picasso

Poprzednie akcje wprawdzie wykonane, ale znów nabyłeś niepotrzebne instalacje. Pojawił się McAfee Security Scan, wślizgnął się on poprzez nieuważną instalację Adobe Flash: KLIK. 1. Odinstaluj McAfee Security Scan. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 ALSysIO; \??\C:\Users\NIIESM~1\AppData\Local\Temp\ALSysIO64.sys [X] C:\ProgramData\eMule C:\ProgramData\Gadu-Gadu 10 C:\ProgramData\GridinSoft C:\ProgramData\InstallMate C:\ProgramData\McAfee C:\ProgramData\Nero C:\ProgramData\mntemp C:\ProgramData\Oracle C:\ProgramData\Real C:\ProgramData\RealHideIP C:\ProgramData\Seyarch-iNewyTabb C:\ProgramData\Sun C:\ProgramData\TuneUp Software EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nastąpi restart. Powstanie kolejny plik fixlog.txt. 3. Korekta DNS pobieranych z routera musi się odbyć na poziomie routera: Tcpip\Parameters: [DhcpNameServer] 81.162.208.2 208.67.222.222 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

W systemie działa aktywnie adware Click Caption, ponadto są różne ślady ingerencji hijackera Omiga. Akcje do wykonania: 1. Przez Dodaj/Usuń programy odinstaluj adware Click Caption 1.10.0.5 oraz stare wersje Adobe Reader X (10.1.6) - Polish, Java 7 Update 7, Mozilla Firefox 19.0 (x86 pl). Przy deinstalacji Firefox zaznacz opcję usuwania "danych użytkownika". 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hp&ts=1419946325&from=cor&uid=WDCXWD2500YS-01SHB1_WD-WCANY279006490064" StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://isearch.omiga-plus.com/?type=sc&ts=1419946325&from=cor&uid=WDCXWD2500YS-01SHB1_WD-WCANY279006490064 FF StartMenuInternet: FIREFOX.EXE - C:\Program Files\Mozilla Firefox\firefox.exe http://isearch.omiga-plus.com/?type=sc&ts=1419946325&from=cor&uid=WDCXWD2500YS-01SHB1_WD-WCANY279006490064 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1419946325&from=cor&uid=WDCXWD2500YS-01SHB1_WD-WCANY279006490064&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1419946325&from=cor&uid=WDCXWD2500YS-01SHB1_WD-WCANY279006490064&q={searchTerms} HKU\S-1-5-21-1229272821-1592454029-839522115-1003\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKU\S-1-5-21-1229272821-1592454029-839522115-1003\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch URLSearchHook: [s-1-5-21-1229272821-1592454029-839522115-1004] ATTENTION ==> Default URLSearchHook is missing. S3 cpuz136; \??\C:\DOCUME~1\dom\USTAWI~1\Temp\cpuz136\cpuz136_x32.sys [X] Winlogon\Notify\WgaLogon: WgaLogon.dll [X] HKU\S-1-5-21-1229272821-1592454029-839522115-1003\...\RunOnce: [FlashPlayerUpdate] => C:\WINDOWS\system32\Macromed\Flash\FlashUtil32_15_0_0_246_Plugin.exe -update plugin C:\Documents and Settings\dom\Dane aplikacji\mainhst.zgh C:\Documents and Settings\dom\Dane aplikacji\omiga-plus C:\Documents and Settings\dom\Dane aplikacji\Opera Software\Opera Stable\Local Storage\*localstorage* C:\Documents and Settings\dom\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences C:\Documents and Settings\dom\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Documents and Settings\dom\Ustawienia lokalne\Dane aplikacji\WMTools Downloaded Files C:\Program Files\ClickCaption_1.10.0.5 C:\Program Files\SupTab Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Documents and Settings\dom\Dane aplikacji\Opera Software\Opera Stable\Extensions CMD: type "C:\Documents and Settings\dom\Dane aplikacji\Opera Software\Opera Stable\Preferences" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Napraw uszkodzony specjalny skrót Internet Explorer. W pasku adresów eksploratora wklej poniższą ścieżkę i ENTER: C:\Documents and Settings\dom\Menu Start\Programy\Akcesoria\Narzędzia systemowe Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

