picasso

Zaaplikuj DelFix, wyczyść foldery Przywracania systemu oraz zaktualizuj systemowy IE: KLIK. To tyle.

Mnóstwo obiektów adware (Omiga, SecretSauce, TornTV, protektory ustawień...), niektóre to stare nabytki. Układ wygląda jakby nastąpiły niepoprawne deinstalacje w przeszłości. Dodatkowo, adware przekonwertowało przeglądarkę Google Chrome z wersji stabilnej do developerskiej i jest konieczna kompleksowa reinstalacja przeglądarki. Działania wstępne: 1. Przez Panel sterowania odinstaluj: - Adware IB Updater 2.0.0.574, Incredibar Toolbar on IE oraz nieszczęsne Google Chrome. Podczas deinstalacji Chrome zaznacz Usuń także dane przeglądarki - resztę doczyści mój skrypt poniżej. - Stare wersje: Adobe Flash Player 10 ActiveX, Adobe Flash Player 10 Plugin, Adobe Reader 9.3, Java™ 6 Update 18 (64-bit), Java™ 6 Update 20. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {345422e3-72fa-447a-9550-97803edfacf3}w64; C:\Windows\System32\drivers\{345422e3-72fa-447a-9550-97803edfacf3}w64.sys [44736 2014-09-17] (StdLib) R1 {352d129e-e588-40fa-9038-31a1fb6f0382}w64; C:\Windows\System32\drivers\{352d129e-e588-40fa-9038-31a1fb6f0382}w64.sys [48784 2014-11-28] (StdLib) R1 {55dce8ba-9dec-4013-937e-adbf9317d990}w64; C:\Windows\System32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}w64.sys [61072 2014-07-30] (StdLib) R1 {84f71dda-7f74-46a2-afdb-c945e69c0195}w64; C:\Windows\System32\drivers\{84f71dda-7f74-46a2-afdb-c945e69c0195}w64.sys [48784 2014-11-29] (StdLib) R1 {d6059be8-658c-492d-9d69-8d9d3e79bd94}w64; C:\Windows\System32\drivers\{d6059be8-658c-492d-9d69-8d9d3e79bd94}w64.sys [48784 2014-11-27] (StdLib) R2 IB Updater; C:\Program Files\IB Updater\ExtensionUpdaterService.exe [188760 2013-01-29] () [File not signed] R2 IHProtect Service; C:\Program Files (x86)\STab\ProtectService.exe [158864 2014-11-10] (TODO: ) R2 trntv; C:\Users\kamila\AppData\Roaming\TornTV.com\TornTVSvc.exe [19456 2014-11-18] (Cool Mirage) [File not signed] R2 Update SecretSauce; C:\Program Files (x86)\SecretSauce\updateSecretSauce.exe [668912 2015-01-30] () R2 Util SecretSauce; C:\Program Files (x86)\SecretSauce\bin\utilSecretSauce.exe [668912 2015-01-30] () R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [485888 2014-12-21] (Fuyu LIMITED) [File not signed] S2 Update Deal Keeper; "C:\Program Files (x86)\Deal Keeper\updateDealKeeper.exe" [X] GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction ShortcutWithArgument: C:\Users\kamila\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044 ShortcutWithArgument: C:\Users\kamila\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044 ShortcutWithArgument: C:\Users\kamila\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044 ShortcutWithArgument: C:\Users\kamila\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://isearch.omiga-plus.com/?type=sc&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga?type=hppppppppppppppppppppppppppp HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga?type=hppppppppppppppppppppppppppp HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga?type=hppppppppppppppppppppppppppp HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga?type=hppppppppppppppppppppppppppp HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044&q={searchTerms} HKU\S-1-5-21-3710172743-1884364204-1846472682-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omigaweb/?type=dspp&q={searchTerms} HKU\S-1-5-21-3710172743-1884364204-1846472682-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga?type=hppppppppppppppppppppppppppp HKU\S-1-5-21-3710172743-1884364204-1846472682-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga?type=hppppppppppppppppppppppppppp HKU\S-1-5-21-3710172743-1884364204-1846472682-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omigaweb/?type=dspp&q={searchTerms} SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044&q={searchTerms} SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044&q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044&q={searchTerms} SearchScopes: HKLM-x32 -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={2FE4820D-EF83-480A-968F-491480974FD8} SearchScopes: HKU\S-1-5-21-3710172743-1884364204-1846472682-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omigaweb/?type=dspp&q={searchTerms} SearchScopes: HKU\S-1-5-21-3710172743-1884364204-1846472682-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omigaweb/?type=dspp&q={searchTerms} SearchScopes: HKU\S-1-5-21-3710172743-1884364204-1846472682-1000 -> {4F418588-A1F5-44E3-88F5-52069FEA48D3} URL = http://rts.dsrlte.com/?affID=na&q={searchTerms}&r=463 SearchScopes: HKU\S-1-5-21-3710172743-1884364204-1846472682-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = SearchScopes: HKU\S-1-5-21-3710172743-1884364204-1846472682-1000 -> {CFF4DB9B-135F-47c0-9269-B4C6572FD61A} URL = http://mystart.incredibar.com/mb128/?search={searchTerms}&loc=IB_DS&a=6R8LWvXlwE&i=26 SearchScopes: HKU\S-1-5-21-3710172743-1884364204-1846472682-1000 -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = http://search.sweetim.com/search.asp?src=6&crg=3.1010000&st=12&q={searchTerms}&barid={2FE4820D-EF83-480A-968F-491480974FD8} BHO: McAfee Phishing Filter -> {27B4851A-3207-45A2-B947-BE8AFE6163AB} -> c:\PROGRA~1\mcafee\msk\MSKAPB~1.DLL No File BHO: QuueeNCouipon -> {31774e43-6993-4aa2-91f4-66989fc74424} -> C:\ProgramData\QuueeNCouipon\cbEONXJBpOtUHj.x64.dll () BHO: IB Updater -> {336D0C35-8A85-403a-B9D2-65C292C39087} -> C:\Program Files\IB Updater\Extension64.dll () BHO: BetterPRiceChec -> {694b827a-e406-4638-86d9-c708ea6d31d8} -> C:\ProgramData\BetterPRiceChec\JUa5fjAJzB0tph.x64.dll () BHO: LuckyCoaupon -> {f53af872-162d-4957-97d6-32daf1dc8a18} -> C:\ProgramData\LuckyCoaupon\lIrn8of3G0mPdU.x64.dll () BHO-x32: SecretSauce 1.0.0.7 -> {0ffd0ef2-dbe9-483a-80c4-d2c331da1ce4} -> C:\Program Files (x86)\SecretSauce\SecretSauceBHO.dll (SecretSauce) BHO-x32: McAfee Phishing Filter -> {27B4851A-3207-45A2-B947-BE8AFE6163AB} -> c:\progra~1\mcafee\msk\mskapbho.dll No File BHO-x32: IB Updater -> {336D0C35-8A85-403a-B9D2-65C292C39087} -> C:\Program Files\IB Updater\Extension32.dll () BHO-x32: No Name -> {5C255C8A-E604-49b4-9D64-90988571CECB} -> No File BHO-x32: Incredibar.com Helper Object -> {6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99} -> C:\Program Files (x86)\Incredibar.com\incredibar\1.5.11.14\bh\incredibar.dll (Montera Technologeis LTD) BHO-x32: IplexToALLPlayer -> {DF925EF3-7A87-44E4-9CAF-8D7B280BF616} -> C:\PROGRA~2\ALLPLA~1\Iplex\IPLEXT~1.DLL No File Toolbar: HKLM - avast! WebRep - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File Toolbar: HKLM-x32 - Incredibar Toolbar - {F9639E4A-801B-4843-AEE3-03D9DA199E77} - C:\Program Files (x86)\Incredibar.com\incredibar\1.5.11.14\incredibarTlbr.dll (Montera Technologeis LTD) Toolbar: HKU\S-1-5-21-3710172743-1884364204-1846472682-1000 -> No Name - {EEE6C35B-6118-11DC-9C72-001320C79847} - No File Handler: empbook - {F4673987-2C36-49e4-B23C-29DF753D84A5} - C:\Program Files (x86)\eMPendium\eMPendiumHandler.dll No File StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe http://isearch.omiga-plus.com/?type=sc&ts=1419167351&from=ild&uid=SAMSUNGXHM321HI_S26YJDQZ409044 HKU\S-1-5-21-3710172743-1884364204-1846472682-1000\...\Run: [ALLUpdate] => "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" C:\Program Files\IB Updater C:\Program Files (x86)\Google\Chrome C:\Program Files (x86)\SecretSauce C:\Program Files (x86)\STab C:\ProgramData\1078601655 C:\ProgramData\BetterPRiceChec C:\ProgramData\LuckyCoaupon C:\ProgramData\QuueeNCouipon C:\ProgramData\WindowsMangerProtect C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALLPlayer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\kamila\AppData\Local\Google\Chrome C:\Users\kamila\AppData\Local\Mozilla C:\Users\kamila\AppData\Local\Pay-By-Ads C:\Users\kamila\AppData\Roaming\Mozilla C:\Users\kamila\AppData\Roaming\TornTV.com C:\Users\kamila\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ALLPlayer.lnk C:\Users\kamila\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\TornTV.com C:\Users\kamila\Desktop\dokumenty\DRUKI Gofin.lnk C:\Windows\System32\drivers\{345422e3-72fa-447a-9550-97803edfacf3}w64.sys C:\Windows\System32\drivers\{352d129e-e588-40fa-9038-31a1fb6f0382}w64.sys C:\Windows\System32\drivers\{55dce8ba-9dec-4013-937e-adbf9317d990}w64.sys C:\Windows\System32\drivers\{84f71dda-7f74-46a2-afdb-c945e69c0195}w64.sys C:\Windows\System32\drivers\{d6059be8-658c-492d-9d69-8d9d3e79bd94}w64.sys Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ALLUpdate" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ChomikBox" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\msnmsgr" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\kamila\AppData\Local CMD: dir /a C:\Users\kamila\AppData\LocalLow CMD: dir /a C:\Users\kamila\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

