picasso

Nie jest możliwe scalenie tego wydzielonego kawałka, gdyż został on wyodrębniony z końca a nie początku partycji i nie sąsiaduje z C. Potrzebujesz bardziej zaawansowany edytor partycji które umożliwi "przesunięcie". Np. EASEUS Partition Master. Uwaga: zrobić kopię zapasową danych!

Wszystko pomyślnie wykonane. Końcowe poprawki: 1. W Google Chrome: Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń taki dziwny długi adres. 2. Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zaktualizuj Adobe Reader + Internet Explorer: KLIK. 3. W związku z tym, że został uruchomiony GMER upewnij się, że nie powstał nowy problem. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. Obecnie wszystkie główne antywirusy są bardzo złożone, uruchamiają mnóstwo usług, trudno przewidzieć jak się zachowają na danej konfiguracji. Do końca jest loteria, bo ktoś mówi "lekki", a po instalacji na szczególnym komputerze okazuje się, że nie do końca tak jest. Czy próbowałeś jakieś określone antywirusy i je już wykluczyłeś, jeśli tak to które (bym się nie powtarzała)?

Logi nie wskazują, by obecnie Brontok był czynny. Pozostały po nim tylko odpadki (zmodyfikowany plik HOSTS i drobne pliczki). Działania do przeprowadzenia: 1. Odinstaluj stare wersje Adobe Flash Player 18 NPAPI, Adobe Reader X (10.1.0) - Polish oraz zdewastowane przez Hitmana adware WxDownload Expansion, wxDownload Fast 0.6.0. Być może będzie problem z poprawną deinstalacją. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-861567501-1957994488-299502267-1003\...\Policies\system: [DisableCMD] 0 HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-861567501-1957994488-299502267-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-861567501-1957994488-299502267-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch BHO: wxDownload Class -> {51CFC9BF-3A3E-E77B-A55D-BFB4758AFAE5} -> C:\Documents and Settings\All Users\Dane aplikacji\wxDownload\50c0a1d27cc2c.ocx => Brak pliku CHR HKLM\...\Chrome\Extension: [aemkkakmfeejnnaebhpckhhgamnpklie] - C:\Documents and Settings\All Users\Dane aplikacji\wxDownload\aemkkakmfeejnnaebhpckhhgamnpklie.crx FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension BootExecute: autocheck autochk * bootdelete S3 catchme; \??\C:\DOCUME~1\User\USTAWI~1\Temp\catchme.sys [X] S0 mv91xx; Brak ImagePath AlternateDataStreams: C:\WINDOWS:ecde8b8c58b22 AlternateDataStreams: C:\WINDOWS\system32:1464242f5a AlternateDataStreams: C:\Program Files\AcGasSynchro II:60609da9 AlternateDataStreams: C:\Program Files\Common Files:51059ffaeb890 AlternateDataStreams: C:\Documents and Settings\All Users:3cd880a87a8 AlternateDataStreams: C:\Documents and Settings\User:570f7ef5 AlternateDataStreams: C:\Documents and Settings\All Users\Application Data:fe93a19e34e9a AlternateDataStreams: C:\Documents and Settings\All Users\ntuser.dat:alt AlternateDataStreams: C:\Documents and Settings\All Users\Pulpit:$SS_DESCRIPTOR_SBXNV9VVGV1BFLB4RPBKJ28JLXSKY6P1F5DVJNPFSVF7VB4VP4GV AlternateDataStreams: C:\Documents and Settings\All Users\Pulpit:$SS_DESCRIPTOR_SBXNV9VVGV1BFPB4R02XVDWJT0RBYTH406X6JTXFSVF7JBCVPJGF AlternateDataStreams: C:\Documents and Settings\All Users\Pulpit:$SS_DESCRIPTOR_SBXNV9VVGV1BFR8YKX4X4MVYKVPTHK04FBRB3TGFSVF7VBCVPJGF C:\Documents and Settings\All Users\Menu Start\Programy\wxDownload C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\Kosong.Bron.Tok.txt C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\ListHost12.txt C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

