A0LzuyE%26cr%3D2113677804%26a%3Dwbf_updstrcm_16_48_ssg01%26os_ver%3D6.1%26os%3DWindows%2B7%2BUltimate&p={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxps://uk.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wbf_updstrcm_16_48_ssg01&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dgb%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzutD0CyCtDyByCyD0D0A0FtAtDzyyDyByCtN0D0Tzu0StCyBzyzztN1L2XzutAtFtByDtFtCtFyDtBtN1L1Czu1ByEtN1L1G1B1V1N2Y1L1Qzu2StC0EtD0B0BtD0F0AtGyCyEyEtCtGtB0BzytBtGtDtByBzytG0BtD0A0DtA0C0EyD0EzyyCtA2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0CtBtDyCyDyE0EyDtGzy0CtCtCtGyE0CtDzytG0A0FzytAtGzy0B0Ezz0C0FtBtDtBzytByB2QtN0A0LzuyE%26cr%3D2113677804%26a%3Dwbf_updstrcm_16_48_ssg01%26os_ver%3D6.1%26os%3DWindows%2B7%2BUltimate&p={searchTerms} SearchScopes: HKU\S-1-5-21-3829860928-2521656368-3583658347-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxps://uk.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wbf_updstrcm_16_48_ssg01&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dgb%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzutD0CyCtDyByCyD0D0A0FtAtDzyyDyByCtN0D0Tzu0StCyBzyzztN1L2XzutAtFtByDtFtCtFyDtBtN1L1Czu1ByEtN1L1G1B1V1N2Y1L1Qzu2StC0EtD0B0BtD0F0AtGyCyEyEtCtGtB0BzytBtGtDtByBzytG0BtD0A0DtA0C0EyD0EzyyCtA2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0CtBtDyCyDyE0EyDtGzy0CtCtCtGyE0CtDzytG0A0FzytAtGzy0B0Ezz0C0FtBtDtBzytByB2QtN0A0LzuyE%26cr%3D2113677804%26a%3Dwbf_updstrcm_16_48_ssg01%26os_ver%3D6.1%26os%3DWindows%2B7%2BUltimate&p={searchTerms} SearchScopes: HKU\S-1-5-21-3829860928-2521656368-3583658347-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxps://uk.search.yahoo.com/yhs/search?hspart=iry&hsimp=yhs-fullyhosted_003&type=wbf_updstrcm_16_48_ssg01&param1=1&param2=f%3D4%26b%3DIE%26cc%3Dgb%26pa%3Dwincy%26cd%3D2XzuyEtN2Y1L1QzutD0CyCtDyByCyD0D0A0FtAtDzyyDyByCtN0D0Tzu0StCyBzyzztN1L2XzutAtFtByDtFtCtFyDtBtN1L1Czu1ByEtN1L1G1B1V1N2Y1L1Qzu2StC0EtD0B0BtD0F0AtGyCyEyEtCtGtB0BzytBtGtDtByBzytG0BtD0A0DtA0C0EyD0EzyyCtA2QtN1M1F1B2Z1V1N2Y1L1Qzu2S0CtBtDyCyDyE0EyDtGzy0CtCtCtGyE0CtDzytG0A0FzytAtGzy0B0Ezz0C0FtBtDtBzytByB2QtN0A0LzuyE%26cr%3D2113677804%26a%3Dwbf_updstrcm_16_48_ssg01%26os_ver%3D6.1%26os%3DWindows%2B7%2BUltimate&p={searchTerms} SearchScopes: HKU\S-1-5-21-3829860928-2521656368-3583658347-1000 -> {BC939005-9CBD-45EA-B6DF-22E800BBE79A} URL = hxxps://uk.search.yahoo.com/search?fr=chr-greentree_ie&ei=utf-8&ilc=12&type=435371&p={searchTerms} SearchScopes: HKU\S-1-5-21-3829860928-2521656368-3583658347-1000 -> {C0C3A6C6-03BC-4195-8FCB-AEA091301353} URL = hxxps://search.yahoo.com/yhs/search?hspart=lvs&hsimp=yhs- SearchScopes: HKU\S-1-5-21-3829860928-2521656368-3583658347-1000 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL =awc&type=lvs__webcompa__1_0__ya__ch_WCYID10118__161203__yaie&p={searchTerms} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lightworks\Uninstall Lightworks.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Digital Image Recovery\Digital Image Recovery.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Digital Image Recovery\README.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ClipGrab\ClipGrab.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ClipGrab\Uninstall ClipGrab.lnk Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Będzie wymagana ponowna instalacja uBlock Origin / Bloker reklam Adguard. 3. Zastosuj AdwCleaner z opcji Szukaj (nie stosuj jeszcze Oczyść). Dostarcz raport z tego działania. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

W raportach brak oznak infekcji. Polityki grup widoczne w logu FRST wydają się ustawieniem jakiegoś oprogramowania zabezpieczającego (ostatnio jest to tutaj częsty widok). Temat przenoszę do działu Pozostałe zagadnienia komputerowe, gdzie będzie świadczona dalsza pomoc, więc: 1. Dostarcz przefiltrowany raport z opcji sfc /scannow. 2. Dostarcz raport z CrystalDiskInfo w celu analizy dysku. 3. Wykonaj raport Windows Performance Recorder z opcji: First level triage oraz Loging mode: File. Powstały log wynikowy spakuj do archiwum, a następnie wyślij go na jakiś hosting, np. MediaFire.

