picasso

W tle działają szkodliwe usługi (StdLib i WdsManPro), w Firefox jest adware Default SearchProtected, prócz tego różne przekierowania adware tu i ówdzie. Log sugeruje, że adware nabyłeś z portalu dobreprogramy.pl przy udziale "Asystenta pobierania": KLIK. Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw; C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw.sys [52920 2014-07-03] (StdLib) R2 WdsManPro; C:\ProgramData\MWMiniProM\WMiniPro.exe [301704 2015-10-26] (DTools LIMITED) S1 itdrvr_vt_1_10_0_25; system32\drivers\itdrvr_vt_1_10_0_25.sys [X] S2 Update NetCrawl; "C:\Program Files\NetCrawl\updateNetCrawl.exe" [X] FF HKLM\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Trojanus\AppData\Roaming\Mozilla\Firefox\Profiles\x1fb8oud.default\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Trojanus\AppData\Roaming\Mozilla\Firefox\Profiles\x1fb8oud.default\extensions\deskCutv2@gmail.com => nie znaleziono SearchScopes: HKU\S-1-5-21-3383111068-4089164496-2276131000-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1445853507&z=8e4e78fdc658c3082eb5db3g9z2zcw1bawec2o4wdz&from=cor&uid=SAMSUNGXHM100JI_S0EDJ10LB00082 Task: {88951C80-52C2-4ECF-9F39-2134E2C968AF} - System32\Tasks\{26FE425E-F6E6-4AAC-92F4-9486A6078322} => pcalua.exe -a C:\Users\Trojanus\AppData\Roaming\Easeware\DriverEasy\drivers\rgqlscqm.1bd\x86\setup.exe -d C:\Users\Trojanus\AppData\Roaming\Easeware\DriverEasy\drivers\rgqlscqm.1bd\x86 Task: {DEF06930-CC11-423D-866E-E09C4C040059} - System32\Tasks\{66032DC2-09DF-4A4C-9CC3-1A91EB84026C} => pcalua.exe -a "C:\Users\Trojanus\AppData\Roaming\Easeware\DriverEasy\drivers\5n2sqgxe.bu2\chipset INFs\chipset INFs\Ssetup.exe" -d "C:\Users\Trojanus\AppData\Roaming\Easeware\DriverEasy\drivers\5n2sqgxe.bu2\chipset INFs\chipset INFs" Task: {FE0517B4-3656-4494-A035-EB02F49F584F} - System32\Tasks\{1062DC1F-7054-4423-BC53-8E51404F9AD5} => pcalua.exe -a C:\Users\Trojanus\AppData\Roaming\Easeware\DriverEasy\drivers\rgqlscqm.1bd\setup.exe -d C:\Users\Trojanus\AppData\Roaming\Easeware\DriverEasy\drivers\rgqlscqm.1bd C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\MWMiniProM C:\Users\Trojanus\AppData\Roaming\istartsurf C:\Users\Trojanus\AppData\Roaming\WarThunder C:\Users\Trojanus\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\Trojanus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Users\Trojanus\Downloads\*-dp*.exe C:\Users\Trojanus\Downloads\setup.exe C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw.sys Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Trojanus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Ale nie tylko Twoje osobiste pliki są zaszyfrowane, ale też pliki Windows i programów. Kopiowanie wszystkiego na inny dysk zajmie dużo czasu, a zadbanie o zaszyfrowane pliki Windows i programów to jakaś straszna robota, musiałbyś je po kolei wstawiać do odpowiednich miejsc... I na razie dokładnie sprzątam, by dekoder nie zajmował się nieistotnymi plikami aplikacji odinstalowanych. Prawie wszystko wykonane, ale wystąpił problem z deinstalacją paska AVG. A przeprowadzone czynności zwiększyły ilość miejsca na dysku: Drive c: () (Fixed) (Total:68.36 GB) (Free:9.18 GB) NTFS ==>[dysk z komponentami startowymi (Windows XP)] Prawdopodobnie miejsca się jeszcze znajdzie trochę, bo są kolejne poprawki. Otwórz Notatnik i wklej w nim: () C:\Program Files\AVG Secure Search\vprot.exe S4 sptd; C:\WINDOWS\System32\Drivers\sptd.sys [691696 2011-05-27] (Duplex Secure Ltd.) S4 desksvc; C:\Program Files\Desk 365\deskSvc.exe [X] S2 VideoDownloadConverter_4zService; C:\PROGRA~1\VIDEOD~2\bar\1.bin\4zbarsvc.exe [X] S2 vToolbarUpdater18.9.0; "C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\18.9.0\ToolbarUpdater.exe" [X] HKLM\...\Run: [vProt] => C:\Program Files\AVG Secure Search\vprot.exe [2569616 2015-10-01] () Handler: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Program Files\Common Files\AVG Secure Search\ViProtocolInstaller\18.9.0\ViProtocol.dll Brak pliku DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Opera.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AVG Secure Search DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WeatherBlinkbar Uninstall Internet Explorer DeleteKey: HKU\S-1-5-21-484763869-287218729-725345543-500\Software\Microsoft\Windows\CurrentVersion\Uninstall\DSite DeleteKey: HKU\S-1-5-21-484763869-287218729-725345543-500\Software\Microsoft\Windows\CurrentVersion\Uninstall\Mipony Download Manager Packages RemoveDirectory: C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Dane aplikacji\0D0S1L2Z1P1B0T1P1B2Z RemoveDirectory: C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Dane aplikacji\Delta RemoveDirectory: C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Dane aplikacji\DSite RemoveDirectory: C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Dane aplikacji\Macromedia RemoveDirectory: C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Dane aplikacji\Malwarebytes RemoveDirectory: C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Dane aplikacji\Mozilla RemoveDirectory: C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Ustawienia lokalne\Dane aplikacji\Google RemoveDirectory: C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Ustawienia lokalne\Dane aplikacji\Mozilla RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\{01BD4FC9-2F86-4706-A62E-774BB7E9D308} RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Alwil Software RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\AVG RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\AVG2013 RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Avg_Update_0814tb RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Babylon RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\DAEMON Tools Lite RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\GARMIN RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Malwarebytes RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\McAfee RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\NOS RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\PC Tools RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Sun RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Tarma Installer RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Wru RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\ABBYY RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\ACD Systems RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\AVG RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\AVG Secure Search RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\AVG2013 RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\DAEMON Tools Lite RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\Gadu-Gadu RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\GARMIN RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\GoPlayer RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\ImgBurn RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\Macromedia RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\Malwarebytes RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\OpenCandy RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\Opera Software RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\PerformerSoft RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\Sun RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\Systweak RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\TuneUp Software RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\uTorrent RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\WeatherBlink RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\WebCompiler3 RemoveDirectory: C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\ABBYY RemoveDirectory: C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\APN RemoveDirectory: C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\Apple Computer RemoveDirectory: C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\AVG Secure Search RemoveDirectory: C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\Avg2013 RemoveDirectory: C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\Avg2014 RemoveDirectory: C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\avgchrome RemoveDirectory: C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\IAC RemoveDirectory: C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\MFAData RemoveDirectory: C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\Opera Software RemoveDirectory: C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\SlimWare Utilities Inc RemoveDirectory: C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\hgojaaaiddhmiiakpejiklijbalpckih RemoveDirectory: C:\Documents and Settings\Ja\Pulpit\Stare dane programu Firefox RemoveDirectory: C:\Program Files\Common Files\337 RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Kaspersky Rescue Disk 10.0 RemoveDirectory: C:\Program Files\Adobe\Acrobat_com RemoveDirectory: C:\Program Files\ACD Systems RemoveDirectory: C:\Program Files\Alwil Software RemoveDirectory: C:\Program Files\Audiograbber RemoveDirectory: C:\Program Files\AVG Secure Search RemoveDirectory: C:\Program Files\AVG Security Toolbar RemoveDirectory: C:\Program Files\GUM21.tmp RemoveDirectory: C:\Program Files\GUM2A.tmp RemoveDirectory: C:\Program Files\GUM39.tmp RemoveDirectory: C:\Program Files\GUMD.tmp RemoveDirectory: C:\Program Files\HotPotatoes6 RemoveDirectory: C:\Program Files\ImgBurn RemoveDirectory: C:\Program Files\Opera RemoveDirectory: C:\Program Files\Pekka Kana 2 RemoveDirectory: C:\Program Files\SkanerOnline RemoveDirectory: C:\Program Files\SlimCleaner RemoveDirectory: C:\Program Files\Winamp Toolbar RemoveDirectory: C:\Program Files\Wru CMD: del /q C:\s0nr0t0o.exe CMD: del /q "C:\Program Files\4zres.dll" CMD: del /q "C:\Program Files\4zUninstall VideoDownloadConverter.dll" CMD: del /q C:\WINDOWS\System32\Drivers\sptd.sys Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu, ale może się to zdarzyć, jeśli komponenty paska AVG będą zablokowane. Przedstaw wynikowy fixlog.txt.

