picasso

Opisz jakie kroki podjąłeś. A dostarczone tu raporty FRST i tak nie były wiarygodne, zrobione z poziomu limitowanego konta (brak widoczności malware działającego na poziomie administracyjnym i na innym koncie): Ran by Panel (ATTENTION: The logged in user is not administrator) on PANEL02-PC on 30-04-2015 10:26:13 W systemie aż trzy konta, w tym dwa - i to te właśnie nie sprawdzone - to konta o uprawnieniach administracyjnych: ==================== Accounts: ============================= Duszek (S-1-5-21-2515843178-842938344-640950731-1002 - Administrator - Enabled) => C:\Users\Duszek Marcin (S-1-5-21-2515843178-842938344-640950731-1001 - Administrator - Enabled) => C:\Users\Marcin Panel (S-1-5-21-2515843178-842938344-640950731-1000 - Limited - Enabled) => C:\Users\Panel Jeśli chcesz się upewnić, dostarcz logi będąc zalogowanym po kolei na Duszku i Marcinie.

Fixlog był pusty, bo nic nie zostało wklejone, to nie był błąd FRST tylko błąd ręcznego zapisu pliku Fixlist. Nowy log FRST nie był potrzebny, by to potwierdzić. Pusty Fixlog zawsze oznacza, że żadnej treści nie było, to co miało się wykonać. I należy jeszcze wdrożyć małe poprawki, gdyż nadal są skróty adware w Autostarcie: Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AllroadAudi.zip.lnk [2015-01-28] ShortcutTarget: AllroadAudi.zip.lnk -> C:\ProgramData\{5fbdcd42-a6dd-ae98-5fbd-dcd42a6d350a}\AllroadAudi.zip.exe (No File) Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\GIANTS_Editor_5.0.1_win32.rar.lnk [2015-04-18] ShortcutTarget: GIANTS_Editor_5.0.1_win32.rar.lnk -> C:\ProgramData\{7095f087-c8c0-d377-7095-5f087c8cc21f}\GIANTS_Editor_5.0.1_win32.rar.exe (No File) Zostały załączone do przetworzenia ich docelowe puste lokalizacje (ShortcutTarget), a nie skróty źródłowe (Startup). Puste = nie istnieją, FRST nic nie przetworzył, a gdyby nie były puste, to i tak nie zostałyby usunięte skróty źródłowe LNK, to są osobne elementy. 1. Pobierz ponownie FRST. Otwórz Notatnik i wklej w nim: Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\AllroadAudi.zip.lnk [2015-01-28] Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\GIANTS_Editor_5.0.1_win32.rar.lnk [2015-04-18] HKLM\...\Run: [HotKeysCmds] => C:\Windows\system32\hkcmd.exe HKLM\...\Run: [Persistence] => C:\Windows\system32\igfxpers.exe Task: {09771866-36A9-42C3-A0FA-6DED85C36765} - System32\Tasks\{90486521-F5F2-411D-AC67-80D673EF252C} => Iexplore.exe http://ui.skype.com/ui/0/7.1.0.105/pl/abandoninstall?page=tsProgressBar Task: {722B5947-33B8-4059-88E8-7E14C011E2A5} - System32\Tasks\{FA50D6ED-259F-48B6-87FB-1BEC2521DB47} => pcalua.exe -a D:\startmenu.exe -d D:\ HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220150310 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Acer Games.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\San Andreas Multiplayer C:\Users\Mama\AppData\Local\Pokki C:\WINDOWS\SysWOW64\tmp*.tmp Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla\Thunderbird /f CMD: netsh advfirewall reset Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Z folderu C:\Users\user\Desktop\Marcin ... skasuj skrót instalacji adware Kontynuuj instalację GTA 4 - spolszczenie oraz puste skróty gier.

Temat przenoszę do Windows. Główny problem nie był związany z infekcją i to już rozwiązane. Ale są do wdrożenia poprawki - Firefox + Opera w ogóle nie są zainstalowane, a na dysku ich profile z adware ("Radio Canyon"). 1. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3349880804-1389414201-389946525-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=kingstonxsv300s37a120g_50026b7234073fd8 HKU\S-1-5-21-3349880804-1389414201-389946525-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://search.yac.mx/?utm_source=b&utm_medium=iSafe&from=iSafe&uid=kingstonxsv300s37a120g_50026b7234073fd8 SearchScopes: HKU\S-1-5-21-3349880804-1389414201-389946525-1000 -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=kingstonxsv300s37a120g_50026b7234073fd8&ts=1417649375 SearchScopes: HKU\S-1-5-21-3349880804-1389414201-389946525-1000 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = http://search.yac.mx/web/?q={searchTerms}&type=ds&from=yac&uid=kingstonxsv300s37a120g_50026b7234073fd8&ts=1417649375 SearchScopes: HKU\S-1-5-21-3349880804-1389414201-389946525-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = BHO-x32: No Name -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> No File BHO-x32: No Name -> {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} -> No File BHO-x32: Google Dictionary Compression sdch -> {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} -> C:\Program Files (x86)\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll No File CustomCLSID: HKU\S-1-5-21-3349880804-1389414201-389946525-1001_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\Admin\AppData\Roaming\Dropbox\bin\Dropbox.exe /autoplay No File Task: {33F37068-CBA7-4884-A2BC-AE581B701D1B} - System32\Tasks\{092B9EDD-3C70-43D8-9BE8-5DA07442CDD1} => pcalua.exe -a E:\setup.exe -d E:\ S2 HPSLPSVC; C:\Users\Admin\AppData\Local\Temp\7zS7B0B\hpslpsvc64.dll [X] FirewallRules: [{FCFC09A6-1339-439F-A35B-55DA263A8B21}] => (Allow) C:\Users\Admin\AppData\Local\Temp\7zS7B0B\hppiw.exe FirewallRules: [{4F51E780-A8D5-4F21-924F-E2384D683C09}] => (Allow) C:\Users\Admin\AppData\Local\Temp\7zS7B0B\hppiw.exe FirewallRules: [{5CA00ECD-9F9F-46D9-8C05-548B2BB9CDC7}] => (Allow) C:\Users\Admin\AppData\Local\Temp\7zS7DA9\hppiw.exe FirewallRules: [{A28B66EB-1EF6-438B-8DAD-37D9F5CEF112}] => (Allow) C:\Users\Admin\AppData\Local\Temp\7zS7DA9\hppiw.exe C:\Program Files (x86)\Mozilla Firefox C:\Users\Admin\AppData\Local\Mozilla C:\Users\Admin\AppData\Local\Opera Software C:\Users\Admin\AppData\Roaming\Mozilla C:\Users\Admin\AppData\Roaming\Opera Software C:\Windows\System32\Tasks\Norton Identity Safe DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ASUSWebStorage DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BitTorrent Sync DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Elite Unzip Search Scope Monitor DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Yahoo! Search DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Identity Safe DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny plik fixlog.txt. 2. Zresetuj cache wtyczek Google Chrome, by się pozbyć pustych wpisów. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Brak trzeciego obowiązkowego pliku FRST Shortcut. W obu przeglądarkach nadal zainstalowane adware, na liście programów jest też SpyHunter z czarnej listy. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj: - Adware Strong Signal, o ile to możliwe, bo są ślady naruszeń. - Stare wersje i zbędniki: Adobe AIR, Adobe Flash Player 16 NPAPI, Adobe Reader XI - Polish, Bing Bar, McAfee Security Scan Plus, Spy Hunter. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://q.search-simple.com/?affID=bl_e197abbd-0a5c-4e35-9c20-d5d105d5c3f1 HKU\S-1-5-21-3544421248-1068503807-1887018813-1001\Software\Microsoft\Internet Explorer\Main,Start Page = http://q.search-simple.com/?affID=bl_e197abbd-0a5c-4e35-9c20-d5d105d5c3f1 HKU\S-1-5-21-3544421248-1068503807-1887018813-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKU\S-1-5-21-3544421248-1068503807-1887018813-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://q.search-simple.com/?affID=bl_e197abbd-0a5c-4e35-9c20-d5d105d5c3f1&q={searchTerms} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://q.search-simple.com/?affID=bl_e197abbd-0a5c-4e35-9c20-d5d105d5c3f1&q={searchTerms} SearchScopes: HKLM -> {6A5D380C-8A37-42A7-B820-2D88B8E2C1E3} URL = http://q.search-simple.com/?affID=bl_e197abbd-0a5c-4e35-9c20-d5d105d5c3f1&q={searchTerms} SearchScopes: HKU\S-1-5-21-3544421248-1068503807-1887018813-1001 -> DefaultScope {6A5D380C-8A37-42A7-B820-2D88B8E2C1E3} URL = http://q.search-simple.com/?affID=bl_e197abbd-0a5c-4e35-9c20-d5d105d5c3f1&q={searchTerms} SearchScopes: HKU\S-1-5-21-3544421248-1068503807-1887018813-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://q.search-simple.com/?affID=bl_e197abbd-0a5c-4e35-9c20-d5d105d5c3f1&q={searchTerms} SearchScopes: HKU\S-1-5-21-3544421248-1068503807-1887018813-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear SearchScopes: HKU\S-1-5-21-3544421248-1068503807-1887018813-1001 -> {6A5D380C-8A37-42A7-B820-2D88B8E2C1E3} URL = http://q.search-simple.com/?affID=bl_e197abbd-0a5c-4e35-9c20-d5d105d5c3f1&q={searchTerms} BHO-x32: Strong Signal -> {c723a437-2eaf-466d-a95b-3fa0966bf88c} -> C:\Program Files (x86)\Strong Signal\Extensions\c723a437-2eaf-466d-a95b-3fa0966bf88c.dll No File Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-3544421248-1068503807-1887018813-1001\...\Run: [ares] => "C:\Program Files (x86)\Ares\Ares.exe" -h C:\Program Files (x86)\Strong Signal C:\Program Files (x86)\Common Files\0780f478-67ce-4ec3-98db-39a65f4618ce C:\ProgramData\0780f478-67ce-4ec3-98db-39a65f4618ce C:\ProgramData\{*}.log Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Strong Signal" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 4. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Strong Signal Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy Yahoo oraz inne niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal są problemy.