ComboFix nic ciekawego nie robił. Na przyszłość: unikać jego używania, do usuwania adware nie jest też specjalnie dostosowany. Poprzednie zadania pomyślnie wykonane. Czy są jeszcze jakieś problemy? Ostatni skrypt do FRST. Otwórz Notatnik i wklej w nim: CMD: del /q C:\Users\Manikowscy\Downloads\qcuxgmdy.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ComboFix RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Manikowscy\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Users\Manikowscy\Downloads\FRST-OlderVersion RemoveDirectory: C:\Windows\erdnt Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Podałam konkretny zakres usług z zestawy Zapory do naprawy, tzn. tylko MpsSvc i SharedAccess. Naprawa Mpsdrv była zbędna, podobnie jak BFE. BFE nie możesz "naprawić", bo usługi nie brakuje i jej stan wyklucza import danych (uruchomiona + uprawnienia). To co zaleciłam do wykonania zostało już wykonane. Z usługami skończyliśmy. Teraz: 1. Uruchom AdwCleaner. Wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner. 2. Podaj orientacyjną listę zakresu szyfrowania danych (tylko na dysku C), czyli pliki z doklejonym ciągiem itqjnld. Uruchom SystemLook x64 i w oknie wklej: :filefind *itqjnld* Klik w Look i podaj wynikowy log. Uwaga: log może być potwornie duży i nie wejść w załączniki. W takiej sytuacji shostuj go gdzieś (np. wklej.org, a jeśli i dla tego serwisu za duża wklejka, to spakuj do ZIP i użyj inny hosting). Mam też pytanie: czy obecnie tapeta systemowa jest poprawnie ustawiona? Piję do tego, że infekcja szyfrująca manipuluje w ustawieniach tapety.

adece, przecież nie wykonałeś zadań jak należy. Nie odinstalowałeś przestarzałego F-Secure. Po drugie nie uruchomiłeś skryptu FRST - to nadal jak najbardziej aktualne, bo w systemie są inne rzeczy wymagające korekty (m.in. wpisy adware Conduit). 1. Czyli do wykonania zaległe punkty: deinstalacja F-Secure oraz cały punkt numer 2 (ze skryptu wytnij jednak linię Hosts:, gdyż to już niepotrzebne). 2. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Za efekt zapewne odpowiada to zadanie w Harmonogramie zadań inicjujące konsolowy amd.bat: ==================== Scheduled Tasks (whitelisted) ============= Task: {09089979-D918-4175-8024-D38EBE8BFF2F} - System32\Tasks\Catalyst Control Center => C:\Program Files (x86)\ATI Technologies\ATI.ACE\amd.bat [2015-01-20] () Zanim podam jego usuwanie, proszę otwórz w Notatniku plik C:\Program Files (x86)\ATI Technologies\ATI.ACE\amd.bat i przeklej tu jego zawartość.