Sprawa ciężka, to infekcja TeslaCrypt i plików nie da się odkodować. Porównawczo ten temat: KLIK. Ona nadal jest czynna, więc należy ją szybko usunąć. Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-4141441876-3601026287-570387324-1000_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\wdigest.dll (HP) HKLM\...\Run: [openssl_32] => C:\ProgramData\openssl_32.exe [4096 2015-11-13] () HKU\S-1-5-21-4141441876-3601026287-570387324-1000\...\Run: [GoogleDriveSync] => "C:\Program Files (x86)\Google\Drive\googledrivesync.exe" /autostart HKU\S-1-5-21-4141441876-3601026287-570387324-1000\...\Run: [MSConfig] => C:\Users\Dirciak\zedgxlpq.exe [35893248 2015-11-13] (AhnLab, Inc. ) HKU\S-1-5-21-4141441876-3601026287-570387324-1000\...\RunOnce: [Report] => C:\AdwCleaner\AdwCleaner[C1].txt [1548 2015-11-14] () ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D43} => Brak pliku Toolbar: HKU\S-1-5-21-4141441876-3601026287-570387324-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku Task: {2F9A2A64-856A-4724-B2F5-8F05C11FE4FD} - System32\Tasks\{1988B6A2-D827-4FBE-B61E-BA1EA266D630} => K:\KOPIA\INSTALKI\Instalki\winamp534_full_bundle_emusic-7plus.exe Task: {A8EEC877-AE19-460C-8E82-8DBF59C6EB9B} - System32\Tasks\{D5B57EA3-BFDB-44B1-840E-0A3EA1E01545} => K:\KOPIA\INSTALKI\Instalki\winamp534_full_bundle_emusic-7plus.exe Task: {B1A1E647-5CD4-4E27-9486-12B464E4157D} - System32\Tasks\{0520757E-D956-4A88-ACCE-53AF7617EB69} => K:\KOPIA\INSTALKI\Instalki\winamp534_full_bundle_emusic-7plus.exe Task: {C0C4284E-CC7C-4E39-9FD2-282C7813AE64} - System32\Tasks\{BC03A4C7-D76C-4795-AB60-2EBF2C9111C8} => G:\SimCity\SimCity\SimCity.exe S3 gdrv; \??\C:\Windows\gdrv.sys [X] S0 PxHlpa64; System32\Drivers\PxHlpa64.sys [X] U2 V2iMount; Brak ImagePath AlternateDataStreams: C:\Users\Dirciak\Local Settings:init C:\ProgramData\autobk.inc C:\ProgramData\openssl_32.exe C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8} C:\Users\Dirciak\zedgxlpq.exe C:\Users\Dirciak\AppData\Roaming\msregsvv.dll C:\Users\Dirciak\AppData\Roaming\update.dat C:\Users\Dirciak\Downloads\SpyHunter 4 Key Generator.rar Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: netsh advfirewall reset CMD: attrib -r -h -s C:\howto_recover_file* /s CMD: attrib -r -h -s D:\howto_recover_file* /s CMD: attrib -r -h -s E:\howto_recover_file* /s CMD: attrib -r -h -s G:\howto_recover_file* /s CMD: attrib -r -h -s H:\howto_recover_file* /s CMD: attrib -r -h -s I:\howto_recover_file* /s CMD: attrib -r -h -s K:\howto_recover_file* /s CMD: attrib -r -h -s R:\howto_recover_file* /s CMD: attrib -r -h -s T:\howto_recover_file* /s CMD: attrib -r -h -s W:\howto_recover_file* /s CMD: del /q /s C:\howto_recover_file* CMD: del /q /s D:\howto_recover_file* CMD: del /q /s E:\howto_recover_file* CMD: del /q /s G:\howto_recover_file* CMD: del /q /s H:\howto_recover_file* CMD: del /q /s I:\howto_recover_file* CMD: del /q /s K:\howto_recover_file* CMD: del /q /s R:\howto_recover_file* CMD: del /q /s T:\howto_recover_file* CMD: del /q /s W:\howto_recover_file* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Fix może się długo wykonywać ze względu na rekursywne usuwanie wszystkich wystąpień howto_recover_file* z wszystkich dysków. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. On będzie baaaardzo duży, więc spakuj do ZIP, shostuj gdzieś i podaj link do paczki.