OK, AdwCleaner dokasował szczątki adware. Ostatni skrypt do FRST - do Notatnika wklej: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Krz\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\Krz\Desktop\b2ucwwue.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Przerwij działanie FRST i dostarcz te dane: Prawdopodobnie fixlog.txt będzie nagrany, tylko jako niecały.

Kończymy: 1. Przez SHIFT+DEL skasuj z Pulpitu folder Stare dane programu Firefox. 2. Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zaktualizuj Java: KLIK.

Nie rozumiem do czego to odnosisz. Nieaktywna usługa WindowsMangerProtect kierująca na plik ProtectWindowsManager.exe to właśnie ów tytułowy "rootkit". Dlatego uwzględniłam dwie nazwy opcji, starą i nową. Fix wykonany. Na wszelki wypadek jeszcze uruchom AdwCleaner. Wybierz tylko opcję Szukaj (na razie nie stosuj Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

1. W linii komend cmd wyegzekwuj jeszcze polecenie chkdsk /f /r i zresetuj system. 2. Zaprezentuj nowy raport z FRST, który ma zobrazować w jaki sposób przeprowadziłeś czysty rozruch.

Pomyliłeś się, nie prosiłam o log z FRST (usuwam) tylko z Farbar Service Scanner. Podmień załącznik w poście powyżej. A co do skanu MBAM, to coś szybko jesteś, to na pewno był pełny skan a nie ekspresowy?