Na przyszłość podawaj link do alternatywnego tematu, bym nie musiała wyszukiwać. Temat jest tu: KLIK. Widzę, że posługiwałeś się wątpliwym skanerem SpyHunter - z daleka od tego reklamiarza. Czyszczenie na tamtym forum było niedokładne (nie sprawdzono też wyników Fixlog). Po pierwsze metoda usuwania rozszerzeń adware z przeglądarek nie gwarantująca ich pełnego usunięcia (kasowanie folderu Chrome z dysku NIE usuwa w pełni rozszerzenia). Po drugie nie zostały zlikwidowane wszystkie skutki infekcji adware - zostałeś z przeglądarką Google Chrome przekonwertowaną przez adware z wersji stabilnej do developerskiej. To oznacza otwarcie na adware w przyszłości, Chrome nie zablokuje niepożądanych operacji (blokada jest tylko w wersji stabilnej). Konieczna całkowita reinstalacja przeglądarki. Chrome: ======= CHR dev: Chrome dev build detected! Przy okazji, była tam próba usuwania poniższego nieszkodliwego elementu DAEMON Tools, próba się nie udała tylko nie było Fixlog to dowodującego. To produkt aktywności sterownika SPTD emulacji. Sterownik (mający jako "producenta" zawsze nazwę związaną z kontrolerem dysku = tu AMD) jest losowy i zmienia nazwy przy każdym restarcie systemu. Nie da się go "usunąć" - on zniknie w pełni po całkowitym ubiciu emulatora SPTD. I nic z tym nie trzeba robić, dopóki działa DAEMON Tools. U3 aot7jlil; C:\Windows\System32\Drivers\aot7jlil.sys [0 ] (Advanced Micro Devices) Obecnie w systemie już inna nazwa: U3 a6grwy0i; C:\Windows\System32\Drivers\a6grwy0i.sys [0 ] (Advanced Micro Devices) Działania poprawkowe pod kątem Google oraz wpisów odpadkowych / po odinstalowanych programach: 1. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {04B578FB-6C1C-4A41-B1C9-6DCAB5DF1AB0} - System32\Tasks\{024B06CC-9D95-449F-87E7-E9EB4C4D8F7D} => msiexec.exe /package "C:\Users\Piotrek\Downloads\Windows Defender 1.1.1593.0 PL .msi" Task: {29094F0F-38A3-49DA-BC19-FA79E38CC45B} - System32\Tasks\Microsoft\Microsoft Antimalware\Microsoft Antimalware Scheduled Scan => C:\Program Files\Microsoft Security Client\MpCmdRun.exe Task: {2F175C2D-0D98-46EC-B3ED-50EAD4E3A286} - System32\Tasks\{A3205480-6B17-4F84-B31F-66365B9C92EA} => msiexec.exe /package "C:\Users\Piotrek\Downloads\Windows Defender 1.1.1593.0 PL .msi" Task: {536E7D1A-89B8-49D6-BD25-4A5BC37BE198} - System32\Tasks\{5E2A602B-0F31-4961-AFAE-A029D4FD2DFA} => msiexec.exe /package "C:\Users\Piotrek\Downloads\WindowsDefender(dobreprogramy.pl).msi" Task: {5516E73D-E346-4FAB-93F9-2739A2B5F09C} - System32\Tasks\Driver Booster SkipUAC (Piotrek) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe Task: {6DA73A18-D9B6-485C-AD21-BDC19157EE46} - System32\Tasks\{5C676BB8-A143-4A65-8D47-F92CD6FD8EC5} => msiexec.exe /package "C:\Users\Piotrek\Downloads\WindowsDefender(dobreprogramy.pl).msi" Task: {E9AA4610-4FD4-4045-AC0D-E6EDA0039ACD} - System32\Tasks\{1C89FACA-BF17-4C90-8389-872C16B8D186} => msiexec.exe /package "C:\Users\Piotrek\Desktop\Windows Defender 1.1.1593.0 PL .msi" Task: {EE521B9C-6E14-4EF2-89E6-D3A4584BBA7F} - System32\Tasks\{64EB8821-2CF0-4307-BEB4-6F8A26CD8960} => pcalua.exe -a C:\Users\Piotrek\Downloads\DC3Setup_33(dobreprogramy.pl)\setup.exe -d C:\Users\Piotrek\Downloads\DC3Setup_33(dobreprogramy.pl) BootExecute: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com C:\Program Files (x86)\Google C:\ProgramData\Freemake C:\ProgramData\install_clap C:\ProgramData\IObit C:\ProgramData\Temp C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HTC Home C:\Users\Piotrek\AppData\Local\Google C:\Users\Piotrek\AppData\Local\WorldofTanks C:\Users\Piotrek\AppData\Local\Zemana C:\Users\Piotrek\AppData\Roaming\snotebook 2.0.exe C:\Users\Piotrek\AppData\Roaming\16487 C:\Users\Piotrek\AppData\Roaming\Foxmail7 C:\Users\Piotrek\AppData\Roaming\gBurner C:\Users\Piotrek\AppData\Roaming\IObit C:\Users\Piotrek\AppData\Roaming\Tencent C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\The Bat!.LNK C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Steam C:\Users\Piotrek\Start Menu\Programs\SpyHunter C:\Windows\SysWOW64\ZALSDKCore.dll Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: dir /a C:\Users\Piotrek EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót Internet Explorer: Shortcut: C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) W pasku adresów eksploratora wklej ścieżkę C:\Users\Piotrek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools i ENTER. Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK (wersję 32-bit lub 64-bit, do wyboru). 5. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