Teraz jest dobry czas na gruntowną modernizację układu, więc instalacja Windows 7 jak najbardziej na miejscu. Instalacja nie jest trudniejsza niż instalacja XP. W razie czego służę pomocą.

DelFix dokasował drobne szczątki. Usuń plik C:\delfix.txt. Temat rozwiązany. Zamykam. I wielkie dzięki za "wyjazd na Kapelankę"!

Infekcja szyfrująca nie jest czynna, ale zanim zabierzesz się za odkodowanie plików, posprzątajmy, bo system jest mocno zaśmiecony: Avast został zablokowany przez malware na bazie polityk oprogramowania, są nadal aktywne różne obiekty adware oraz kupa odpadkowych śmieci. Akcje do przeprowadzenia: 1. Był uruchamiany GMER, więc upewnij się, że transfer dysku się nie obniżył do PIO, co bardzo utrudniłoby późniejsze operacje dekodera. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Przez Dodaj/Usuń programy odinstaluj: - Stare wersje i zbędniki: ABBYY FineReader 5.0 Sprint, ABBYY FineReader 6.0, Acrobat.com, Adobe AIR, AVG Security Toolbar, Java™ 6 Update 31, Java™ 6 Update 6, Java™ 6 Update 7, McAfee Security Scan Plus, OpenOffice.org Installer 1.0, Real Alternative 1.8.0 - Adware/PUP: Delta Chrome Toolbar, Desk 365, FlvPlayer, MiPony 2.0.2, Mipony Download Manager Packages, Smiley Bar for Facebook, Update for Mipony Download Manager, VideoDownloadConverter Internet Explorer Toolbar, WeatherBlink Internet Explorer Toolbar, WebCake 3.00, Winamp Toolbar for Internet Explorer. Jeśli coś nie będzie widoczne lub zgłosi błąd, kontynuuj dalej. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM Group Policy restriction on software: C:\Program Files\AVAST Software HKLM Group Policy restriction on software: C:\Program Files\Alwil Software HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k HKU\S-1-5-21-484763869-287218729-725345543-1003\...\Run: [NokiaPCInternetAccess] => "C:\Program Files\Nokia\PC Internet Access\NPCIA.exe" /b HKU\S-1-5-21-484763869-287218729-725345543-500\...\RunOnce: [Del450640] => cmd.exe /Q /D /c del "C:\DOCUME~1\ADMINI~1.000\USTAWI~1\Temp\0.del" Winlogon\Notify\WgaLogon: WgaLogon.dll [X] Task: C:\WINDOWS\Tasks\EPUpdater.job => C:\DOCUME~1\ADMINI~1.000\DANEAP~1\BABSOL~1\Shared\BabMaint.exe BootExecute: autocheck autochk * aswBoot.exe /M:29cec3ea4378 /dir:C:\Program S3 ADIHdAudAddService; system32\drivers\ADIHdAud.sys [X] S3 AEAudio; system32\drivers\AEAudio.sys [X] S3 catchme; \??\C:\DOCUME~1\Ja\USTAWI~1\Temp\catchme.sys [X] S3 CtClsFlt; system32\DRIVERS\CtClsFlt.sys [X] S3 EverestDriver; \??\C:\Documents and Settings\Ja\Pulpit\everestultimate_build_1066\kerneld.wnt [X] S3 GMSIPCI; \??\E:\INSTALL\GMSIPCI.SYS [X] S3 SenFiltService; system32\drivers\Senfilt.sys [X] ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => Brak pliku CustomCLSID: HKU\S-1-5-21-484763869-287218729-725345543-1003_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Documents and Settings\Ja\Dane aplikacji\Dropbox\bin\Dropbox.exe /autoplay => Brak pliku CustomCLSID: HKU\S-1-5-21-484763869-287218729-725345543-1003_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-484763869-287218729-725345543-1003_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-484763869-287218729-725345543-1003_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-484763869-287218729-725345543-1003_Classes\CLSID\{E69341A3-E6D2-4175-B60C-C9D3D6FA40F6}\localserver32 -> C:\Documents and Settings\Ja\Dane aplikacji\Dropbox\bin\Dropbox.exe /wiacallback => Brak pliku StartMenuInternet: chrome.exe - C:\Program Files\Google\Chrome\Application\chrome.exe hxxp://www.22find.com/?utm_source=b&utm_medium=501&from=501&uid=SAMSUNGXHD252HJ_S17HJ9DQ402510&ts=1359556452 CHR StartupUrls: Default -> "hxxp://kl.startnow.com/?src=startpage&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=876&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.5.0&install_country=PL&install_date=20130208&user_guid=9ABB1EEF6AF84127A188AA841AE180F6&machine_id=f17123d12604361b6e951b71ec099dee&browser=CR&os=win&os_version=5.1-x86-SP2" FF Session Restore: -> [funkcja włączona] FF Plugin: @avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin -> C:\Program Files\Common Files\AVG Secure Search\SiteSafetyInstaller\18.9.0\\npsitesafety.dll [brak pliku] FF Plugin: @java.com/JavaPlugin -> C:\Program Files\Java\jre6\bin\plugin2\npjp2.dll [2012-02-25] (Sun Microsystems, Inc.) FF Plugin: @mcafee.com/McAfeeMssPlugin -> C:\Program Files\McAfee Security Scan\3.0.318\npMcAfeeMss.dll [2013-02-05] (McAfee, Inc.) FF Plugin: @real.com/nppl3260;version=6.0.11.2852 -> C:\Program Files\Real Alternative\browser\plugins\nppl3260.dll [2008-04-28] (RealNetworks, Inc.) FF Plugin: @real.com/nppl3260;version=6.0.12.46 -> C:\Program Files\Real Alternative\browser\plugins\nppl3260.dll [2008-04-28] (RealNetworks, Inc.) FF Plugin: @real.com/nprpjplug;version=6.0.12.1662 -> C:\Program Files\Real Alternative\browser\plugins\nprpjplug.dll [2008-04-28] (RealNetworks, Inc.) FF Plugin: @real.com/nprpjplug;version=6.0.12.46 -> C:\Program Files\Real Alternative\browser\plugins\nprpjplug.dll [2008-04-28] (RealNetworks, Inc.) FF Plugin: @VideoDownloadConverter_4z.com/Plugin -> C:\Program Files\VideoDownloadConverter_4z\bar\1.bin\NP4zStub.dll [2014-04-05] (Mindspark) FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff FF HKLM\...