Brak oznak czynnej infekcji. Są tylko jej pozostałości (zmodyfikowany plik HOSTS oraz historia podpinanych zainfekowanych urządzeń USB w MountPoints2) oraz drobne adware/PUP, ale to wszystko nie ma związku ze zgłaszanymi problemami. I tragiczny stan aktualizacji: Platform: Microsoft Windows XP Home Edition Dodatek Service Pack 2 (X86) OS Language: Polski Internet Explorer Version 6 (Default browser: FF) Nic tu nie wskazuje na ingerencje malware, a jedyne co mi się kojarzy w korelacji z Brontok, to plik autorun.inf zlokalizowany na tej partycji i zablokowany przez program antywirusowy (tylko, że tu brak AV...). Wg raportu D wygląda na partycję Recovery. Czy na pewno był dostęp do tej partycji wcześniej? Czy z poziomu Trybu awaryjnego można się dostać na ten dysk? ==================== Drives ================================ Drive c: () (Fixed) (Total:26.28 GB) (Free:11.01 GB) NTFS ==>[Drive with boot components (Windows XP)] Drive d: (ACERDATA) (Fixed) (Total:26.66 GB) (Free:25.18 GB) FAT32 ==================== MBR & Partition Table ================== Disk: 0 (Size: 55.9 GB) (Disk ID: 34FE34FD) Partition 1: (Not Active) - (Size=2.9 GB) - (Type=12) Partition 2: (Active) - (Size=26.3 GB) - (Type=07 NTFS) Partition 3: (Not Active) - (Size=26.7 GB) - (Type=OF Extended) Na razie działania "kosmetyczne": 1. Bardzo wolny system: był uruchamiany GMER i jest w Dzienniku zdarzeń poniższy błąd związany z brakiewm odpowiedzi od kontrolera dysków. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. System errors: ============= Error: (05/03/2015 11:49:12 PM) (Source: 0) (EventID: 9) (User: ) Description: \Device\Ide\IdePort0 2. Przez Dodaj/Usuń programy odinstaluj śmieci i stare wersje: Adobe Flash Player 10 ActiveX, Adobe Flash Player 10 Plugin, Adobe Reader 8 - Polish, Adobe Reader 8.1.2 Security Update 1 (KB403742), Chinese Traditional Fonts Support For Adobe Reader 8, Google Toolbar for Internet Explorer, Java™ 6 Update 5, Java™ 6 Update 7, MediaBar 2.0, Microsoft Silverlight, Mozilla Firefox (3.0.19), OpenOffice.org 3.0 Beta, Winamp Toolbar for Firefox, Winamp Toolbar for Internet Explorer. Ten Firefox jest tak stary, że aż szok. Jeśli jest używany, przed usunięciem posłuż się MozBackup, by skopiować zakładki + hasła (ale nic więcej). 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [] => [X] HKU\S-1-5-21-57989841-329068152-725345543-1004\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.bearshare.com/ CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{0000002F-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{00020420-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{00020421-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{00020422-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{00020423-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{00020424-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{00020425-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{0002E005-0000-0000-C000-000000000046}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{0BE35203-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{0BE35204-8F91-11CE-9DE3-00AA004BB851}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{1EFB6596-857C-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{2C247F23-8591-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{35053A22-8589-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{46763EE0-CAB2-11CE-8C20-00AA0051E5D4}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{66833FE6-8583-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{8E3867A3-8586-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{B196B286-BAB4-101A-B69C-00AA00341D07}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{BDD1F04B-858B-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{C27CCE32-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{C27CCE33-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{C27CCE34-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{C27CCE35-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{C27CCE36-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{C27CCE37-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{C27CCE38-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{C27CCE39-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{C27CCE3A-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{C27CCE3B-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{C27CCE3C-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{C27CCE3D-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{C27CCE3E-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{C27CCE3F-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{C27CCE40-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{C27CCE41-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{C27CCE42-8596-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{C74190B6-8589-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{DD9DA666-8594-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-57989841-329068152-725345543-1004_Classes\CLSID\{F08DF954-8592-11D1-B16A-00C0F0283628}\InprocServer32 -> No File Path S2 AVUpdate; C:\PROGRA~1\ArcaBit\ARCAUP~1\update.exe [X] U2 CertPropSvc; No ImagePath S1 mailKmd; No ImagePath S1 Wbutton; \SystemRoot\system32\drivers\Wbutton.sys [X] U1 WS2IFSL; No ImagePath DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 C:\Documents and Settings\Edytka\Dane aplikacji\Smiley.ico C:\Documents and Settings\Edytka\Ustawienia lokalne\Dane aplikacji\Kosong.Bron.Tok.txt C:\Documents and Settings\Edytka\Ustawienia lokalne\Dane aplikacji\ListHost9.txt RemoveDirectory: C:\Recycler RemoveDirectory: D:\Recycled CMD: netsh firewall reset CMD: dir /a C:\ CMD: dir /a D:\ Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

