picasso

Wszystko zrobione, ale zapomniałam włączyć ponownie Dziennik zdarzeń. Mini poprawki: Otwórz Notatnik i wklej w nim: FF Plugin: @java.com/DTPlugin -> C:\Program Files\Java\jre6\bin\dtplugin\npDeployJava1.dll [brak pliku] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Documents and Settings\Właściciel\Dane aplikacji\Sun RemoveDirectory: C:\Documents and Settings\Właściciel\Pulpit\Stare dane programu Firefox RemoveDirectory: C:\Documents and Settings\Właściciel\Pulpit\FRST-OlderVersion RemoveDirectory: C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Sun RemoveDirectory: C:\Program Files\Java RemoveDirectory: C:\Program Files\OpenOffice.org 3 RemoveDirectory: C:\UsbFix CMD: del /q C:\Documents and Settings\Właściciel\Pulpit\iyir9nfj.exe CMD: sc config Eventlog start= auto Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Pokaż wynikowy fixlog.txt.

Wszystko zgodnie z planem. Windows Defender w raporcie prezentuje się jak należy. Uwaga dodatkowa: masz obecnie wyłączone Przywracanie systemu - to domyślne ustawienie Windows 10 dla mniejszych dysków o określonym progu. Sugeruję funkcję ponownie włączyć, by mieć wyjście awaryjne w razie jakiejś katastrofy. Na zakończenie zastosuj DelFix.

Brak oznak czynnej infekcji. Znaleziska AdwCleaner tyczą odpadków PUA.FormatFactory (wpisy CLSID) oraz HTM5 Local Storage Google Chrome (tytułowy gagatek). Do wykonania tylko kosmetyka wpisów odpadkowych i czyszczenie Tempów (co obejmie też HTML5 Local Storage): 1. W Google Chrome zresetuj cache wtyczek, by usunąć martwe wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] CustomCLSID: HKU\S-1-5-21-2108473784-4053231178-3037657491-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Bartek\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2108473784-4053231178-3037657491-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Bartek\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2108473784-4053231178-3037657491-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Bartek\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2108473784-4053231178-3037657491-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Bartek\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => Brak pliku Task: {F3FB04A8-D653-4C77-AF77-F11FC1EE3BD5} - System32\Tasks\{1D5E24B0-8A3E-40DC-8981-6BFA63200FA8} => Chrome.exe hxxp://ui.skype.com/ui/0/7.3.0.101/pl/abandoninstall?page=tsMain C:\ProgramData\Microsoft\Windows\GameExplorer\{90EA1CDC-FA96-4F66-BF6C-74BD54821F6D}\PlayTasks\1 C:\Users\Bartek\AppData\Local\Microsoft\Windows\GameExplorer\{864E5B86-0C39-4D53-AE00-A447016A0BC9}\PlayTasks\1 DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{02AFA80F-4BEE-41FD-8572-214B58A9EF90} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{363F46BE-27B4-4C8D-99E7-B1E049B84376} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{90A9B7D2-3794-45EA-9E23-140E3938D2D9} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{A753A1EC-973E-4718-AF8E-A3F554D45C44} DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik, nowy skan nie jest mi potrzebny.

Brak raportów FRST (FRST.txt, Addition.txt + Shortcut.txt). Proszę otwórz link wklej.org, który wstawiłeś - tam nie ma raportu z FRST tylko (bezużyteczny w kontekście problemu) wyciąg z "System Info". I proszę logi dołącz w postaci załączników forum.

Tak, wszystko wykonane. Pliki C:\delfix.txt na obu systemach oczywiście możesz usunąć z dysku. Temat rozwiązany. Zamykam.

Fixlog pomyślnie wykonany. Skan Hitman był prowadzony i zakładam, że wszystkie szkodliwe falsyfikaty utworzone przez Brontok zostały usunięte. Na zakończenie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Proszę dostarcz raport z Malwarebytes pokazujący co jest wykrywane i nie może zostać usunięte.

Proszę dostosuj się do zasad działu i dostarcz obowiązkowe logi z FRST + GMER.

