Miszel03

Tym razem odpuszczę Ci robienie logu z GMER'a. Był tutaj już podobny temat z poniższym wpisem w roli głównej. HKU\S-1-5-21-2419499144-781349879-1910005672-1001\...\Run: [Windows Theft Protection] => rundll32.exe "C:\Users\Waldek\AppData\Local\Microsoft\Performance\TheftProtection\TheftProtection.dll",DllInstall To nie jest standardowy wpis, sprawa było konsultowana ze specjalistami z firmy ESET, to złośliwe oprogramowanie (Trojan/Downloader próbujący pobrać więcej ścierwa do systemu). Dezynfekcja wymagana. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2419499144-781349879-1910005672-1001\...\Run: [Windows Theft Protection] => rundll32.exe "C:\Users\Waldek\AppData\Local\Microsoft\Performance\TheftProtection\TheftProtection.dll",DllInstall HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> GroupPolicy: Ograniczenia EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Poobserwuj - jeśli problem nie pojawi się więcej to sprawa zakończona. Jeżeli natomiast się pojawi to przygotuj nowy zestaw raportów i przedstaw komunikat ESET.

Fix pomyślnie wykonany (i jak widzę skuteczny). Dostarcz jeszcze log FRST.

W raportach brak oznak infekcji. Temat przenoszę do działu Windows 10. 1. Przez panel sterowania odinstaluj: Zbędnik: Akamai NetSession Interface. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] U3 ugldypob; C:\Users\Michał Dresler\AppData\Local\Temp\ugldypob.sys [56584 2017-03-06] (GMER) [brak podpisu cyfrowego] S3 dbx; system32\DRIVERS\dbx.sys [X] 2015-11-26 10:34 - 2015-12-02 09:40 - 0017920 _____ () C:\Users\Michał Dresler\AppData\Roaming\Main.dat Task: {1199CBA8-C84E-4FCF-AB01-465BD6781935} - System32\Tasks\UninstallDDS-C960901F-CE14-4DE1-9729-1305F719A337 => C:\Windows\TEMP\DeleteFolderTask.exe Task: {1D5DE2F4-74E3-4DA0-983C-C1F6ED3FBBA1} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {2A97FE0F-8D3C-4FD7-A59B-E695F6C6AAF2} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {355A6644-2D5E-4B7C-89F8-C6D2AFB122FF} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {610491FA-C24D-4E07-AAE4-9EC7BD7F0F2C} - \WPD\SqmUpload_S-1-5-21-1125182149-4138295501-3604666400-1001 -> Brak pliku Task: {87076250-9F8C-4C32-BFDC-D19C43F86E1E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {A6A5734F-2315-4525-845D-12E6DA09F636} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {A87C5A5D-BFE9-417D-A5A6-6141342CA604} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {B4FB55F4-B375-4E97-9C91-73A8D9F0A8BF} - \McAfee\McAfee Idle Detection Task -> Brak pliku Task: {B68AB262-5AD2-4961-8339-66B7015B5067} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {CB8BB373-AAED-4635-BA21-72689B4F23DD} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {D0FA4DF4-D8D8-4777-A4F8-638FE549EF2A} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {F7870849-1075-427E-AA60-6A23CBFB74C0} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku C:\Users\Michał Dresler\Desktop\Pulpit dresler\Programy\PDF Architect 4.lnk C:\Users\Michał Dresler\Desktop\Pendrive\Nowy folder\Dysk wymienny (E) — skrót.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Nie musisz dostarczać nowych logów, ani raportu wynikowego (pliku Fixlog.txt).

Opisz dokładnie wygląd i treść maila. Czy załącznik prowadził do dokumentu tekstowego? Jeśli nadal ten mail siedzi u Ciebie na skrzynce możesz zrobić mu screnna i podesłać (zamarz swój mail w paincie), następnie skasuj go permanentnie, a sam adres dodaj do listy blokowany. Po diagnostyce / dezynfekcji obowiązkowa prewencyjna zmiana haseł w tych serwisach i na mailu. Co prawda w raportach brak oznak infekcji, ale i tak przeprowadzimy skanowanie na wypadek jeśli byłoby to coś nowego, niewykrywalnego poprzez raporty systemowe. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {FB28662D-0AD4-48AE-8241-D1EBD110B794} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} SearchScopes: HKU\S-1-5-21-1938300165-2202748068-3723635383-1002 -> {FB28662D-0AD4-48AE-8241-D1EBD110B794} URL = hxxp://www.amazon.co.uk/s/ref=azs_osd_ieauk?ie=UTF-8&tag=hp-uk3-vsb-21&link%5Fcode=qs&index=aps&field-keywords={searchTerms} S3 mfeavfk01; \Device\mfeavfk01.sys [X] U3 kxldypog; \??\C:\Users\JANUSZ~1\AppData\Local\Temp\kxldypog.sys [X] C:\Users\Janusz042\AppData\Local\Microsoft\Windows\ConnectedSearch\History\set_812790895_pl.lnk C:\Users\Janusz042\AppData\Local\Microsoft\Windows\Application Shortcuts\OrangeFrance.OrangeConnexionCompagnon_3nekra66ya1hy\Orange.CompanionApp.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

To może siedzieć wszędzie, ale przypuszczam, że to jest problem spowodowany przez resztki AVG. P.S: W trybie awaryjnym działa, bo tam ładowane są tylko najważniejsze rzeczy. Wykonaj resztę moje zlecenia. Komentując zaś skrypt zapuszczony w rejestrze to to raczej trefny strzał. To jest naprawa uszkodzenia spowodowanego przez infekcje (np. ZeroAccess / Sality / Ramnit), a nie do naprawy martwych filtrów.