jessika & Zappa Na obrazku widać, że są dwa połączenia: Karta sieciowa 1394 (to urządzenie wyłączone) oraz Połączenie lokalne urządzenia Realtek PCIe GBE Family (to jest właściwe urządzenie o które tu chodzi). Jano ComboFix resetuje wszystkie ustawienia sieci, co m.in. oznacza wymazanie ustawień serwerów. Została zrobiona kopia zapasowa tych ustawień w C:\Qoobox\Quarantine\Registry_backups\tcpip.reg. Niestety usunąłeś tę kopię uruchamiając proces deinstalacji ... Jest jednak dodatkowa całościowa surowa kopia rejestru: 2015-04-29 02:15 - 2015-04-29 02:34 - 00000000 ____D () C:\WINDOWS1\erdnt Wyekstraktuj z niej ustawienia: 1. Do Notatnika wklej: Reg: reg load HKLM\TEMP C:\WINDOWS1\ERDNT\Hiv-backup\SYSTEM Reg: reg export HKLM\TEMP\ControlSet001\services\Tcpip "C:\Documents and Settings\User\Pulpit\Tcpip.reg" Reg: reg unload HKLM\TEMP Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Powstanie kolejny fixlog.txt + na Pulpicie Tcpip.reg. Dostarcz pierwszy plik, natomiast: 2. REG wymaga obróbki. Otwórz go do edycji w Notatniku, CTRL+H i "Zamień wszystko": HKEY_LOCAL_MACHINE\TEMP ... na: HKEY_LOCAL_MACHINE\SYSTEM Zapisz zmiany, zaimportuj plik do rejestru i zresetuj system. Panel sterowania > System > Zaawansowane > Uruchamianie i odzyskiwanie > Edytuj, co otworzy plik C:\boot.ini do edycji. Usuń z niego zakreślone linie i zapisz zmiany: [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS1 [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons UnsupportedDebug="do not select this" /debug multi(0)disk(0)rdisk(0)partition(1)\WINDOWS1="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

Takie losowe 7 znakowe suffiksy dodaje CTB-Locker, dane są nie do odszyfrowania: KLIK. Możesz się jeszcze upewnić jaką flagę wykrywa ID Tool. Będę usuwać pliki z sufiksami *.ulikqhb, więc te istotne sobie skopiuj gdzie indziej, a reszta z czeluści systemowych zostanie skasowania poniższym skryptem. Sprawy poboczne również do wykonania. Czyli: 1. Przez Dodaj/Usuń programy odinstaluj archaizm Google Desktop. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKU\S-1-5-21-329068152-1284227242-839522115-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-329068152-1284227242-839522115-1003\Software\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = http://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7 SearchScopes: HKU\S-1-5-21-329068152-1284227242-839522115-1003 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://supertoolbar.ask.com/redirect?client=ie&tb=ARS&o=15084&src=crm&q={searchTerms}&locale=en_US SearchScopes: HKU\S-1-5-21-329068152-1284227242-839522115-1003 -> {FF8821A1-C982-40C4-9910-8D0405FDAC31} URL = http://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7 Toolbar: HKU\S-1-5-21-329068152-1284227242-839522115-1003 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File FF Plugin HKU\.DEFAULT: @tools.google.com/Google Update;version=3 -> C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.22.3\npGoogleUpdate3.dll [2014-02-07] (Google Inc.) FF Plugin HKU\.DEFAULT: @tools.google.com/Google Update;version=9 -> C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google\Update\1.3.22.3\npGoogleUpdate3.dll [2014-02-07] (Google Inc.) FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension S2 MieszczaninHASPService; E:\ZUI Mieszczanin\Programy\KeyServer.exe [X] U2 CertPropSvc; No ImagePath C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\config\systemprofile\Ustawienia lokalne\Dane aplikacji\Google Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Desktop Search" /f Reg: reg delete HKLM\SOFTWARE\Mozilla\Thunderbird /f CMD: netsh firewall reset CMD: attrib -r -h -s C:\*.ulikqhb /s CMD: del /q /s C:\*.ulikqhb Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

kosa351, odpowiedź na pytanie co to za infekcja otrzymałeś, odszyfrowanie danych nie jest możliwe, ale należy się upewnić czy aktywne komponenty infekcji nie grasują, a do tego potrzebne raporty (KLIK).

Jak już powiedziane, odszyfrowanie danych niestety nie jest możliwe: KLIK. Ale należy się upewnić czy nie ma aktywnych śladów infekcji. SpyHunter to program z czarnej listy, z daleka od tego. "Addict thing" to wcale nie jest ta infekcja szyfrująca, lecz adware nie powiązane wcale z tematem. Są więc ogromne wątpliwości co ten dziadoski SpyHunter w zasadzie robił, brak raportu z niego. Nie ma tu żadnego dopwodu, że infekcja w pełni usunięta, gdyż brak obowiązkowych raportów: KLIK. Uzupełnij wszystkie wymagane dane.

Poprzednie zadania wykonane. Ważne zaszyfrowane dane skopiuj na jakiś izolowany nośnik, szans na odszyfrowanie obecnie brak, ale na wszelki wypadek to zrób. Będę masowo usuwać wszystkie pliki z sufiksami *_fudx@lycos.com: Otwórz Notatnik i wklej w nim: CMD: attrib -r -h -s C:\*_fudx@lycos.com /s CMD: del /q /s C:\*_fudx@lycos.com HKLM\...\Run: [GEST] => = HKLM\...\Run: [Disc Detector] => C:\Program Files\Creative\ShareDLL\CtNotify.exe HKLM\...\Run: [CTAvTray] => C:\Program Files\Creative\SBLive\Program\CTAvTray.EXE C:\Documents and Settings\All Users\Dane aplikacji\APN C:\Documents and Settings\All Users\Dane aplikacji\Ask C:\Documents and Settings\All Users\Dane aplikacji\Babylon C:\Documents and Settings\All Users\Dane aplikacji\McAfee C:\Documents and Settings\All Users\Dane aplikacji\McAfee Security Scan C:\Documents and Settings\All Users\Dane aplikacji\Sun C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\Maciek\Dane aplikacji\PerformerSoft C:\Documents and Settings\Maciek\Dane aplikacji\Sun C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\cache C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\Chromium C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\Lollipop C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\Mobogenie C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\Sun C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\WMTools Downloaded Files C:\Program Files\Java C:\Program Files\McAfee Security Scan C:\Program Files\Mobogenie C:\Program Files\Optimizer Pro C:\Program Files\SoftEther VPN Client C:\Program Files\Common Files\Java Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