Klucze Mozilla (oraz foldery Mozilla) - usuwanie odpadków po odinstalowanym Firefox. Firefox był kiedyś, bo FRST wykrył profil na dysku. Obecnie nie jest w ogóle zainstalowany (co widać w Addition + Shortcut). Przy czym należy zaznaczyć, że klucze MozillaPlugins powstają niezależnie od tego czy Firefox w ogóle był zainstalowany, programy zewnętrzne tworzą te klucze "na zapas", by Firefox instalowany w późniejszym czasie znalazł wtyczki. Czasem omijam usuwanie tych kluczy, jeśli są najnowsze wersje wtyczek "przygotowane". Klucze Main + SearchScopes - popatrz na SID kont z których usuwam (S-1-5-18, S-1-5-19, S-1-5-20). To specjalne konta wbudowane w system, na których nie powinno być ustawień tego typu. Tu usuwam, bo był uruchomiony ComboFix, którego resety nie są do końca "domyślne" i dorobił zbędne ustawienia conajmniej w Main. Obie akcje kosmetyczne.

Brak oznak czynnej infekcji. Zaś wynikami ESET nie trzeba się przejmować. ESET wykrył martwe obiekty w C:\Qoobox = to jest kwarantanna ComboFix, której nie usunięto po użyciu ComboFix (ComboFix nie został poprawnie odinstalowany). Czyli do usunięcia tylko zablokowane foldery Qoobox + RECYCLER oraz drobne wpisy puste, w tym odpadkowy Dziennik zdarzeń Dr. Web. Wypięcie dziennika Dr. Web będzie wymagało tymczasowego wyłączenia Dziennika zdarzeń, co wymusza dwa skrypty FRST. Akcja: 1. Odinstaluj bardzo stare wersje: Adobe Flash Player 10 ActiveX, ffdshow [rev 3154], Java 7 Update 51, Java™ 6 Update 34, Java™ 6 Update 7, OpenOffice.org 3.3. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\RunOnce: [] => [X] S2 ADILOADER; System32\Drivers\adildr.sys [X] S3 adiusbaw; system32\DRIVERS\adiusbaw.sys [X] S3 catchme; \??\C:\DOCUME~1\WACICI~1\USTAWI~1\Temp\catchme.sys [X] S3 eapihdrv; \??\C:\DOCUME~1\WACICI~1\USTAWI~1\Temp\ehdrv.sys [X] R4 mbamchameleon; \??\C:\WINDOWS\system32\drivers\mbamchameleon.sys [X] U3 TlntSvr; Brak ImagePath HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1935655697-725345543-682003330-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1935655697-725345543-682003330-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKU\S-1-5-21-1935655697-725345543-682003330-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF HKU\S-1-5-21-1935655697-725345543-682003330-1003\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Malwarebytes RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Malwarebytes' Anti-Malware (portable) RemoveDirectory: C:\Documents and Settings\All Users\Menu Start\Programs\SUPERAntiSpyware RemoveDirectory: C:\Documents and Settings\Właściciel\Doctor Web RemoveDirectory: C:\Documents and Settings\Właściciel\Menu Start\Programy\Hugin RemoveDirectory: C:\Program Files\Malwarebytes Anti-Malware RemoveDirectory: C:\Program Files\Mozilla Firefox\plugins RemoveDirectory: C:\KVRT_Data RemoveDirectory: C:\Qoobox RemoveDirectory: C:\RECYCLER RemoveDirectory: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f CMD: netsh firewall reset CMD: sc config Eventlog start= disabled EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. System może się dłużej uruchamiać ze względu na wyłączenie Dziennika. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Skopiuj go w inne miejsce niż siedzi FRST, bo kolejny punkt nadpisze bieżący log. 3. Otwórz Notatnik i wklej w nim: C:\WINDOWS\system32\config\Doctor Web.evt Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Powstanie kolejny fixlog.txt. 4. Jest zainstalowany najnowszy Firefox, ale widać w nim niekompatybilne stare rozszerzenia i pewne odpadki. Czas na odświeżenie ustawień: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia (Adblock Plus, Greasemonkey, Flashblock, MEGA, Stylish) trzeba będzie przeinstalować. Menu Historia > Wyczyść historię przeglądania 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też oba pliki fixlog.txt.

Brakuje głównego raportu FRST.txt. Proszę dołącz. Czy było coś nietypowego instalowane dla Steam - jakaś modyfikacja?