\Firefox\Extensions: [statuswinks@StatusWinks] - C:\Documents and Settings\Ja\Dane aplikacji\Mozilla\Extensions\statuswinks@StatusWinks FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKU\S-1-5-21-484763869-287218729-725345543-1003\...\Firefox\Extensions: [statuswinks@StatusWinks] - C:\Documents and Settings\Ja\Dane aplikacji\Mozilla\Extensions\statuswinks@StatusWinks HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-484763869-287218729-725345543-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKU\S-1-5-21-484763869-287218729-725345543-1003\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = hxxp://www.delta-search.com/?affID=121845&babsrc=HP_ss&mntrId=7012A0F3C1320345 HKU\S-1-5-21-484763869-287218729-725345543-1003\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/ie HKU\S-1-5-21-484763869-287218729-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie HKU\S-1-5-21-484763869-287218729-725345543-500\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.delta-search.com/?affID=121845&babsrc=HP_ss&mntrId=7012A0F3C1320345 HKU\S-1-5-21-484763869-287218729-725345543-500\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = hxxp://www.delta-search.com/?affID=121845&babsrc=HP_ss&mntrId=7012A0F3C1320345 URLSearchHook: HKU\S-1-5-21-484763869-287218729-725345543-1003 - (Brak nazwy) - {93a3111f-4f74-4ed8-895e-d9708497629e} - Brak pliku URLSearchHook: [s-1-5-21-484763869-287218729-725345543-500] UWAGA => Brak domyślnego URLSearchHook SearchScopes: HKLM -> DefaultScope {cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8} URL = hxxp://search.tb.ask.com/search/GGmain.jhtml?p2=^HJ^xdm073^YYA^pl&si=pconvIE&ptb=B3C08734-4B05-4A09-A3F8-9B80B65B6874&ind=2014040507&n=780bd1bb&psa=&st=sb&searchfor={searchTerms} SearchScopes: HKLM -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://startsear.ch/?aff=1&src=sp&cf=658f9106-3646-11e1-a41e-001d92fcc647&q={searchTerms} SearchScopes: HKLM -> {cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8} URL = hxxp://search.tb.ask.com/search/GGmain.jhtml?p2=^HJ^xdm073^YYA^pl&si=pconvIE&ptb=B3C08734-4B05-4A09-A3F8-9B80B65B6874&ind=2014040507&n=780bd1bb&psa=&st=sb&searchfor={searchTerms} SearchScopes: HKLM -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = hxxp://search.sweetim.com/search.asp?src=6&q={searchTerms} SearchScopes: HKU\S-1-5-21-484763869-287218729-725345543-1003 -> DefaultScope {B224AA02-F7C8-3A2B-859F-560B80767E4A} URL = hxxp://kl.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=876&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.5.0&install_country=PL&install_date=20130208&user_guid=9ABB1EEF6AF84127A188AA841AE180F6&machine_id=f17123d12604361b6e951b71ec099dee&browser=IE&os=win&os_version=5.1-x86-SP2&iesrc={referrer:source} SearchScopes: HKU\S-1-5-21-484763869-287218729-725345543-1003 -> {043C5167-00BB-4324-AF7E-62013FAEDACF} URL = hxxp://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp SearchScopes: HKU\S-1-5-21-484763869-287218729-725345543-1003 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://search.babylon.com/?q={searchTerms}&affID=118722&tt=0313_3&babsrc=SP_ss&mntrId=7012dd250000000000008c89a56842bf SearchScopes: HKU\S-1-5-21-484763869-287218729-725345543-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.22find.com/web/?utm_source=b&utm_medium=501&from=501&uid=SAMSUNGXHD252HJ_S17HJ9DQ402510&ts=1359556467 SearchScopes: HKU\S-1-5-21-484763869-287218729-725345543-1003 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = hxxp://www.daemon-search.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-484763869-287218729-725345543-1003 -> {AE18CCFC-EB56-403E-988D-63288173B42F} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=PV&apn_dtid=YYYYYYYYPL&apn_uid=75f87e41-f4b0-4882-91da-0be8bf89eb67&apn_sauid=EC6FC408-320B-4E88-91F9-250DCC496F21 SearchScopes: HKU\S-1-5-21-484763869-287218729-725345543-1003 -> {B224AA02-F7C8-3A2B-859F-560B80767E4A} URL = hxxp://kl.