1. Zrób raport z narzędzia Farbar Service Scanner i dodatkowo pokaż mi wygląd całego klucza odpowiedzialnego za usługę przywracania systemu. Uruchom SystemLook, w dużym, białym oknie wklej zawartość: :reg HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt następnie kliknij w Look. Dostarcz wynikowy raport. 2. Przeczytaj dokładnie jeszcze raz pkt. 5 mojego ostatniego posta i dostarcz to o co proszę (brak raportu FRST).

Jaką konkretnie? Temat przenoszę do działu Windows. To nie jest sprawa infekcji. Są drobne odpadki po programach, ale to kompletnie bez związku. Oczywiście podam odpowiednie działania sprzątające. Wygląda na to, że sporo plików wykonywalnych blokuje Debugger AVG TuneUp, program jest już odinstalowany, czyli pliki są uruchamianie przez nieistniejące filtry, co możen powodować Twój tytułowy problem. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Winlogon\Notify\igfxcui: igfxdev.dll [X] HKLM\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKLM\...\Policies\Explorer: [NoResolveSearch] 1 HKLM\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 IFEO\dtagent.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe" IFEO\dtlauncher.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe" IFEO\networkgenie.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe" IFEO\origin.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe" IFEO\originer.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe" IFEO\psi.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe" IFEO\psi_tray.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe" IFEO\qfinder.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe" IFEO\qfinderpro.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe" IFEO\unins000.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe" IFEO\uninstall.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe" IFEO\xtuuilauncher.exe: [Debugger] "C:\Program Files (x86)\AVG\AVG PC TuneUp\TUAutoReactivator64.exe" HKU\S-1-5-21-1564095453-3564214088-3623100993-1002\...\Policies\Explorer: [NoLowDiskSpaceChecks] 1 HKU\S-1-5-21-1564095453-3564214088-3623100993-1002\...\Policies\Explorer: [NoResolveSearch] 1 HKU\S-1-5-21-1564095453-3564214088-3623100993-1002\...\Policies\Explorer: [LinkResolveIgnoreLinkInfo] 1 GroupPolicyUsers\S-1-5-21-1564095453-3564214088-3623100993-1002\User: Restriction <==== ATTENTION HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION HKU\.DEFAULT\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION HKU\S-1-5-21-1564095453-3564214088-3623100993-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction <==== ATTENTION SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = S0 ovanvq; no ImagePath S0 tcoifh; no ImagePath U3 pgriqpow; C:\Users\maf2\AppData\Local\Temp\pgriqpow.sys [56584 2017-03-08] (GMER) [File not signed] <==== ATTENTION S3 MBAMProtection; \??\C:\WINDOWS\system32\drivers\mbam.sys [X] S3 TuneUpUtilitiesDrv; \??\C:\Program Files (x86)\AVG\AVG PC TuneUp\TuneUpUtilitiesDriver64.sys [X] S3 WINIO; \??\C:\Program Files (x86)\MSI\Dragon Gaming Center\winio64.sys [X] C:\ProgramData\cis467.exe C:\ProgramData\Shrew Soft VPN.dat C:\Users\maf2\installshield_scm.reg C:\Users\maf2\scm.reg Task: {05126112-88D9-40A7-959B-C6B24C078D88} - \WPD\SqmUpload_S-1-5-21-1564095453-3564214088-3623100993-1002 -> No File <==== ATTENTION Task: {12F07964-3CAB-4E74-9BB5-21F23837BAE0} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION Task: {2887E153-65E6-47E7-A610-9584975F011F} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION Task: {2E5B8A04-839E-4A43-86BB-A6D13F6B4E5C} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION Task: {6B03AEAB-1417-4B57-A406-C77AF7875AE0} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION Task: {6C1E3C96-38EA-44D2-AD27-5E5348211CBB} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION Task: {9FD5B47B-D730-4B0B-ABFB-6820C38AB389} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION Task: {A01A0CD5-EBD1-48ED-AA2F-A0622925A4FF} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION Task: {ABE062BD-96A5-480E-AE91-52632E196ABE} - \WPD\SqmUpload_S-1-5-21-1564095453-3564214088-3623100993-1001 -> No File <==== ATTENTION Task: {BA3AEC11-3097-4EAA-ADEF-57EE97174A91} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION Task: {C1A4FD06-4E51-4B45-84BC-4D14272C5CBC} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION Task: {D1E93B72-D7F9-4591-B96F-44C7AAEE865C} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION Task: {FBCAD498-74B4-49C9-8787-FB5290C0C7AD} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION C:\Users\Administrator\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Calendar.lnk C:\Users\Administrator\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Mail.lnk C:\Users\Administrator\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.People.lnk C:\ProgramData\Intel\ExtremeGraphics\CUI\Resource\Grafika HD Intel®.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zastosuj AVG Remover. 3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