Jedyne co widzę w raportach, to podejrzane zadanie w Harmonogramie, które powierzchownie wygląda jak komponent Steam (który jest zainstalowany). Zadanie jest bardzo świeże. W żadnym innym raporcie z zainstalowanym Steam nie występowało takie zadanie. Moim zdaniem to jest podróbka. Task: {A94FD013-3AE4-4EAA-9D59-26F193E84DD1} - System32\Tasks\SteamClient => C:\Users\Tomek\AppData\Roaming\Steam\SteamHelper.exe [2015-10-09] (Valve Corporation ) Zacznijmy od usunięcia w/w obiektu i czyszczenia lokalizacji tymczasowych. Akcje do wdrożenia: 1. Odinstaluj stare wersje: Adobe Flash Player 16 ActiveX, Adobe Flash Player 16 NPAPI, Java 8 Update 25, Mozilla Firefox 33.0 + Mozilla Maintenance Service. Przy deinstalacji Firefox zaznacz usuwanie profilu. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {A94FD013-3AE4-4EAA-9D59-26F193E84DD1} - System32\Tasks\SteamClient => C:\Users\Tomek\AppData\Roaming\Steam\SteamHelper.exe [2015-10-09] (Valve Corporation ) HKU\S-1-5-21-3940539798-2983024366-2410409241-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch BHO-x32: RealPlayer Download and Record Plugin for Internet Explorer -> {3049C3E9-B461-4BC5-8870-4C09146192CA} -> C:\Program Files (x86)\Real\RealPlayer\rpbrowserrecordplugin.dll => Brak pliku FF Plugin-x32: @real.com/nppl3260;version=6.0.12.46 -> C:\Program Files (x86)\Real\RealPlayer\Netscape6\nppl3260.dll [brak pliku] FF Plugin-x32: @real.com/nprjplug;version=1.0.3.46 -> C:\Program Files (x86)\Real\RealPlayer\Netscape6\nprjplug.dll [brak pliku] FF Plugin-x32: @real.com/nprpjplug;version=6.0.12.46 -> C:\Program Files (x86)\Real\RealPlayer\Netscape6\nprpjplug.dll [brak pliku] FF HKLM-x32\...\Firefox\Extensions: [{ABDE892B-13A8-4d1b-88E6-365A6E755758}] - C:\Program Files (x86)\Real\RealPlayer\browserrecord => nie znaleziono S3 catchme; \??\C:\ComboFix\catchme.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gameforge Live C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com\Hotline Miami C:\ProgramData\TEMP Folder: C:\Users\Tomek\AppData\Roaming\Steam File: C:\Users\Tomek\AppData\Roaming\Steam\SteamHelper.exe C:\Users\Tomek\AppData\Roaming\Steam\SteamHelper.exe C:\Users\Tomek\AppData\Roaming\Real\RealPlayer\History\*.lnk Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt. Wypowiedz się czy widzisz poprawę.

Usuwanie przeprowadzone pomyślnie. Zanim przejdziemy do czynności końcowych: To niestety jeden z najnowszych wariantów TeslaCrypt, którego nie może odkodować TeslaDecoder. Choć na wszelki wypadek sprawdź co mówi dekoder. "Kilku miejscach" = szyfrowanie powinno wystąpić w bardzo wielu miejscach na wszystkich dyskach. Jeśli chodzi o dysk C, to przedstaw gdzie konkretnie utworzyły się zaszyfrowane pliki. Uruchom FRST, w polu Szukaj wklej: *.ccc Klik w Szukaj plików. Wynikowy log może być ogromny, więc ponownie wykorzystaj hosting a nie załączniki.

AdwCleaner wykrył poniższy folder, a ja mam jednak wątpliwości czy to poprawna detekcja: Folder znaleziono : C:\Program Files (x86)\Play Widziałam go wcześniej w wynikach komeny DIR, łączyłam go z jedną z poprawnych instalacji PLAY ONLINE. PLAY ONLINE (HKLM-x32\...\{A9E5EDA7-2E6C-49E7-924B-A32B89C24A04}) (Version: 1.0.0.1 - ZTE Corporation) PLAY ONLINE (HKLM-x32\...\PLAY ONLINE) (Version: 21.005.11.17.264 - Huawei Technologies Co.,Ltd) ========= dir /a "C:\Program Files (x86)" ========= 2012-11-26 18:10 PLAY 2013-06-10 21:13 PLAY ONLINE Zaprezentuj co jest w tym folderze. Otwórz Notatnik i wklej w nim: Folder: C:\Program Files (x86)\PLAY Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Błąd w Dzienniku enigmatyczny: Ale: Z raportów FRST wynika, że program nie został poprawnie zainstalowany. Brak go na liście zainstalowanych, ale są liczne uruchomione obiekty. Nie da się "uwidocznić" na liście deinstalacji, dane instalacyjne Nortona nie istnieją wcale. Należy usunąć zdefektowany NIS za pomocą specjalizowanego narzędzia. Przejdź w Tryb awaryjny i zastosuj Norton Removal Tool. Po tym przejdź w tryb normalny i zrób nowe logi z FRST. PS. Nazwy logów wskazują, że je wyciągasz z folderu C:\FRST\Logs. To jest archiwum logów. Bieżące logi powstają zawsze tam skąd uruchomiono program, czyli w tym przypadku w C:\PROGRAMY\FRST64.