Proponuję jednak całkowicie odinstalować ESET dla testu. Po tym poprawić ESET Uninstaller z poziomu Trybu awaryjnego. Po akcji zostawić komputer na obserwacji (nie instalując żadnych antywirusów "przejściowych"), by się upewnić czy ta instalacja ma coś do rzeczy.

Na koniec: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu, a jeśli potrzebna Java to wyposaż się w najnowszą wersję: KLIK.

Opisz w jaki sposób "rozwiązałeś" problem. Jeśli odbywało się to na innym forum, podaj link do tematu. Prośba o dostarczenie obowiązkowych logów nadal aktualna.

AdwCleaner ani nie służy do usuwania takich programów, ani nie jest poprawną metodą usuwania tego typu aplikacji - to jest antywirus oparty o sterowniki poziomu kernel. Zawsze należy daną aplikację (nawet adware) w pierwszej kolejności próbować odinstalować, bo brutalne usuwanie na chama może mieć skutki uboczne (większe śmietnisko). Niechciany Kingsoft należy w poprawny sposób odinstalować. Figuruje on na liście zainstalowanych pod następującą krzaczastą nazwą: ==================== Installed Programs ====================== 新毒霸(悟空) (HKLM\...\Kingsoft Internet Security) (Version: 2015.0.5 - Kingsoft Internet Security) Jaki jest problem z jego odinstalowaniem? Czy chodzi o to, że nie rozumiesz przycisków / nie możesz się domyślić co one proponują? Czy może jakiś błąd się pojawia?

Temat sklejam z poprzednim. To nie jest problem infekcji. Raporty FRST są używane także do analizy pozainfekcyjnych przyczyn, w tym jednak przypadku nie zawierają żadnych kierunków działań. Jedyne co widać to tylko relatywny błąd w Menedżerze urządzeń: ==================== Faulty Device Manager Devices ============= Name: Unknown Device Description: Unknown Device Class Guid: {36fc9e60-c465-11cf-8056-444553540000} Manufacturer: (Standardowy kontroler hosta USB) Service: Problem: : Windows has stopped this device because it has reported problems. (Code 43) Resolution: One of the drivers controlling the device notified the operating system that the device failed in some manner. For more information about how to diagnose the problem, see the hardware documentation. Nie, to nie jest powiązane. Po prostu zainstalowany był kiedyś jakiś program do nagrywania lub masterowania płyt CD/DVD który używa tego sterownika emulacji. Jak widać w raportach sterownik cholernie stary i 32-bitowy, dlatego jest blokowany na systemie 64-bit (wymagane natywne podpisane cyfrowo sterowniki). Sterownik jest nieczynny, ale można go całkowicie wywalić: S1 StarOpen; C:\Windows\SysWow64\Drivers\StarOpen.sys [5632 2006-07-24] () W Autoruns w karcie Drivers skasować StarOpen. Po tym z dysku ręcznie usunąć plik C:\Windows\SysWow64\Drivers\StarOpen.sys. Ta operacja nie ma związku z problemem USB.