OK. Jak myślałem, adware wróciło po tym ja za pierwszym razem prawie wyczyściłem Ci system. Wróciło, bo pominąłem kilka elementów. Teraz prędziutko je dobijemy i uporamy się z problemem. 1. Przez panel sterowania odinstaluj adware / PUP: amuleC BikaQ Rss cleaner 1.0.1 WinSnare 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-642869367-1592473142-3323770084-1000\...\ChromeHTML: -> C:\Program Files (x86)\Birdjob\Application\chrome.exe (Google Inc.) RemoveDirectory: C:\Program Files (x86)\Birdjob RemoveDirectory: C:\Users\oem\AppData\Local\Birdjob Task: {5595ADF0-07B1-490D-B9BD-A40B98F660FB} - System32\Tasks\Zuzach Engine => C:\Program Files (x86)\Aterishwerwi\tizoch.exe [2017-01-20] (Glarysoft Ltd) Task: {57539305-5284-4E18-AE79-764D662001BF} - System32\Tasks\Gipareedese Reports => C:\Program Files (x86)\Jerqetainrutodom\prerjght.exe [2017-01-22] (Glarysoft Ltd) Task: {6BAF7544-DC5A-4A76-AE29-A87B3023C133} - System32\Tasks\Stkersethafige Verfier => C:\Program Files (x86)\Pharudom\cokaward.exe [2017-01-22] (Glarysoft Ltd) Task: {9C8E0227-701C-4A75-8088-67DBD297D4F4} - System32\Tasks\Clokisevuboly Reports => C:\Program Files (x86)\Momicultckerticult\nobent.exe [2017-01-20] (Glarysoft Ltd) ShortcutWithArgument: C:\Users\oem\Documents\Favorites\Desktop\Google Keep – notatki i listy.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 ShortcutWithArgument: C:\Users\oem\AppData\Local\Google\Chrome\User Data\Default\Web Applications\_crx_hmjkmjkepdijhoojdojkdfohbdgmmhki\Google Keep – notatki i listy.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=Default --app-id=hmjkmjkepdijhoojdojkdfohbdgmmhki ShortcutWithArgument: C:\Users\oem\AppData\Local\Birdjob\User Data\Default\Web Applications\_crx_hmjkmjkepdijhoojdojkdfohbdgmmhki\Google Keep – notatki i listy.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --profile-directory=Default --app-id=hmjkmjkepdijhoojdojkdfohbdgmmhki ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Birdjob\Application\chrome.exe (Google Inc.) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Keep – notatki i listy.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Birdjob\Application\chrome.exe (Google Inc.) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Keep – notatki i listy.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\Birdjob\Application\chrome.exe (Google Inc.) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\7eacadfa43776aec\Google Chrome.lnk -> C:\Program Files (x86)\Birdjob\Application\chrome.exe (Google Inc.) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\6dc87d5b8be063a4\Google Chrome.lnk -> C:\Program Files (x86)\Birdjob\Application\chrome.exe (Google Inc.) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5d696d521de238c3\Google Chrome.lnk -> C:\Program Files (x86)\Birdjob\Application\chrome.exe (Google Inc.) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 ShortcutWithArgument: C:\Users\oem\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\361178be4aa3110f\Google Chrome.lnk -> C:\Program Files (x86)\Birdjob\Application\chrome.exe (Google Inc.) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Birdjob\Application\chrome.exe (Google Inc.) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Firefox\Firefox.exe (Mozilla Corporation) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 ShortcutWithArgument: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\Birdjob\Application\chrome.exe (Google Inc.) -> hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 RemoveDirectory: C:\Program Files (x86)\Firefox RemoveDirectory: C:\Users\oem\AppData\Roaming\Firefox RemoveDirectory: C:\Users\oem\AppData\Local\Firefox FirewallRules: [TCP Query User{EBFD28C5-1D1C-4181-BDE5-60F2C369CB8B}C:\program files (x86)\birdjob\application\chrome.exe] => (Allow) C:\program files (x86)\birdjob\application\chrome.exe FirewallRules: [uDP Query User{CC27FC5B-16C6-4166-A170-C2C4709D2E0E}C:\program files (x86)\birdjob\application\chrome.exe] => (Allow) C:\program files (x86)\birdjob\application\chrome.exe FirewallRules: [TCP Query User{3D4D3835-D575-40B7-A95A-32ADD2CF2204}C:\program files (x86)\birdjob\application\chrome.exe] => (Allow) C:\program files (x86)\birdjob\application\chrome.exe FirewallRules: [uDP Query User{20ABD473-AF06-48AA-99C2-38E9D6FB62F5}C:\program files (x86)\birdjob\application\chrome.exe] => (Allow) C:\program files (x86)\birdjob\application\chrome.exe FirewallRules: [{EDC7CBEC-5940-4ED4-9177-6D1ADBB1311F}] => (Allow) C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe FirewallRules: [{949AE83D-CB21-45CA-9379-449D4E2948F8}] => (Allow) C:\Program Files (x86)\Firefox\Firefox.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.startpageing123.com/?type=hp&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.startpageing123.com/?type=hp&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.startpageing123.com/search/?type=ds&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.startpageing123.com/?type=hp&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.startpageing123.com/?type=hp&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.startpageing123.com/search/?type=ds&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms} HKU\S-1-5-21-642869367-1592473142-3323770084-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.startpageing123.com/search/?type=ds&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms} HKU\S-1-5-21-642869367-1592473142-3323770084-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.startpageing123.com/?type=hp&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 HKU\S-1-5-21-642869367-1592473142-3323770084-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.startpageing123.com/search/?type=ds&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms} HKU\S-1-5-21-642869367-1592473142-3323770084-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.startpageing123.com/?type=hp&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.startpageing123.com/search/?type=ds&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.startpageing123.com/search/?type=ds&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 StartMenuInternet: Google Chrome - C:\Program Files (x86)\Google\Chrome\Application\chrome.exe hxxp://www.startpageing123.com/?type=sc&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 CHR HomePage: Default -> hxxp://www.startpageing123.com/?type=hp&ts=1487695415&z=272c57820919dd02bd9ca3bgfzdb7mcq3t0w3z2g5t&from=ggg0221&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525 CHR DefaultSearchURL: Default -> hxxp://www.startpageing123.com/search/?type=ds&ts=1488454904&z=f22d6b7acce70682b4c2487gcz8b0b1zaw2z1tfg0e&from=pr0302&uid=WDCXWD10EURX-73FH1Y0_WD-WMC1U763552535525&q={searchTerms} CHR DefaultSearchKeyword: Default -> startpageing123 R2 FirefoxU; C:\Program Files (x86)\Firefox\bin\FirefoxUpdate.exe [167600 2017-02-24] () R2 WinSAPSvc; C:\Users\oem\AppData\Roaming\WinSAPSvc\WinSAP.dll [184832 2017-03-03] (TODO: ) [brak podpisu cyfrowego] C:\Users\oem\AppData\Roaming\WinSAPSvc C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Adobe Production Premium CS6\Adobe Illustrator CS6 (64 Bit).lnk Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\oem\AppData\Local\Mozilla C:\Users\oem\AppData\Roaming\Mozilla C:\Users\oem\AppData\Roaming\Profiles CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\oem\AppData\Local CMD: dir /a C:\Users\oem\AppData\LocalLow CMD: dir /a C:\Users\oem\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Ustaw przeglądarkę Google Chrome jako domyślną, bądź jakąkolwiek inną. To musi zostać zrobione, by cofnąć modyfikację infekcji. 4. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się zastosuj opcję Oczyść. Dostarcz raport z tego działania. 5. Całościowo przeskanuj system za pomocą programu Malwarebytes AntiMalware. Jeśli coś wykryje to wszystko daj do usuwania. Dostarcz raport z przeprowadzenia tego działania. 6. Uruchom FRST, w polu Szukaj (Search) wklej poniższą frazę i kliknij w Szukaj w rejestrze (Search Registry). birdjob Obok FRST powstanie raport SearchReg.txt - zaprezentuj go na forum. 7. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt. 6. Pobierz AdwCleaner uruchom go i kliknij szukaj, kiedy skanowanie zakończy się