W Firefox jest rozszerzenie Roll Around. Do przeprowadzenia następujące akcje; 1. Przez Panel sterowania odinstaluj zbędniki: Akamai NetSession Interface, McAfee Security Scan Plus. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\dprotectsvc.exe: [Debugger] tasklist.exe IFEO\jumpflip: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\searchinstaller.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\searchprotector.exe: [Debugger] tasklist.exe IFEO\searchsettings.exe: [Debugger] tasklist.exe IFEO\searchsettings64.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\umbrella.exe: [Debugger] tasklist.exe IFEO\utiljumpflip.exe: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe IFEO\websteroids.exe: [Debugger] tasklist.exe IFEO\websteroidsservice.exe: [Debugger] tasklist.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com URLSearchHook: HKLM - Default Value = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = SearchScopes: HKU\S-1-5-21-3906198643-2151299363-1251718266-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3906198643-2151299363-1251718266-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3906198643-2151299363-1251718266-1000 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = BBHO: No Name -> {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} -> No File FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll No File Task: {3042C6F7-C81A-4884-A358-8CD65D7D7150} - System32\Tasks\{7A25796B-3F1D-46AD-A4E0-393211C6BFBB} => pcalua.exe -a "D:\Program Files\Hi-Rez Studios\HiRezGamesDiagAndSupport.exe" -c uninstall=all Task: {6C0CE21F-A52A-47B0-A420-503871E63598} - System32\Tasks\{02E8244A-4E0F-412A-92DA-EBCD1507EB4F} => pcalua.exe -a "C:\Program Files\Common Files\Nero\Nero ProductInstaller 4\SetupX.exe" -c REMOVESERIALNUMBER="XM2C-50A9-HH4M-0ZM8-4X06-9P25-5A46-618P-AH19-6647" Task: {8DBFA5C8-E8CA-4ECB-8C29-125C4A4AF45F} - System32\Tasks\{8ED4AE12-097D-43C0-8793-043A7A9B8556} => pcalua.exe -a C:\Users\Mirek\Downloads\AutodeskDownloadManagerSetup.exe -d C:\Users\Mirek\Downloads Task: {B6FA9C7D-F968-456C-9570-BA94EE656EE8} - System32\Tasks\{EF77839D-E448-4709-A136-D2FF24748CEA} => Firefox.exe http://ui.skype.com/ui/0/6.20.0.104/pl/abandoninstall?page=tsProgressBar Reg: reg query "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /s EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. Potwierdź ustąpienie problemu.

SpyHunter i YAC to wątpliwe programy. Do przeprowadzenia nastyępujące operacje: 1. Przez Panel sterowania odinstaluj adware Round World, Yahoo! Search oraz stare wersje i zbędniki Adobe Flash Player 16 NPAPI, java 7 Update 79, McAfee Security Scan Plus. 2. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale rozszerzenie QuickJava trzeba będzie przeinstalować. menu Historia > Wyczyść historię przeglądania 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {237a87b5-881c-4fd8-b80a-c3b471ff75d7}t; C:\WINDOWS\System32\drivers\{237a87b5-881c-4fd8-b80a-c3b471ff75d7}t.sys [55824 2015-03-26] () [File not signed] R1 {3788502c-c1e8-40a8-8914-655def81ee5b}Gt; C:\WINDOWS\System32\drivers\{3788502c-c1e8-40a8-8914-655def81ee5b}Gt.sys [55824 2015-02-19] () [File not signed] R1 {72502b1b-b916-4994-814e-c516f9f681b2}Gt; C:\WINDOWS\System32\drivers\{72502b1b-b916-4994-814e-c516f9f681b2}Gt.sys [55824 2015-02-28] () [File not signed] R1 {8ec7a18b-bb06-4e8b-bc9b-34809b4a9468}Gt; C:\WINDOWS\System32\drivers\{8ec7a18b-bb06-4e8b-bc9b-34809b4a9468}Gt.sys [55824 2015-02-22] () [File not signed] R1 {8f5b8fd1-2f96-4fbf-974b-7f28fa0f93d7}Gt; C:\WINDOWS\System32\drivers\{8f5b8fd1-2f96-4fbf-974b-7f28fa0f93d7}Gt.sys [55824 2015-03-08] () [File not signed] R1 {97a224e4-fe41-4078-b1ef-069fe8cd6d9f}Gt; C:\WINDOWS\System32\drivers\{97a224e4-fe41-4078-b1ef-069fe8cd6d9f}Gt.sys [55824 2015-03-02] () [File not signed] R1 {b4e11afe-4c35-4044-965f-6641cc18f62e}Gt; C:\WINDOWS\System32\drivers\{b4e11afe-4c35-4044-965f-6641cc18f62e}Gt.sys [55824 2015-02-19] () [File not signed] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220150219 HKU\S-1-5-21-1801674531-1647877149-1606980848-500\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.yahoo.com/?fr=hp-ddc-bd&type=616_pr__alt__ddc_dsssyc_bd_com HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "http://q.search-simple.com/?m=tab&affID=na" SearchScopes: HKU\S-1-5-21-1801674531-1647877149-1606980848-500 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://q.search-simple.com/?affID=pr_378592e5-7eef-4407-b0be-e1db2e810c3d&q={searchTerms} SearchScopes: HKU\S-1-5-21-1801674531-1647877149-1606980848-500 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://q.search-simple.com/?affID=pr_378592e5-7eef-4407-b0be-e1db2e810c3d&q={searchTerms} C:\Program Files\Enigma Software Group C:\Program Files\Pay-By-Ads C:\Program Files\Round World C:\WINDOWS\455F074C814E4520B69B5584BD90400C.TMP C:\WINDOWS\System32\drivers\{237a87b5-881c-4fd8-b80a-c3b471ff75d7}t.sys C:\WINDOWS\System32\drivers\{3788502c-c1e8-40a8-8914-655def81ee5b}Gt.sys C:\WINDOWS\System32\drivers\{72502b1b-b916-4994-814e-c516f9f681b2}Gt.sys C:\WINDOWS\System32\drivers\{8ec7a18b-bb06-4e8b-bc9b-34809b4a9468}Gt.sys C:\WINDOWS\System32\drivers\{8f5b8fd1-2f96-4fbf-974b-7f28fa0f93d7}Gt.sys C:\WINDOWS\System32\drivers\{97a224e4-fe41-4078-b1ef-069fe8cd6d9f}Gt.sys C:\WINDOWS\System32\drivers\{b4e11afe-4c35-4044-965f-6641cc18f62e}Gt.sys Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż zablokuje FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Grisza to wieści sprzed roku - link do tego dekodera jest już od dawna w temacie (sekcja "Ransom - zaszyfrowane pliki" - trzecia pozycja). To jest dekoder do infekcji CryptoLocker - obecnie to już "stara infekcja", na dodatek nieaktywna: "The original CryptoLocker infection was disabled on June 2nd, 2014 when Operation Gameover took down its distribution network. Since then there have been numerous ransomware infections that have been released that utilize the CryptoLocker name. It should be noted that these infections are not the same infection that is discussed below. If you have recently been infected with something that is calling itself CryptoLocker, you are most likely infected with the TorrentLocker infection." Ten dekoder nie działa z innymi szyfratorami, teraz jest plaga innych nowszych infekcji szyfrujących do których nie ma żadnego dekodera. Przykłady z forum: CryptoWall, Win32.Shade, "india.com". To zaledwie kilka przykładów, jest tego znacznie więcej.