Zadanie wykonane. Skasuj z dysku plik C:\Delfix.txt. Temat rozwiązany. Zamykam.

Teraz zastosuj DelFix oraz wyczyść foldery Przywracania systemu i spróbuj utworzyć nowy punkt Przywracania systemu: KLIK. Proszę potwierdź, że operacje z Przywracaniem nie zwracają błędu, gdyż raport FRST Addition notował błąd WMI (niemożność poboru danych).

Wszystko zrobione. Ostatnie poprawki. Otwórz Notatnik i wklej w nim: Reg: reg delete HKLM\SOFTWARE\Google /f CMD: del /q C:\Users\User\Downloads\rl6jt5r5.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\User\Downloads\FRST-OlderVersion Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Potwierdzam wykonanie zadania. Skasuj z dysku plik C:\Delfix.txt. Temat rozwiązany. Zamykam.

Czy próbowałeś TestDisk? Czy są jakieś wyniki z przywracaniem poprzedniego układu i danych?

"Fun Dial" było, ale już go nie widać. Natomiast "inoeonmfapjbbkmdafoankkfajkcphgd" widziałam w logu i myśląc, że to niewidoczny na liście rozszerzeń odpadek (nazwa nie jest interpretowana, pokazywane ID rozszerzenia jako nazwa) załączyłam w skrypcie FRST. Twój opis definitywnie wskazuje, że nie był to jednak szczątek tylko pełne rozszerzenie. Usunięcie folderu z dysku nie usuwa wpisu rozszerzenia z listy zainstalowanych. To mamy z głowy. Wszystko zrobione. Idziemy dalej. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Run: [] => [X] BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll No File HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\00824150.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\10881240.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\24602589.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\00824150.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\10881240.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\24602589.sys => ""="Driver" C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Uninstall Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IsoBuster\IsoBuster w sieci.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IsoBuster\Pomoc.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\IsoBuster\Zamów teraz.lnk C:\Users\Public\Documents\GOOBZO CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\admin\AppData\Local CMD: dir /a C:\Users\admin\AppData\LocalLow CMD: dir /a C:\Users\admin\AppData\Roaming Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\admin\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\admin\AppData\Roaming\Opera Software\Opera Stable\Preferences" EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Powstanie kolejny plik fixlog.txt. Zaprezentuj go.

krystiankash, brak danych, zasady działu co jest tu obowiązkowe (raporty): KLIK. Uzupełnij dane.

Ale mój Boże ... Co Ty mi podajesz! Pobrałeś jakiś lewy program DoctorPC. Ty masz pobrać FRST. Wszystko przecież z obrazkami opisane w przyklejonym: KLIK. Na obrazkach widać jak program wygląda, jakie pliki tworzy. Raporty mają zostać doczepione w postaci załączników a nie wklejane w poście.

Oba tematy łączę. adela, są tu dwa zagadnienia: 1. Zaszyfrowane dane. Pełny opis infekcji tu: KLIK. Już wszystko zostało powiedziane na ten temat. Bardzo mi przykro, ale nic nie da się zrobić więcej w zakresie odzysku danych. Z raportów wiadomo, że infekcja wyczyściła na zero magazyn kopii cieniowych (brak jakichkolwiek punktów Przywracania systemu) i że jest tu najnowsza wersja CTB-Locker, która tworzy losowe suffiksy. W Twoim przypadku są to *.vzrufdd. 2015-01-01 23:23 - 2015-01-01 23:23 - 00002112 _____ () C:\Users\Serge_2\Downloads\Oryginalna nazwa pliku.TXT.vzrufdd Prawdopodobnie pełna lista zaszyfrowanych plików jest w tym pliku HTML: 2015-01-19 20:30 - 2015-01-19 20:35 - 0543439 _____ () C:\ProgramData\jcmvxcc.html 2. Obiekty infekcji per se. Zaprezentuj plik C:\ComboFix.txt, który przedstawi co program usuwał. Mówisz że "na monitorze zostało" - w raportach FRST nie widać zastąpienia tapety, lecz FRST po prostu nie skanuje ustawień związanych z aktywną zawartością Pulpitu i tapetą. Poproszę o dodatkowe skany pod tym kątem: Otwórz Notatnik i wklej w nim: Reg: reg query "HKCU\Control Panel\Desktop" Reg: reg query "HKCU\Software\Microsoft\Internet Explorer\Desktop" /s Reg: reg query "HKLM\Software\Microsoft\Internet Explorer\Desktop" /s Reg: reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