Dostarcz wymagane raporty systemowe FRST oraz GMER (z każdego potencjalnie zarażonego komputera). Dodatkowo z podpiętym zarażonym pendrivami zrób i dostarcz raport USBFix z opcji Research oraz Listing.

Niestety, system jest zainfekowany przez złośliwe oprogramowanie z gatunku Ransomware. Na tą chwilę jestem w stanie powiedzieć, że to mogą być dwa warianty wirusa - Tesla 3 lub nowy (wykryty w styczniu) Spora. Jeśli to wariant Spora to deszyfracja plików jest awykonalna, nie opracowano dotychczas skutecznego dekodera Dane polecam skopiować na jakiś dysk i poczekać - może kiedyś będzie dekoder. Uprzedzam: szanse są znikome, praktycznie żadne. Wykonaj diagnostykę uploudując jakikolwiek zaszyfrowany plik do analizy do usługi ID Ranosmware. Podaj wynik tej analizy. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.21.135\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{095A2EEC-F7FE-42E8-96FB-C20E53081908}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.21.99\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.25.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.27.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{320F0FDB-BE0A-4648-9D18-4A2C3448C007}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.21.79\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.23.9\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{590C4387-5EBD-4D46-8A84-CD0BA2EF2856}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.30.3\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{59B55F04-DE14-4BB8-92FF-C4A22EF2E5F4}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.31.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.28.1\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.21.145\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{634059C0-D264-4B2C-AE80-F73E48D33E5B}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.21.123\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.21.153\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.28.13\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.29.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.24.15\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.22.3\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.21.165\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.26.9\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{C5A2122B-A05B-4FD8-AE49-91990AE10998}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.21.115\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.29.1\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.25.11\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.28.15\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{EB06378B-ABB6-4B3C-9B40-D488DD8A6E93}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.22.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.21.111\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\USER\AppData\Local\Google\Update\1.3.24.7\psuser.dll => Brak pliku HKLM\...\Policies\Explorer: [NoDriveTypeAutoRun_KL_notset] 1 HKU\S-1-5-21-1722780723-3043351753-1960536026-1000\...\Run: [{C0A1C94A-A5AC-41D6-8978-3D61105F262D}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\TWTFGRB').LSEPNTY))); Startup: C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\POA98-85OZH-KTKXH-TZTRX-TXZXT-XZKYY.html [2017-03-06] () Startup: C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs [2016-08-12] () C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\POA98-85OZH-KTKXH-TZTRX-TXZXT-XZKYY.html C:\Users\USER\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\x.vbs SearchScopes: HKU\S-1-5-21-1722780723-3043351753-1960536026-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.google.pl/cse?q={searchTerms}&cx=partner-pub-2489206448026482%3A4041638047&tbm=&ie=UTF-8#gsc.tab=0&gsc.q={searchTerms} S2 DgiVecp; \??\C:\Windows\system32\Drivers\DgiVecp.sys [X] EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Usuń notatki z instrukcją dot. deszyfracji plików, w tym celu zastosuj RansomNoteCleaner. Dostarcz raport z tego działania. 3. Całościowo przeskanuj system przez Malwarebytes AntiMalware. Skasuj wszystkie wykryte przez niego infekcję z wyjątkiem zaszyfrowanych plików. Dostarcz raport z przeprowadzenia tego zadania. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Jest OK. Jeśli problem powróci to wykonaj nowy zestaw raportów FRST oraz GMER i dostarcz je na forum, może być w tym temacie. P.S: Nie włączyłeś przywracania systemu - dlaczego? Były jakieś przeszkody? Skasuj narzędzia diagnsotyczno / dezynfekcyjne (są często aktualizowane, więc jednorazowe) - KLIK.