Czy są jakieś zmiany? SFC wykrył i naprawił uszkodzone pliki: 2015-02-03 19:06:04, Info CSI 00000229 [sR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:20{10}]"wmpdxm.dll" from store 2015-02-03 19:06:04, Info CSI 0000022a [sR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:22{11}]"icardie.dll" from store 2015-02-03 19:06:06, Info CSI 0000022c [sR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:24{12}]"imageres.dll" from store 2015-02-03 19:06:07, Info CSI 0000022d [sR] Repairing corrupted file [ml:58{29},l:56{28}]"\??\C:\Windows\system32\wbem"\[l:42{21}]"Wdf01000Uninstall.mof" from store 2015-02-03 19:06:07, Info CSI 0000022e [sR] Repairing corrupted file [ml:58{29},l:56{28}]"\??\C:\Windows\system32\wbem"\[l:24{12}]"Wdf01000.mof" from store 2015-02-03 19:06:07, Info CSI 00000230 [sR] Repairing corrupted file [ml:520{260},l:46{23}]"\??\C:\Windows\System32"\[l:22{11}]"uxtheme.dll" from store 2015-02-03 19:06:07, Info CSI 00000231 [sR] Repairing corrupted file [ml:520{260},l:82{41}]"\??\C:\Windows\System32\LogFiles\Firewall"\[l:20{10}]"mpssvc.dat" from store

Wszystko zrobione. Jak mówię, gdy się ujawnią na dysku C jakieś defekty w programach, trzeba przeinstalować, by uzupełnić określone dane. Np. niektóre rozszerzenia Google Chrome (Adblock Plus, Enhance Sream, Google Wallet) są uszkodzone obecnie. Możemy przejść do kolejnego zestawu czynności: 1. Na wszelki wypadek zrób log z Farbar Service Scanner. 2. Poprzednio skanery były blokowane przy udziale polityk oprogramowania. Obecnie grunt czysty. Uruchom Malwarebytes Anti-Malware i zrób pełny skan komputera. Jeśli coś znajdzie, przedstaw wynikowy raport.

Posługujesz się starszą wersją FRST, najnowsza jest z wczoraj. WindowsMangerProtect to protektor adware, nabyty w grupie innych adware na jeden z tych sposobów: KLIK. Przypuszczalnie uruchomiłeś jakiś "downloader" portalowy, programy zasadnicze mogą być niewinne. Wg raportów usługa WindowsMangerProtect jest wyłączona (obiekt nieczynny), należy ją po prostu w całości usunąć. Dodatkowo jeszcze są ślady przekierowań isearch.omiga-plus.com. Akcje do wdrożenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S4 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [485888 2014-12-25] (Fuyu LIMITED) [File not signed] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1419542396&from=cor&uid=WDCXWD800BB-55JKC0_WD-WCAMD471537215372&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419542396&from=cor&uid=WDCXWD800BB-55JKC0_WD-WCAMD471537215372&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://isearch.omiga-plus.com/?type=sc&ts=1419542396&from=cor&uid=WDCXWD800BB-55JKC0_WD-WCAMD471537215372 Task: {05F55DCD-84DC-4552-9EF0-78D50BAC2708} - System32\Tasks\{25922866-79D0-4659-9DCC-1FF082DA0829} => pcalua.exe -a C:\Users\Krz\Desktop\1153320512\install.exe -d C:\Users\Krz\Desktop\1153320512 Task: {6E9304E0-8A19-4C36-B2BF-7E2B17FBB320} - System32\Tasks\{F9B0ABA5-EF81-4953-9722-9E963F3C5227} => pcalua.exe -a C:\Users\Krz\Desktop\1252073814-Editing-Kit\NFS5carpartsEditor.v0.8d\setup.exe -d C:\Users\Krz\Desktop\1252073814-Editing-Kit\NFS5carpartsEditor.v0.8d CustomCLSID: HKU\S-1-5-21-1842147718-165999632-1959978785-1001_Classes\CLSID\{8E1BC32D-DFF4-DC05-18E0-06A277D07930}\InprocServer32 -> No File Path CustomCLSID: HKU\S-1-5-21-1842147718-165999632-1959978785-1001_Classes\CLSID\{9AE11967-97BC-B56D-7CF7-EA1B9D5A80E6}\InprocServer32 -> No File Path HKU\S-1-5-21-1842147718-165999632-1959978785-1001\Software\Classes\.exe: => HKU\S-1-5-21-1842147718-165999632-1959978785-1001\Software\Classes\exefile: C:\ProgramData\TEMP C:\ProgramData\WindowsMangerProtect C:\Users\Krz\AppData\Local\pcc.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox: menu Pomoc > Informacje dla pomocy technicznej > Zresetuj / Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 3. Napraw uszkodzony niepoprawnym czyszczeniem Omiga specjalny skrót IE. W pasku eksploratora wklej ścieżkę i ENTER: C:\Users\Krz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Czas może wydłużać komenda EmptyTemp:, jeszcze nie przerywaj działania. A opcje Whitelist nie mają żadnego znaczenia w tym kontekście, to opcje związane z funkcją Scan a nie Fix.