Brak jakichkolwiek oznak infekcji. Do korekty będą tylko odpadkowe wpisy, ale to potem. Na początek chcę się upewnić co widzisz: Czy to na pewno dobry zrzut ekranu pokazujący ową "ikonkę"? Ten szary obiekt tu pokazany: ....wygląda jak fragment okna COMODO, a konkretnie "przycięta" pierwsza litera "C" nazwy: KLIK. Jeśli to ikona COMODO, jej pojawianie się z kilkuminutowym opóżnieniem również byłoby wyjaśnione = długie ładowanie COMODO. I ogólnie COMODO może być przyczyną obciążenia zasobów.

Przecież na dysku jest plik raportu: 2015-01-02 20:18 - 2015-01-02 20:19 - 00000000 ___SD () C:\ComboFix 2015-01-02 20:02 - 2015-01-02 20:02 - 00138046 _____ () C:\ComboFix.txt Chodzi o dostarczenie już obecnego pliku C:\ComboFix.txt. Nie interesuje Cię folder C:\ComboFix.

martapia, zasady działu: KLIK. Każdy ma mieć osobny topik, Twój post wydzialam w osobny temat. Jeśli chodzi o pobieranie FRST, Avast blokuje i jest to fałszywy alarm. Proszę na czas pobierania i pracy z FRST wyłącz osłonę WWW Avast.