RegJump Strona domowa Platforma: Windows Vista do Windows 10 32-bit i 64-bit * Licencja: freeware RegJump - Miniaturowe narzędzie obsługiwane z linii komend, które otwiera zdefiniowaną lub skopiowaną do schowka ścieżkę rejestru w systemowym regedit. Są akceptowane standardowe formy ścieżki (np. HKEY_LOCAL_MACHINE) oraz ich skróty (np. HKLM). Narzędzie jest bardzo uproszczone i ma o wiele mniej parametrów niż linkowany powyżej RegJumper. Składnia polecenia: D:\Download\RegJump>regjump /? Regjump v1.1 Copyright © 2013-2015 Mark Russinovich Sysinternals - www.sysinternals.com usage: regjump |-c> -c Copy path from clipboard. e.g.: regjump HKLM\Software\Microsoft\Windows D:\Download\RegJump> Można utworzyć specjalny skrót uruchamiający skok do rejestru na podstawie ścieżki skopiowanej do schowka systemowego. Instrukcje tutaj. * Program jest 32-bitowy, tzn. że ma limitacje na systemie 64-bit. Wywołuje 32-bitową wersję regedit, w konsekwencji 64-bitowa część rejestru nie jest widziana i może nastąpić przeniesienie do niewłaściwego klucza. Np. próba otworzenia klucza HKLM\SOFTWARE doprowadzi do otworzenia 32-bitowego odpowiednika HKLM\SOFTWARE\Wow6432Node. Jeśli ktoś szuka poprawnie działającej 64-bitowej wersji obsługiwanej z linii komend, może skorzystać z linkowanego wcześniej RegJumpera, RegScanner z parametrami /regedit i /clipregedit lub NirCMD z parametrem regedit.

Wprawdzie poprzednie wpisy zostały usunięte, ale utworzyły się w międzyczasie nowe. Kolejne podejście: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [ZgN8ZyBhngoonJjN] => c:\documents and settings\bb\dane aplikacji\zgn8zybhngoonjjn\zgn8zybhngoonjjn.exe [812872 2015-04-13] (Google Inc.) HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [x28L9mM7M0TJLKtY4TnMv] => c:\documents and settings\bb\dane aplikacji\x28l9mm7m0tjlkty4tnmv\x28l9mm7m0tjlkty4tnmv.exe [889976 2015-04-07] (Opera Software) HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [bvIkyhS6eVotKhiDws] => c:\documents and settings\bb\dane aplikacji\bvikyhs6evotkhidws\bvikyhs6evotkhidws.exe [889976 2015-04-07] (Opera Software) C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software C:\Documents and Settings\bb\Dane aplikacji\BvIkyhS6eVotKhiDws C:\Documents and Settings\bb\Dane aplikacji\x28L9mM7M0TJLKtY4TnMv C:\Documents and Settings\bb\Dane aplikacji\ZgN8ZyBhngoonJjN EmptyTemp: Tak jak poprzednio: zapisz jako fixlist.txt obok FRST, wejdź w Tryb awaryjny (na konto bb) i opcja Fix w FRST. Gdy Fix ukończy pracę, nastąpi restart i powstanie kolejny fixlog.txt. 2. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz Farbar Service Scanner. Dołącz też plik fixlog.txt.

Notuję następujące problemy adware w przeglądarkach: - Firefox zainfekowany adware DiscountExt. - Google Chrome przekonwertowane przez adware MultiPlug do wersji "developerskiej" i na bank tam było lub jest jakieś niewidoczne w logu dodatkowe rozszerzenie adware. Wymagana reinstalacja od zera. - Opera ma zainstalowane rozszerzenie Zenmate. Jeśli to wersja darmowa, serwuje reklamy, które mogą tworzyć "overlay": KLIK. Ale spowolnienie sieci to może być z całkiem innej przyczyny, tzn. aktywność Panda Internet Security 2014 i doinstalowanych dodatkowych skanerów. Do przeprowadzenia następujące akcje: 1. Firefox: menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. menu Historia > Wyczyść historię przeglądania 2. Google Chrome: Wyeksportuj tylko zakładki. Zresetuj synchronizację (o ile włączona): KLIK. Odinstaluj przeglądarkę, zaznaczając podczas deinstalacji Usuń także dane przeglądarki. 3. W Operze odinstaluj Zenmate, jeśli to wersja darmowa serwująca reklamy. 4. Przez Panel sterowania odinstaluj dodatkowe skanery, stare wersje, zbędniki: Acrobat.com, Bitdefender 60-Second Virus Scanner, Bonjour, Java 7 Update 71, SUPERAntiSpyware. Sugeruję też przewertować firmowe oprogramowanie Acer i odinstalować co nie jest używane, co obniży liczbę uruchamianych procesów - np. CyberLink PowerDVD 9, MyWinLocker Suite, Norton Online Backup, wszystkie gry Oberon, pakiet Live Essentials. 5. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR HKLM\SOFTWARE\Policies\Google: Policy restriction SearchScopes: HKU\S-1-5-21-3030238434-3008618196-960345281-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3030238434-3008618196-960345281-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3030238434-3008618196-960345281-1001 -> {1C21D719-C031-482D-A625-A9A98863372B} URL = Toolbar: HKU\S-1-5-21-3030238434-3008618196-960345281-1001 -> No Name - {30CEEEA2-3742-40E4-85DD-812BF1CBB83D} - No File HKLM\...\Winlogon: [userinit] C:\Windows\SysWOW64\userinit.exe, BootExecute: autocheck autochk * PCloudBroom64.exe \systemroot\system32\BroomData.bit Task: {EEB95C0A-9515-4DC1-B7D6-9E93B520CFB0} - System32\Tasks\{297C785B-E46A-4172-BE39-1E59FADA07D0} => pcalua.exe -a "C:\GOG Games\Planescape Torment\Setup-GhostDog's-PST-UI.exe" -d "C:\GOG Games\Planescape Torment" Task: {F3B69E76-FCEB-42A9-88BE-72AC309B2B6C} - System32\Tasks\{3F25AC42-5546-4903-AC1C-E71A6801619F} => pcalua.exe -a E:\GraphPad.Prism.v5.01.Retail.Incl.Keymaker-ZWT\setup.exe -d E:\GraphPad.Prism.v5.01.Retail.Incl.Keymaker-ZWT S3 AmUStor; \SystemRoot\system32\drivers\AmUStor.SYS [X] C:\Program Files (x86)\ActiveDiscount C:\Program Files (x86)\AdDToThis C:\Program Files (x86)\Mozilla Firefox\extensions C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\SpaceCCoeuPonuApp C:\Program Files (x86)\The Key for YouTube C:\ProgramData\*.bdinstall.bin C:\ProgramData\{6102b12a-c37a-1cde-6102-2b12ac37c4ab} C:\ProgramData\{c5a24645-6934-8e8c-c5a2-246456931915} C:\ProgramData\2609058157272681152 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mount&Blade Warband C:\ProgramData\Temp C:\Users\Kaktus\AppData\Roaming\appdataFr3.bin C:\Users\Kaktus\AppData\Roaming\Microsoft\Word\Final%20Year%20project%20report%20(draft)304393153058117901\Final%20Year%20project%20report%20(draft).docx.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 6. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal są problemy.