Raporty są niekompletne (brakuje logu Shortuct) i zniekształcone pod wypływem braku kodowania UTF-8 na tej stronie. W przypadku problemu z załącznikami, raporty proszę wkleić na wklej.org

W takim razie kończymy. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Wszystko pomyślnie wykonane. 1. Detekcje Malwarebytes dotyczy crack'a zawierającego adware - to tylko plik instalacyjny, więc myślę, że możesz dać go do kasacji. 2. Jak podsumowujesz obecną sytuację? Problemy ustąpiły?

Zagrożenia wykryte przez Malwarbytes możesz dać do kasacji - to drobniutkie resztki, które jakimś cudem poprzednio umknęły MBAM.

AdwCleaner nie znalazł niczego ciekawego, ta jedyna detekcja jest nieszkodliwa, choć wirusowa - w systemie nie ma zainstalowanej przeglądarki Mozilla FireFox - to jedynie resztka. System jest zainfekowany. Widoczne podejrzane elementy ładują się przez Harmonogram Zadań i tym się teraz będziemy zajmować. Wątkiem pobocznym jest sprzątanie systemu z resztek po wcześniej odinstalowanym oprogramowaniu (m.in po przeglądarce Mozilla FireFox). 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-2695318375-2183935987-1297418613-1001_Classes\CLSID\{1BF42E4C-4AF4-4CFD-A1A0-CF2960B8F63E}\InprocServer32 -> C:\Users\Pu$hok\AppData\Local\Microsoft\OneDrive\17.3.7073.1013\amd64\FileSyncShell64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2695318375-2183935987-1297418613-1001_Classes\CLSID\{7AFDFDDB-F914-11E4-8377-6C3BE50D980C}\InprocServer32 -> C:\Users\Pu$hok\AppData\Local\Microsoft\OneDrive\17.3.7073.1013\amd64\FileSyncShell64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2695318375-2183935987-1297418613-1001_Classes\CLSID\{82CA8DE3-01AD-4CEA-9D75-BE4C51810A9E}\InprocServer32 -> C:\Users\Pu$hok\AppData\Local\Microsoft\OneDrive\17.3.7073.1013\amd64\FileSyncShell64.dll => Brak pliku Task: {CA5D0F44-9412-4B1B-A95D-4167920B488F} - System32\Tasks\up2news1comrioalz => C:\Program Files\Opera\48.0.2685.52\opera.exe [2017-10-26] (Opera Software) Task: {83F92EB1-3CDE-40EC-974E-CB8B17B19EDA} - System32\Tasks\citpth => C:\Users\Pu$hok\AppData\Local\wriwk.bat Task: {902B0F36-FF69-4A11-8F04-1A82D766244D} - System32\Tasks\gbnqmhxcpbfm => C:\Users\Pu$hok\AppData\Local\uphaxsanemlm.bat C:\Users\Pu$hok\AppData\Local\wriwk.bat C:\Users\Pu$hok\AppData\Local\uphaxsanemlm.bat GroupPolicy: Ograniczenia GroupPolicy\User: Ograniczenia HKU\S-1-5-21-2695318375-2183935987-1297418613-1001\Software\Microsoft\Internet Explorer\Main,Start Page = SearchScopes: HKU\S-1-5-21-2695318375-2183935987-1297418613-1001 -> {C0C3A6C6-03BC-4195-8FCB-AEA091301353} URL = hxxps://pl.search.yahoo.com/yhs/search?hspart=lvs&hsimp=yhs-awc&type=lvs__webcompa__1_0__ya__ch_WCYID10438__171015__yaie&p={searchTerms} SearchScopes: HKU\S-1-5-21-2695318375-2183935987-1297418613-1001 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/distib/ep/?q={searchTerms}&fr=ntg&product_id=%7B121F8A96-A13D-4639-9BDB-4B0BB7B2ADB5%7D&gp=811142 R2 ibtsiva; %SystemRoot%\system32\ibtsiva [X] C:\Users\Pu$hok\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks - Sandbox\Uninstall World of Tanks - Sandbox.lnk C:\Users\Pu$hok\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\World of Tanks - Sandbox\World of Tanks - Sandbox.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Pu$hok\AppData\Local\Mozilla C:\Users\Pu$hok\AppData\Roaming\Mozilla C:\Users\Pu$hok\AppData\Roaming\Profiles CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Pu$hok\AppData\Local CMD: dir /a C:\Users\Pu$hok\AppData\LocalLow CMD: dir /a C:\Users\Pu$hok\AppData\Roaming Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Nie, brakuje trzeciego loga Shortcut.