Rootkit pomyślnie usunięty. Przechodzimy do usuwania adware: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: testsigning: ==> testsigning is on. Check for possible unsigned rootkit driver R1 {ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw64; C:\Windows\System32\drivers\{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw64.sys [48792 2015-01-13] (StdLib) R2 IHProtect Service; C:\Program Files (x86)\XTab\ProtectService.exe [158864 2015-01-04] (XTab system) R2 YouTubeAcceleratorService; C:\Program Files (x86)\YouTube Accelerator\YouTubeAcceleratorService.exe [1510248 2015-01-14] (GOOBZO) HKLM-x32\...\Run: [smart File Advisor] => C:\Program Files (x86)\Smart File Advisor\sfa.exe [280824 2011-04-04] (Filefacts.net) HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKU\S-1-5-21-55905330-288421562-568435219-1000\...\Run: [GoobzoYouTubeAccelerator] => C:\Program Files (x86)\YouTube Accelerator\YouTubeAccelerator.exe [2227048 2015-01-14] (GOOBZO) HKU\S-1-5-21-55905330-288421562-568435219-1000\...\Run: [YpPack] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\admin\AppData\Local\Ozics\EP0NOE12.DLL HKU\S-1-5-21-55905330-288421562-568435219-1000\...\Run: [Eltion] => regsvr32.exe C:\Users\admin\AppData\Local\Eltion\CNHL08A.dll HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1421230983&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://isearch.omiga-plus.com/?type=hppp&ts=1421230983&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1421230946&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=ds&ts=1421230946&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1421230983&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1421230983&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421230946&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421230946&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS&q={searchTerms} HKU\S-1-5-21-55905330-288421562-568435219-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421230059&from=cor&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS&q={searchTerms} HKU\S-1-5-21-55905330-288421562-568435219-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://isearch.omiga-plus.com/?type=hppp&ts=1421230983&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS HKU\S-1-5-21-55905330-288421562-568435219-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421230059&from=cor&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://isearch.omiga-plus.com/?type=sc&ts=1421230946&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421230946&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421230946&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421230946&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS&q={searchTerms} SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=ds&ts=1421230946&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS&q={searchTerms} SearchScopes: HKU\S-1-5-21-55905330-288421562-568435219-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-55905330-288421562-568435219-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://isearch.omiga-plus.com/web/?type=dspp&ts=1421230983&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS&q={searchTerms} SearchScopes: HKU\S-1-5-21-55905330-288421562-568435219-1000 -> {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL = BHO: No Name -> {A5A51D2A-505A-4D84-AFC6-E0FA87E47B8C} -> No File BHO: YTAHelper -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> C:\ProgramData\YTAHelper\YTAHelper64.dll (Goobzo Ltd.) BHO-x32: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files (x86)\XTab\SupTab.dll (Thinknice Co. Limited) BHO-x32: PriceFountain -> {b608cc98-54de-4775-96c9-097de398500c} -> C:\Users\admin\AppData\Local\PriceFountain\PriceFountainIE.dll No File BHO-x32: YTAHelper -> {FCE3FA8B-BA81-467C-81D8-E43C00D1BC71} -> C:\ProgramData\YTAHelper\YTAHelper.dll (Goobzo Ltd.) Task: {0C9CE307-51C4-464D-8FD6-0CCB436996E3} - System32\Tasks\YTAUpdate => C:\Program Files (x86)\YouTube Accelerator\Updater.exe [2015-01-14] (Goobzo) Task: {1047211C-5FE9-481E-98B4-9DE650703E7B} - System32\Tasks\Price Fountain => C:\Users\admin\AppData\Roaming\PriceFountain\UpdateProc\UpdateTask.exe [2015-01-14] () Task: {132A5AB7-E187-4EBF-A5FE-6DA2355D2F38} - System32\Tasks\AdobeFlashPlayerUpdate => C:\windows\SysWOW64\FlashPlayerUpdateService.exe Task: {1F45BDFA-213D-4E5A-8E6F-434A1FD950AA} - System32\Tasks\DSite => C:\Users\admin\AppData\Roaming\DSite\UpdateProc\updatetask.exe [2014-01-14] () Task: {37F30370-B076-4B56-B878-84485F70F2D1} - System32\Tasks\EPUpdater => C:\Users\admin\AppData\Roaming\BabSolution\Shared\BabMaint.exe [2013-04-07] () Task: {49CCC7BC-996A-4A99-BE8B-3148630467BB} - System32\Tasks\YTAUpdate_logon => C:\Program