PIERWSZY SYSTEM: Fix wykonany pomyślnie. Na zakończenie: 1. Był uruchamiany GMER, upewnij się że transfer dysku się nie obniżył. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Usuń używane narzędzia za pomocą DelFix (resztę doczyść samodzielnie) oraz wyczyść foldery Przywracania systemu: KLIK. 3. Pomocne programy w zabezpieczaniu przed infekcjami szyfrującymi: KLIK. DRUGI SYSTEM: MBAM usuwał śmieci innego gatunku = adware. Brak oznak aktywnej infekcji. Możesz wykonać kosmetyczne działania polegające na usunięciu wpisów pustych i czyszczeniu Tempów: 1. Stare wersje do deinstalacji: Adobe Reader XI (11.0.12), Java 7 Update 71. Na końcu zastąpisz najnowszymi. 2. W Google Chrome jest bardzo podejrzane rozszerzenie o dziwnej nazwie, którego identyfikator nie jest wyszukiwany przez Google. Odinstaluj. CHR Extension: (Chrome - szybkie wybieranie • program...) - C:\Users\Kamil\AppData\Local\Google\Chrome\User Data\Default\Extensions\denbkpdgipkicgmnnladkbedmljiacdj [2015-09-01] Zresetuj też cache wtyczek, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Winlogon\Notify\ScCertProp: wlnotify.dll [X] HKU\S-1-5-19\...\Winlogon: [shell] C:\Windows\explorer.exe [2616320 2011-09-01] (Microsoft Corporation) HKU\S-1-5-20\...\Winlogon: [shell] C:\Windows\explorer.exe [2616320 2011-09-01] (Microsoft Corporation) HKU\S-1-5-21-1100579147-315741855-2830510848-1000\...\Winlogon: [shell] C:\Windows\explorer.exe [2616320 2011-09-01] (Microsoft Corporation) HKU\S-1-5-18\...\Winlogon: [shell] C:\Windows\explorer.exe [2616320 2011-09-01] (Microsoft Corporation) ShellIconOverlayIdentifiers: [ GoogleDriveBlacklisted] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D42} => Brak pliku ShellIconOverlayIdentifiers: [ GoogleDriveSynced] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D40} => Brak pliku ShellIconOverlayIdentifiers: [ GoogleDriveSyncing] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D41} => Brak pliku ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => Brak pliku CustomCLSID: HKU\S-1-5-21-1100579147-315741855-2830510848-1000_Classes\CLSID\{010833F3-751A-402F-9FCC-C365B6A12E41}\localserver32 -> E:\PROGRA~1\JDOWNL~1\DOWNLO~1\BESTPL~1.EXE => Brak pliku CustomCLSID: HKU\S-1-5-21-1100579147-315741855-2830510848-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Kamil\AppData\Local\Google\Update\1.3.28.1\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1100579147-315741855-2830510848-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Kamil\AppData\Local\Google\Update\1.3.28.13\psuser.dll => Brak pliku GroupPolicyUsers\S-1-5-21-1100579147-315741855-2830510848-1006\User: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1100579147-315741855-2830510848-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Toolbar: HKLM - Brak nazwy - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - Brak pliku CHR HKLM\...\Chrome\Extension: [fkmkpnjoioaielnmocemighdcejngela] - C:\Users\Kamil\AppData\Local\Google\Chrome\User Data\Default\Extensions\EpuapSign.crx CHR HKU\S-1-5-21-1100579147-315741855-2830510848-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\Kamil\AppData\Local\Google\Drive\user_default\apdfllckaahabafndbhieahigkjlhalf_live.crx CHR HKU\S-1-5-21-1100579147-315741855-2830510848-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx Task: {2C59ECAF-3A27-4640-9F4B-519B05BDD70F} - \Microsoft\Windows\MUI\LPRemove -> Brak pliku Task: {44974E99-9629-4ABE-8CFE-7F28C9594E7D} - System32\Tasks\{8C97ECE7-EEB5-481A-96AF-010EE83D9556} => pcalua.exe -a C:\Users\Kamil\Downloads\winproductkey.exe -d C:\Users\Kamil\Downloads Task: {45E06F09-2FFB-4A69-AB78-9CD8873631C2} - System32\Tasks\{BB847279-B874-473C-BFBC-63092031658E} => pcalua.exe -a "C:\Program Files\Windows Installer Clean Up\msicuu.exe" -d C:\Windows\system32 Task: {8D3AF4A9-202F-4250-B6FD-93E6D8DF1FFC} - System32\Tasks\{2D6307E9-B40B-44F0-B41F-D52A4536320C} => pcalua.exe -a C:\Users\Kamil\Downloads\IL.2.Sturmovik.1946-FLT\flt-il2s\setup.exe -d C:\Users\Kamil\Downloads\IL.2.Sturmovik.1946-FLT\flt-il2s Task: {97A64250-F7D9-4FA3-8EC0-93323D992596} - System32\Tasks\{A1264BA5-625D-45B7-9DFA-7018C37C2848} => pcalua.exe -a C:\Users\Kamil\AppData\Local\temp\Temp1_Ur-Smart_V1003180(180).zip\Ur-Smart.exe Task: {AEED38E9-D35C-43A1-9304-4C84288DE31E} - System32\Tasks\{556285C1-33A3-4091-B796-9833E0018084} => pcalua.exe -a C:\Users\Kamil\Downloads\setup.exe -d F:\ Task: {C293072D-B548-4388-9EE0-0EF034DC0E41} - System32\Tasks\{B19C7604-C1B2-4FF4-8652-E427C377AD55} => pcalua.exe -a C:\Users\Kamil\Downloads\irfanview_plugins_430_setup.exe -d "C:\Program Files\Mozilla Firefox" Task: {C85D0098-5E61-452B-BD13-DBC83031ECCC} - System32\Tasks\{6626C419-BB82-4868-AA2F-527EFC368893} => pcalua.exe -a "F:\IPCamSetup—for Windows OS\IPCamSetup.exe" -d "F:\IPCamSetup—for Windows OS" Task: {CECE4621-101F-471C-A588-DEE3120BBDC4} - System32\Tasks\{DE185E3A-8853-4512-BF41-C38B6D423A33} => pcalua.exe -a F:\Programy\Narzedzia\Uszczelnienie_50_luk_w_Windows\InstallPad\InstallPad.exe -d F:\Programy\Narzedzia\Uszczelnienie_50_luk_w_Windows\InstallPad Task: {D4CB8EA4-BBE5-4F29-B091-D7D130AFB115} - System32\Tasks\{65F45829-42E7-4EEF-9AFC-0336060206B4} => pcalua.exe -a C:\Users\Kamil\Downloads\Swf2Avi_Setup.exe -d "C:\Program Files\Mozilla Firefox" Task: {DB3CDB97-427B-42F6-B4AB-BD50EC941D91} - System32\Tasks\{B32A8AB1-CA05-4009-B7C0-DB5362AD787C} => pcalua.exe -a "C:\Users\Kamil\Downloads\Dr. UFD_v1.0.0.18(18) (1)\Dr. UFD_v1.0.0.18.exe" -d "C:\Users\Kamil\Downloads\Dr. UFD_v1.0.0.18(18) (1)" Task: {F802B1C2-EC3C-44B8-9BEE-484819A72CD1} - System32\Tasks\{49BB372C-E641-4762-AAA2-2B128A1EBB23} => pcalua.exe -a "C:\Users\Kamil\Downloads\dysk hdd\Victoria 4.46b\VCR446Free\vcr446f.exe" -d "C:\Users\Kamil\Downloads\dysk hdd\Victoria 4.46b\VCR446Free" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" S3 catchme; \??\C:\Users\Kamil\AppData\Local\Temp\catchme.sys [X] S3 IFCoEMP; \SystemRoot\system32\drivers\ifM52x32.sys [X] S3 IFCoEVB; \SystemRoot\system32\drivers\ifP52X32.sys [X] C:\Program Files\Mozilla Firefox\extensions C:\Program Files\mozilla firefox\plugins C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java C:\Users\Kamil\AppData\Local\Microsoft\Windows\GameExplorer\{66CF3079-5010-4E64-A121-94BAF0BC86CA} C:\Users\Kamil\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\QuickStores.url C:\Users\Kamil\AppData\Roaming\Thinstall C:\Users\user\Desktop\eGazety Reader.lnk RemoveDirectory: C:\Kaspersky Rescue Disk 10.0 CMD: for /d %f in (C:\Users\Kamil\AppData\Local\{*}) do rd /s /q "%f" Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Opis infekcji CryptoWall: KLIK. Niestety zaszyfrowane dane zostały utracone. Odkodowanie plików awykonalne, stąd też brak dekodera. Dane są wymazywane w "bezpieczny sposób", co powoduje, że programy do odzyskiwania danych nie pomogą. Infekcja kasuje także wszystkie punkty Przywracania systemu - obecnie masz tylko jeden (pewnie utworzony już po ataku), więc ShadowExplorer którym się zresztą już posługiwałeś, nie wykryje żadnej niezaszyfrowanej kopii. Raport GMER wskazuje, że infekcja jest nadal czynna - załadowane ukryte moduły C:\Users\Primol\AppData\Local\Opfics\qpmhudvp.dll. Upłynęło bardzo dużo czasu, dostarczone logi nie mogą być brane za punkt odniesienia. Jeśli problem nadal aktualny, proszę zrób nowe raporty z FRST i GMER.