Z dysku C usunę wszystkie zaszyfrowane pliki, one głównie siedzą w różnych folderach aplikacji i to nie są istotne rzeczy (braki obrazków czy dokumentów łatwo uzupełnić reinstalując dany program). Z dysku D usunę tylko pliki typu HELP_DECRYPT.*, pozostawiam zaszyfrowane dane z suffiksami kcirdgd i wxeezfd. Kolejna akcja - do Notatnika wklej: CMD: del /q /s C:\*kcirdgd* CMD: del /q /s C:\*wxeezfd* CMD: del /q /s D:\HELP_DECRYPT.* Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Temat przenoszę do działu Vista. Brak oznak infekcji. Uwagi wstępne: 1. Odinstaluj stary Ashampoo Anti-Malware v.1.21 (komponenty z 2010/2011). Dodatkowo, zdeaktywuj zintegrowany Windows Defender wyłączając usługę WinDefend w msconfig w sekcji Usługi. 2. W Dzienniku zdarzeń błędy: Application errors: ================== Error: (02/03/2015 11:49:03 AM) (Source: ESENT) (EventID: 455) (User: ) Description: Catalog Database (1796) Catalog Database: Wystąpił błąd -1023 (0xfffffc01) podczas otwierania pliku dziennika C:\Windows\system32\CatRoot2\edb.log. Error: (02/03/2015 11:49:03 AM) (Source: ESENT) (EventID: 489) (User: ) Description: Catalog Database (1796) Catalog Database: Próba otwarcia pliku "C:\Windows\system32\CatRoot2\edb.log" w trybie tylko do odczytu zakończyła się niepomyślnie z błędem systemowym 3 (0x00000003): "System nie może odnaleźć określonej ścieżki. ". Operacja otwierania pliku zostanie zakończona z błędem -1023 (0xfffffc01). Error: (02/03/2015 11:49:03 AM) (Source: ESENT) (EventID: 455) (User: ) Description: Catalog Database (1796) Catalog Database: Wystąpił błąd -1023 (0xfffffc01) podczas otwierania pliku dziennika C:\Windows\system32\CatRoot2\edb.log. Error: (02/03/2015 11:49:03 AM) (Source: ESENT) (EventID: 489) (User: ) Description: Catalog Database (1796) Catalog Database: Próba otwarcia pliku "C:\Windows\system32\CatRoot2\edb.log" w trybie tylko do odczytu zakończyła się niepomyślnie z błędem systemowym 3 (0x00000003): "System nie może odnaleźć określonej ścieżki. ". Operacja otwierania pliku zostanie zakończona z błędem -1023 (0xfffffc01). Error: (02/03/2015 11:49:03 AM) (Source: ESENT) (EventID: 490) (User: ) Description: Catalog Database (1796) Catalog Database: Próba otwarcia pliku "C:\Windows\system32\CatRoot2\edb.chk" w trybie odczytu lub zapisu zakończyła się niepomyślnie z błędem systemowym 3 (0x00000003): "System nie może odnaleźć określonej ścieżki. ". Operacja otwierania pliku zostanie zakończona z błędem -1023 (0xfffffc01). Prawdopodobnie tymczasowe z powodu użycia: C:\Users\Uzytkownik\Downloads\Reset_Windows_Update_Full.bat Jaki był powód zastosowania tego BAT resetującego? 3. Czy była jakakolwiek diagnostyka sprzętowa? Mysz optyczna? A jeśli, to jaka podkładka (chaotyczne wzory czy gładka)? Albo brak oprogramowania, które tworzy ingerencje, albo jest to szybki a nie pełny skan.