Ten "rootkit" w GMER to bibilioteka SUPERAntiSpyware wszczepiona do explorer.exe: ---- Processes - GMER 2.1 ---- Library C:\Program Files\SUPERAntiSpyware\SASCTXMN.DLL (*** hidden *** ) @ C:\Windows\Explorer.EXE [1984] 0x10000000 Ogólnie w raportach brak oznak czynnej infekcji, do usunięcia będą tylko pozycja SpyHunter (wątpliwy skaner-oszust!) oraz stare źle wyczyszczone wpisy wyglądające na pochodną ZeroAccess + inne drobne śmietki, ale to potem - one nie mają znaczenia w kontekście zgłaszanych problemów, są martwe. Proszę zaprezentuj log Avira pokazujący owe "próby modyfikacji rejestru". Na razie najmocniejszy kandydat to inwazyjny sterownik DAEMON Tools: R1 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [242240 2012-11-12] (DT Soft Ltd) Avira będzie wykrywać czynności tych specyficznych sterowników, niekiedy klasyfikując je jako "rootkit".

To był tylko komentarz ogólny, a widoczne wpisy w logu, w tym wpisy portalu Instalki, już dawno zostały przetworzone w Fixie FRST. AdwCleaner nie zajmuje się konkretnie polskimi Asystentami tylko skutkami ich działania, ale w niekompletnym zakresie. Co wykrył: szczątki adware, w tym stare, niektóre niekoniecznie pochodzą od "Asystentów". Kolejna porcja czynności: 1. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres do-search.com, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy do-search.com. 2. Dopiero po tych akcjach uruchom ponownie AdwCleaner i wybierz opcje Szukaj + Usuń, dostarcz wynikowy log AdwCleanerS0.txt.

W temacie wyszczególniasz detekcję "QVM10.0", w podanym wyciągu skanera zaś "QVM28.0" - to na pewno odpowiedni log? A sama (heurustyczna zresztą) detekcja nie wygląda mi na zagrożenie, ten komponent zdaje się należeć do PunkBuster Services: C:\Users\Agnieszka\AppData\Local\PunkBuster\BF3\pb \pbsv.dll HEUR/QVM28.0.Malware.Gen Deleted A czy przypadkiem tu nie jest na odwrót i to usuwanie 360 Internet Security (uszkodzenie PunkBuster) powoduje ten efekt? W raportach brak jakichkolwiek oznak czynnej infekcji i moim zdaniem jej tu nie ma. Natomiast jest inny poważny problem: zmasakrowanie systemu potężnymi instalacjami pakietów zabezpieczających - równolegle aktywnie działają 360 Internet Security, Avast Free Antivirus, Kaspersky PURE 3.0. Spowolnienie systemu ma tu jak najbardziej uzasadnienie, co więcej, mnie aż dziwi, że system się uruchomił! Należy szybko sprawę rozwiązać i odinstalować dwa wybrane z trzech wyliczanych. Sugeruję zostawić albo Avast, albo Kasperskiego i wyrzucić chiński produkt. Po akcji zrób nowe logi FRST (włącznie z Addition) mające przedstawić wykonanie zadania.

Czynnej infekcji już tu nie widać, tylko szczątki po adware, ale jest inny grubszy problem - działa wspólnie Avast z niepoprawnie pozornie odinstalowanym McAfee (sterowniki czynne). Do wdrożenia następujące akcje: 1. Deinstalacje: - Wejdź w Tryb awaryjny i zastosuj McAfee Consumer Product Removal Tool. - Opuść Tryb awaryjny. Odinstaluj w normalny sposób ten stary zintegrowany z Acer Norton Online Backup. 2. Otwórz Notatnik i wklej w nim: CreateRestorePoint: Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Tt.2.126.2015.rar.lnk [2015-03-08] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220140914 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220140914 SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-570667405-809793547-468171985-1002 -> DefaultScope {DCB811C6-E54A-4D26-92BB-64B90605BF8C} URL = SearchScopes: HKU\S-1-5-21-570667405-809793547-468171985-1002 -> {DCB811C6-E54A-4D26-92BB-64B90605BF8C} URL = SearchScopes: HKU\S-1-5-21-570667405-809793547-468171985-1002 -> {ED4235A7-3875-48B4-8E8B-9AB4FDEC7DC8} URL = http://rts.dsrlte.com/?affID=na&q={searchTerms}&r=404 S3 cpuz136; \??\C:\Users\user\AppData\Local\Temp\cpuz136\cpuz136_x64.sys [X] S3 IntcAzAudAddService; \SystemRoot\system32\drivers\RTKVHD64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefire => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefirek => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfefirek.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfevtp => ""="Driver" C:\Program Files (x86)\CoupMania C:\Program Files (x86)\WhiatteCoUpon C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\{c7505c27-787c-1612-c750-05c27787709d} C:\ProgramData\8831565796815270903 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games\All MMO Games.lnk C:\Users\user\AppData\Local\Mozilla C:\Users\user\AppData\Roaming\Mozilla C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\RtkGUI.lnk Folder: C:\Windows\SchCache Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v Tt.2.126.2015.rar.lnk /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{37476589-E48E-439E-A706-56189E2ED4C4} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{11F6D5AB-263F-388E-74DE-E3DECD390E3F} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\HKU\S-1-5-21-570667405-809793547-468171985-1001\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\HKU\S-1-5-21-570667405-809793547-468171985-1001\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