Wszystko zostało wykonane. Drobne poprawki i kończymy: 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine CMD: del /q "C:\Documents and Settings\PRZOD1\Dane aplikacji\Mozilla\Firefox\Profiles\cdsy2tzl.default-1444748903546\user.js" CMD: del /q C:\windows\system32\pl.html Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Po pokazaniu w/w skasuj ręcznie z folderu "antimalware" FRST. Następnie zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zaktualizuj Java KLIK.

Katalog Qoobox jest ograniczony przez uprawnienia (Wszyscy = Odmów). Można ręcznie to zmodyfikować, by umożliwośc odblokowanie katalogu, ale zajmie się nim poniższy Fix FRST. Adobe Reader DC nie jest przeznaczony dla systemu XP. Obsługiwane systemy to Windows 7 i nowsze. Dla XP zostaje tylko stara wersja Adobe Reader XI. Alternatywnie można korzystać z minitury Sumatra PDF. Foxit Reader przestał być lekki i upodobnił się do Adobe Reader, a stosowanie starych wersji naraża na luki. Otwórz Notatnik i wklej w nim: S3 Ser2pl; system32\DRIVERS\ser2pl.sys [X] RemoveDirectory: C:\Documents and Settings\User\Pulpit\Stare dane programu Firefox RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\FRST-OlderVersion RemoveDirectory: C:\Qoobox CMD: del /q C:\tuffjr6s.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Pokaż wynikowy fixlog.txt.

1. Drobna poprawka. Edytor forum wymazał podwójną spację, dlatego Fix nie przetworzył kilku wpisów. Do Notatnika wklej: ShellIconOverlayIdentifiers: [ GoogleDriveBlacklisted] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D42} => Brak pliku ShellIconOverlayIdentifiers: [ GoogleDriveSynced] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D40} => Brak pliku ShellIconOverlayIdentifiers: [ GoogleDriveSyncing] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D41} => Brak pliku Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Jeśli w pliku fixlog.txt te trzy rekordy będą równe "klucz pomyślnie usunięto", nie musisz pliku pokazywać. 2. Skasuj narzędzia z folderu scan na Pulpicie. Podobne kroki końcowe z zastosowaniem DelFix i czyszczeniem folderów Przywracania systemu.

Temat przenoszę do właściwego działu Windows. Są tu silne wątpliwości czy cokolwiek da się zrobić. Widzę, że to stary sprzęt z ograniczeniami. XP został bardzo niedawno zainstalowany (2015-07-06 09:04:01), jest praktycznie "goły" i nie ma czego wyłączać z niedomyślnych elementów. 1. Na początek upewnij się, że transfer dysku nie obniżył się do PIO. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Słabe statystyki ogólne: stary procesor, bardzo mało RAM i wolnego miejsca na dysku. Dołożenie RAM mogłoby pomóc, tylko że nie wiadomo czy jest to możliwe i opłacalne. ==================== Statystyki pamięci =========================== Procesor: AMD Athlon(tm) 64 Processor 3200+ Procent pamięci w użyciu: 34% Całkowita pamięć fizyczna: 511.48 MB Dostępna pamięć fizyczna: 333.83 MB Całkowita pamięć wirtualna: 1246.86 MB Dostępna pamięć wirtualna: 1126.25 MB ==================== Dyski ================================ Drive c: () (Fixed) (Total:9.77 GB) (Free:5.7 GB) NTFS ==>[dysk z komponentami startowymi (Windows XP)] Drive d: (Dysk lokalny) (Fixed) (Total:19.53 GB) (Free:17.68 GB) NTFS Drive e: (Dysk lokalny) (Fixed) (Total:26.6 GB) (Free:26.46 GB) NTFS Wolne miejsce będzie znikać, co pogorszy sprawę. Jest jeden dysk fizyczny, więc można oderwać trochę z partycji D i dołożyć do C. Przykładowy program do tej operacji: EASEUS Partition Master. 3. Można jeszcze spróbować powyłączać niektóre usługi systemowe: KLIK. PS. Do aktualizacji także stary IE6 - instalator IE8 w przyklejonym: KLIK. Platform: Microsoft Windows XP Professional Dodatek Service Pack 3 (X86) Język: Polski Internet Explorer Wersja 6 (Domyślna przeglądarka: FF)

