Miszel03

Ten komputer, jak Twój poprzedni został zainfekowany wirusem Brontok (powodującym właśnie w/w przez Ciebie problemy), więc przypuszczalnie była pomiędzy nimi wymiana plików. Przecież wyraźniej już nie mogłem Cie ostrzec. Nie uruchamiaj żadnych plików wykonywalnych. Ogranicz się do przeglądarki i narzędzi, które Ci zlecam. Wszystkie komputery, które mogły mieć jakieś połączenie z tym wymagają diagnostyki pod kątem infekcji. (Tj. adnotacja z poprzedniego Twojego tematu: KLIK) Systemu Windows XP i braku oprogramowania zabezpieczającego już nie skomentuj...bo nie mam siły. Aktualnie praktycznie każde oprogramowanie uchroniłoby Cię przed tą infekcją. Przed działaniami proszę spójrz jeszcze do spoileru. Od razu jedziemy z dezynfekcją systemu. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: HKLM\...\Winlogon: [shell] Explorer.exe "C:\WINDOWS\eksplorasi.exe" [x ] () HKU\S-1-5-21-3186419010-3260862241-2880911088-1004\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-21-3186419010-3260862241-2880911088-1004\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-3186419010-3260862241-2880911088-1004\...\Policies\Explorer: [NoFolderOptions] 1 HKU\S-1-5-18\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-18\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-18\...\Policies\Explorer: [NoFolderOptions] 1 HKLM\...\Run: [bron-Spizaetus] => C:\WINDOWS\ShellNew\sempalong.exe [42713 2009-07-23] () HKU\S-1-5-21-3186419010-3260862241-2880911088-1004\...\Run: [Tok-Cirrhatus] => C:\Documents and Settings\CSM7100\Local Settings\Application Data\smss.exe [42713 2009-07-23] () HKU\S-1-5-18\...\Run: [Tok-Cirrhatus] => C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe [42713 2009-07-23] () Startup: C:\Documents and Settings\CSM7100\Start Menu\Programs\Startup\Empty.pif [2009-07-23] () C:\Documents and Settings\CSM7100\Start Menu\Programs\Startup\Empty.pif HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "" SearchScopes: HKLM -> DefaultScope value is missing S4 IntelIde; no ImagePath U1 WS2IFSL; no ImagePath 2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\CSM7100\Local Settings\Application Data\csrss.exe 2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\CSM7100\Local Settings\Application Data\lsass.exe 2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\CSM7100\Local Settings\Application Data\services.exe 2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\CSM7100\Local Settings\Application Data\smss.exe 2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 ____N () C:\Documents and Settings\CSM7100\Local Settings\Application Data\winlogon.exe CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{0000002F-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{00020420-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{00020421-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{00020422-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{00020423-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{00020424-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{00020425-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{0BE35200-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{0BE35201-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{0BE35202-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{0BE35203-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{0BE35204-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{46763EE0-CAB2-11CE-8C20-00AA0051E5D4}\InprocServer32 -> no filepath CustomCLSID: HKU\S-1-5-21-3186419010-3260862241-2880911088-1004_Classes\CLSID\{B196B286-BAB4-101A-B69C-00AA00341D07}\InprocServer32 -> no filepath C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\*.exe C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\*Bron* C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\*Bron*.* CMD: dir /a C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Dla wyników połączonych z infekcja Brontok zastosuj opcję leczenia / kwarantanny, resztę zostaw i dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut (użyj najnowszej wersji FRST z przyklejonego tematu). Dołącz też plik fixlog.txt.