Do wypróbowania kolejne akcje: 1. Tzw. czysty rozruch: KLIK. 2. Weryfikacja poprawności plików systemowych: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklej komendę i ENTER: sfc /scannow Gdy komenda ukończy działanie, w cmd wklej kolejną: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log >sfc.txt & start notepad sfc.txt Wynikowy log dołącz tutaj.

Kolejna porcja czynności: 1. Uruchom AdwCleaner ponownie, lecz tym razem zastosuj kombinację Szukaj + Usuń. Gdy AdwCleaner ukończy czyszczenie: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\TDSSKiller_Quarantine Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls" /v Tabs /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 3. Z zaszyfrowanymi danymi nie jestem w stanie nic zrobić, ale podaj spis takich plików z dysku C. Uruchom FRST, w polu Search wklej: *kcirdgd*;*wxeezfd* Klik w Search Files i przedstaw wynikowy log./ Może być ogromny. Jeśli nie wejdzie do załącznika, skorzystaj z wklej.org lub innego serwisu hostingowego. Akcje prowadzę dla dysku C, ale jest tu też dysk D i tam też powinna być miazga szyfracyjna. Jaki rodzaj danych trzymasz na tym dysku?

Na koniec zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zaktualizuj Adobe Reader i Java: KLIK.

1. Nadal jest ustawiona tapeta malware, choć się nie wyświetla. Panel sterowania > Wygląd i personalizacja > Zmień tło Pulpitu i ustaw cokolwiek. 2. Kolejne poprawki. Otwórz Notatnik i wklej w nim: CHR Extension: (PriceDownloader) - C:\Users\XX\AppData\Local\Google\Chrome\User Data\Default\Extensions\fiegkapaipiohdadhdlhokfbjlemifdd [2014-11-03] Reg: reg query "HKCU\Control Panel\Desktop" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Znajomy powinien na wszelki wypadek wykonać pełny skan antywirusowy. Możesz, o ile nie są to pliki wykonywalne i HTML.

Wszystko pomyślnie przeprowadzone. Drobna poprawka. Otwórz Notatnik i wklej w nim: S1 iSafeKrnlMon; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlMon.sys [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\WINDOWS\system32\log CMD: del /q C:\Users\Zuzanna\Downloads\c2l4ltm5.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Nie wiem co się stało z linkiem (ucięło kreskę) - tu jest poprawny: Avira Registry Cleaner. Poprzednie linki też poprawiłam.

AdwCleaner widzi jeszcze kolekcję śmieci. Poprawki: 1. Uruchom AdwCleaner ponownie, lecz tym razem wybierz opcje Szukaj + Usuń. Po tym czyszczeniu: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Documents and Settings\user\Pulpit\Stare dane programu Firefox Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Czy są jeszcze jakieś problemy?

Dzięki. Temat rozwiązany. Zamykam.