To jest definitywnie infekcja - imitacje "Acronis", "Google", "Opera" i "Microsoft". Zaś polityka "HideSCAHealth" nie występuje na systemie XP, więc została dodana wtórnie. Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [!@#$%^&*] => C:\Documents and Settings\bb\Dane aplikacji\startup\sys.exe [512000 2015-04-17] (Acronis) HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [eg5XuyfZ0ykrIxsvQ] => c:\documents and settings\bb\dane aplikacji\eg5xuyfz0ykrixsvq\eg5xuyfz0ykrixsvq.exe [812872 2015-04-13] (Google Inc.) HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [2Z0ofjLEZs8cgcCVr] => c:\documents and settings\bb\dane aplikacji\2z0ofjlezs8cgccvr\2z0ofjlezs8cgccvr.exe [812872 2015-04-13] (Google Inc.) HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [3Vn1VN1ivAWgwrF3Dd2FZ] => c:\documents and settings\bb\dane aplikacji\3vn1vn1ivawgwrf3dd2fz\3vn1vn1ivawgwrf3dd2fz.exe [638816 2009-03-08] (Microsoft Corporation) HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [pgJv7QIqye34HnxVFQp2AvU] => c:\documents and settings\bb\dane aplikacji\pgjv7qiqye34hnxvfqp2avu\pgjv7qiqye34hnxvfqp2avu.exe [812872 2015-04-13] (Google Inc.) HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [kSar2vrcUkqx] => c:\documents and settings\bb\dane aplikacji\ksar2vrcukqx\ksar2vrcukqx.exe [889976 2015-04-07] (Opera Software) HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Run: [C2DMmTRHdH4] => c:\documents and settings\bb\dane aplikacji\c2dmmtrhdh4\c2dmmtrhdh4.exe [638816 2009-03-08] (Microsoft Corporation) HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Policies\Explorer: [TaskbarNoNotification] 1 HKU\S-1-5-21-1547161642-1935655697-1801674531-1004\...\Policies\Explorer: [HideSCAHealth] 1 HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File FF Plugin: @Microsoft.com/NpCtrl,version=1.0 -> c:\Program Files\Microsoft Silverlight\5.1.30514.0\npctrl.dll No File FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension S3 MSICDSetup; \??\E:\CDriver.sys [X] C:\Documents and Settings\All Users\Menu Start\Programy\Google Chrome\Google Chrome.lnk C:\Documents and Settings\All Users\Pulpit\Google Chrome.lnk C:\Documents and Settings\All Users\Pulpit\Opera.lnk C:\Documents and Settings\bb\Dane aplikacji\2Z0ofjLEZs8cgcCVr C:\Documents and Settings\bb\Dane aplikacji\3Vn1VN1ivAWgwrF3Dd2FZ C:\Documents and Settings\bb\Dane aplikacji\C2DMmTRHdH4 C:\Documents and Settings\bb\Dane aplikacji\eg5XuyfZ0ykrIxsvQ C:\Documents and Settings\bb\Dane aplikacji\kSar2vrcUkqx C:\Documents and Settings\bb\Dane aplikacji\pgJv7QIqye34HnxVFQp2AvU C:\Documents and Settings\bb\Dane aplikacji\startup C:\Documents and Settings\bb\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Documents and Settings\bb\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Opera.lnk C:\Documents and Settings\bb\Moje dokumenty\SafePCRepair.exe C:\WINDOWS\avastSS.scr C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\Drivers\*.tmp Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wejdź w Tryb awaryjny (loguj się na konto bb a nie Administratora). Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Opuść Tryb awaryjny. Drobniejsze rzeczy: - Przez Dodaj/Usuń programy odinstaluj sponsorowany wtręt McAfee Security Scan Plus oraz adware Search App by Ask. - Na wszelki wypadek przeinstaluj przeglądarki. Dodatkowo zresetuj cache wtyczek Google Chrome, by usuinąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut) oraz GMER. Dołącz też plik fixlog.txt.

Ale przecież mówię, byś pominął krok numer 1 i wdrożył punkty 2 (usuwanie komponentów Google skryptem FRST) + 3 (nowa instalacja Google Chrome).

Logi z przestarzałego OTL nie są tu już obowiązkowe, ani brane pod uwagę. Usuwam. Infekcji w rozumieniu trojanów / wirusów tu nie widać, są tylko polityki Google (zapewne wprowadzone przez jakieś adware) i drobne szczątki adware, ale to nie wiąże się z problemem Avast. 1. Wejdź w Tryb awaryjny Windows i zastosuj Avast Uninstall Utility. Po tym dopiero pozostałe problemy: 2. Opuść Tryb awaryjny. Via Dodaj/Usuń programy odinstaluj starocie i zbędniki: Adobe Flash Player 16 PPAPI, Adobe Shockwave Player 11.5, Browser Configuration Utility, Java 7 Update 7. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Run: [GEST] => ] HKU\S-1-5-21-1085031214-1960408961-682003330-1002\...\Run: [Clownfish] => [X] S3 EagleXNt; \??\C:\WINDOWS\system32\drivers\EagleXNt.sys [X] Task: C:\WINDOWS\Tasks\avast! Emergency Update.job => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HomePage: Default -> hxxp://isearch.\u003C!--- Page(page_conn_problem_waiting)=[] --->\u003CHTML>\u003CHEAD>\u003CMETA HTTP-EQUIV=\ CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-04-03] CHR HKLM\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx [2015-04-03] SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420820123&from=cor&uid=WDCXWD1600AAJS-00L7A0_WD-WMAV3505620256202&q={searchTerms} SearchScopes: HKU\S-1-5-21-1085031214-1960408961-682003330-1002 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420820123&from=cor&uid=WDCXWD1600AAJS-00L7A0_WD-WMAV3505620256202&q={searchTerms} SearchScopes: HKU\S-1-5-21-1085031214-1960408961-682003330-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420820123&from=cor&uid=WDCXWD1600AAJS-00L7A0_WD-WMAV3505620256202&q={searchTerms} SearchScopes: HKU\S-1-5-21-1085031214-1960408961-682003330-1002 -> {FD63BF63-BFFF-4B8F-9D26-4267DF7F17DD} URL = http://www.google.com/custom?q={searchTerms}&sa.x=0&sa.y=0&safe=active&client=pub-3794288947762788&forid=1&channel=1975384696&ie=UTF-8&oe=UTF-8&hl=en&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1 HKU\S-1-5-21-1085031214-1960408961-682003330-1002\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie_rsearch.html Toolbar: HKLM - No Name - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - No File C:\Documents and Settings\All Users\Dane aplikacji\0c3a7392-abfa-41f5-95a9-5e339ac76b7b C:\Documents and Settings\All Users\Dane aplikacji\AVAST Software C:\Documents and Settings\All Users\Dane aplikacji\LogMeIn C:\Documents and Settings\All Users\Dane aplikacji\Nexon C:\Documents and Settings\Marzena\servers.def C:\Documents and Settings\Marzena\servers.def.lkg C:\Documents and Settings\Marzena\servers.def.vpx C:\Documents and Settings\Marzena\Dane aplikacji\AVAST Software C:\Documents and Settings\Marzena\Dane aplikacji\BANDISOFT C:\Documents and Settings\Marzena\Dane aplikacji\Mozilla C:\Documents and Settings\Marzena\Dane aplikacji\Skype\My Skype Received Files\Bandicam(1).lnk C:\Documents and Settings\Marzena\Dane aplikacji\Skype\My Skype Received Files\Bandicam.lnk C:\Documents and Settings\Marzena\Dane aplikacji\Skype\My Skype Received Files\EPSON Scan.lnk C:\Documents and Settings\Marzena\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences C:\Documents and Settings\Marzena\Ustawienia lokalne\Dane aplikacji\Mozilla C:\Program Files\AVAST Software C:\Program Files\Mozilla Firefox C:\Program Files\XTab C:\WINDOWS\jumpshot.com C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\system32\*.tmp C:\WINDOWS\system32\servers.def C:\WINDOWS\system32\servers.def.lkg C:\WINDOWS\system32\servers.def.vpx C:\WINDOWS\system32\Drivers\*.tmp CMD: dir /a "C:\Documents and Settings" Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /f Reg: reg delete HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /f Reg: reg delete HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. W Google Chrome: Zresetuj synchronizację (o ile włączona), opcja numer 2: KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Avast SafePrice (o ile nadal będzie widoczny). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Documents and Settings\Marzena\Menu Start\Programy\Akcesoria\Narzędzia systemowe Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt.

Niestety "fud@india.com" to jest kolejny wariant szyfratora "decode@india.com" (KLIK), do którego nie ma dekodera i nie jest możliwe odszyfrowanie plików... Infekcja jest aktywna, więc zajmę się jej usuwaniem, ale zaszyfrowane dane to sprawa która jest nie do rozwiązania, jeśli nie posiadasz kopii zapasowej cennych danych. Poboczne problemy: źle doczyszczone komponenty adware oraz ślady używania SpyHunter (to wątpliwy program z czarnej listy!). W kwestii usuwania infekcji per se i reszty problemów: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Documents and Settings\Maciek\Menu Start\Programy\Autostart\16B.tmp () Startup: C:\Documents and Settings\Maciek\Menu Start\Programy\Autostart\sign.bmp () R1 tStLibG; C:\WINDOWS\System32\drivers\tStLibG.sys [55232 2014-04-16] (StdLib) S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] R3 MBAMSwissArmy; \??\C:\WINDOWS\system32\drivers\MBAMSwissArmy.sys [X] HKLM\...\Run: [mobilegeni daemon] => C:\Program Files\Mobogenie\DaemonProcess.exe HKU\S-1-5-21-1229272821-789336058-1801674531-1003\...\Policies\Explorer: [NoDriveTypeAutoRun] 0x5F000000 HKU\S-1-5-21-1229272821-789336058-1801674531-1003\...\Policies\Explorer: [] CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hppp&ts=1420993831&from=cor&uid=SAMSUNGXHD252HJ_S17HJDWQA06107" CHR HKLM\...\Chrome\Extension: [aaaaojmikegpiepcfdkkjaplodkpfmlo] - C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\APN\GoogleCRXs\apnorjtoolbar.crx [Not Found] CHR HKLM\...\Chrome\Extension: [bopakagnckmlgajfccecajhnimjiiedh] - http://clients2.google.com/service/update2/crx FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension HKU\S-1-5-21-1229272821-789336058-1801674531-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1420993831&from=cor&uid=SAMSUNGXHD252HJ_S17HJDWQA06107&q={searchTerms} SearchScopes: HKU\S-1-5-21-1229272821-789336058-1801674531-1003 -> DefaultScope {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^PL&apn_uid=CFF8E933-8E17-4C7D-8158-65C2CF33152E&apn_sauid=9AC4230A-F7C9-449D-BFE5-7BA08C1F44B2 SearchScopes: HKU\S-1-5-21-1229272821-789336058-1801674531-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1229272821-789336058-1801674531-1003 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL = http://websearch.ask.com/redirect?client=ie&tb=ORJ&o=100000027&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=^U3&apn_dtid=^OSJ000^YY^PL&apn_uid=CFF8E933-8E17-4C7D-8158-65C2CF33152E&apn_sauid=9AC4230A-F7C9-449D-BFE5-7BA08C1F44B2 SearchScopes: HKU\S-1-5-21-1229272821-789336058-1801674531-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = Toolbar: HKU\S-1-5-21-1229272821-789336058-1801674531-1003 -> No Name - {D4027C7F-154A-4066-A1AD-4243D8127440} - No File C:\Documents and Settings\All Users\Dane aplikacji\Malwarebytes C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{7027C693-118E-487F-8C19-D2869A5E62CE} C:\Documents and Settings\Maciek\daemonprocess.txt.id-7656544852_fudx@lycos.com C:\Documents and Settings\Maciek\Dane aplikacji\Babylon C:\Documents and Settings\Maciek\Dane aplikacji\sign.bmp C:\Documents and Settings\Maciek\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK C:\Documents and Settings\Maciek\Moje dokumenty\Optimizer Pro C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences C:\Program Files\Enigma Software Group C:\Program Files\Malwarebytes Anti-Malware C:\Program Files\Mozilla Firefox\plugins C:\WINDOWS\455F074C814E4520B69B5584BD90400C.TMP C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\System32\drivers\tStLibG.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Documents and Settings\All Users\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\Maciek\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\Maciek\Ustawienia lokalne\Dane aplikacji" Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Jeśli po powyższym usywaniu tło Pulpitu zrobi się "puste", wejdź do opcji ustawiania tapety i wybierz dowolny niezaszyfrowany obraz. 3. Przez Dodaj/Usuń programy odinstaluj stare wersje i zbędniki: Java 7 Update 45, McAfee Security Scan Plus. 4. W Google Chrome: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy omiga-plus oraz niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Hitman nie jest darmowy, ale powinien umożliwić usuwane na trialu, jak to w innych tematach się dzieje. Może był używany już wcześniej i czasokres triala "wygasł", stąd prośba o rejestrację. Te wykryte rzeczy są błahe i można je usunąć na różne sposoby ręcznie. 1. Pobierz ponownie FRST. Otwórz Notatnik i wklej w nim: DeleteKey: HKU\S-1-5-21-4209209786-2917733824-1122995674-1000\Software\AppDataLow\Software\Conduit DeleteKey: HKU\S-1-5-21-4209209786-2917733824-1122995674-1000_Classes\Wow6432Node\CLSID\{80922ee0-8a76-46ae-95d5-bd3c3fe0708d} DeleteKey: HKU\S-1-5-21-4209209786-2917733824-1122995674-1001_Classes\Wow6432Node\CLSID\{80922ee0-8a76-46ae-95d5-bd3c3fe0708d} Reg: reg delete "HKU\S-1-5-21-4209209786-2917733824-1122995674-1001\Software\Microsoft\Internet Explorer\Approved Extensions" /v {4D2D3B0F-69BE-477A-90F5-FDDB05357975} /f Reg: reg delete "HKU\S-1-5-21-4209209786-2917733824-1122995674-1001\Software\Microsoft\Internet Explorer\Approved Extensions" /v {98889811-442D-49DD-99D7-DC866BE87DBC} /f Reg: reg delete "HKU\S-1-5-21-4209209786-2917733824-1122995674-1001\Software\Microsoft\Internet Explorer\TabbedBrowsing" /v bProtectNewTabPageShow /f Reg: reg delete "HKU\S-1-5-21-4209209786-2917733824-1122995674-1001\Software\Microsoft\Internet Explorer\TabbedBrowsing" /v bProtectShowTabsWelcome /f CMD: del /q "C:\Users\samsung\Desktop\Programiki [RÓŻNIASTE]\tatowy\MIO_350_w\MIO P350 user guide provided through pdfretriever.com.exe" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt. 2. Wyczyść Tymczasowe pliki internetowe Internet Explorer oraz Cookies Google Chrome z poziomu opcji przeglądarek.