Temat przenoszę do działu Windows. Brak oznak infekcji. Ta faza startowa wskazuje, że problem może leżeć w ładowanych sterownikach, a najbardziej podejrzany jest soft związany z zabezpieczeniami. Mamy tu Avast w starszej wersji 9.0.2018 oraz odpadkowe sterowniki ArcaBit filtrujące połączenia sieciowe: S3 ABndis; C:\Windows\System32\DRIVERS\abndis.sys [34384 2009-12-01] (ArcaBit) R3 ABndisMP; C:\Windows\System32\DRIVERS\abndis.sys [34384 2009-12-01] (ArcaBit) Wstępne działania do przeprowadzenia; 1. Wypięcie sterowników ArcaBit z kart sieciowych: Niezbędny krok to rozwiązanie zależności. Panel sterowania > Sieć i Internet > Centrum sieci i udostępniania > po lewej Zarządzaj połączeniami sieciowymi. W oknie połączeń z prawokliku na każde pobierasz Właściwości. W karcie Ogólne wyszukaj komponent ArcaBit - prawdopodobnie będzie pod nazwą ABndis Driver. Znaleziony podświetl i odinstaluj. Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator. W menu Widok włącz pokazywanie ukrytych urządzeń. Na liście "Sterowników niezgodnych z Plug and Play" wyszukaj dopasowaną pozycję, prawdopodobnie będzie to ArcaBit Network Driver. Znaleziony podświetl i odinstaluj. 2. Odinstaluj Avast via Panel sterowania *. Następnie wejdź w Tryb awaryjny i popraw dla pewności narzędziem Avast Uninstall Utility. * Przy okazji, pozbądź się też starych wersji naruszających bezpieczeństwo i zbędników: Adobe AIR, Adobe Flash Player 11 ActiveX, Adobe Flash Player 11 Plugin, Adobe Reader 9.5.5 - Polish, Adobe Shockwave Player 12.0, Java 7 Update 60, Pando Media Booster. 3. Wyłącz zbędne wpisy ze startu za pomocą Autoruns: - W karcie Logon odznacz następujące wpisy: Adobe Gamma, Adobe Gamma Loader, APSDaemon, DellSystemDetect, QuickTime Task, PPort11reminder, SSBkgdUpdate, WMPNSCFG. - W karcie Services odznacz pozycję ACDaemon, natomiast całkowicie skasuj Bonjour Service. 4. Na koniec "kosmetyczne" działania, usunięcie wpisów odpadkowych i czyszczenie lokalizacji tymczasowych. Patrz do spoileera: 5. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt ze spoilera. Wypowiedz się czy jest poprawa.

Wróć do posta #2. Mała ilość wolnego miejsca na dysku to jedna z podstawowych przyczyn opisywanych objawów. Twoje statystyki: Na początku był notowany następujący próg: ==================== Dyski ================================ Drive c: () (Fixed) (Total:47.75 GB) (Free:9.06 GB) NTFS Drive d: () (Fixed) (Total:101.2 GB) (Free:71.11 GB) NTFS Sprawa nie została w pełni zaadresowana. Drobne czyszczenie w mięczyczasie dodało tylko ~1GB: ==================== Dyski ================================ Drive c: () (Fixed) (Total:47.75 GB) (Free:10.28 GB) NTFS Drive d: () (Fixed) (Total:101.2 GB) (Free:71.14 GB) NTFS Obecnie jest jeszcze gorzej niż na początku tematu, spadło do ~5, a nic takiego nie było robione w systemie: ==================== Dyski ================================ Drive c: () (Fixed) (Total:47.75 GB) (Free:5.65 GB) NTFS Drive d: () (Fixed) (Total:101.2 GB) (Free:71.14 GB) NTFS Masz tylko jeden dysk fizyczny podzielony na dwie partycje. Partycja na Windows zdaje się być po prostu za mała na system, tu będą notoryczne problemy z brakiem miejsca, zwłaszcza gdy nadejdą jakieś grubsze aktualizacje Windows. Jak sugerowane, "urwij" więcej miejsca z partycji D i dołóż do partycji C. Po rozszerzeniu miejsca na dysku należałoby ponowić optymalizację.

Raporty z konta admin są w porządku. FRST wyłożył się na usuwaniu jednej ze śmieciowych ścieżek z kopii zapasowej i przeszedł tylko do połowy zadania, stąd Fixlog jest niekompletny. Trzeba przetworzyć brakującą część. Do Notatnika wklej: RemoveDirectory: C:\Documents and Settings\admin\Dane aplikacji\Sun RemoveDirectory: C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Sun RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\RogueKiller RemoveDirectory: C:\Documents and Settings\ppp\Dane aplikacji\Nowe Gadu-Gadu RemoveDirectory: C:\Documents and Settings\ppp\Dane aplikacji\OpenFM RemoveDirectory: C:\Documents and Settings\ppp\Dane aplikacji\OpenOffice.org2 RemoveDirectory: C:\Documents and Settings\ppp\Dane aplikacji\Sun RemoveDirectory: C:\Documents and Settings\ppp\Gadu-Gadu RemoveDirectory: C:\Documents and Settings\ppp\Dane aplikacji\Gadu-Gadu RemoveDirectory: C:\Program Files\Java RemoveDirectory: C:\Program Files\OpenOffice.org 2.0.3 RemoveDirectory: C:\RECYCLER RemoveDirectory: C:\czerny\D\RECYCLER CMD: del /q "C:\Documents and Settings\ppp\Menu Start\Programy\Autostart\OpenOffice.org 2.0.3.lnk" EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Ma nastąpić restart. Przedstaw wynikowy fixlog.txt. To właśnie mapowanie przy wykorzystaniu liter dysków jest problemem. Rezygnacja z tego mapowania na korzyść dostępu via adres IP lub specjalnych skrótów w formacie UNC powinna działać prewencyjnie.