Szkodniki pomyślnie usunięte, obecnie nic już nie jest aktywne. Teraz cyzelowanie: 1. Otwórz Notatnik i wklej w nim: C:\Program Files\NetPanel C:\Program Files\Opera x64 C:\Program Files (x86)\Alcohol Soft C:\Program Files (x86)\AVG SafeGuard toolbar C:\Program Files (x86)\GUM1D40.tmp C:\Program Files (x86)\Onet C:\Program Files (x86)\Temp C:\Program Files (x86)\Common Files\Onet.pl C:\ProgramData\APN C:\ProgramData\DAEMON Tools Lite C:\ProgramData\IHProtectUpDate C:\ProgramData\Kurupira C:\ProgramData\McAfee C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\pWinManProp C:\ProgramData\Temp C:\ProgramData\tWinManProt C:\Users\Grzesiek\AppData\Roaming\AutoUpdate C:\Users\Grzesiek\AppData\Roaming\DAEMON Tools Lite C:\Users\Grzesiek\AppData\Roaming\dl_0 C:\Users\Grzesiek\AppData\Roaming\EurekaLog C:\Users\Grzesiek\AppData\Roaming\Funmoods C:\Users\Grzesiek\AppData\Roaming\newnext.me C:\Users\Grzesiek\AppData\Roaming\OpenCandy C:\Users\Grzesiek\AppData\Roaming\Opera Reg: reg add HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command /ve /t REG_SZ /d "\"C:\Program Files (x86)\Opera\Launcher.exe"" /f Reg: reg delete HKLM\SOFTWARE\Clients\StartMenuInternet\Opera /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC} /f CMD: netsh advfirewall reset Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj (nie używaj na razie Usuń). dostarcz wynikowy log z folderu C:\AdwCleaner.