Proszę nie wyciągaj bieżącego pliku Fixlog z katalogu C:\FRST\Logs - tam jest archiwum. Prosiłam wcześniej o to, bo uruchomiłeś Fix więcej niż raz. Obecnie masz dostarczać tylko plik bieżący, a ten jest zawsze tam skąd uruchamiasz FRST. Tapeta została podmieniona przez CTB-Locker. Usuwałam powiązany plik Decrypt-All-Files-kcirdgd.bmp. Mówisz, że wróciła do normy. Swoją drogą nie dało się wcześniej tego zmienić w Panel sterowania > Wygląd i personalizacja > Zmień tło Pulpitu? Fix wykonany, ale tu nie koniec działań. Jeszcze dużo przed nami: 1. W Google Chrome nadal jest rozszerzenie adware PriceDownloader. Czy jest jakiś problem z deinstalacją? 2. Pozostałe poprawki pod kątem odinstalowanych aplikacji oraz masowych plików HELP_DECRYPT.*. Otwórz Notatnik i wklej w nim: S3 MBAMSwissArmy; C:\Windows\system32\drivers\5BE5457A.sys [114904 2015-02-03] (Malwarebytes Corporation) C:\Program Files\AVG Security Toolbar C:\Program Files\Common Files\Aimersoft C:\Program Files\Common Files\GeoVid C:\Program Files\Common Files\Grupa Image C:\Program Files\Common Files\PC Tools C:\Program Files\Common Files\Symantec Shared C:\Program Files\Common Files\Ulead Systems C:\Program Files\Common Files\xara C:\Program Files\dumps C:\Program Files\Grupa IMAGE C:\Program Files\HEX C:\Program Files\Malwarebytes Anti-Malware C:\Program Files\screenSHU C:\Program Files\Temp C:\Program Files\Total Video Converter C:\ProgramData\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F} C:\ProgramData\25ebdc4eb7321999 C:\ProgramData\APN C:\ProgramData\Apple C:\ProgramData\Ashampoo C:\ProgramData\AVAST Software C:\ProgramData\Avg_Update_0814tb C:\ProgramData\CouponFactory C:\ProgramData\DAEMON Tools Lite C:\ProgramData\EA Core C:\ProgramData\Electronic Arts C:\ProgramData\Easy Driver Pro C:\ProgramData\Firefly Studios C:\ProgramData\Gadu-Gadu 10 C:\ProgramData\GoldWave C:\ProgramData\House Of Soft C:\ProgramData\mufin C:\ProgramData\NokiaMusic C:\ProgramData\OpenFM C:\ProgramData\PC Suite C:\ProgramData\Pinnacle C:\ProgramData\RoboForm C:\ProgramData\saveron C:\ProgramData\STOIK C:\ProgramData\Sun C:\ProgramData\TuneUp Software C:\ProgramData\Web Installer C:\ProgramData\WEBREG C:\Users\XX\AppData\Local\.# C:\Users\XX\AppData\Local\Apple C:\Users\XX\AppData\Local\Apple Computer C:\Users\XX\AppData\Local\Aimersoft C:\Users\XX\AppData\Local\Ashampoo Movie Studio C:\Users\XX\AppData\Local\cache C:\Users\XX\AppData\Local\CrashRpt C:\Users\XX\AppData\Local\DayZ C:\Users\XX\AppData\Local\DDMSettings C:\Users\XX\AppData\Local\Electronic Arts C:\Users\XX\AppData\Local\GamersFirst C:\Users\XX\AppData\Local\GGEmpire C:\Users\XX\AppData\Local\GHISLER C:\Users\XX\AppData\Local\globalUpdate C:\Users\XX\AppData\Local\ICSharpCode.net C:\Users\XX\AppData\Local\Installer