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=876&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.5.0&install_country=PL&install_date=20130208&user_guid=9ABB1EEF6AF84127A188AA841AE180F6&machine_id=f17123d12604361b6e951b71ec099dee&browser=IE&os=win&os_version=5.1-x86-SP2&iesrc={referrer:source} SearchScopes: HKU\S-1-5-21-484763869-287218729-725345543-1003 -> {cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8} URL = hxxp://search.tb.ask.com/search/GGmain.jhtml?p2=^HJ^xdm073^YYA^pl&si=pconvIE&ptb=B3C08734-4B05-4A09-A3F8-9B80B65B6874&ind=2014040507&n=780bd1bb&psa=&st=sb&searchfor={searchTerms} SearchScopes: HKU\S-1-5-21-484763869-287218729-725345543-1003 -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = hxxp://search.sweetim.com/search.asp?src=6&q={searchTerms} SearchScopes: HKU\S-1-5-21-484763869-287218729-725345543-1003 -> {F2B5AF9F-1C92-4912-9D12-B96FB65BA847} URL = hxxp://search.babylon.com/?q={searchTerms}&AF=108603&babsrc=SP_ss&mntrId=7012dd25000000000000001d92fcc647 SearchScopes: HKU\S-1-5-21-484763869-287218729-725345543-500 -> bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKU\S-1-5-21-484763869-287218729-725345543-500 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://www.delta-search.com/?q={searchTerms}&affID=121845&babsrc=SP_ss&mntrId=7012A0F3C1320345 BHO: Brak nazwy -> {c547c6c2-561b-4169-a2a5-20ba771ca93b} -> Brak pliku Toolbar: HKU\S-1-5-21-484763869-287218729-725345543-1003 -> Brak nazwy - {32099AAC-C132-4136-9E9A-4E364A424E17} - Brak pliku DPF: {31435657-9980-0010-8000-00AA00389B71} hxxp://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab DPF: {33564D57-0000-0010-8000-00AA00389B71} hxxp://download.microsoft.com/download/B/0/6/B06D48C0-917B-44E2-92E0-6B3E159624A6/wmv9vcm.cab DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Dane aplikacji\BabSolution C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Dane aplikacji\Babylon C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Dane aplikacji\TestApp C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\MiPony.lnk C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Menu Start\Programy\MiPony C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Pulpit\MiPony.lnk C:\Documents and Settings\All Users\Dane aplikacji\AVG Secure Search C:\Documents and Settings\All Users\Dane aplikacji\MFAData C:\Documents and Settings\All Users\Menu Start\Programy\FlvPlayer C:\Documents and Settings\All Users\Menu Start\Programy\McAfee Security Scan Plus C:\Documents and Settings\All Users\Menu Start\Programy\Nokia PC Internet Access\Nokia PC Internet Access.lnk C:\Documents and Settings\Ja\Skrót do Ja.lnk C:\Documents and Settings\Ja\Dane aplikacji\skype.ini C:\Documents and Settings\Ja\Dane aplikacji\Babylon C:\Documents and Settings\Ja\Dane aplikacji\Desk 365 C:\Documents and Settings\Ja\Dane aplikacji\Mozilla\Extensions C:\Documents and Settings\Ja\Dane aplikacji\StartNow Toolbar C:\Documents and Settings\Ja\Dane aplikacji\StatusWinks C:\Documents and Settings\Ja\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK C:\Documents and Settings\Ja\Menu Start\Programy\BitGuard C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Web Data C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\newtab.crx C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\Torpedo C:\Program Files\Desk 365 C:\Program Files\File Scout C:\Program Files\Java C:\Program Files\VideoDownloadConverter_4z C:\Program Files\WebCake C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\Program Files\Common Files\AVG Secure Search C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\pss\McAfee Security Scan Plus.lnkCommon Startup C:\WINDOWS\pss\TorpedoCopy.lnkStartup RemoveDirectory: C:\ComboFix(2) DisableService: sptd CMD: del /q C:\ComboFix.txt.id-9850759202_helpme@freespeechmail.org Reg: reg delete HKCU\Software\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome\Extensions /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Ja^Menu Start^Programy^Autostart^TorpedoCopy.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Desk 365" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\App Paths" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths" /s Reg: reg query "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment" CMD: set CMD: netsh firewall reset CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Documents and Settings\All Users\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Ustawienia lokalne\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\Ja\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia potem przeinstalujesz. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj AVG Security Toolbar, Smiley Bar for Facebook (o ile nadal będą widoczne po w/w deinstalacjach). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. 6. Gdy potwierdzę wykonanie zadań w nowych logach oraz wykonam poprawki, zapuścisz RakhniDecryptor. Z tym, że będzie problem z dyskiem C, jest na nim bardzo mało miejsca, a dekoder potrzebuje dużo. Dlatego próbuję najpierw czyścić system ze śmieci, bo może się rozszerzyć zakres wolnego miejsca. ==================== Dyski ================================ Drive c: () (Fixed) (Total:68.36 GB) (Free:5.23 GB) NTFS ==>[dysk z komponentami startowymi (Windows XP)] Drive d: (Nowy) (Fixed) (Total:164.52 GB) (Free:144.99 GB) NTFS

Tu i tak klarowało się konwertowanie systemu plików wszystkich partycji na dysku 120, bo partycje są w starym i bardziej awaryjnym systemie plików FAT32. Należy sformatować w NTFS. I skoro plany idą aż tak daleko, to możemy całkowicie sobie darować wykonywanie Fix FRST. Usunięcie partycji wszystko załatwi. Tylko pytanie, czy planujesz ponownie instalować stary system XP? Jeśli to możliwe, to już bym robiła przeskok na najnowszy system. Zdecydowanie polecam, by na nowym dysku 500 trzymać wszystkie dane izolując je od działającego systemu. Ale pamiętaj o tym, że infekcje szyfrujące atakują wszystkie możliwe dyski (w tym sieciowe) dostępne podczas zdarzenia, więc pełnym zabezpieczeniem byłoby przeznaczyć ten dysk na magazyn kopii zapasowych nie podłączany na stałe do komputera.

Fix pomyślnie wykonany. Kończymy: Usuń pobrane narzędzia i ich logi z folderu C:\SpecProgram. Następnie zastosuj jeszcze DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Pliki *.ccc to nie "CTB Locker" (nawet jeśli takie hasło mogłeś widzieć na ekranie ransom) tylko jeden z najnowszych wariantów TeslaCrypt. Odszyfrowanie jest awykonalne technicznie. Dla porównania temat z tą samą infekcją: KLIK. Raporty przedstawiają stan po reinstalacji systemu, więc nie ma również co analizować, czysto. Widzę, że zainstalowałeś ShadowExplorer. Program jest obecnie bezużyteczny w kontekście sprawy. Reinstalacja Windows oznacza, że nawet jeśli jakimś cudem ostały się wtedy punkty Przywracania systemu (prawdopobieństwo bliskie zeru, bo TeslaCrypt je usuwa), to reinstalacja i tak je zniszczyła. Ponadto, nawet gdyby wtedy były punkty Przywracania, to tylko dla dysku C, bo domyślnie Przywracanie jest aktywowane tylko dla partycji systemowej.

W raportach nic nie widać. Skopiuj na Pulpit poniższe foldery: C:\Program Files (x86)\Google\Chrome C:\Users\ryszard\AppData\Local\Google\Chrome Spakuj do ZIP, shostuj gdzieś i prześlij mi na PW link do paczki. Będę ręcznie analizować komponenty Google Chrome.

Jeśli korzystasz z Poczty, to nie ruszaj żadnych komponentów Windows Live. Do zignorowania cały punkt 1 z Zoek, a w punkcie 2 trzeba wykreślić obiekty Windows Live, czyli skrypt do FRST będzie miał taką postać: BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku Task: {11EF51F9-B867-4181-9A5F-F25515AD0C7F} - System32\Tasks\Adobe online update program => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe Task: {55762BC5-A941-411B-BE21-ED2FB2EE28B4} - System32\Tasks\Norton Identity Safe\Norton Error Processor => C:\Program Files (x86)\Norton Identity Safe\Engine\2014.7.0.43\SymErr.exe Task: {67622963-A760-4F6D-BBAA-3A231C63104A} - System32\Tasks\PandaUSBVaccine => C:\Program Files (x86)\Panda USB Vaccine\RunInteractiveWin.exe RemoveDirectory: C:\$360Section RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\360 RemoveDirectory: C:\ProgramData\360Quarant RemoveDirectory: C:\ProgramData\DriverGenius RemoveDirectory: C:\Users\media\Desktop\Stare dane programu Firefox RemoveDirectory: C:\WINDOWS\Tasks\360Disabled

W starcie jest widoczny szkodnik Audio Auto Setup symulujący "komponenty audio". Akcje wstępne do wykonania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3336899688-2899408113-2250654847-1001\...\Run: [Audio Auto Setup] => C:\Users\ryszard\AppData\Roaming\AudioAutoSetup\wintaskhost.exe [33280 2012-03-07] () C:\Users\ryszard\AppData\Roaming\AudioAutoSetup C:\Users\ryszard\Desktop\dokumety\Acer Backup Manager.lnk C:\Users\ryszard\Desktop\dokumety\WildTangent Games App - acer.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy reklamy w Chrome zniknęły i czy są jeszcze jakieś problemy widoczne.

Coś jest nie w porządku. Spróbuj innej wersji Fix bez rekursywności. CMD: xcacls.vbs C:\ /G Administratorzy:F /E CMD: xcacls.vbs C:\ /G SYSTEM:F /E CMD: xcacls.vbs C:\ /G Użytkownicy:X /E CMD: xcacls.vbs C:\ /P Wszyscy:X /E ListPermissions: C:\ ListPermissions: C:\Config.Msi ListPermissions: C:\Documents and Settings ListPermissions: C:\Program Files ListPermissions: C:\RECYCLER ListPermissions: C:\System Volume Information ListPermissions: C:\WINDOWS ListPermissions: C:\WINDOWS\system32\config\TuneUp.evt Reg: reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders /s Reg: reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders /s Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders /s Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders /s