Files (x86)\YouTube Accelerator\Updater.exe [2015-01-14] (Goobzo) Task: {6F072A49-9EF7-4875-BC2F-85EFE2E38976} - System32\Tasks\{402429A3-AD80-47F2-B019-FD4EA2A104D0} => pcalua.exe -a C:\Users\admin\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=smt Task: {7F8ABB9C-5D6F-4D2E-834B-0E9F930E4018} - System32\Tasks\AdobeFlashPlayerUpdate 2 => C:\windows\SysWOW64\FlashPlayerUpdateService.exe Task: {C43A4654-5150-429B-9772-2670BDC719FE} - System32\Tasks\YTAHelper => C:\Program Files (x86)\YTAHelper\YTAHelper.exe [2014-06-15] (Goobzo LTD) Task: {D9E57034-BE63-4D26-ADBE-29EFDEBF4C1D} - System32\Tasks\Digital Sites => C:\Users\admin\AppData\Roaming\DigitalSites\UpdateProc\UpdateTask.exe [2013-04-12] () Task: {FE6BB7F9-A821-4A5E-A9CA-195F39DE7E55} - System32\Tasks\{64B1E721-462F-4A10-972F-D71B77213CCD} => pcalua.exe -a "C:\Program Files (x86)\YouTube Accelerator\YTAUninstall.exe" Task: C:\windows\Tasks\Digital Sites.job => C:\Users\admin\AppData\Roaming\DIGITA~1\UPDATE~1\UPDATE~1.EXE Task: C:\windows\Tasks\Price Fountain.job => C:\Users\admin\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE FF SearchPlugin: C:\Program Files (x86)\mozilla firefox\browser\searchplugins\omiga-plus.xml CHR HomePage: Default -> hxxp://isearch.omiga-plus.com/?type=hppp&ts=1421230983&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS CHR StartupUrls: Default -> "hxxp://isearch.omiga-plus.com/?type=hppp&ts=1421230983&from=smt&uid=TOSHIBAXMK3261GSYN_12IIF0GZSXX12IIF0GZS" CHR DefaultSearchKeyword: Default -> omiga-plus CHR HKU\S-1-5-21-55905330-288421562-568435219-1000\...\Chrome\Extension: [bakijjialdiiboeaknfpmflphhmljfkd] - C:\Users\admin\AppData\Local\newhb2.crx [2013-10-23] CHR HKLM-x32\...\Chrome\Extension: [dhkplhfnhceodhffomolpfigojocbpcb] - C:\Users\admin\AppData\Roaming\BabSolution\CR\BabylonChrome1.crx [Not Found] CustomCLSID: HKU\S-1-5-21-55905330-288421562-568435219-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\admin\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-55905330-288421562-568435219-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\admin\AppData\Local\Google\Update\1.3.23.9\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-55905330-288421562-568435219-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\admin\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll No File CustomCLSID: HKU\S-1-5-21-55905330-288421562-568435219-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\admin\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File C:\Program Files\Enigma Software Group C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\GUT3BD8.tmp C:\Program Files (x86)\XTab C:\ProgramData\AVG C:\ProgramData\IHProtectUpDate C:\ProgramData\TEMP C:\ProgramData\WindowsMangerProtect C:\Users\admin\AppData\Local\Avg C:\Users\admin\AppData\Local\CrashDumps C:\Users\admin\AppData\Local\CrashRpt C:\Users\admin\AppData\Local\Eltion C:\Users\admin\AppData\Local\globalUpdate C:\Users\admin\AppData\Local\Ozics C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Extensions\inoeonmfapjbbkmdafoankkfajkcphgd C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\admin\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\admin\AppData\Roaming\BabMaint.exe C:\Users\admin\AppData\Roaming\AVG C:\Users\admin\AppData\Roaming\BabSolution C:\Users\admin\AppData\Roaming\omiga-plus C:\Users\admin\AppData\Roaming\OpenCandy C:\Users\admin\AppData\Roaming\PriceFountain C:\Users\admin\AppData\Roaming\Opera Software\Opera Stable\Local Storage\*localstorage* C:\Users\Public\Documents\GOOBZO C:\Windows\Installer\{B13EA808-3A8F-8E31-3851-661E1839DC64} C:\Windows\System32\Drivers\{ebd8d0c0-e022-4b76-a1f2-bc2963e3a147}Gw64.sys C:\Windows\System32\Drivers\EsgScanner.sys C:\Windows\SysWOW64\GroupPolicy\GPT.INI CMD: for /d %f in (C:\Users\admin\AppData\Local\{*}) do rd /s /q "%f" Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\omiga-plus uninstall" /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: - Adware/PUP: Babylon Chrome Toolbar, Smart File Advisor 1.1.1, Update for Video Converter, Video Converter Packages, YouTube Accelerator. - Stare wersje: Adobe Flash Player 11 ActiveX, Adobe Reader X (10.1.13) MUI, Java™ 6 Update 20 W przypadku błędów kontynuuj z dalszymi pozycjami. 3. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. 4. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj Fun Dial. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy omiga-plus i inne niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Scan (zaznacz pola Addition i Shortcut). Dołącz też plik fixlog.txt. Poproszę również o zrzuty ekranu z następującego miejsca Internet Explorer: Opcje Internetowe > Programy > Zarządzaj dodatkami > Paski narzędzi i rozszerzenia.