Nie wykonałeś pkt. 1 i znowu zapomniałeś o raporcie Shortcut. Nie napisałeś również czy udało się uruchomić deinstalator. P.S: O ile się nie mylę to widzę tutaj elementy lewych aktywatorów (czytaj cracków), to niebezpieczne twory. W miarę możliwość odwróć ich działanie i odinstaluj. Wygląda to już o wiele, wiele lepiej. Poprawki. 1. Włącz przywracanie systemu (poprzednio tego nie zrobiłeś, bo widzę w logach, że jest nadal wyłaczone). 2. Wszystkie zagrożenia wykryte przez Malwarebytes daj do kasacji. Dostarcz również raport z przeprowadzenia tego działania. 3. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: C:\Program Files\1Z1JLLKAQM C:\Program Files\8GGBW6IWP4 C:\Program Files\IRUQF06XON C:\Program Files (x86)\Churektokatain Agent HKLM\...\StartupApproved\Run: => "&SIEdyupQx.exe" HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "T9KTUNJFV8" HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "CUERTFHGT4" HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "VDJQCPATK5" HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "OAV4DME9QP" 2017-03-06 08:19 - 2017-03-06 08:19 - 00000882 _____ C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk 2017-03-06 08:21 - 2017-03-06 08:21 - 00000000 ____D C:\Users\Wojciech\AppData\Local\UCBrowser 2017-03-06 08:18 - 2017-03-06 08:19 - 00000000 ____D C:\Users\Wojciech\AppData\Local\Qefotojught EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Poprzednia metoda coś zawiodła jeśli chodzi o modyfikacje profili, więc decyduję się na najprostszą metodę, czyli kompleksową reinstalację przeglądarki. Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Mój błąd, bo patrzyłem tylko na końcówkę, która faktycznie jest oznaka charakterystyczną Tesli, natomiast sama infekcja to Faktycznie Ransomware.UnBlockUPC. Jest mi przykro poinformować, że dotychczasowo chyba nie opracowano skutecznego dekodera na ten typ wirusa Wykonaj diagnostykę dla pewności, opisaną przeze mnie w 1 poście.

Wstrzymuję się ze sprawdzeniem raportów do kiedy okaże się (lub nie), że dysk jeszcze może posłużyć. Na pierwszy, niedokładny rzut oka brak poważniejszych, niebezpiecznych modyfikacji w systemie. Temat przenoszę do działu Hardware, gdzie będzie prowadzona pomoc z dyskiem.

Dostarcz raport z tych działań. System w agnolanym stanie. Nadal masa nowoczesnych infekcji adware / PUP m.in podmieniających Publishera, profile w przeglądarce Google Chrome, 1. Włącz przywracanie systemu. 2. Przez panel sterowania odinstaluj: Adware / PUP: youndoo - Uninstall.Spróbuj uruchomić plik deinstalacyjny (nazwa zbliżona do uninstall.exe) z poziomu tego folderu: C:\Program Files\żěŃą. 3. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {04DC6D30-3192-48A1-A28D-2D32B5BAE25C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {0B06A115-D0B3-44A9-832B-66854E1F6CBE} - \WPD\SqmUpload_S-1-5-21-914323923-818451107-1949208214-1001 -> Brak pliku Task: {1040B3E3-6EA9-41BB-9BB4-779D6B9051C6} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {20552A47-1135-4AE6-BC8F-CD698C9D151E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {23DAFCB4-2764-4544-9169-E798985E20E2} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {3530905F-1D2D-4424-82FC-D54713FE04FA} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {452697BD-BF46-4BA3-A0DE-86152C956594} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {605DB07A-D60C-488E-B4ED-E492D44A3458} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {6C298250-6598-495B-A80A-D272F13F3B82} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {C47E48AA-8E0D-4167-901F-75F1EC3C8E0D} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {D78D1B1E-F3F0-4049-A326-1F599920F561} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {E9EEE381-CB4E-4BDB-A5DB-F7A49B5FB908} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {8D073577-24C3-4AE7-9F3D-209DA339AAD2} - System32\Tasks\Churektokatain Agent => C:\Program Files (x86)\Shepashkuderward\xprudom.exe [2017-03-06] (Glarysoft Ltd) Task: {FC9A4CDE-D146-4C59-B664-318B6E800855} - System32\Tasks\Dilerch Engine => C:\Program Files (x86)\Drarainganipition\xsohgh.exe [2017-03-06] (Glarysoft Ltd) C:\Program Files (x86)\Shepashkuderward C:\Program Files (x86)\Drarainganipition AlternateDataStreams: C:\ProgramData\TEMP:890CC2F3 [127] AlternateDataStreams: C:\ProgramData\TEMP:B449BECA [146] HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "KDXXRSLU12" HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "NFYXAUY0YH" HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "L5DG1X0EZY" HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "7UN75BDMO6" HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "WXRBX2DCD6" HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "0TSE51TOHZ" HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "0UKJWQG3XL" HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "G6JYIKZ2BS" HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "92EY39J2QI" HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "17CXHBUUSZ" HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "JX6EBTUEWP" HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "BGA9X00WY8" HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "3NE469LKVP" HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "0734RUXOMV" HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "560OH6FGBS" HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "DYHRDL5N6G" HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\StartupApproved\Run: => "VEYR6TGVKH" HKLM\...\Run: [&SIEdyupQx.exe] => C:\Users\Wojciech\AppData\Local\Temp\{8bc-62-90-194de-a3788-eb3c-eb662}\&SIEdyupQx.exe -r1_5 -r2_1 HKLM\...\RunOnce: [OMEWPRODUCT_XVOL7] => C:\Program Files (x86)\PubHotspot\O37KVU6GVHWXPDC.exe [547840 2017-03-06] (RU921WQ) HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\Run: [VEYR6TGVKH] => C:\Program Files (x86)\PubHotspot\9S5GV.exe [892416 2017-03-06] (RU921WQ) C:\Program Files (x86)\PubHotspot HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\Run: [OAV4DME9QP] => C:\Program Files\449WT2ALRA\449WT2ALR.exe [1070080 2017-03-06] (D) C:\Program Files\449WT2ALRA HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\Run: [VDJQCPATK5] => C:\Program Files\PJX1SZHGMK\PJX1SZHGM.exe [1070080 2017-03-06] (D) C:\Program Files\PJX1SZHGMK HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\Run: [CUERTFHGT4] => C:\Program Files\2F40TKKZ7W\2F40TKKZ7.exe [1051136 2017-03-06] (DQ8Z@DU) C:\Program Files\2F40TKKZ7W HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\Run: [T9KTUNJFV8] => C:\Program Files\OX4X14C6LM\OX4X14C6L.exe [1051136 2017-03-06] (DQ8Z@DU) C:\Program Files\OX4X14C6LM HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\Run: [O4YER3GF4P] => "C:\Program Files\J8FY3XHN82\J8FY3XHN8.exe" C:\Program Files\J8FY3XHN82 HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\Run: [4YXHAWJ5BB] => "C:\Program Files\FSML9AAB8E\FSML9AAB8.exe" C:\Program Files\FSML9AAB8E HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\Run: [POUQEIFA8K] => "C:\Program Files\KQLRU43QX0\KQLRU43QX.exe" C:\Program Files\KQLRU43QX0 HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\Run: [VOJFVJKGC3] => "C:\Program Files\9173FW30HX\9173FW30H.exe" C:\Program Files\9173FW30HX HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\Run: [C7ISVHDISR] => "C:\Program Files\OG7JWS5P6O\OG7JWS5P6.exe" C:\Program Files\OG7JWS5P6O HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\Run: [DZ8L8VFMFO] => "C:\Program Files\3JYU80I4UG\3JYU80I4U.exe" C:\Program Files\3JYU80I4UG HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\Run: [GRDFGBUERG] => "C:\Program Files\DZ8L8VFMFO\DZ8L8VFMF.exe" C:\Program Files\DZ8L8VFMFO HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\Run: [WUK1R8KDBF] => "C:\Program Files\IRUQF06XON\IRUQF06XO.exe" C:\Program Files\IRUQF06XO HKU\S-1-5-21-914323923-818451107-1949208214-1001\...\Run: [F5Y1N4JRKH] => C:\Program Files\53U6WEHYYB\53U6WEHYY.exe [1055744 2017-03-06] (YY61M@T) C:\Program Files\53U6WEHYYB HKLM\...\Providers\thnlsb6c: C:\Program Files (x86)\Dilerch Engine\local64spl.dll C:\Program Files (x86)\Dilerch Engine ShellExecuteHooks: Brak nazwy - {18F9F110-FFD8-11E6-8FE5-64006A5CFC23} - -> Brak pliku ShellExecuteHooks: Brak nazwy - {7F5D6A2C-FFD8-11E6-B984-64006A5CFC23} - C:\Users\Wojciech\AppData\Roaming\Coezoward\Vitersestekadom.dll -> Brak pliku C:\Users\Wojciech\AppData\Roaming\Coezoward ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2017-03-06] () C:\Program Files\żěŃą SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = S3 avchv; \SystemRoot\system32\DRIVERS\avchv.sys [X] S3 ew_hwusbdev; \SystemRoot\system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; \SystemRoot\System32\drivers\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; \SystemRoot\system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; \SystemRoot\System32\drivers\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; \SystemRoot\System32\drivers\ew_juextctrl.sys [X] S3 huawei_wwanecm; \SystemRoot\System32\drivers\ew_juwwanecm.sys [X] 2017-03-06 08:19 - 2017-03-06 08:19 - 1120768 _____ () C:\Users\Wojciech\AppData\Roaming\Joy-Lex.exe 2017-03-06 08:19 - 2017-03-06 08:19 - 1892429 _____ () C:\Users\Wojciech\AppData\Roaming\Joy-Lex.tst 2017-03-06 08:20 - 2017-03-06 08:20 - 1938536 _____ () C:\Users\Wojciech\AppData\Roaming\Medhotstring.bin 2017-03-06 08:19 - 2017-03-06 08:19 - 0278510 _____ () C:\Users\Wojciech\AppData\Roaming\SilString.bin C:\Users\Wojciech\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Daum Potplayer-64 Bits.lnk C:\Users\Wojciech\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Tor Browser.lnk CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Wojciech\AppData\Local CMD: dir /a C:\Users\Wojciech\AppData\LocalLow CMD: dir /a C:\Users\Wojciech\AppData\Roaming DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Wojciech\AppData\Local\Mozilla C:\Users\Wojciech\AppData\Roaming\Mozilla C:\Users\Wojciech\AppData\Roaming\Profiles Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Otwórz przeglądarkę Google Chrome, następnie przejdź do Ustawienia > karta Ustawienia > Osoby > Dodaj Osobę > Dodaj Osobę, zaloguj się na nią, okno poprzedniego profilu zamknij > wejdź ponownie do Ustawień i skasuj wszystkie poprzednie osoby. Uwaga: ta operacja wymaże wszelkie dane z przeglądarki. 5. Zresetuj ustawienia przeglądarki Internet Explorer - KLIK. Uwaga: ta operacja wymaże wszelkie dane z przeglądarki. 6. Upewnij się, że AdwCleaner już niczego nie wykrywa. Jeśli wykrywa to wszystko daj do kasacji, a skan powtarzaj do wyniku zero infekcji. Dostarcz raport z tego działania. 7. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware (masz na dysku, zaktualizuj bazy sygnatur wirusów). Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 8. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