To zagadnienie teoretyczne: KLIK. W praktyce to oznacza, że zanim zrzucisz dump pamięci, proces szyfrowania posunie się dalej, a nawet może się ukończyć przed zebraniem danych. Czyli pozwolisz zaszyfrować w tle kolejne dane nie mając absolutnie żadnych gwarancji, że w pliku dump cokolwiek zostanie znalezione. Druga sprawa, postęp szyfrowania nie jest tu tak naprawdę znany, wyłączenie komputera mogło i tak nastąpić "za późno". Jeśli chcesz prowadzić te eksperymenty, to nie włączaj na razie komputera tylko w pierwszej kolejności zabezpiecz wszystkie jeszcze niezaszyfrowane dane (o ile takowe są) z wszystkich partycji posługując się zewnętrznym bootowanym nośnikiem CD / USB, wykluczone by dane kopiować z poziomu uruchomionego Windows. Przekopiowane dane muszą być na nośniku, który nie będzie w ogóle dostępny w trakcie ponownego uruchomienia systemu, bo czynna infekcja je i tak zaszyfruje. Dla jasności: infekcja jest definitywnie czynna, widać w raporcie FRST obiekty w starcie. Tylko że jej usunięcie wykluczy powyższe eksperymenty, więc decyduj co robimy "od razu". Zdecydowanie odradzam kontakt z cyberprzestępcami i płacenie im haraczu. Musisz sobie odpowiedzieć na pytanie jak ważne są te dane, by ryzykować taki kontakt. Nie ma gwarancji, że nie zostaniesz oszukany.

Wszystko pomyślnie wykonane, problem reklam powinien ustąpić. Ale jeszcze drobne poprawki na odpadki po odinstalowanych programach: 1. Paczka "Podstawowe programy Windows Live" nadal zainstalowana i nie ma oznaczenia "Hidden", więc nie wiem dlaczego jej nie widać. Na pewno jej nie przeoczyłeś? Jest też dużo powiązanych komponentów, większość ukryta: Formant ActiveX programu Windows Live Mesh odpowiedzialny za obsługę połączeń zdalnych (HKLM-x32\...\{B04A0E2F-1E4C-4E61-B18E-3B2BD6779CA7}) (Version: 15.4.5722.2 - Microsoft Corporation) Galeria fotografii usługi Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Junk Mail filter update (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Poczta usługi Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Podstawowe programy Windows Live (HKLM-x32\...\WinLiveSuite) (Version: 15.4.3538.0513 - Microsoft Corporation) Podstawowe programy Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Pomocnik Messenger (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden 1. Sprawdź czy w Programy i funkcje widać tę pierwszą pozycję. A jeśli chodzi o usunięcie wszystkich instancji "Windows Live", to uruchom Zoek i w oknie wklej: Formant ActiveX programu Windows Live Mesh odpowiedzialny za obsługę połączeń zdalnych;u Galeria fotografii usługi Windows Live;u Junk Mail filter update;u Poczta usługi Windows Live;u Podstawowe programy Windows Live;u Pomocnik Messenger;u Klik w Run Script. Przedstaw wynikowy log zoek-results.txt (po zmianie nazwy z *.log). 2. Otwórz Notatnik i wklej w nim: BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku FF Plugin-x32: @microsoft.com/WLPG,version=15.4.3502.0922 -> C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll [2011-05-13] (Microsoft Corporation) FF Plugin-x32: @microsoft.com/WLPG,version=15.4.3508.1109 -> C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll [2011-05-13] (Microsoft Corporation) FF Plugin-x32: @microsoft.com/WLPG,version=15.4.3538.0513 -> C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll [2011-05-13] (Microsoft Corporation) Task: {11EF51F9-B867-4181-9A5F-F25515AD0C7F} - System32\Tasks\Adobe online update program => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe Task: {55762BC5-A941-411B-BE21-ED2FB2EE28B4} - System32\Tasks\Norton Identity Safe\Norton Error Processor => C:\Program Files (x86)\Norton Identity Safe\Engine\2014.7.0.43\SymErr.exe Task: {67622963-A760-4F6D-BBAA-3A231C63104A} - System32\Tasks\PandaUSBVaccine => C:\Program Files (x86)\Panda USB Vaccine\RunInteractiveWin.exe RemoveDirectory: C:\$360Section RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\360 RemoveDirectory: C:\Program Files (x86)\Windows Live RemoveDirectory: C:\ProgramData\360Quarant RemoveDirectory: C:\ProgramData\DriverGenius RemoveDirectory: C:\Users\media\Desktop\Stare dane programu Firefox RemoveDirectory: C:\WINDOWS\Tasks\360Disabled Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt.

DelFix wykonał co należy. Skasuj z dysku plik C:\delfix.txt. Czy jest pewność, że to była prawdziwa strona Orange a nie jakaś podróbka? A jeśli to prawdziwy komunikat, to być może był konsekwencją aktywności w Twojej sieci (a nie nie na Twoim komputerze), nawet nie wiadomo czy hasło "Sality" to była poprawna klasyfikacja zjawiska. Trudno tu coś doradzić. Przy haśle Sality, próbuje się po prostu SalityKiller. Infekcja Sality jest bardzo stara i coraz rzadziej się pokazuje, nie widziałam tego wirusa tu już od dawna.

DelFix dokasował drobne szczątki. Możesz usunąć plik C:\delfix.txt. Temat rozwiązany. Zamykam.

Na koniec: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Kończymy: 1. Do likwidacji drobne błędy w Dzienniku zdarzeń: Dziennik Aplikacja: ================== Error: (11/08/2015 08:54:17 PM) (Source: WinMgmt) (EventID: 10) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Dziennik System: ============= Error: (11/08/2015 08:52:42 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi lirsgt z powodu następującego błędu: %%577 Error: (11/08/2015 08:52:41 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi atksgt z powodu następującego błędu: %%577 - Błąd WMI usuniesz za pomocą narzędzia Fix-it: KLIK. - Sterowniki Tages (instalowane z określonymi grami czy programami) odinstalujesz posługując się paczką instalacyjną ze strony Tages: KLIK. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Wszystko zrobione. Kończymy: Skasuj folder C:\Users\user\Downloads\frst. Następnie popraw jeszcze za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

AdwCleaner znalazł jescze dużo śmieci. Teraz: 1. Uruchom AdwCleaner ponownie, tym razem wybierz sekwencję opcji Skanuj + Usuń. Gdy program ukończy czyszczenie: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Skoro Kaspersky teraz obrabia pliki z dysku D, to poczekajmy na ukończenie tego. Jeśli akcja się skończy powodzeniem i wszystko z D będzie odszyfrowane i w pełni sprawne, poprzednio podany skrypt FRST zostanie rozszerzony o usuwanie szyfrowanych wersji również z D. Czyli zamiast poprzednio podanej ta wersja do uruchomienia: CloseProcesses: CreateRestorePoint: BootExecute: autocheck autochk * sh4native Sh4Removal Task: C:\WINDOWS\Tasks\avast! Emergency Update.job => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe S3 AsrCDDrv; \??\C:\WINDOWS\system32\Drivers\AsrCDDrv.sys [X] HKU\S-1-5-21-1801674531-823518204-725345543-1003\...\Run: [RocketDock] => "C:\Program Files\RocketDock\RocketDock.exe" HKU\S-1-5-21-1801674531-823518204-725345543-1003\...\Run: [Asrsetup] => H:\ASRSetup.exe CustomCLSID: HKU\S-1-5-21-1801674531-823518204-725345543-1003_Classes\CLSID\{0B4AA204-AB61-47E3-B5B4-27DCF375EBAC}\localserver32 -> "CDStart.exe" => Brak pliku HKU\S-1-5-21-1801674531-823518204-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-1801674531-823518204-725345543-1003\Software\Microsoft\Internet Explorer\Main,Strona wyszukiwania = hxxp://www.msn.com/access/allinone.asp HKU\S-1-5-21-1801674531-823518204-725345543-1003\Software\Microsoft\Internet Explorer\Main,Strona początkowa = hxxp://www.microsoft.com/msoffice/ DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab C:\spyhunter.fix C:\Documents and Settings\Betty\Dane aplikacji\sversion.ini C:\Documents and Settings\Betty\Dane aplikacji\recovery.bmp C:\Documents and Settings\Betty\Pulpit\Skrót do SpyHunter4.lnk C:\Documents and Settings\Betty\Ustawienia lokalne\Dane aplikacji\housecall.guid.cache C:\WINDOWS\system32\sh4native.exe C:\WINDOWS\system32\Drivers\tmcomm.sys RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Documents and Settings\Betty\Moje dokumenty\Downloads\SpyHunter 4.20.9.4533 Portable - AppzDam RemoveDirectory: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Clients\StartMenuInternet\chrome.exe /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f CMD: for /d %f in (C:\FOUND.*) do rd /s /q "%f" CMD: attrib -r -h -s C:\*_helpme@freespeechmail.org /s CMD: attrib -r -h -s D:\*_helpme@freespeechmail.org /s CMD: attrib -r -h -s E:\*_helpme@freespeechmail.org /s CMD: attrib -r -h -s F:\*_helpme@freespeechmail.org /s CMD: attrib -r -h -s G:\*_helpme@freespeechmail.org /s CMD: del /q /s C:\*_helpme@freespeechmail.org CMD: del /q /s D:\*_helpme@freespeechmail.org CMD: del /q /s E:\*_helpme@freespeechmail.org CMD: del /q /s F:\*_helpme@freespeechmail.org CMD: del /q /s G:\*_helpme@freespeechmail.org EmptyTemp: Oczywiście to można użyć już tylko po pełnym odzyskaniu wszystkich danych z wszystkich partycji, w przeciwnym wypadku zostanie na zawsze odcięta droga do repety.

1. Jeden wpis nieprzetworzony (moja literówka), więc załaduj taki mały skrypt do FRST: Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID /v {EA34C851-D481-49F5-A356-3A8B0A8F3B7E} /f 2. Usuń folder C:\Farbar. Następnie zapraw jeszcze DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Fix pomyślnie wykonany. Tak, te odczyty "Brak pliku" przy wpisach Autodesk są fałszywym alarmem i nie należy ruszać tych wpisów. Zostały nam poprawki: 1. Wpis McAfee nie ma oznaczenia, że jest ukryty, ale skoro go nie widać, to sprawdź czy da radę za pomocą tego narzędzia: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > jeśli widać, zaznacz Shared C Run-time for x64 > Dalej. 2. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => "c:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" HKU\S-1-5-21-3391024131-566000767-83427015-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\Natalka\AppData\Local\Akamai\netsession_win.exe" RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Natalka\Desktop\Old Firefox Data Reg: reg query "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment" CMD: set Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Ostatni skrypt do FRST. Do Notatnika wklej: DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0E12F736682067FDE4D1158D5940A82E DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\1A24B5BB8521B03E0C8D908F5ABC0AE6 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\2B0D56C4F4C46D844A57FFED6F0D2852 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\49D4375FE41653242AEA4C969E4E65E0 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6AA0923513360135B272E8289C5F13FA DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6F7467AF8F29C134CBBAB394ECCFDE96 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\922525DCC5199162F8935747CA3D8E59 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\BCDA179D619B91648538E3394CAC94CC DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\D677B1A9671D4D4004F6F2A4469E86EA DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\DD1402A9DD4215A43ABDE169A41AFA0E DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E36E114A0EAD2AD46B381D23AD69CDDF DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\EF8E618DB3AEDFBB384561B5C548F65E DeleteKey: HKLM\SOFTWARE\Wow6432Node\AdvertisingSupport DeleteKey: HKLM\SOFTWARE\Wow6432Node\Discount Dragon DeleteKey: HKU\S-1-5-18\Software\AskPartnerNetwork Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID / {EA34C851-D481-49F5-A356-3A8B0A8F3B7E} /f RemoveDirectory: C:\ProgramData\{2892869b-89d7-3c78-2892-2869b89d1a6e} RemoveDirectory: C:\Users\Sigon\AppData\Local\VideoConverter RemoveDirectory: C:\Users\Sigon\music\qtrax media library Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Pokaż wynikowy fixlog.txt.