Wprawdzie ID Ransomware dał diagnozę "Xorist", ale nie jest powiedziane, że diagnoza była poprawna i, że dany wariant da się rozkodować. Na podstawie logów jakoś nie jestem w stanie rozpoznać co to za infekcja dodająca 4 znaki (prawdopodobnie "CFER" jest losowe). 2017-06-09 19:58 - 2017-06-09 20:18 - 1468010588 _____ C:\Users\Mateusz_2\Downloads\eduweb.pl Kurs Strony WWW z WordPress - Podstawy-DW-MTU.rar.CFER 2017-06-09 19:33 - 2017-06-09 19:53 - 2092451759 _____ C:\Users\Mateusz_2\Downloads\strefakursow.pl Kurs Tworzenie profesjonalnych stron z WordPress-DW-MTU.rar.CFER 2016-04-15 16:16 - 2016-02-09 03:31 - 0001010 _____ () C:\Users\Mateusz_2\AppData\Roaming\HOW TO DECRYPT FILES.txt Swój pierwszy post oparłem tylko o diagnozie z ID Ransomware i skrycie liczyłem, że narzędzie nie zawiodło. Proszę ponów analizę plików (może była aktualizacja poprawkowa), daj zarówno notatkę jak i zaszyfrowany plik do analizy. Dostarcz wyniki. Xorist to rodzina, istnieję wiele wariantów, niektóre da się rozszyfrować, a niektóre nie. Choć ID Ransomoware rozpoznał Xorista, to nie wiadomo jaki to konkretnie wariant. Jeśli te dwa dekodery zawiodły (to był sposób na sprawdzenie, która to grupa wirusa) to niestety, ale obstawiłbym te bardziej złośliwe warianty, gdzie rozkodowanie plików jest awykonalne. Zaszyfrowywane dane przenieś na jakiś dysk zewnętrzny (ewentualnie daj do chmury), same zaszyfrowane pliki nie są infekcyjne.

Raporty nie wykazują oznak infekcji. Temat przenoszę do działu Software, bo w Dzienniku Zdarzeń oprogramowanie Panda sypie błędami. Spróbuj kompleksowo przeinstalować to oprogramowanie korzystając z instrukcja producenta: KLIK i sprawdź efekty. Te poniższe modyfikacje polityk pomijam, bo widzę je często w przypadku instalacji oprogramowania Comodo / Panda i myślę, że to ich preferencje. GroupPolicyScripts: Ograniczenia GroupPolicyScripts-x32: Ograniczenia

W raportach brak oznak infekcji. System jest czysty pod tym względem, a co do reklam w przeglądarkach to podejrzewam, że nie mają one żadnego podłoża infekcyjnego (witamy w dzisiejszym Internecie). FireFox: ======== FF DefaultProfile: oj19pwh6.default FF ProfilePath: C:\Users\Julia\AppData\Roaming\Mozilla\Firefox\Profiles\oj19pwh6.default [2017-06-13] FF Session Restore: Mozilla\Firefox\Profiles\oj19pwh6.default -> [funkcja włączona] FF Plugin: @adobe.com/FlashPlayer -> C:\Windows\system32\Macromed\Flash\NPSWF32_25_0_0_148.dll [2017-05-04] () FF Plugin: @docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf -> C:\Program Files\Tracker Software\PDF Viewer\npPDFXCviewNPPlugin.dll [2016-09-21] (Tracker Software Products (Canada) Ltd.) FF Plugin: @microsoft.com/SharePoint,version=14.0 -> C:\Program Files\Microsoft Office 15\root\Office15\NPSPWRAP.DLL [2016-10-19] (Microsoft Corporation) FF Plugin: @tracker-software.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf -> C:\Program Files\Tracker Software\PDF Viewer\npPDFXCviewNPPlugin.dll [2016-09-21] (Tracker Software Products (Canada) Ltd.) FF Plugin HKU\S-1-5-21-3423905981-63809410-1667830998-1000: @docu-track.com/PDF-XChange Viewer Plugin,version=1.0,application/pdf -> C:\Program Files\Tracker Software\PDF Viewer\npPDFXCviewNPPlugin.dll [2016-09-21] (Tracker Software Products (Canada) Ltd.) Z raportów wynika również, że nie masz żadnego blokera reklam w przeglądarce Mozilla FireFox. Polecam zainstalować uBlock Origin. Temat przenoszę do działu Windows, gdzie pomogą Ci rozwiązać problem ze "znikającym" miejscem na dysku.

Jeśli jesteś gotowy na format i nie będzie to dla Ciebie utrapienie to zaleciłbym go. Na Twoje szczęście, jeśli to rzeczywiście Xorist to istnieją* skuteczne dekodery! * - Kaspersky XoristDecryptor oraz Emsisoft Decrypter for Xorist. Napisz na to się decydujesz. Leczymy system, czy Ty go kompleksowo reinstalujesz i deszyfrujesz pliki osobno?

Hm...nie mogę nic takiego znaleźć w Ustawieniach, aczkolwiek pewnie jest tj. mówisz, sam w sumie to podejrzewałem.