W takim razie, bez raportu z Malwarebytes i z AdwCleaner musimy powtórzyć skany jeszcze raz (pkt. 4, 5). W raportach nadal widoczne szczątki po adware (już brak aktywnej infekcji). 1. Włącz przywracanie systemu. 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {09C18BD1-F118-486B-AC70-F813C817E400} - \Vihasy -> Brak pliku Task: {163536D7-B314-4696-B1B2-61BA3F8AFA0C} - \CCleanerSkipUAC -> Brak pliku Task: {1EF2E975-C75B-4945-8182-BF0964016617} - \NvTmMon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> Brak pliku Task: {4EC9DAF6-5DBA-46AA-A515-5E37A5C04118} - \NvProfileUpdaterOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> Brak pliku Task: {60319EB1-9E7A-42E8-A965-8CF3E0D0A8FA} - \NvDriverUpdateCheckDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> Brak pliku Task: {623B69A5-7F99-4BA3-B11B-6C8452093E0C} - \NvTmRep_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> Brak pliku Task: {790E2D9B-3F85-42BB-8E4E-217DFD03716B} - \NvNodeLauncher_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> Brak pliku Task: {B2B121BC-9D6F-4AC8-993F-ED31D5844C95} - \NvProfileUpdaterDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> Brak pliku Task: {D4C31E1C-1D87-45E2-9C82-B3D598662813} - \NvTmRepOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} -> Brak pliku HKLM-x32\...\Run: [] => [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-2232669616-1159948849-1106635208-1001\Software\Microsoft\Internet Explorer\Main,Start Page = HKU\S-1-5-21-2232669616-1159948849-1106635208-1001\Software\Microsoft\Internet Explorer\Main,Start Page = HKU\S-1-5-21-2232669616-1159948849-1106635208-1001-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-03032017080240665\Software\Microsoft\Internet Explorer\Main,Start Page = C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk RemoveDirectory: C:\Program Files (x86)\Firefox C:\ProgramData\24I7291C6934V474 CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Szymek\AppData\Local CMD: dir /a C:\Users\Szymek\AppData\LocalLow CMD: dir /a C:\Users\Szymek\AppData\Roaming DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Szymek\AppData\Local\Mozilla C:\Users\Szymek\AppData\Roaming\Mozilla C:\Users\Szymek\AppData\Roaming\Profiles EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 4. Upewnij się, że AdwCleaner już niczego nie wykrywa. Jeśli wykrywa to wszystko daj do kasacji, a skan powtarzaj do wyniku zero infekcji. Dostarcz raport z tego działania. 5. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Spokojnie, to zerobajotwy sterownik, tworzony przy aktywności sterownika niesymulującego napę STPD, a w Twoim systemie taki jest. R0 sptd; C:\windows\System32\Drivers\sptd.sys [564824 2013-06-07] (Duplex Secure Ltd.)U3 aktdieim; C:\Windows\System32\Drivers\aktdieim.sys [0 ] (Microsoft Corporation) UWAGA (zerobajtowy plik/folder) DAEMON Tools Lite (HKLM-x32\...\DAEMON Tools Lite) (Version: 4.45.4.0316 - DT Soft Ltd) Zaznaczone "R" oznacza z ang. Running, czyli uruchomiony. A to, że zrobiłeś log z GMER nie zgodnie z zasadami to już inna sprawa Nie poprosiłem o nowy, z wyłączonym sterownikiem SPTD, bo ten stan systemu tego nie wymagał. Skoro problem rozwiązany to będziemy kończymy. Skasuj narzędzia diagnostyczno / dezynfekcyjne - KLIK.

Miałem dobrego nosa, jest jeszcze jedno niedobite adware oraz sporo resztek po już usuniętych infekcjach. 1. Spróbuj uruchomić poniższe deinstalatory. C:\Program Files\pccleanplus\uninstaller.exe C:\Program Files\Common Files\Newfix\uninstall.exe 2. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKLM\...\Providers\uccs53rf: C:\Program Files\Grotersp Mapper\local32spl.dll C:\Program Files\Grotersp Mapper ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => -> Brak pliku GroupPolicy: Ograniczenia - Windows Defender SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = S3 VGPU; System32\drivers\rdvgkmd.sys [X] 2017-03-02 16:56 - 2017-03-05 13:06 - 00000000 ____D C:\Users\Krzychu\AppData\Roaming\Kyubey 2017-02-07 21:15 - 2016-04-27 20:26 - 00000000 ____D C:\348491eaffa7858792b980ebc6 2017-02-07 21:15 - 2016-04-27 20:25 - 00000000 ____D C:\cf9ed572b13843f99085c9942255f326 Task: {207AB7E5-8B4A-4F61-8897-C8D5387D3B26} - Brak ścieżki do pliku Task: {80B1A943-9666-4229-8771-FB0E52741440} - Brak ścieżki do pliku Task: {A0403D50-18E6-4200-8ECD-21C7A8718434} - Brak ścieżki do pliku Task: {C3623501-F846-42E8-938C-00294F8C79FA} - \UCBrowserSecureUpdater -> Brak pliku Task: {CBB6D4C8-31B6-4EA9-8203-4C9A0E8475F6} - Brak ścieżki do pliku Task: {D6162C3E-41BC-4362-B8EF-303CE0E20E73} - Brak ścieżki do pliku Task: {D760EEB3-02D5-4B30-8663-8580F4A1E4DE} - Brak ścieżki do pliku AlternateDataStreams: C:\Windows\system32\drivers:ucdrv-x86.sys [19812] AlternateDataStreams: C:\Windows\system32\drivers:x86 [1205026] Task: {81EF1C52-DCDC-40A2-A87F-FEDC1E77370B} - System32\Tasks\{B7E88A71-61E4-49CB-9BC3-308DCF7B6E62} => pcalua.exe -a "C:\Program Files\pccleanplus\uninstaller.exe" -c /uninstall Task: {95E318DA-E150-49B9-AE5F-F36565E10BF3} - System32\Tasks\{205B8535-AA5D-4907-9623-77455549F6C4} => pcalua.exe -a "C:\Program Files\Common Files\Newfix\uninstall.exe" -c shuz -f "C:\Program Files\Common Files\Newfix\uninstall.dat" -a uninstallme 1AB1C58C-67BC-4FD0-B009-EAF4F02FFEF8 DeviceId=68390b6f-2cab-6bb5-bf4a-ae4ab2bcd01f BarcodeId=50027003 ChannelId=3 DistributerName=APSnapdoAMRev C:\Program Files\pccleanplus C:\Program Files\Common Files\Newfix EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zastosuj AdwCleaner na początku z opcji Skanuj, a następnie z opcji Oczyść. Dostarcz raport z tego działania. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

OK, w takim razie czekam. Czy możemy przejść do dezynfekcji pendriva? Powiedz mi jeszcze czy na pewno żadne pliki nie zostały zaszyfrowane?

Całość pomyślnie wykonana. Czy problem ustąpił?

To prawdopodobnie (bez diagnostyki nie jestem w stanie powiedzieć na pewno*) Ranosomware Tesla 2. Istnieje skuteczny dekoder, dzięki, któremu odzyskasz pliki Niestety, jest to wersja starsza, więc wymaga mozolnej procedury opisanej w pliku Instrutions.html Zastosuj się do instrukcji TeslaCrypt shuts down and Releases Master Decryption Key. P.S: Rozumiem, że infekcja została usunięta i zostały tylko pliki? Jeśli nie to obowiązkowo przed deszyfracją należy pozbyć się infekcji (inaczej dojdzie do reszyfracji). W tym cel dostarcz zestaw raportów z FRST oraz GMER. * - zuploduj zaszyfrowany plik na serwis ID Ranomware, wykonaj analizę i podaj wynik.

Zrób nowy zestaw raportów FRST.

Spróbuj przez PMM usunąć te urządzenia.

Zrób jeszcze log FRST (bez Addition i Shortcut) w celu oceny końcowej, bo dawno nie odpowiadałem w temacie i nie wiem czy coś się nie zmieniło. Jeśli od strony infekcji będzie OK to temat przenoszę do działu Windows 10, skąd ktoś Ci pomoże w tych innych problemach systemowych.

W systemie widać modyfikacje infekcyjne adware, które niezłączni należy usunąć. Do poczytania: KLIK. 1. Otwórz Notatnik w nim wklej: CloseProcesses: CreateRestorePoint: Task: {266A6AFE-217C-4703-985C-56997BE836F8} - System32\Tasks\youcam\youcam => Rundll32.exe "C:\ProgramData\90r5944M1252B652\90r5944M1252B652.dll",rMBufqnO Task: {299007AA-A3D5-442A-A5AD-2DB5CCBAE43B} - System32\Tasks\plugin-container => Rundll32.exe "C:\ProgramData\90r5944M1252B652\90r5944M1252B652.dll",rMBufqnO Task: {3D14D166-2DF0-45C7-8DD0-7B750FC4627E} - System32\Tasks\90r5944M1252B652 => Rundll32.exe "C:\ProgramData\90r5944M1252B652\90r5944M1252B652.dll",rMBufqnO Task: {95BFF448-4C96-4C8C-87A1-8CA5040D6937} - System32\Tasks\plugin-hang-ui => Rundll32.exe "C:\ProgramData\90r5944M1252B652\90r5944M1252B652.dll",rMBufqnO Task: {F8323B97-3A7E-45EE-A744-62D9BF45C721} - System32\Tasks\90r5944M1252B652-dll => Rundll32.exe "C:\ProgramData\90r5944M1252B652\90r5944M1252B652.dll",rMBufqnO Task: {FAE256BF-371E-437C-95C9-7CA3E0CFE7C9} - System32\Tasks\firefox => Rundll32.exe "C:\ProgramData\90r5944M1252B652\90r5944M1252B652.dll",rMBufqnO C:\ProgramData\90r5944M1252B652 HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> BHO: Brak nazwy -> {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} -> Brak pliku BHO: Brak nazwy -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> Brak pliku BHO: Brak nazwy -> {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} -> Brak pliku BHO-x32: Brak nazwy -> {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} -> Brak pliku BHO-x32: Brak nazwy -> {B4F3A835-0E21-4959-BA22-42B3008E02FF} -> Brak pliku BHO-x32: Brak nazwy -> {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} -> Brak pliku S4 FileZilla Server; "D:\Desktop\xampp-win32-1.8.2-3-VC9\xampp\FileZillaFTP\FileZillaServer.exe" [X] S4 HWDeviceService64.exe; "C:\ProgramData\DatacardService\HWDeviceService64.exe" -/service [X] S4 SQLWriter; "d:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe" [X] S4 STATISTICA License Manager; "D:\Program Files\StatSoft\FLEXlm\lmgrd.exe" [X] S3 dbx; system32\DRIVERS\dbx.sys [X] S3 hwusbdev; system32\DRIVERS\ewusbdev.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] S3 vmci; \SystemRoot\system32\DRIVERS\vmci.sys [X] S3 VMnetAdapter; system32\DRIVERS\vmnetadapter.sys [X] U3 pwdyipog; \??\C:\Users\tru\AppData\Local\Temp\pwdyipog.sys [X] C:\Users\tru\maxout_2420.dat C:\Users\tru\maxout_452.dat C:\Users\tru\maxout_4552.dat C:\Users\tru\maxout_6532.dat EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 3. Wyczyść i zabezpiecz przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Zainstaluj rozszerzenie blokujące reklamy o podłożu nieinfekcyjnym, polecam rozszerzenie uBlock Origin. 4. Zastosuj AdwCleaner na początku z opcji Skanuj, a następnie z opcji Oczyść. Dostarcz raport z tego działania. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.