Temat porządkuję zostawiając tylko meritum. W raportach nie było widać żadnych oznak infekcji i bardzo wątpię, by to w tym było dzieło. Ten komunikat o niczym nie świadczy. Nawet z poziomu tego samego komputera identyfikowanego tym samym IP otwarcie Gmail więcej niż raz, ale na różne sposoby, może być traktowane jako "inna lokalizacja". Przykładowo, otworzona strona Gmail w przeglądarce oraz równocześnie czynny jakiś program mający tam dostęp (np. pocztowy, popatrz też niżej na Intel Smart Connect) to już dwie różne lokalizacje. Szerszy opis tutaj: KLIK. Żadnych konkretów w raportach. Choć w takich przypadkach podejrzane są najbardziej inwazyjne programy (oprogramowanie zabezpieczające), tu Kaspersky PURE 3.0. Wersja sprzed 2 lat. Przy okazji, w Dzienniku zdarzeń widzę takie błędy: Application errors: ================== Error: (05/30/2015 10:07:04 AM) (Source: ISCT Agent) (EventID: 1003) (User: ) Description: CAgentState::DoPeriodicSuspendResume ****Error in initialize NetDetect, status = 0x2 Produkuje je Intel Smart Connect Technology. Posiadasz następującą wersję z roku 2012: Intel® Smart Connect Technology 2.0 x64 (HKLM\...\{12ABC13D-6540-483D-92B9-30CE1667B002}) (Version: 2.0.1083.0 - Intel) R2 ISCTAgent; F:\Program Files\Intel\Intel® Smart Connect Technology Agent\iSCTAgent.exe [133632 2012-02-09] () Może trzeba przeinstalować / zaktualizować tę paczkę. Sama nazwa pliku nie wskazuje na nic szkodliwego. Spójrz jaki jest kontekst tej paczki, przy założeniu że serwer z którego plik chciał się pobierać odpowiadał podanej informacji: KLIK. Jeśli zaś chodzi o samoczynne pobieranie, to podejrzewam, że to właśnie robota Internet Download Manager. Teorię można sprawdzić wyłączając testowo integrację IDM z przeglądarką Firefox. FF HKU\S-1-5-21-4209662531-3502238934-3140455397-1000\...\Firefox\Extensions: [mozilla_cc@internetdownloadmanager.com] - F:\Users\ADEX\AppData\Roaming\IDM\idmmzcc5 FF Extension: IDM CC - F:\Users\ADEX\AppData\Roaming\IDM\idmmzcc5 [2015-05-30] FF HKU\S-1-5-21-4209662531-3502238934-3140455397-1000\...\SeaMonkey\Extensions: [mozilla_cc@internetdownloadmanager.com] - F:\Users\ADEX\AppData\Roaming\IDM\idmmzcc5 Nie widzę w FRST Addition jaka wersja IDM jest zainstalowana. Być może nie jest najnowsza i kolejna aktualizacja na widoku. To są dostawcy związani z uzyskiwaniem dostępu do zasobów sieciowych (np. zmapowany dysk sieciowy) lub łączeniem domenowym. Sieć Microsoft Windows Network = połączenia typu SMB. Web Client Network = połączenia typu WebDav.

Nie zmienia to instrukcji. Notujesz problemy z ładowaniem stron, toteż sugeruję zmienić serwery DNS. A ta doinstalowana gra wprowadziła obiekty, które są aktywne i przez skaner klasyfikowane jako "niepożądane".

jessika Zły import rejestru dostosowany pod starsze systemy! "Windows Defender" w Windows 8/8.1 i Windows 10 to nie jest ten sam program co w starszych systemach, tylko najnowsza wersja Microsoft Security Essentials pod zmienioną nazwą. FRST nie filtruje programów zabezpieczających, więc jeśli Windows Defender nie jest uszkodzony, jest widoczny: Windows 7 i Vista: ==================== Usługi (filtrowane) ======================== R2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2013-05-27] (Microsoft Corporation) Windows 10 i 8/8.1: ==================== Usługi (filtrowane) ======================== R3 WdNisSvc; C:\Program Files\Windows Defender\NisSrv.exe [277760 2015-07-10] (Microsoft Corporation) R2 WinDefend; C:\Program Files\Windows Defender\MsMpEng.exe [23264 2015-07-10] (Microsoft Corporation) ===================== Sterowniki (filtrowane) ========================== S0 WdBoot; C:\WINDOWS\System32\drivers\WdBoot.sys [37400 2015-07-10] (Microsoft Corporation) R0 WdFilter; C:\WINDOWS\System32\drivers\WdFilter.sys [245600 2015-07-10] (Microsoft Corporation) R2 WdNisDrv; C:\WINDOWS\System32\Drivers\WdNisDrv.sys [97632 2015-07-10] (Microsoft Corporation) Trzeba będzie odkręcać to co zrobiłaś, bo żadnym cudem nie będzie działać konstrukcja ze starego systemu. Suchar Zacznijmy od tego, że infekcję nabyłeś używając cracka aktywacji. Na dysku widać było wyraźnie, że powstał KMSPico, a trzy minuty później już szkodliwe zadanie w Harmonogramie: 2015-09-08 17:03 - 2015-09-08 17:03 - 00466944 __RSH C:\WINDOWS\SysWOW64\adtschema6.dll 2015-09-08 17:03 - 2015-09-08 17:03 - 00002656 _____ C:\WINDOWS\System32\Tasks\Kiaxu 2015-09-08 17:00 - 2015-09-08 17:09 - 00000000 ____D C:\Program Files (x86)\KMSPico 10.0.6 To ta infekcja zdewastowała usługi zabezpieczeń Windows. Jeśli chodzi o nieszczęsny Windows Defender, z raportu wynika, że masz wyciętą w pień połowę w/w zestawu. W FRST w ogóle nie widać tych dwóch usług WdNisSvc + WinDefend (z poprawką na to, że później jessika przywróciła tę drugą w formie ze starych systemów). Są tylko sterowniki, które notabene mają przestawiony tryb startu na Ręczny: S3 WdBoot; C:\Windows\system32\drivers\WdBoot.sys [44568 2015-07-10] (Microsoft Corporation) S3 WdFilter; C:\Windows\system32\drivers\WdFilter.sys [291680 2015-07-10] (Microsoft Corporation) S3 WdNisDrv; C:\Windows\System32\Drivers\WdNisDrv.sys [119648 2015-07-10] (Microsoft Corporation) Dwie brakujące usługi muszą zostać ręcznie odbudowane. Niemniej w pierwszej kolejności trzeba potwierdzić czy na pewno tylko tego brakuje. FSS mówi, że nie został naruszony folder C:\Program Files\Windows Defender (są wykrywane w nim dwa pliki podpisane cyfrowo), a przynajmniej nie w części którą sprawdza FSS. 1. Poproszę o więcej danych na temat stanu katalogu. Do Notatnika wklej: Folder: C:\Program Files\Windows Defender Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy plik fixlog.txt. 2. Poza tym, poproszę o świeże raporty FRST z opcji Skanuj (Scan), zaznacz pole Addition. .

Temat przenoszę, to nie jest problem infekcji. Obawiam się, że problemem może być nie kto inny a antywirus Comodo, gdyż ma silne związki z tymi strefami. Na próbę go odinstaluj i sprawdź jakie to przyniesie rezultaty. Tym bardziej, że i tak jest problem z jego rejestracją w obszarze WMI: Tak, widać to w raporcie FRST Addtion, jedyny zarejestrowany program to systemowy Windows Defender: ==================== Centrum zabezpieczeń ======================== AS: Windows Defender (Enabled - Up to date) {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} Ponowną rejestrację WMI wymusza m.in. reinstalacja programu. Jeśli masz na myśli: {09BA8F6D-CB54-424B-839C-C2A6C8E6B436) - Thunder Network: KLIK. PrivDog - To jest to komponent Comodo: KLIK. To wszystko są odpadki i nie mają znaczenia. Ale jeśli chcesz się ich pozbyć, to dodaj skan na klucze których FRST nie obejmuje. Do Notatnika wklej: Reg: reg query "HKCU\Software\Microsoft\Internet Explorer\Extensions" /s Reg: reg query "HKCU\Software\Microsoft\Internet Explorer\MenuExt" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Internet Explorer\MenuExt" /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Temat sprzątam. Pod bardziej dopasowanym tytułem przenoszę do działu Windows. Ten komunikat zawierał podpowiedź gdzie szukać. Problemem jest konfiguracja usługi pomocniczej Konstruktor punktów końcowych audio systemu Windows (AudioEndpointBuilder), tzn. błędna ścieżka ServiceDll kierująca na inny plik niż AudioEndpointBuilder.dll. Prawdopodobnie siedzi tam "duplikat", tzn. ścieżka Audiosrv.dll od usługi Windows Audio (Audiosrv). Usługa AudioEndpointBuilder nie została tu w ogóle sprawdzona. Poproszę o odczyt jaki jest stan aktualny. Otwórz Notatnik i wklej w nim: Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\AudioEndpointBuilder /s File: C:\Windows\System32\AudioEndpointBuilder.dll Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

jessica To już dawno rozwiązane w FRST. auburn Temat przenoszę do działu Windows. O ile problem nadal aktualny: Po pierwsze, dostarcz nowe raporty FRST, by było wiadome jakie zmiany wystąpiły. W pierwszych był notowany masowy rekord [File not signed] dla ogromnej ilości sterowników, co zwykle oznacza uszkodzenie bazy danych Usług kryptograficznych systemuy Windows. Podejrzane strefy: 1. Ogromny plik HOSTS, conajmniej 1000 rekordów, liczba faktyczna nieznana. FRST, by ograniczyć długość skanu, liczy tylko do 1000: 2015-05-17 20:45 - 2015-05-17 23:04 - 00519714 ____A C:\Windows\system32\Drivers\etc\hosts 127.0.0.1 localhost 0.0.0.0 fr.a2dfp.net 0.0.0.0 m.fr.a2dfp.net 0.0.0.0 mfr.a2dfp.net 0.0.0.0 ad.a8.net 0.0.0.0 asy.a8ww.net 0.0.0.0 static.a-ads.com 0.0.0.0 atlas.aamedia.ro 0.0.0.0 abcstats.com 0.0.0.0 ad4.abradio.cz 0.0.0.0 a.abv.bg 0.0.0.0 adserver.abv.bg 0.0.0.0 adv.abv.bg 0.0.0.0 bimg.abv.bg 0.0.0.0 ca.abv.bg 0.0.0.0 www2.a-counter.kiev.ua 0.0.0.0 track.acclaimnetwork.com 0.0.0.0 accuserveadsystem.com 0.0.0.0 www.accuserveadsystem.com 0.0.0.0 achmedia.com 0.0.0.0 csh.actiondesk.com 0.0.0.0 ads.activepower.net 0.0.0.0 app.activetrail.com 0.0.0.0 stat.active24stats.nl #[Tracking.Cookie] 0.0.0.0 traffic.acwebconnecting.com 0.0.0.0 office.ad1.ru 0.0.0.0 cms.ad2click.nl 0.0.0.0 ad2games.com 0.0.0.0 ads.ad2games.com There are 1000 more lines. Duży plik HOSTS ma skutki uboczne. Dla porównania najbardziej drastyczny przypadek, który powodował że aplikacje się uruchamiały 15 minut, a odczyty sieciowe były mocno spowolnione: KLIK. 2. Programy zabezpieczające. Tu AntiLogger Zemany, IObit Malware Fighter, Malwarebytes Anti-Exploit, Surfing Protection (wszedł z Advanced SystemCare). Na początek odinstaluj całkowicie IObit Malware Fighter (jest stary) + Surfing Protection i sprawdź czy jest jakaś poprawa. Jeśli nie będzie rezultatów, sprawdzić kolejne programy. 3. Dodatki i wtyczki zamontowane w Firefox. Mowa była o reinstalacji Firefox, a nic o tym czy przy reinstalacjach usuwano profil (podejrzewam, że nie). Mógłbyś sprawdzić jak chodzi Firefox po odświeżeniu ustawień: Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Proces nie usuwa zakładek, historii i haseł, ale wszystkie preferencje i rozszerzenia tak. Ogólnie masz całą kolekcję programów IOBit. Sugeruję pozbyć się wszystkiego. Nie polecam tej marki, mam słabe zaufanie ze względu na te fakty: notoryczne zabawy w adware w instalatorach wersji free, podejrzane praktyki promocyjne, w przeszłości złapani na kradzieży bazy danych MBAM.

Fix wykonany, ale nie on tu był najważniejszy. Czy sprawdziłeś sugestie 1+2, czy są jakieś pozytywne wyniki?

Temat przenoszę do działu Windows. Brak tu raportów z tego konta. Logi FRST zostały zrobione z poziomu konta administracyjnego User: Ran by User (administrator) on MOJLEN (17-08-2015 10:59:13) Running from C:\Users\User\Downloads Loaded Profiles: User (Available Profiles: User & witek) Logi FRST muszą być robione na każdym koncie z osobna, by widzieć rzeczy charakterystyczne tylko dla danego konta. Zaloguj się na konto witek poprzez pełny restart komputera (a nie opcje Wyloguj / Przełącz użytkownika). Pobierz i uruchom FRST przez dwuklik - nie stosuj opcji "Uruchom jako Administrator, bo zmieni to kontekst konta na User. Zrób skan z zaznaczoną opcją Addition (Shortcut nie jest mi potrzebny po raz drugi). Z podanych tu raportów z konta administracyjnego nic nie wynika. Jedyne co mogę stwierdzić, to że 12 sierpnia były aktualizacje Windows oraz (de)instalacje programów, m.in. owego Baidu oraz AMD Catalyst Control Center. Ten błąd jest charakterystyczny dla wadliwych lub niekompatybilnych rozszerzeń zintegrowanych w powłoce explorer. Skoro to się dzieje przy operacjach w sekcji Panel sterowania, to być może to rozszerzenia Panelu sterowania są problemem. Diagnostyka gdzie leży problem jest prowadzona przy udziale programu ShellExView x64, któty notabene widzę pobrany. W programie przez klik w kolumnę Company posortuj wpisy tak by wszystkie niedomyślne, tzn. wyróżnione na różowym tle, zostały zgrupowane razem. Z wciśniętym CTRL zaznacz wszystkie różowe, z prawokliku wyłącz i zresetuj system. Jeśli błąd ustąpi, zastosuj odwrotność akcji tylko w partiach, tzn. zaznacz uprzednio wyłączoną grupę tego samego producenta i włącz > restart systemu > i tak dalej, aż wyłowisz który obiekt przywraca problem. Nawiasem mówiąc to zastanowił mnie ten stary COMODO PC TuneUP działający w tle. Podano skrypt FRST bez objaśnień co on ma robić. Ten skrypt nie miał żadnego związku z Twoimi problemami i nie mógłby ich rozwiązać, był natury "kosmetycznej" - tylko usunięcie wpisów odpadkowych (pustych) i czyszczenie lokalizacji tymczasowych. Tak, skrypt miał być wykonany na koncie o uprawnieniach administracyjnych. I jeszcze w Dzienniku zdarzeń błąd: System errors: ============= Error: (08/17/2015 09:31:51 AM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Usługa biometryczna systemu Windows zależy od usługi Menedżer poświadczeń, której nie można uruchomić z powodu następującego błędu: %%1058 Wejdź do services.msc, dwuklik na Menedżer poświadczeń i Typ uruchomienia przestaw na Ręczny.

Temat został założony w nieodpowiednim dziale. Przenoszę do działu diagnostyki infekcji. Przed założeniem tematu były stosowane różne programy (AdwCleaner i ComboFix), a wyniki ich działań nie zostały przedstawione. Komponenty ComboFix zresztą nadal były w procesach podczas tworzenia raportów. Na temat używania ComboFix: KLIK. Jedyne co tu czynnego w Chrome widać to polityki blokujące funkcje Chrome. Jest jeszcze Firefox zainfekowany adware. Żaden z tym obiektów nie może mieć związku ze spowolnieniem systemu. Spowolnienie jest prędzej wynikiem aktywności rozbudowanego inwazyjnego pakietu Panda Global Protection 2015. Działania do przeprowadzenia: 1. Odinstaluj stare wersje: Adobe Flash Player 17 ActiveX, Adobe Flash Player 17 NPAPI, Adobe Reader X (10.1.0) - Polish, Browser Address Error Redirector, Java 8 Update 40, Java™ 6 Update 6. Browser Address Error Redirector to firmowy śmieć preintegrowany w systemie. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: DisableService: sptd GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-509397886-1678132260-2415722295-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-509397886-1678132260-2415722295-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-509397886-1678132260-2415722295-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=183 HKLM\...\Policies\Explorer: [RestrictRun] 0 HKU\S-1-5-21-509397886-1678132260-2415722295-1000\...\Run: [Napisy24Update] => "C:\Program Files\Napisy24\Napisy24Update.exe" "sleep" HKU\S-1-5-21-509397886-1678132260-2415722295-1000\...\Policies\Explorer: [RestrictRun] 0 ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\itms.js [2015-04-03] Task: {1B08B02C-5FFA-4F71-9E50-8FE08E33C238} - \Ad-Aware Update (Weekly) -> Brak pliku Task: {3B40D341-5DC5-4253-A9C2-01DD25B3B336} - \CCleanerSkipUAC -> Brak pliku Task: {63A27E99-879B-42FA-8F2D-4EAB5E01F932} - \GoogleUpdateTaskMachineCore -> Brak pliku Task: {7A23C657-00E0-405B-B29F-7201629663AE} - \GoogleUpdateTaskMachineUA -> Brak pliku Task: {B2D7FDEC-FBF1-4964-9E2F-F9F626AE01A1} - \Adobe Flash Player Updater -> Brak pliku U5 AppMgmt; C:\Windows\system32\svchost.exe [21504 2008-01-21] (Microsoft Corporation) S3 catchme; \??\C:\Users\MICHA~1\AppData\Local\Temp\catchme.sys [X] S3 eapihdrv; \??\C:\Users\MICHA~1\AppData\Local\Temp\ehdrv.sys [X] S2 HWDeviceService.exe; C:\ProgramData\DatacardService\HWDeviceService.exe -/service [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" C:\Program Files\GUTC3CC.tmp C:\Program Files\ESET C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AnyReader C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bad CD Repair C:\Users\Michał\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Opera.lnk C:\Users\Michał\AppData\Roaming\Opera Software C:\Users\Michał\Desktop\CatzillaDownloader.exe C:\Users\Michał\Desktop\Continue Digital Image Recovery installation.lnk C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\IviRegMgr" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj sponsora AllPlayer Gazeta.pl Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres gazeta.allplayer.org 4. Napraw niepoprawnie wyczyszczony (przypuszczalnie przez AdwCleaner) specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt i raporty z folderu C:\AdwCleaner. Wypowiedz się czy problemy nadal występują.

Tutaj miały zostać tylko zaktualizowane sterowniki do karty hybrydowej i nic poza tym. 1. Po pierwsze, co z tym działaniem (wykonane?): 2. Po drugie, przedstaw jakie zmiany w raportach już zaszły: - Na początek wyczyść wszystkie Dzienniki zdarzeń, by odrzucić błędy już nieaktualne: klawisz z flagą Windows + X > Podgląd zdarzeń > Dzienniki systemu Windows > z prawokliku na gałęzie Aplikacja i System uruchom czyszczenie tych dzienników. Następnie zresetuj system, by aktualne błędy zostały nagrane. - Zrób nowy log FRST na następujących warunkach: odznacz Filtrowanie dla Usług i Sterowników, zaznacz też pole Addition.

Proces systemowy vssadmin.exe był uruchamiany, gdyż malware szyfrujące dane wywoływało komendę usuwania wszystkich punktów Przywracania systemu, obecnie Przywracanie systemu jest kompletnie zdeaktywowane. Wg raportów malware nie jest już czynne, choć pozostały puste odpadki które próbują się uruchamiać, dlatego też widzisz błędy z regsvr32. Przerwij działanie programu IDTool, jeśli zbyt długo będzie "zawieszony". Wstępnie na podstawie samego modelu nazwy plików HOWTO_RESTORE_FILES_* to wygląda na wariant infekcji TeslaCrypt. Jaki suffiks otrzymały zaszyfrowane dane osobiste (dokumenty i inne pliki): .exx, .xyz, .zzz, .aaa, .abc, .ccc? Sprawdź wszystkie dyski, szyfratory danych jadą po wszystkich dostępnych. Pierwsza faza usuwania: 1. Wejdź do konfiguracji Przywracania systemu i zaznacz Ochronę dla dysku C:. Obrazek z konfiguracji w tym temacie: KLIK. 2. Przez Panel sterowania odinstaluj stare wersje naruszające bezpieczeństwo: Adobe Flash Player 17 ActiveX, Java 7 Update 51. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Users\Michal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\39C0.lnk [2015-03-10] Startup: C:\Users\Michal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\8F60.lnk [2015-03-10] HKU\S-1-5-21-1320927441-3038179963-326650102-1000\...\Run: [Epsbtion] => regsvr32.exe C:\Users\Michal\AppData\Local\Epsbtion\kdmnimbc.dll HKU\S-1-5-21-1320927441-3038179963-326650102-1000\...\Run: [usnpmedia] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Michal\AppData\Local\Odkics\mtkhomvj.dll HKLM-x32\...\Run: [etcfg] => C CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia IE Session Restore: HKU\S-1-5-21-1320927441-3038179963-326650102-1000 -> - funkcja włączona. Task: {1BC8AB68-DBC3-439F-8D6D-33CF31AD62AE} - System32\Tasks\{7097DD7F-5C59-4CA5-95DC-B637060D4123} => pcalua.exe -a "D:\Gry\The Vanishing of Ethan Carter\Binaries\Launcher.exe" -d "D:\Gry\The Vanishing of Ethan Carter\Binaries" Task: {20BC3D1D-6951-4976-BAE4-491DBD9CE2B3} - System32\Tasks\{02ED49F6-A749-46FB-94DE-5AD643E0B1EB} => pcalua.exe -a "D:\Forum france\ALCATEL_ADB_RNDIS_Driver for MTK SP 2013_03_29\ALCATEL_ADB_RNDIS_Driver2013_03_29\install.exe" -d "D:\Forum france\ALCATEL_ADB_RNDIS_Driver for MTK SP 2013_03_29\ALCATEL_ADB_RNDIS_Driver2013_03_29" Task: {403BD8AC-A754-4834-891C-CDD2625134FF} - System32\Tasks\{D4D33C9B-E016-4FC8-9ACD-70AF01FE5C3E} => pcalua.exe -a "D:\Gry\Sacred 3\_CommonRedist\vcredist\2008\vcredist_x64.exe" -d "D:\Gry\Sacred 3\_CommonRedist\vcredist\2008" Task: {9FEB6817-DD0C-47F0-B7D2-0EF0349EF502} - System32\Tasks\{87405FE9-3886-45BC-9BF9-234EE4B8EED0} => pcalua.exe -a "C:\Program Files\GRAPHISOFT\ArchiCAD 18\Uninstall.AC\uninstaller.exe" Task: {F71E5BB7-A8C0-4C7A-A93E-5C3295A36B01} - \Origin -> Brak pliku C:\Program Files (x86)\DAEMON Tools Lite C:\ProgramData\{6a960249-18be-785d-6a96-6024918b0924} C:\ProgramData\{8834ed44-aca7-ee74-8834-4ed44acab512} C:\ProgramData\7824b102000003cf C:\ProgramData\DAEMON Tools Lite C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Contrast PL C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Techland C:\ProgramData\Orbit C:\Users\Michal\AppData\Local\Epsbtion C:\Users\Michal\AppData\Local\Odkics C:\Users\Michal\AppData\LocalLow\{7BBDBDC4-2F16-40DC-B488-B909DFF47F1D} C:\Users\Michal\AppData\LocalLow\{A760A828-6D5A-40B5-8B98-C65733BDABF2} C:\Users\Michal\AppData\LocalLow\{D5A090E3-0AED-447E-852A-1AE89D63AA2A} C:\Users\Michal\AppData\Roaming\g78rfdsafhi C:\Users\Michal\AppData\Roaming\DAEMON Tools Lite Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f CMD: netsh advfirewall reset CMD: attrib -h -s C:\HOWTO_RESTORE_FILES_* /s CMD: attrib -h -s D:\HOWTO_RESTORE_FILES_* /s CMD: attrib -h -s F:\HOWTO_RESTORE_FILES_* /s CMD: del /q /s C:\HOWTO_RESTORE_FILES_* CMD: del /q /s D:\HOWTO_RESTORE_FILES_* CMD: del /q /s F:\HOWTO_RESTORE_FILES_* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Plik fixlog, ze względu na zadaną komendę rekursywnego usuwania plików HOWTO_RESTORE_FILES_* z wszystkich dysków, może być przeogromny. W przypadku jeśli nie zmieści się w załącznikach, spakuj go do zip i shostuj gdzieś podając link.