Spokojnie, takie baterie długo trzymają - 5 lat minimum (a producenci zapewniają znacznie więcej), a ten telefon jak mówiłem wcześniej - jest porządnie wykonany. Iphone 5S działa mi już od prawie 5 lat bez zarzutu, a też nie można w nim wymienić baterii i w ogóle się tym nie stresuje.

System jest zainfekowany przez adware, ale wstrzymam się z zadaniami, bo poprosiłem moderatora działu Hardware by najpierw rzucił okiem na raport, który może być bardzo niepokojący. EDIT: Wygląda na to, że wszystko jednak w porządku, jutro zabiorę się za Twój temat.

OK, póki co możesz zaktualizować oprogramowanie zewnętrze oraz Windows. Narzędzia używane skasuje DelFix.

Cześć, zapoznaj się proszę z zasadami działu, a otrzymasz pomoc.

Diabelski, jeden post skasowałem. Nie prowadzisz pomocy i nie masz do tego uprawnień - to jest moje ostatnie ostrzeżenie przed założeniem blokady na posty. Naprawdę zapłaciłbyś kilkaset złoty w ciemno? Przypominam Ci, że to są przestępcy i nie masz żadnej pewności, że to pieniądze rzeczywiście skłonią ich do deszyfracji. Płacąc przy każdej infekcji przestępcom kręcisz ich biznes! Zapytaj może najpierw użytkownika czy w ogóle jest skłonny tyle zapłacić w ciemno, zresztą czy ja kasuję jakieś dane dot. możliwości uiszczenia haraczu?! Zapoznaj się ze strukturą działania FRST i przeczytaj moje posty ze zrozumieniem. Dlaczego mam zostawiać w systemie elementy infekcji? Główne moje zadanie to wyizolować infekcję. Atasuke, muszę zgłosić problem z tymi narzędziami, ale najważniejsze, że sobie poradziłeś. Próba łamania klucza jest praktycznie awykonalna. Szansa, na to, że ktoś stworzy dekoder jest, ale mała. Jutro spróbujemy kilku sztuczek, które być może coś wskórają.

Diabelski, zgodnie z zasadami działu pomocy udzielać mogą tylko moderatorzy działu. Post wyjątkowo nie zostanie skasowany. To jest komponent infekcji, co prawda nieszkodliwy, ale infekcji. Ta notatka nie będzie potrzebna. Po pierwszy gdyby autor zdecydował się zapłacić okup to notatki dostępne są w Internecie (przestępcy nie podaj numeru konta, a jedynie kontakt), a po drugie nie ma kompletnie żadnej pewności, że pliki zostaną odkodowane. Niestety, ale ten wariant kasuje kopie Shadow podczas procesu szyfracji. Stan dysku jest dobry, ale proszę go kontrolować co jakiś czas. Dziwne, że RansomNoteCleaner nie znalazł notatek, no cóż, te widoczne z poziomu logu skasuję przez skrypt. Gdybyś chciał jednak zachować sobie jedną to znajdzie się ona w C:\FRST\Quarantine tak samo jak log z szyfracji (C:\ProgramData\Keyboard). Rozszerzania wystarczy będzie zmienić z .vir na .txt 1. Zagrożenia wykryte przez Malwarebytes możesz dać do kasacji, ewentualnie RiskWare.Tool.CK możesz pominąć - jeśli z niego korzystasz (crack). 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CreateRestorePoint: C:\ProgramData\Keyboard C:\Users\Dell\Downloads\!!$ O D Z Y S K A J P L I K I.txt C:\Users\Dell\!!$ O D Z Y S K A J P L I K I.txt C:\Users\Dell\Desktop\!!$ O D Z Y S K A J P L I K I.txt C:\Users\Dell\Documents\!!$ O D Z Y S K A J P L I K I.txt Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Uruchom CryptoSearch. W sekcji wyboru wariantu wybierz Vortex, a następnie kliknij Search Computer. Po zakończeniu wybierz Archive Files i przenieść pliki w dowolne miejsce (najlepiej na dysk zewnętrzny, np. pendrive). 4. Podsumuj obecny stan systemu.

To mamy jasność sytuacji. Najpierw zajmiemy się sprzątaniem systemu z resztek / notatek Ransomware, a na końcu zajmiemy się (o ile będzie to możliwe) deszyfracją. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Folder: C:\ProgramData\Keyboard FF Plugin: @microsoft.com/GENUINE -> disabled [brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [brak pliku] S4 nvlddmkm; system32\DRIVERS\nvlddmkm.sys [X] Task: {396A36E8-A742-4F66-A200-F7C4937F7E03} - System32\Tasks\CIS_{15198508-521A-4D69-8E5B-B94A6CCFF805} => C:\ProgramData\cisFC86.exe C:\ProgramData\cisFC86.exe C:\Users\Dell\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TradeHub Aukcje sklepy.lnk Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Uruchom RansomNoteCleaner. Z opcji Select Ransomware(s) wybierz tylko pozycje Vortex. Do skanowania (opcja Search for Ransom Notes) ustaw cały dysk C:\ i D:\. Dostarcz wynikowy log. 4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 5. Dziennik zdarzeń pokazuje niepokojące alerty dot. dysku, musimy je zweryfikować. Dostarcz raport z CrystalDiskInfo. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Teoretycznie rozszerzenie .aes wskazuję, że to ransomware Vortex, ale pokuszę się jednak o analizę, która to potwierdzi. Wybierz zaszyfrowany plik lub notatkę ransomware i wyślij ją na serwer usługi ID Ransomware, momentalnie otrzymasz analizę - dostarcz ją w postaci screena. Kiedy dostane analizę powiem co robimy dalej i czy istnieje możliwość odzyskania plików.

Wygląda na to, że wszystko pomyślnie wykonane. Powiedz proszę na czym teraz stoimy i co wymaga poprawy.

Na dysk niech zrzuci okiem Groszek - to może sygnalizować, że w przyszłości dysk może nieoczekiwanie paść, bo niektóre sektory są niestabilne. Poinformowałem go. SFC znalazł masę naruszeń i z tego co widzę z końcowego wyniku wszystkie naprawił. Powtórz tą akcje w celu potwierdzenia.

Te reklamy nie mają podłoża infekcyjnego, są po prostu wyświetlane przez właściciela strony w celu prawdopodobnych zarobków. Jeśli Cię irytują to wymieniłbym rozszerzenie AdBlock na uBlock Origin - to drugie jest wydajniejsze i skuteczniejsze.

W taki razie kończymy. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

W takim razie po uprzątnięciu systemu przeniosę temat do działu Hardware gdybyś miał jakieś pytania z tej dziedziny. Właściwie to Malwarebytes wszystko posprzątał, ta detekcje, która cały czas jest przywracana spowodowana jest synchronizacją w przeglądarce Mozilla FireFox, którą musimy zresetować. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia SearchScopes: HKLM -> DefaultScope - brak wartości S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X] S1 ZAM; \??\C:\Windows\System32\drivers\zam64.sys [X] S1 ZAM_Guard; \??\C:\Windows\System32\drivers\zamguard64.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Solvusoft\DriverDoc\DriverDoc.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Solvusoft\DriverDoc\Uninstall.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SecureCam\Manual.lnk C:\Users\Szymczak\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Scenalyzer\Remove ScenalyzerLive.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox. Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. 3. Dostarcz plik Fixlog oraz raport FRST, już bez Addiiton i Shrotcut. Sprawdź czy Malwarebytes nadal coś wykrywa.

Polecam Xiaomi Redmi 4X. Telefon u jednego z moich bliskich działa bardzo dobrze, o ile nie celująco. Aparat jest świetny, masz czytnik linii papilarnych i całkiem niezłą specyfikację sprzętową. Desing telefonu nie pozostawia żadnych zastrzeżeń.

To o niczym nie świadczy. Oprogramowania marki Kaspersky mają długotrwały skan, więc tym się raczej proszę nie przejmować. Zagrożenia wykryte przez Malwarebytes daj do kasacji. To działanie zakończy proces czyszczenia systemu ze złośliwego oprogramowania, czy masz jakieś dodatkowo pytania? Skarżysz się na wolne działanie systemu, więc: 1. Dostarcz przefiltrowany raport z opcji sfc /scannow. 2. Dostarcz raport z CrystalDiskInfo w celu analizy dysku.

Wszystko wygląda w porządku. Pomaga mi moderator działu Hardware, bo musimy rozszerzyć diagnostykę - teraz powinniśmy wyłapać problematyczne wątki. Wykonaj raport Windows Performance Recorder z opcji: First level triage oraz Loging mode: File. Powstały log wynikowy spakuj do archiwum, a następnie wyślij go na jakiś hosting, np. MediaFire.

W raportach brak oznak infekcji, a w Dzienniku Zdarzeń nie widzę nic co mogłoby powodować taki problem. Na wszelki wypadek wdrążymy kompleksowy skan antywirusowy, poszerzymy również diagnostykę w kierunku głównego problemu. 1. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 2. Dostarcz przefiltrowany raport z opcji sfc /scannow. 3. Dostarcz raport z CrystalDiskInfo w celu analizy dysku.