Jeśli nadal są problemy, to może to być sprawa po stronie dostawcy. Wszystko co miało zostać wykonane, przeprowadzone pomyślnie. Na zakończenie jeszcze usuwanie odpadków i czyszczenie lokalizacji tymczasowych: Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {3091CA8F-23BC-4093-9756-1FB612852653} - System32\Tasks\{FCFE5460-926B-4C54-8AE2-61450D1FA4F7} => pcalua.exe -a C:\Users\LukeMike\Downloads\epson326526eu.exe -d C:\Users\LukeMike\Downloads Task: {5ACCE210-FF2C-4E27-A237-C76E97812420} - System32\Tasks\GameNet => C:\Program Files (x86)\QGNA\qGNA.exe Task: {EE80457C-6028-479F-824F-2D607A79D30E} - System32\Tasks\{78892DCE-DFFC-469E-A073-A7FFB9D3F12B} => pcalua.exe -a C:\Users\LukeMike\Downloads\epson326457eu.exe -d C:\Users\LukeMike\Downloads C:\Users\LukeMike\Desktop\Documents\Black Desert CMD: netsh ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Problem zamulenia wygląda na osobną sprawą nie wynikającą z infekcji. Jest tu podstawowa ilość RAM ~2GB, a system 64-bit (konsumuje więcej niż 32-bitowy). Wg statystyk użycie pamięci bardzo wysokie. Obawiam się, że będzie problem z usprawnieniem tego laptopa. ==================== Statystyki pamięci =========================== Procesor: Intel® Core™2 Duo CPU T5670 @ 1.80GHz Procent pamięci w użyciu: 95% Całkowita pamięć fizyczna: 1976.06 MB Dostępna pamięć fizyczna: 85.5 MB Całkowita pamięć wirtualna: 4195.37 MB Dostępna pamięć wirtualna: 1482.31 MB Jeśli chodzi o problem reklam, to którą przeglądarkę masz na myśli: Google Chrome czy Firefox? Podejrzewam, że Google Chrome, mimo że Firefox jest ustawiony jako domyślny. Opisywane efekty to definitywna infekcja (wymazałam z posta te hyperlinki zrobione przez adware), w raportach jej nie widać, ale to nic nie oznacza. Malware stosuje specjalne sztuczki w Google Chrome (modyfikacja pliku resources.pak), które są niewykrywalne w żadnych raportach. Jeśli modyfikacji jest w resources.pak, jest konieczna reinstalacja przeglądarki od zera. Przy okazji będą usuwane szczątki nie do końca poprawnie odinstalowanego Wondershare Video Converter Ultimate. Wstępnie te działania do wykonania: 1. Odinstaluj stare wersje: Adobe AIR, Adobe Flash Player 16 ActiveX, Java 8 Update 45. Dodatkowo, mógłbyś odinstalować firmowy Acer eDataSecurity Management, jeśli nigdy nie był używany do szyfrowania danych, co by obcięło kilka procesów ze startu. 2. Skopiuj na Pulpit poniższe foldery: C:\Program Files (x86)\Google\Chrome C:\Users\Krzysztof\AppData\Local\Google\Chrome Spakuj je do ZIP, umieść na jakimś serwisie hostingowym i wyślij mi link na PW do analizy. Następnie odinstaluj Google Chrome: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Na razie nie instaluj przeglądarki ponownie. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSSE HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSSE HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości BHO-x32: Wondershare Video Converter Ultimate 7.1.0 -> {451C804F-C205-4F03-B48E-537EC94937BF} -> C:\PROGRA~3\WONDER~1\VIDEOC~1\WSBROW~1.DLL => Brak pliku Handler: WSWSVCUchrome - {1CA93FF0-A218-44F1 - Brak pliku FF HKLM-x32\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM-x32\...\Firefox\Extensions: [WSVCU@Wondershare.com] - C:\ProgramData\Wondershare\Video Converter Ultimate\WSVCU@Wondershare.com => nie znaleziono HKLM-x32\...\Run: [DelaypluginInstall] => C:\ProgramData\Wondershare\Video Converter Ultimate\DelayPluginI.exe HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe [2086240 2015-04-28] (Wondershare) Task: {1A27DA90-AE2E-4CC4-950D-EB98FA385B7C} - System32\Tasks\{DD909725-8D52-4A80-93D0-A799B7424D8D} => pcalua.exe -a C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_13_0_0_182_Plugin.exe -c -maintain plugin Task: {2D8328D5-DC44-4FAF-96A1-D66CBDA531A4} - System32\Tasks\{15F4D619-C06A-4B08-83F4-712F29BB7525} => pcalua.exe -a D:\Krzysztof\Pulpit\MinecraftZyczu.exe -d D:\Krzysztof\Pulpit Task: {471E903A-86C0-4E0E-B6BB-679B3894BE2C} - System32\Tasks\GoogleUpdateTaskUserS-1-5-18UA => C:\Windows\system32\config\systemprofile\AppData\Local\Google\Update\GoogleUpdate.exe Task: {9166FAF4-3F47-4DE8-B1FA-35C3692E5A3C} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-4186796981-527352600-535301597-1000UA => C:\Users\Krzysztof\AppData\Local\Google\Update\GoogleUpdate.exe Task: {D5FBA11E-FD49-44C9-B1F9-CFDB2A26F5F5} - System32\Tasks\GoogleUpdateTaskUserS-1-5-18Core => C:\Windows\system32\config\systemprofile\AppData\Local\Google\Update\GoogleUpdate.exe Task: {D8B00E05-C4ED-45F1-90B1-408BC5D23C38} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-4186796981-527352600-535301597-1000Core => C:\Users\Krzysztof\AppData\Local\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-18Core.job => C:\Windows\system32\config\systemprofile\AppData\Local\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-18UA.job => C:\Windows\system32\config\systemprofile\AppData\Local\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4186796981-527352600-535301597-1000Core.job => C:\Users\Krzysztof\AppData\Local\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4186796981-527352600-535301597-1000UA.job => C:\Users\Krzysztof\AppData\Local\Google\Update\GoogleUpdate.exe S4 sptd; System32\Drivers\sptd.sys [X] C:\Program Files (x86)\Google\Chrome C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\Wondershare C:\Program Files (x86)\Common Files\Wondershare C:\ProgramData\TEMP C:\ProgramData\Wondershare C:\ProgramData\Wondershare Video Converter Ultimate C:\ProgramData\Microsoft\Windows\GameExplorer\{B67EC1ED-E07D-4798-A7B1-EF8DBB7288BC} C:\ProgramData\Microsoft\Windows\GameExplorer\{C4CC218B-7E0A-4616-9ECB-500221826266} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MidpX J2ME Emulators Package C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wondershare C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZSoft C:\Users\Krzysztof\AppData\Local\{BA1BB828-8F36-4852-90C8-3F4B32E41565} C:\Users\Krzysztof\AppData\Local\69ff07055291669bb2b218.72821112 C:\Users\Krzysztof\AppData\Local\70149b02515b3bb20dd492.47983420 C:\Users\Krzysztof\AppData\Local\Tempdivx* C:\Users\Krzysztof\AppData\Local\Google\Chrome C:\Users\Krzysztof\AppData\Local\Wondershare C:\Users\Krzysztof\AppData\Roaming\{950EB46C-6AC7-4ACC-AB36-9A6A77C08B6A} C:\Users\Krzysztof\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gadu-Gadu 10.lnk C:\Users\Krzysztof\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome*.lnk C:\Users\Krzysztof\AppData\Roaming\Wondershare Video Converter Ultimate C:\Users\Krzysztof\Desktop\Flash Movie Player.lnk C:\Users\Krzysztof\Desktop\MiPony.lnk C:\Users\Krzysztof\Desktop\ZSoft Uninstaller.lnk C:\Users\Krzysztof\Saved Games\D-Fend Reloaded.lnk C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Programs\Google Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKCU\Software\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKCU\Software\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete HKU\S-1-5-18\Software\Google /f Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Uninstall\Google+ Auto Backup" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Folder nie jest naruszony, zostaje odbudowa usług. Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdNisSvc] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MpAsDesc.dll,-320" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):22,00,25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,\ 69,00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,\ 00,20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,4e,00,69,00,\ 73,00,53,00,72,00,76,00,2e,00,65,00,78,00,65,00,22,00,00,00 "Start"=dword:00000003 "Type"=dword:00000010 "Description"="@%ProgramFiles%\\Windows Defender\\MpAsDesc.dll,-242" "DependOnService"=hex(7):57,00,64,00,4e,00,69,00,73,00,44,00,72,00,76,00,00,00,\ 00,00 "ObjectName"="NT AUTHORITY\\LocalService" "ServiceSidType"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 "LaunchProtected"=dword:00000003 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdNisSvc\Parameters] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdNisSvc\Security] "Security"=hex:01,00,14,80,f4,00,00,00,00,01,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,c4,00,07,00,00,00,00,00,18,00,9d,01,02,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,21,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 12,00,00,00,00,00,18,00,9d,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,20,\ 02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,00,\ 14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,28,00,ff,01,0f,\ 00,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,\ 57,00,77,6e,c0,02,64,87,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,05,50,\ 00,00,00,bf,55,08,72,3b,e0,28,d0,89,79,4b,f8,91,89,6e,7c,40,25,ec,f4,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MpAsDesc.dll,-310" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):22,00,25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,\ 69,00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,\ 00,20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,4d,00,73,00,\ 4d,00,70,00,45,00,6e,00,67,00,2e,00,65,00,78,00,65,00,22,00,00,00 "Start"=dword:00000002 "Type"=dword:00000010 "Description"="@%ProgramFiles%\\Windows Defender\\MpAsDesc.dll,-240" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,4c,00,6f,00,61,00,64,00,44,00,72,00,69,\ 00,76,00,65,00,72,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,00,61,00,74,\ 00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,\ 65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,00,76,00,69,00,6c,\ 00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,74,00,6f,00,72,00,\ 65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\ 00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,00,6f,\ 00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,00,74,00,79,00,50,\ 00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,\ 68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,\ 00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,\ 73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,00,76,00,69,00,6c,\ 00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,69,00,67,00,6e,00,\ 50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,00,50,\ 00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,\ 63,00,62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,\ 00,65,00,53,00,79,00,73,00,74,00,65,00,6d,00,45,00,6e,00,76,00,69,00,72,00,\ 6f,00,6e,00,6d,00,65,00,6e,00,74,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\ 00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,01,00,00,00,03,00,00,00,14,00,00,\ 00,03,00,00,00,64,00,00,00,00,00,00,00,64,00,00,00,00,00,00,00,64,00,00,00 "LaunchProtected"=dword:00000003 "FailureCommand"="C:\\WINDOWS\\system32\\mrt.exe /EHB /ServiceFailure \"CAMP=4.8.10240.16384;approximate-> Engine=1.1.12101.0;AVSIG=1.207.2896.0;ASSIG=1.207.2896.0\" /StartService /Defender /q" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend\Security] "Security"=hex:01,00,14,80,f4,00,00,00,00,01,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,c4,00,07,00,00,00,00,00,18,00,9d,01,02,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,21,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 12,00,00,00,00,00,18,00,9d,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,20,\ 02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,00,\ 14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,28,00,ff,01,0f,\ 00,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,\ 57,00,77,6e,c0,02,64,87,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,05,50,\ 00,00,00,bf,55,08,72,3b,e0,28,d0,89,79,4b,f8,91,89,6e,7c,40,25,ec,f4,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdBoot] "Start"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdFilter] "Start"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdNisDrv] "Start"=dword:00000002 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Otwórz Notatnik i wklej w nim: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku GroupPolicyScripts\User: Ograniczenia C:\Program Files (x86)\KMSPico 10.0.6 EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Identyfikacja infekcji szyfrujących IDTool v2 Strona opisowa BleepingComputer.com Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit Program już niedostępny i nie działa (brak kontaktu z bazą online). Należy skorzystać z ID Ransomware. IDTool - Narzędzie dedykowane identyfikacji typu ransomware szyfrującego dane na podstawie śladów pozostawionych przez infekcję w systemie (określone pliki czy wpisy rejestru). Program tylko i wyłącznie para się rozpoznaniem flag infekcji, nic nie usuwa, ani nie dekoduje zaszyfrowanych plików. IDTool v2 to nowsza edycja, którą odróżnia od starej wersji IDTool v1 baza aktualizacji online. Program wystarczy pobrać tylko raz (to wyjątek wśród linkowanych tu narzędzi) - najnowsza wersja bazy jest automatycznie ładowana z serwera przy każdym uruchomieniu, gwarantując dostępność nowych informacji o ransomware. Prócz bazy online, jest też baza lokalna obliczona pod przypadki braku połączenie z internetem.

Wszystko pomyślnie przetworzone. Owszem, w międzyczasie już się instalowały nowe śmieci - wskoczył tu niejaki "globalUpdate" oraz nowe zadania w Harmonogramie. Kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [68608 2015-10-12] (globalUpdate) [brak podpisu cyfrowego] S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [68608 2015-10-12] (globalUpdate) [brak podpisu cyfrowego] S1 ppfd_vt_1_10_0_24; system32\drivers\ppfd_vt_1_10_0_24.sys [X] Task: {33A1BC7E-4E6A-44A0-865C-7C611A05834E} - Brak ścieżka Task: {3F3CD29C-853C-4BE9-AD8F-2658462C2DA8} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [2015-10-12] (globalUpdate) Task: {78D090C5-0717-45E4-AAE8-79F1C2E609E8} - System32\Tasks\wSBL6dZOMiE => C:\Users\Grzesiek\AppData\Roaming\wSBL6dZOMiE.exe [2015-04-20] () Task: {D14DF7FA-89E6-41A2-B6FA-D6FE4E0063C6} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [2015-10-12] (globalUpdate) Task: {F79FEC85-EA47-47A1-9A2C-21729CDB5CF5} - System32\Tasks\6139f7AGn => C:\Users\Grzesiek\AppData\Roaming\6139f7AGn.exe [2015-04-20] () Task: C:\Windows\Tasks\6139f7AGn.job => C:\Users\Grzesiek\AppData\Roaming\6139f7AGn.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe Task: C:\Windows\Tasks\wSBL6dZOMiE.job => C:\Users\Grzesiek\AppData\Roaming\wSBL6dZOMiE.exe FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [2015-10-12] (globalUpdate) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [2015-10-12] (globalUpdate) SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-1994262508-4124847217-438547347-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-1994262508-4124847217-438547347-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 HKLM-x32\...\Run: [gmsd_pl_005010109] => [X] HKLM-x32\...\Run: [gmsd_pl_005010107] => [X] HKLM-x32\...\Run: [gmsd_pl_005010106] => [X] BootExecute: autocheck autochk * sdnclean64.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\jogotempo C:\Program Files (x86)\predm C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\ProgramData\Spybot - Search & Destroy C:\Users\Grzesiek\AppData\Roaming\6139f7AGn C:\Users\Grzesiek\AppData\Roaming\6139f7AGn.exe C:\Users\Grzesiek\AppData\Roaming\wSBL6dZOMiE C:\Users\Grzesiek\AppData\Roaming\wSBL6dZOMiE.exe C:\Users\Grzesiek\AppData\Roaming\AnyProtectEx C:\Users\Grzesiek\AppData\Roaming\systweak C:\Users\Grzesiek\Desktop\Continue Games Desktop.lnk C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 Reg: reg query HKLM\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command /s Reg: reg query HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command /s StartMenuInternet: FIREFOX.EXE - \Mozilla Firefox\firefox.exe StartMenuInternet: (HKLM) Opera - \Opera\Opera.exe CMD: sc config BFE start= auto CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Grzesiek\AppData\Local CMD: dir /a C:\Users\Grzesiek\AppData\LocalLow CMD: dir /a C:\Users\Grzesiek\AppData\Roaming EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Napraw (Fix). Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. Powstanie kolejny fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition, Shortcut już niepotrzebny. Dołącz też plik fixlog.txt.