Tutaj kontynuujmy. Dostarcz raporty FRST + GMER oraz wyniki skanu MBAM. Jeśli chodzi o bieżący system, wszystko co zaplanowane zostało wykonane. 1. Drobne poprawki do wdrożenia, tzn. usunięcie odpadkowych folderów i czyszczenie lokalizacji tymczasowych. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = DPF: {CAFEEFAC-0017-0000-0071-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_71-windows-i586.cab RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Kaspersky Rescue Disk 10.0 RemoveDirectory: C:\czerny\c\AdwCleaner RemoveDirectory: C:\czerny\c\Documents and Settings\Mariano\Dane aplikacji\Sun RemoveDirectory: C:\czerny\c\Documents and Settings\Mariano\Ustawienia lokalne\Dane aplikacji\Sun RemoveDirectory: C:\czerny\c\Documents and Settings\Mariano\Moje dokumenty\OpenOffice.org 3.0 (pl) Installation Files RemoveDirectory: C:\czerny\c\Kaspersky Rescue Disk 10.0 RemoveDirectory: C:\czerny\c\Qoobox RemoveDirectory: C:\czerny\c\System Volume Information RemoveDirectory: C:\czerny\D\RECYCLER RemoveDirectory: C:\Documents and Settings\admin\Dane aplikacji\Sun RemoveDirectory: C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Sun RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\RogueKiller RemoveDirectory: C:\Documents and Settings\ppp\Dane aplikacji\Nowe Gadu-Gadu RemoveDirectory: C:\Documents and Settings\ppp\Dane aplikacji\OpenFM RemoveDirectory: C:\Documents and Settings\ppp\Dane aplikacji\OpenOffice.org2 RemoveDirectory: C:\Documents and Settings\ppp\Dane aplikacji\Sun RemoveDirectory: C:\Documents and Settings\ppp\Gadu-Gadu RemoveDirectory: C:\Documents and Settings\ppp\Dane aplikacji\Gadu-Gadu RemoveDirectory: C:\Program Files\Java RemoveDirectory: C:\Program Files\OpenOffice.org 2.0.3 RemoveDirectory: C:\RECYCLER CMD: del /q "C:\Documents and Settings\ppp\Menu Start\Programy\Autostart\OpenOffice.org 2.0.3.lnk" EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Przedstaw wynikowy fixlog.txt. Pytanie, czy można w całości usunąć poniższą kopię zapasową ze śmieciami? C:\czerny\c\Documents and Settings 2. Dodatkowo, zaloguj się na konto admin poprzez pełny restart komputera (a nie Wyloguj czy Przełącz użytkownika) i zrób logi FRST (główny + Addition). 3. Pozostaje sprawa zaszyfrowanych plików. Niestety, jak zaznaczałam, sprawa wygląda na przegraną. Szyfrowanie zachodziło także w folderach poprawnych aplikacji i Windows. Obecnie mogą być notowane w określonych programach ubytki obrazków czy linków dokumetacji. Przy zanotowaniu takiego uszczerbku przeinstaluj daną aplikację.

Po pierwsze, w systemie są ustawione niestandardowe adresy DNS OpenDNS - czy to celowa modyfikacja? DNS Servers: 208.67.222.222 - 208.67.220.220 Po drugie, trzy dni temu odbyła się instalacja gry Black Desert, która wprowadziła niepożądane obiekty typu adware/PUP, tzn. aktywną usługę THORN i sterownik Thetta: KLIK / KLIK / KLIK. R2 Thorn; C:\Users\LukeMike\AppData\Local\THORN\Thorn.exe [56824 2015-10-01] (GGS) R3 Thetta; C:\Windows\System32\DRIVERS\Thetta64.sys [312536 2015-08-31] (Windows ® Win 7 DDK provider) Wstępne akcje do przeprowadzenia: 1. Odinstaluj wszystkie programy grupy "Global Gamers Solutions Ltd.": Black Desert, QGNA. 2. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > z boku klik w Zmień ustawienia karty sieciowej > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 3. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition, by powstały dwa logi.

O raporcie DelFix jest napisane w opisie DelFix, dlatego się nie powtarzam. DelFix wykonał co należy. Usuń z dysku plik C:\delfix.txt. Temat rozwiązany. Zamykam.

Temat przenoszę do działu Windows. Nic tu nie wskazuje na problem infekcji. Ten opis wskazuje na element startowy, szczególnie w obszarze sterowników. I niestety to oznacza, że najbardziej podejrzane jest oprogramowanie zabezpieczające, zwłaszcza ESET (multum sterownik ładuje). Jako krok wstępny odinstaluj wszystkie programy tego typu: ESET NOD32 Antivirus, Malwarebytes Anti-Malware wersja 2.1.8.1057, Spybot - Search & Destroy. Jeśli system zacznie się uruchamiać poprownie, przywróć tylko NOD. A tego Spybota w ogóle nie instaluj, program "przechodzony" i mniej dziś skuteczny niż jego nowoczesny odpowiednik MBAM. vs. S3 MBAMSwissArmy; C:\Windows\system32\drivers\MBAMSwissArmy.sys [113880 2015-10-12] (Malwarebytes Corporation) Komponent MBAM. GMER będzie notował na pasku postępu skanowane różne ścieżki niezależnie od ich "szkodliwości", a w oknie wykrywania modyfikacji będą figurować także czynności poprawnych programów - inwazyjne aplikacje wykonujące określone modyfikacje, do tej kategorii należy m.in. oprogramowanie zabezpieczające.

Objaśnij dokładniej wątek zaszyfrowanych plików, gdzie to widać (jakie ścieżki, na którym dysku) i czy na pewno zaszyfrowane kopie mają taki sam suffiks _decode@india.com jak w linkowanym temacie, a może zupełnie inny. W dostarczonych raportach z pierwszego posta nie widać żadnych oznak infekcji szyfrującej dane. A rozszerzenia określonych plików, które miałyby podlegać szyfrowaniu, nie są naruszone. Ale raport FRST jest mocno ograniczony. Dodatkowo, raporty pochodzą sprzed kilku miesięcy. Proszę zrób nowe logi dla porównania jaka jest aktualna sytuacja. Oraz dodaj jeszcze log z narzędzia IDTool. Niestety nie. Nie ma żadnego dekodera do tych wariantów infekcji. Aczkolwiek nadal nie wiadomo jaki rodzaj infekcji tu wystąpił.

Proszę dostosuj się do zasad działu i dostarcz obowiązkowe raporty z FRST i GMER. Dodatkowo, dostarcz log z narzędzia IDTool.