Załączyłeś dwa razy raport Shortcut, więc nie mam pełnego zestawu raportów. Proszę dopilnować, aby były trzy pliki: FRST, Addition oraz Shortcut. Dołącz również raport z GMER. Dodatkowo poproszę, aby do generacji raportów użyć najnowszej wersji FRST - KLIK (normalnie taka "przedostatnia" mogłaby być, ale w najnowszej naprawiono problem z Harmonogramem zadań).

W takim razie kończymy. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne oraz Windows.

Zajmuję się tylko sprawami infekcyjnymi. Problemy z brakujacymi bibliotekami etc. załatwisz w dziale Windows 7, do którego po dezynfekcji ten temat przeniosę. Na w/w punktach skupię się ja. Przeglądarka Mozilla FireFox wygląda dziwnie, tzn. jest w niej dużo niedomyślnych modyfikacji. Nie podoba mi się również rozszerzenie w FF dot. przelewów - nigdy wcześniej go nie widział - ale spokojnie, zostanie usunięte w pkt. 2. Po za tym sprzątam resztki po programach i robię tzw. kosmetykę systemową. Piszesz na temat webunstop, a to znane mi szkodliwe proxy. Nie widzę ich co prawda jasno w raportach, ale i tak załączę wyczyszczenie tej sekcji. 1. Jeśli crack KMS-R nie jest instalacją celową to pozbądź się go, jeśli nie będziesz potrafił to zawiadom mnie o tym w następnym poście. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-2829311126-617542664-3329239027-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-2829311126-617542664-3329239027-1000\...\Policies\Explorer: [NoWindowsUpdate] 1 IFEO\OSPPSVC.EXE: [Debugger] KMS-R@1nHook.exe IFEO\SppSvc.exe: [Debugger] KMS-R@1nHook.exe ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku CMD: type "C:\Program Files (x86)\mozilla firefox\1098902.cfg" FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\defaults\pref\1098902.js [2017-06-10] <==== UWAGA (Linkuje do pliku *.cfg) FF ExtraCheck: C:\Program Files (x86)\mozilla firefox\1098902.cfg [2017-06-10] <==== UWAGA U3 aswbdisk; Brak ImagePath S3 dbx; system32\DRIVERS\dbx.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] Task: {6B0F5998-B184-4864-996D-743066D343E4} - System32\Tasks\AutoPico Daily Restart => C:\Users\Patryk\AppData\Local\Temp\RarSFX0\AutoPico.exe <==== UWAGA Task: {7CA7EF89-12EB-4EDD-94C7-6FF63C9E5630} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe Task: {C016366B-7126-46CA-B36B-592A3D95A60B} - System32\Tasks\Microsoft\Windows\Customer Experience Improvement Program\Consolidator DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AVAST Software C:\Windows\System32\Tasks\AVAST Software MSCONFIG\startupreg: CyberGhost => "C:\Program Files\CyberGhost 5\CyberGhost.EXE" /autostart RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 3. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. Raport zaprezentuj na forum. 4. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonym polem Shortcut którego poprzednio zabrakło. Dołącz też plik fixlog.txt.

Na przeglądarce Google Chrome przekierowywanie do domeny bezpiecznej już jest, to proceder od Google czy już to zostało zrobione po naszej stronie?

Na Twoim miejscu zostałbym na pokładzie z darmową wersją Avast. Ewentualnie do tego możesz dołożyć jakiś skaner na żądanie np. MBAM / KVRT / HitmanPro. 1. Zagrożenia wykryte przez Malwarebytes daj do usunięcia. 2. Skasuj poniższe skróty ręcznie: C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\big_bang_empire.lnk C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\BigFarm.lnk C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\big_bang_empire.lnk 3. Podsumuj obecny stan systemu.

Reset hasła jest awykonalny (Avast nie przechowuje danych z sejfu haseł na serwerach) - KLIK.

Raporty nie wykazują infekcji, problematyczną przeglądarkę spróbuj przeinstalować. W spoilerze zdaję działania poboczne, bez związku z problemem. Temat przenoszę do działu Windows 7.

Tak, już jest wszystko w porządku, a na temat ComboFix poczytaj: KLIK. Kroki końcowe: zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne oraz Windows.

Wszystko pomyślnie wykonane. Infekcja zdjęta. Z tego co widzę nie włączyłeś po czyszczeniu Przywracania systemu - włącz je, lecz niczego nie przywracaj. Teraz gruntowanie przeskanujemy każdy plik w systemie, ponieważ Brontok je infekuje i w przypadku uruchomienia mogłoby dojść do reinfekcji. 1. Powtórz skan MBAM, dla wyników infekcji Brontok zastosuj opcję kwarantanny lub usunięcia. 2. Przeskanuj system za pomocą Kaspersky Virus Removal Tool. Dla wyników Brontok również zastosuj opcję kwarantanny lub usunięcia. 3. Dostarcz raport z w/w narzędzi.

Brak raport Shortcut i FRST generowanego przez FRST (dałeś tylko Addition), po za tym raporty masz załączyć je jako załączniki lub wkleić na wklej.org Post kasuję, dołącz wszystko na raz, by nie było zamieszania.

Temat założony niezgodnie z regulaminem działu. Musisz dostarczyć raporty systemowe FRST oraz GMER, dzięki, którym będę w stanie zdiagnozować system i podać konkretne instrukcję naprawcze.

Pomóc - pomogę, ale nie widzę w tym większego sensu. Windows XP to system operacyjny pozbawiony wsparcia, wystawia się infekcja jak na dłoni, a już zwłaszcza kiedy nie posiadasz oprogramowanie zabezpieczającego - KLIK. System jest mocno zainfekowany robakiem Brontok i leczenie może być oporne, bo malware wprowadziło blokadę programów zabezpieczających w oparciu o funkcję Niezaufanych certyfikatów. Nie uruchamiaj żadnych plików wykonywalnych. Ogranicz się do przeglądarki i narzędzi, które Ci zlecam. Wszystkie komputery, które mogły mieć jakieś połączenie z tym wymagają diagnostyki pod kątem infekcji. Od razu przechodzimy do działań. 1. Wyczyść wszystkie punkty przywracania systemu - KLIK. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: HKLM\ DisallowedCertificates: 08738A96A4853A52ACEF23F782E8E1FEA7BCED02 (U) HKLM\ DisallowedCertificates: 09271DD621EBD3910C2EA1D059F99B8181405A17 (U) HKLM\ DisallowedCertificates: 09FF2CC86CEEFA8A8BB3F2E3E84D6DA3FABBF63E (U) HKLM\ DisallowedCertificates: 23EF3384E21F70F034C467D4CBA6EB61429F174E (U) HKLM\ DisallowedCertificates: 330D8D3FD325A0E5FDDDA27013A2E75E7130165F (U) HKLM\ DisallowedCertificates: 374D5B925B0BD83494E656EB8087127275DB83CE (U) HKLM\ DisallowedCertificates: 3A26012171855D4020C973BEC3F4F9DA45BD2B83 (U) HKLM\ DisallowedCertificates: 4D8547B7F864132A7F62D9B75B068521F10B68E3 (U) HKLM\ DisallowedCertificates: 4DF13947493CFF69CDE554881C5F114E97C3D03B (U) HKLM\ DisallowedCertificates: 4ED8AA06D1BC72CA64C47B1DFE05ACC8D51FC76F (U) HKLM\ DisallowedCertificates: 587B59FB52D8A683CBE1CA00E6393D7BB923BC92 (U) HKLM\ DisallowedCertificates: 5CE339465F41A1E423149F65544095404DE6EBE2 (U) HKLM\ DisallowedCertificates: 5D5185DF1EB7DC76015422EC8138A5724BEE2886 (U) HKLM\ DisallowedCertificates: 6690C02B922CBD3FF0D0A5994DBD336592887E3F (U) HKLM\ DisallowedCertificates: 7613BF0BA261006CAC3ED2DDBEF343425357F18B (U) HKLM\ DisallowedCertificates: 838FFD509DE868F481C29819992E38A4F7082873 (U) HKLM\ DisallowedCertificates: 8977E8569D2A633AF01D0394851681CE122683A6 (U) HKLM\ DisallowedCertificates: A1505D9843C826DD67ED4EA5209804BDBB0DF502 (U) HKLM\ DisallowedCertificates: A221D360309B5C3C4097C44CC779ACC5A9845B66 (U) HKLM\ DisallowedCertificates: A35A8C727E88BCCA40A3F9679CE8CA00C26789FD (U) HKLM\ DisallowedCertificates: A7B5531DDC87129E2C3BB14767953D6745FB14A6 (U) HKLM\ DisallowedCertificates: A81706D31E6F5C791CD9D3B1B9C63464954BA4F5 (U) HKLM\ DisallowedCertificates: BED412B1334D7DFCEBA3015E5F9F905D571C45CF (U) HKLM\ DisallowedCertificates: C69F28C825139E65A646C434ACA5A1D200295DB1 (U) HKLM\ DisallowedCertificates: D0BB3E3DFBFB86C0EEE2A047E328609E6E1F185E (U) HKLM\ DisallowedCertificates: D43153C8C25F0041287987250F1E3CABAC8C2177 (U) HKLM\ DisallowedCertificates: D8CE8D07F9F19D2569C2FB854401BC99C1EB7C3B (U) HKLM\ DisallowedCertificates: E38A2B7663B86796436D8DF5898D9FAA6835B238 (U) HKLM\ DisallowedCertificates: E95DD86F32C771F0341743EBD75EC33C74A3DED9 (U) HKLM\ DisallowedCertificates: E9809E023B4512AA4D4D53F40569C313C1D0294D (U) HKLM\ DisallowedCertificates: F5A874F3987EB0A9961A564B669A9050F770308A (U) HKLM\ DisallowedCertificates: F92BE5266CC05DB2DC0DC3F2DC74E02DEFD949CB (U) HKU\S-1-5-21-2646437663-3650158834-333150697-1005\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-21-2646437663-3650158834-333150697-1005\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-2646437663-3650158834-333150697-1005\...\Policies\Explorer: [NoFolderOptions] 1 HKU\S-1-5-18\...\Policies\system: [DisableRegistryTools] 1 HKU\S-1-5-18\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-18\...\Policies\Explorer: [NoFolderOptions] 1 HKLM\...\Run: [bron-Spizaetus] => C:\WINDOWS\ShellNew\sempalong.exe [42713 2009-07-23] () HKLM\...\Winlogon: [shell] Explorer.exe "C:\WINDOWS\eksplorasi.exe" [x ] () HKU\S-1-5-21-2646437663-3650158834-333150697-1005\...\Run: [Tok-Cirrhatus] => C:\Documents and Settings\essemtec\Local Settings\Application Data\smss.exe [42713 2009-07-23] () HKU\S-1-5-18\...\Run: [Tok-Cirrhatus] => C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe [42713 2009-07-23] () Startup: C:\Documents and Settings\essemtec\Start Menu\Programs\Startup\Empty.pif [2009-07-23] () Startup: C:\Documents and Settings\NetworkService\Start Menu\Programs\Startup\Empty.pif [2009-07-23] () GroupPolicy: Restriction ? C:\Documents and Settings\essemtec\Local Settings\Application Data\smss.exe C:\Documents and Settings\NetworkService\Local Settings\Application Data\smss.exe C:\Documents and Settings\essemtec\Start Menu\Programs\Startup\Empty.pif C:\Documents and Settings\NetworkService\Start Menu\Programs\Startup\Empty.pif S4 IntelIde; no ImagePath U1 WS2IFSL; no ImagePath 2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\essemtec\Local Settings\Application Data\csrss.exe 2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\essemtec\Local Settings\Application Data\inetinfo.exe 2016-09-03 06:39 - 2016-09-03 06:39 - 0000051 _____ () C:\Documents and Settings\essemtec\Local Settings\Application Data\Kosong.Bron.Tok.txt 2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\essemtec\Local Settings\Application Data\lsass.exe 2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\essemtec\Local Settings\Application Data\services.exe 2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 _____ () C:\Documents and Settings\essemtec\Local Settings\Application Data\smss.exe 2009-07-23 10:37 - 2009-07-23 10:37 - 0042713 ____N () C:\Documents and Settings\essemtec\Local Settings\Application Data\winlogon.exe Task: C:\WINDOWS\Tasks\At1.job => C:\Documents and Settings\essemtec\Templates\Brengkolang.com C:\WINDOWS\Tasks\At1.job C:\Documents and Settings\All Users\Start Menu\Programs\Point Grey Research\PGR FlyCapture\Documentation\Camera\Grasshopper Technical Reference.pdf.lnk C:\Documents and Settings\essemtec\Ustawienia lokalne\Dane aplikacji\*.exe C:\Documents and Settings\essemtec\Ustawienia lokalne\Dane aplikacji\*Bron* C:\Documents and Settings\essemtec\Ustawienia lokalne\Dane aplikacji\*Bron*.* CMD: dir /a C:\Documents and Settings\essemtec\Ustawienia lokalne\Dane aplikacji EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Dla wyników połączonych z infekcja Brontok zastosuj opcję leczenia, resztę zostaw i dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut Dołącz też plik fixlog.txt.

OK. Zamykam.

Zamykam.

Przy generacji raportów zalecamy wyłączenie wszelkich programów zabezpieczających i jest to napisane w zasadach działu. Jeśli zaś chodzi o raporty to brak oznak infekcji. Drobną kosmetykę pomijam.

Problem tytułowy mamy z głowy, ale nie dostarczyłeś raportów FRST oraz GMER. Rozumiem, że nie chcesz, abym sprawdził cały system na obecność infekcji?

Mimo wszystko spróbuj poszukać i wytępić sprzedawce, czyli potencjalnego włamywacza. Nie wszystkim udaje się odzyskać konto po ataku. Sposoby są różne, losowe włamy lub sprecyzowane strony phishing, czasem sami nie wiemy gdzie mogło dojść do wyłudzenia danych. Zamykam.

Nie widzę jawnych, aktywnych infekcji adware. Widoczne są tylko szczątki po adware ProxyGate oraz wątpliwe instalacje reklamotwórcze. Co do tego pierwszego to poszerzam diagnostykę. Detekcję wykryte przez programy, z których dostarczyłeś raport usuwam za pomocą FRST. Pomijam tylko komponent oprogramowania IOBit. 1. Sugerowane deinstalacje. - Flagowany przez narzędzie FRST: LEGO Batman 3 Beyond Gotham version 1.0 (to może być również fałszywy alarm, zostawiam do oceny indywidualnej). - Reklamotwórczy klient uTorrent, którego sugeruję wymienić go na czystego klienta na qBitTorrent. - Wszystkie produkty marki IObit ze względu na liczne kontrowersje z nimi związane (kradzież bazy danych MBAM, związki partnerskie z podejrzanymi reklamami/producentami, instalacje adware w instalatorach).. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia S3 cpuz138; \??\C:\Users\tom615\AppData\Local\Temp\cpuz138\cpuz138_x64.sys [X] S3 MBAMFarflt; \??\C:\WINDOWS\system32\drivers\farflt.sys [X] U3 pwryipog; \??\C:\Users\tom615\AppData\Local\Temp\pwryipog.sys [X] Task: C:\WINDOWS\Tasks\Uninstaller_SkipUac_tom615.job => C:\Users\tom615\Documents\American Truck Simulator\readme.rtf.lnk C:\$RECYCLE.BIN\S-1-5-21-3274260535-2468400652-3968369242-1000\$RTKMZDX.ZIP C:\$RECYCLE.BIN\S-1-5-21-3274260535-2468400652-3968369242-1000\$RF8IBDE.0_PLUS_10_TRAINER\PREY V1.0 PLUS 10 TRAINER.EXE C:\Program Files (x86)\ProxyGate DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions\ccjleegmemocfpghkhpjmiccjcacackp DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\tom615\AppData\Local\Mozilla C:\Users\tom615\AppData\Roaming\Mozilla C:\Users\tom615\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Proponuję wymienić bloker AdBlock na bloker uBlock Origin. Ten drugi jest znacznie lżejszy i skuteczniejszy. 4. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). proxygate Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. Powtórz to działania również dla opcji Szukaj w Plikach (Search Files), raport też dostarcz (SearchFiles.txt). 5. Dostarcz plik Fixlog oraz sam log FRST, bez reszty.

Więcej informacji o tym adresie: KLIK. Tak, atak był pewnie wykonany za pośrednictwem VPN, więc możliwość wykrycia jest minimalna. Teraz pozostało Ci wejść na serwisy typu allegro, olx i poszukać czy Twoje konto nie jest sprzedawane w ofercie za "złotówkę". To często widziany sposób przestępców. Jeśli takowe zauważysz najszybciej jak to możliwe zgłoś sprzedawce administracji.