C:\Users\XX\AppData\Local\IVONA_INST C:\Users\XX\AppData\Local\Seven Zip C:\Users\XX\AppData\Local\SteelSeries_ApS C:\Users\XX\AppData\Local\WMTools Downloaded Files C:\Users\XX\AppData\Local\Xara C:\Users\XX\AppData\LocalLow\SkwConfig.bin C:\Users\XX\AppData\LocalLow\72C8C5EA C:\Users\XX\AppData\LocalLow\Apple Computer C:\Users\XX\AppData\LocalLow\Goobzo C:\Users\XX\AppData\LocalLow\Siber Systems C:\Users\XX\AppData\LocalLow\SimplyTech C:\Users\XX\AppData\LocalLow\Temp C:\Users\XX\AppData\LocalLow\TheTorntv V10 C:\Users\XX\AppData\Roaming\.# C:\Users\XX\AppData\Roaming\app C:\Users\XX\AppData\Roaming\Apple Computer C:\Users\XX\AppData\Roaming\CertifiedToolsToolbar C:\Users\XX\AppData\Roaming\Cream Software C:\Users\XX\AppData\Roaming\D2Info0 C:\Users\XX\AppData\Roaming\DAEMON Tools Lite C:\Users\XX\AppData\Roaming\DeepBurner C:\Users\XX\AppData\Roaming\dll-files.com C:\Users\XX\AppData\Roaming\DMCache C:\Users\XX\AppData\Roaming\Dofus-2.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1 C:\Users\XX\AppData\Roaming\Dofus.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1 C:\Users\XX\AppData\Roaming\Dofus2 C:\Users\XX\AppData\Roaming\DofusAppId0_1 C:\Users\XX\AppData\Roaming\DofusAppId0_2 C:\Users\XX\AppData\Roaming\Firefly Studios C:\Users\XX\AppData\Roaming\FreeAudioPack C:\Users\XX\AppData\Roaming\GameCenter C:\Users\XX\AppData\Roaming\GeoVid C:\Users\XX\AppData\Roaming\GetRightToGo C:\Users\XX\AppData\Roaming\GHISLER C:\Users\XX\AppData\Roaming\Grupa IMAGE C:\Users\XX\AppData\Roaming\gtk-2.0 C:\Users\XX\AppData\Roaming\IDM C:\Users\XX\AppData\Roaming\Iduqofen C:\Users\XX\AppData\Roaming\iFree C:\Users\XX\AppData\Roaming\MegaCloud C:\Users\XX\AppData\Roaming\mIRC C:\Users\XX\AppData\Roaming\mplayer C:\Users\XX\AppData\Roaming\Nokia C:\Users\XX\AppData\Roaming\PC Suite C:\Users\XX\AppData\Roaming\proDAD C:\Users\XX\AppData\Roaming\RoboForm C:\Users\XX\AppData\Roaming\skypePM C:\Users\XX\AppData\Roaming\SumatraPDF C:\Users\XX\AppData\Roaming\Tibia C:\Users\XX\AppData\Roaming\TuneUp Software C:\Users\XX\AppData\Roaming\Ulead Systems C:\Users\XX\AppData\Roaming\Ventrilo C:\Users\XX\AppData\Roaming\vlc C:\Users\XX\AppData\Roaming\VOIPlay C:\Windows\system32\Drivers\5BE5457A.sys Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Desktop\components" /f Reg: reg query "HKCU\Control Panel\Desktop" CMD: type "C:\Program Files\plugins.ini" CMD: dir /a C:\Users\XX\AppData\Local\Programs CMD: attrib -r -h -s C:\HELP_DECRYPT.* /s CMD: del /q /s C:\HELP_DECRYPT.* Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, ostatnie dwie komendy jadące po dysku rekursywnie mogą spowodować długi czas oczekiwania. Przedstaw wynikowy fixlog.txt. Plik może być bardzo duży.

Czy po kliknięciu w Zmień na pewno nie ma opcji deinstalacji? Jeśli nie, to załatwi sprawę ten punkt: