picasso

Apropos "kolego" = jestem płci żeńskiej. Nie udzielam pomocy innymi metodami niż przez forum. GMER sobie na razie odpuścimy. Kierowałam do instrukcji z obrazkami jak uruchomić FRST i zrobić skan. Czego konkretnie nie rozumiesz z tej instrukcji?

Instalowałaś także skaner wątpliwej reputacji SpyHunter. W raportach nie widać nic więcej niż plik einfo.exe w starcie (związany z wyświetlaniem planszy z okupem na Pulpicie), pliki uid.txt i dwa dziwne wpisy CustomCLSID (może to być konsekwencja utraty właściwości docelowych plików ze względu na szyfrowanie). A w pliku C:\ProgramData\encfiles.log powinna być lista wszystkich zaszyfrowanych plików. Skanery mogą tu nic nie wykrywać, bo infekcja może już nie istnieć. Infekcje szyfrujące dane mają planowane samoczynne usunięcie się po ukończeniu szyfrowania. Widoczność notatek ransom jest niestety zbyt późną fazą, gdy infekcja ukończyła działanie. Użytkownik siedzi z infekcją szyfrującą dane nie wiedząc że to się dzieje (poza niejasnym obciążeniem procesora, gdy szyfrowanie jest w toku), jawne komunikaty o zaszyfrowanych plikach pojawiają się, gdy nie ma już czego ratować. 1. Twierdzisz, że nie wszystko zaszyfrowane. Na wszelki wypadek proponuję wejść w Tryb awaryjny Windows i szybko przekopiować to co ostało się na zewnętrzny dysk, dysk odpiąć, następnie wejść z powrotem do trybu normalnego i odwiedzić te foldery ponownie, by sprawdzć czy pliki są nadal niezaszyfrowane. To ma w zamiarze potwierdzić, że szyfrowanie nie jest już aktywne. W innym temacie tu na forum użytkownik też raportował, że ma jakoby tylko część zaszyfrowaną, a po odwiedzeniu folderów + restart systemu zaszyfrowana została pozostała część. Infekcji u niego nie było widać, więc sugerowałam, że może nie zauważył prawdziwego zakresu szyfrowania na innych dyskach. Skłonił się do tej opcji, ale ja pewności nie mam co tu się dzieje. 2. Odinstaluj Ace Stream Media 3.1.6, zintegrowany player posiada moduł adware preaktywowany po określonym czasie. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: type C:\ProgramData\uid.txt Startup: C:\Users\hp 250\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\einfo.exe [2016-09-28] () HKLM-x32\...\Run: [] => [X] Winlogon\Notify\igfxcui: igfxdev.dll [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku CustomCLSID: HKU\S-1-5-21-2885112695-2845545208-2409991739-1001_Classes\CLSID\{1F830936-B874-E793-74C3-D7CB2589A5B5}\InprocServer32 -> C:\Users\hp 250\AppData\Roaming\HP\Digital Imaging\Data\Destination\profile.ini () CustomCLSID: HKU\S-1-5-21-2885112695-2845545208-2409991739-1001_Classes\CLSID\{81796566-F369-C99A-1C26-1A74AF8046E5}\InprocServer32 -> C:\Users\hp 250\AppData\Roaming\Adobe\Acrobat\11.0\Security\services_rdr.txt () Task: {174E3E8C-16B0-4FB3-BFC8-2D0C0116BD1B} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA Task: {19ABC829-E351-485C-96E3-7C1923FF5444} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA Task: {32FFF0F3-40BE-4A2E-B372-1F8DD66EF27B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA Task: {352E6CA0-7314-4DF4-89C4-682368D80D57} - System32\Tasks\Microsoft\Windows\Workplace Join\Automatic-Workplace-Join => C:\Windows\System32\AutoWorkplace.exe Task: {419538FF-502A-4620-BDA9-6B5E5D8D483B} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA Task: {4D8048AD-BA0A-4EC9-82E2-8C05A7F25C95} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku <==== UWAGA Task: {6AA856D3-45F5-4521-BD97-A984DAF3F14A} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA Task: {6AF63FD3-A13C-46D5-B2A4-24E7106DA93A} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA Task: {830F3E9D-BC8F-42E2-8FB8-F19F4F9DE620} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA Task: {93EDD824-D08B-464F-B077-394743B51693} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA Task: {9F0AB603-4A2D-47E7-A51F-8B932D6B6AC5} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA Task: {CDC1B183-B322-49D9-AA67-F7C1A8AF7722} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: {F691E682-FB57-4399-ABA4-7A3F12607A97} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-09-29] () S0 mfeelamk; C:\Windows\System32\drivers\mfeelamk.sys [80160 2015-02-13] (McAfee, Inc.) DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Mozilla\Firefox\Extensions DeleteKey: HKCU\Software\MozillaPlugins C:\ProgramData\uid.txt C:\ProgramData\AVAST Software C:\Users\hp 250\AppData\Roaming\uid.txt C:\Users\hp 250\AppData\Roaming\Adobe\Acrobat\11.0\Security\services_rdr.txt C:\Users\hp 250\AppData\Roaming\Enigma Software Group C:\Users\hp 250\AppData\Roaming\HP\Digital Imaging\Data\Destination\profile.ini C:\Windows\System32\Drivers\EsgScanner.sys C:\Windows\System32\drivers\mfeelamk.sys CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Zakładam, że poprzedni skrypt do FRST wykonał zadanie. Teraz: 1. Uruchom DelFix, by usunął AdwCleaner i FRST. 2. Uruchom Hitman Pro. Dostarcz z niego log, jeśli wykryje coś innego niż FRST64.exe w Temporary Internet Files (fałszywy alarm).

Tak jak w poprzednich przypadkach, nie ma oznak aktywnej infekcji. Wyniki ESET zupełnie nie powiązane, to rekordy związane z instalacjami adware/PUP i to mocno starymi, wliczając też kwarantanny C:\AdwCleaner i C:\Qoobox których nigdy nie wyczyszczono. Do wykonania tylko poboczne działania, czyli deinstalacja starych wersji (zagrożenie infekcjami szyfrującymi dane) i zbędnych programów ASUS oraz czyszczenie wpisów szczątkowych. 1. Deinstalacje: - Przez Panel sterowania: Acrobat.com, Adobe AIR, Adobe Reader 9.5.2 MUI, ASUS WebStorage, AsusVibe2.0, Java 6 Update 22, Theorica Divx ;-) Codecs (remove only), Visual Studio 2012 x86 Redistributables. Ten ostatni to komponent odinstalowanego już AVG. A Thunderbird jest okropnie stary, albo deinstalacja, albo aktualizacja. - Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń ukryty odpadek Trend Micro Titanium. 2. Usunięcie wpisów odpadkowych. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-1057800693-3350837012-1661647793-1004\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=180&d=20140617 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKU\S-1-5-21-1057800693-3350837012-1661647793-1004\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-1057800693-3350837012-1661647793-1004\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=180&d=20140617 SearchScopes: HKLM -> DefaultScope - brak wartości CHR HomePage: Default -> hxxp://www.gazeta.pl/0,0.html?p=180&d=20140617 Task: {2E69DF63-73E1-41F6-A751-7977CAA026C1} - System32\Tasks\{20DBC627-C3CA-4B42-9BD0-29E95B42EE05} => \Dominik_dell\d\Uruchom.exe Task: {58301E83-131E-40FD-99F7-B07BA0B9CA7C} - System32\Tasks\{78DA5E63-F4C3-411F-A084-01D1AFCBF2E5} => E:\autorun.exe Task: {7A310A88-107F-4202-9E24-2D77FA66BCA8} - System32\Tasks\{870B0018-EEF8-4EF9-A729-EBC4F7CBBDC1} => E:\autorun.exe Task: {8BCA9856-3D85-43B8-B565-F111AC6DCE7E} - System32\Tasks\{C5A51FF6-49B3-495A-BF4E-FCC9371CBCCA} => E:\autorun.exe Task: {9751DF91-1512-4E9A-BA67-C4F11991D589} - System32\Tasks\{CA648AE2-9DF1-4386-BC88-F0243BAD134A} => E:\autorun.exe Task: {9FF1C330-0BD9-4726-9DAB-8CD6927C8208} - System32\Tasks\{73A661B3-54C3-4165-929B-BFAB4BAB76E2} => pcalua.exe -a C:\Users\admin\Downloads\avira_free_antivirus_en.exe -d "C:\Program Files\Mozilla Firefox" Task: {A7FF5BDC-8542-4626-B1D8-21FC36E723AC} - System32\Tasks\{7AFE7BDB-CB83-4EEF-9074-229118BF0EB9} => pcalua.exe -a "C:\Program Files\Asus\Game Park\Chicken Invaders 2\Uninstall.exe" -c "C:\Program Files\Asus\Game Park\Chicken Invaders 2\install.log" Task: {B3959A8E-7601-46EC-9DB6-6F35FB5BD72D} - System32\Tasks\{5584FB26-D03F-4A4F-9109-71F88C7F4BDF} => E:\autorun.exe Task: {C85B5225-2FA2-417D-9257-29F35E78FE26} - System32\Tasks\{FCE477FE-90D9-4AB9-B0B2-28A376503194} => E:\autorun.exe Task: {DC315AAD-6431-45C4-A43D-56BF179716FB} - System32\Tasks\{E9BCCC73-CA73-418D-B2AF-80416EB1A164} => E:\autorun.exe Task: {DFC01635-58B3-4909-A520-67E425D0F395} - System32\Tasks\{8602072A-632F-4490-BAA8-432341B0A069} => E:\autorun.exe Task: {E317EC6A-5AB6-49D4-A87E-03478DDEED41} - System32\Tasks\{14204EBA-F687-44D3-9603-988ADE8271EB} => \Dominik_dell\d\Uruchom.exe Task: {E70499BA-1832-4F4D-BFF5-8772274A4FC2} - System32\Tasks\{48848CF3-57BC-4E2D-BF9C-AB188C01D8A1} => \Dominik_dell\d\Uruchom.exe Task: {E793C400-46DE-43E0-8B63-89B192B1EFE1} - System32\Tasks\{71B270CE-0DB2-45F2-A6F4-5071714D43E3} => E:\autorun.exe Task: {FD1F4E69-BC21-4383-80A7-2BD7558A4F70} - System32\Tasks\{E795B3B0-C97D-4CA0-A442-8A323097449D} => E:\autorun.exe U5 AppMgmt; C:\windows\system32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) S3 catchme; \??\C:\Users\admin\AppData\Local\Temp\catchme.sys [X] DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\$AVG RemoveDirectory: C:\Program Files\AVG RemoveDirectory: C:\ProgramData\Avg RemoveDirectory: C:\ProgramData\MFAData RemoveDirectory: C:\ProgramData\TEMP RemoveDirectory: C:\Qoobox RemoveDirectory: C:\Users\admin\AppData\Local\Avg RemoveDirectory: C:\Users\admin\AppData\Local\AvgSetupLog RemoveDirectory: C:\Users\Ania\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\Trend Micro RemoveDirectory: C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\Trend Micro RemoveDirectory: C:\Users\Dominik\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\Trend Micro RemoveDirectory: C:\Users\Krzysztof\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\Trend Micro RemoveDirectory: C:\Users\TEMP RemoveDirectory: C:\Users\TEMP.netbook_blues C:\Users\Ania\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Komunikator Tlen.pl.lnk C:\Users\Ania\AppData\Roaming\Microsoft\Windows\SendTo\Skype.lnk C:\Users\Ania\AppData\Roaming\Microsoft\Word\Tomasz%20Kałowy%20-%20praca%20seminaryjna303948823627502616\Tomasz%20Kałowy%20-%20praca%20seminaryjna.docx.lnk C:\Users\Ania\AppData\Roaming\Microsoft\Word\0%20Tomasz%20Kałowy%20-%20praca%20seminaryjna303952223447065726\0%20Tomasz%20Kałowy%20-%20praca%20seminaryjna.docx.lnk C:\Users\Dominik\Desktop\Komunikator Tlen.pl.lnk C:\Users\Krzysztof\AppData\Roaming\Microsoft\Windows\SendTo\Skype.lnk C:\Users\Krzysztof\AppData\Roaming\Microsoft\Windows\Start Menu\Komunikator Tlen.pl.lnk C:\Users\Krzysztof\AppData\Roaming\Microsoft\Word\Spis%20załączników%20-%20finał302363763206674323\Spis%20załączników%20-%20finał.docx.lnk C:\Users\Krzysztof\AppData\Roaming\Microsoft\Word\Dok1302367081091250192\Dok1.docx.lnk C:\Users\Krzysztof\Desktop\Komunikator Tlen.pl.lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. W systemie są aż 4 konta: ==================== Konta użytkowników: ============================= admin (S-1-5-21-1057800693-3350837012-1661647793-1004 - Administrator - Enabled) => C:\Users\admin Ania (S-1-5-21-1057800693-3350837012-1661647793-1003 - Limited - Enabled) => C:\Users\Ania Dominik (S-1-5-21-1057800693-3350837012-1661647793-1000 - Limited - Enabled) => C:\Users\Dominik Krzysztof (S-1-5-21-1057800693-3350837012-1661647793-1005 - Administrator - Enabled) => C:\Users\Krzysztof Każde musi zostać sprawdzone z osobna. Czyli po kolei loguj się na każde poprzez pełny restart systemu, a nie funkcję Wyloguj czy Przełącz użytkownika, i na każdym zrób nowy log FRST z opcji Skanuj (Scan) (bez Shortcut). Dołącz też plik fixlog.txt.

1. Usunąłeś w jakim rozumieniu, zamknąłeś okno (to nie usuwa pliku z dysku) czy skasowałeś plik z Pulpitu? Jeśli to drugie, to kopia pliku Fixlog jest w folderze C:\FRST\Logs. Chodzi o najnowszy plik Fixlog_Data_Czas.txt. 2. W kwestii wyników AdwCleaner. Czepia się rozszerzenia My JDownloader (wprowadzonego przez JDownloader) w Chrome. Odinstaluj je w Chrome, sugeruję też deinstalację całego programu JDownloader 2 (owszem, to delikwent znany z doinstalowywania adware/PUP). Następnie uruchom ponownie AdwCleaner, po kolei wybierz opcje Skanuj + Oczyść i dostarcz log z wynikami.

Wszystko pomyślnie wykonane. Porcja poprawek: 1. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Google Chrome DeleteKey: HKLM\SOFTWARE\Wow6432Node\Legness DeleteKey: HKU\S-1-5-21-1964153532-139224943-451156895-1000\Software\Classes\ChromeHTML DeleteKey: HKU\S-1-5-21-1964153532-139224943-451156895-1000\Software\Legness DeleteKey: HKU\S-1-5-21-1964153532-139224943-451156895-1000\Software\Microsoft\Internet Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\57b0b0f2_0 Reg: reg delete "HKU\S-1-5-21-1964153532-139224943-451156895-1000\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /v "C:\Program Files (x86)\Legness\Application\chrome.exe" /f DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Najlepiej dostarcz log tekstowy z 360, bo dane są ucięte. Na razie to mi wygląda na jakieś mało istotne rzeczy, nie wiadomo nawet czy pierwszy wynik jest wiarygodny, drugi to w ogóle nie infekcja tylko komunikat o "zbędnym obiekcie startowym" nVidia, a trzeci ma niepełną ścieżkę uniemożliwiającą ocenę.

Jaki widzisz błąd? Jeśli rzecz o dostarczonym logu, to on wykazuje że narzędzie wykasowało tylko pliki "Files encrypted.txt" od tej infekcji, nie ma uid.txt (może narzędzie tego po prostu nie kasuje?), a przy okazji to usunięte zostały pliki tekstowe które nie mają związku z tą infekcją. By dokasować te notki ransom: 1. Otwórz Notatnik i wklej w nim: attrib -h -s C:\uid.txt /s attrib -h -s "C:\Files encrypted.txt" /s del /q /s C:\uid.txt del /q /q "C:\Files encrypted.txt" pause Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako DEL.BAT Prawoklik na plik i "Uruchom jako administrator". 2. Po wykonaniu zadania dla dysku C należy zedytować powyższy BAT i po kolei podstawiać kolejne litery dysków: ==================== Dyski ================================ Drive c: (SSD-win8) (Fixed) (Total:123.57 GB) (Free:62.8 GB) NTFS Drive e: (samsung) (Fixed) (Total:259.03 GB) (Free:37.35 GB) NTFS Drive i: (WD2) (Fixed) (Total:811.33 GB) (Free:83.79 GB) NTFS Drive j: (WD.wim7.old) (Fixed) (Total:97.66 GB) (Free:62.91 GB) NTFS Drive k: (WD1) (Fixed) (Total:488.28 GB) (Free:11.03 GB) NTFS Drive o: (old.samsungXP) (Fixed) (Total:39.06 GB) (Free:3.56 GB) NTFS ==>[system z komponentami startowymi (pozyskano odczytując dysk)] Drive p: (SSD-sysXP) (Fixed) (Total:100 GB) (Free:75.94 GB) NTFS ==>[system z komponentami startowymi (pozyskano odczytując dysk)] Drive q: (maxtor.D) (Fixed) (Total:233.76 GB) (Free:35.18 GB) NTFS

W raporcie FRST: CHR dev: Chrome dev build detected! Otwórz plik sfc.txt, który właśnie dostarczyłeś. Uszkodzone nienaprawialne pliki. Analiza tego mi zamie trochę, ale na razie to wygląda na jakieś błahe sprawy, tzn. naruszone tylko skróty LNK, co nie ma związku z problemem Windows Update. Prawdopodobnie tych naruszeń nie będziemy w ogóle naprawiać (wymagane podstawie plików z innego systemu), jest ich dużo, a nie wyglądają na ważne. Logi proszę dostarcz już w nowym poście. Nie edytuj pierwszego.

Jeśli chodzi o zamulenie, to masz zainstalowany strasznie stary ESET NOD32 Antivirus (komponenty z 2012). Na dodatek używasz uTorrent i w procesach są wystąpienia utorrentie.exe produkujące reklamy. uTorrent nie jest obecnie polecanym klientem torrent, w zamian np. qBittorrent. Przy czym w obliczu Twojego problemu to zabawy w zmiany klientów torrent i drążenie określonych wątków to naprawdę nieistotna sprawa. Tu się szykuje format dysku, to krok zalecany po infekcji szyfrującej dane. Ja sugeruję zrobić to już teraz. Ten system, który tu widzę, był wcześniej poszkodowany także innymi infekcjami oraz ręcznie rozwaliłeś poprawne obiekty systemu. Jest też niezabezpieczony, pomijając stary ESET, nie masz nawet podstawowych aktualizacji, brak SP1 i reszty: Platform: Microsoft Windows 7 Home Basic (X86) Język: Polski (Polska) Internet Explorer Wersja 9 (Domyślna przeglądarka: FF)

W raportach brak oznak infekcji. Zaprezentuj co wykryły 360 Total Security i Kaspersky. Jeśli wyniki z nich okażą się niepowiązane, to przypuszczalnie problemem jest IP. Cybertarcza na tej podstawie ocenia komputer (nie skanuje systemu).

W systemie został podstawiony fałszywy klon Chrome Legness z wbudowanym adware, który całkowicie zastąpił Chrome. Jest ustawiony jako domyślna przeglądarka, a skróty które uruchamiasz wywołują klon a nie prawdziwe Chrome. Poza tym, mnóstwo innych aplikacji adware oraz szkodliwy skaner YAC(Yet Another Cleaner!). Daty określonych obiektów adware wskazują, że siedziały w systemie od dawna i prawdopodobnie doinstalowały te świeże. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj: Corner Sunshine, Java 8 Update 73 (64-bit), Java 8 Update 73, Java SE Development Kit 8 Update 45 (64-bit), YAC(Yet Another Cleaner!). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs: C:\ProgramData\AppnormanetouQ\Goldentone.dll => C:\ProgramData\AppnormanetouQ\Goldentone.dll [363008 2016-06-30] () S2 AppnormanetouQ; C:\ProgramData\\AppnormanetouQ\\AppnormanetouQ.exe [400896 2016-06-30] () [brak podpisu cyfrowego] R2 DCHP; C:\ProgramData\\DCHP\\DCHP.exe [400384 2016-04-12] () [brak podpisu cyfrowego] R2 Hkhlp; C:\Program Files (x86)\Common Files\Apps\Hkhlp.dll [281600 2016-09-20] () [brak podpisu cyfrowego] R2 IlS; C:\ProgramData\Tencent\QQ\report\Reporter.dll [341504 2016-09-29] () [brak podpisu cyfrowego] R2 Sunshinesvc; C:\Program Files (x86)\Corner Sunshine\sunshinesvc.dll [336896 2016-09-20] () [brak podpisu cyfrowego] R2 UvConverter; C:\ProgramData\UvConverter\UvConverter.exe [419048 2016-09-20] () S2 CornerSunshineSvc; "C:\Program Files (x86)\Corner Sunshine\CornerSunshineSvc.exe" {8A712DBD-E08B-4D5C-839D-1B9C185FE769} [X] S2 LegnessDL; "C:\ProgramData\corss\_@aduck00000000.tmp.dat.exe" [X] HKU\S-1-5-21-1964153532-139224943-451156895-1000\...\Run: [GoogleChromeAutoLaunch_E165A0325D455FD98D706A45699E6FCE] => C:\Program Files (x86)\Legness\Application\chrome.exe [1377280 2016-09-29] (Google Inc.) GroupPolicy: Ograniczenia ShortcutWithArgument: C:\Users\Daniel\Desktop\GTA V.lnk -> D:\gta v brzoza\Grand Theft Auto V\Launcher.exe () -> hxxp://www.istartsurf.com/?type=sc&ts=1444086479&z=6d4256c81f4f637ccc170f4g1z7z4z8e9bcqeo7m4e&from=cor&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F2JCTARXCTARX HKU\S-1-5-21-1964153532-139224943-451156895-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPYCWbmusIbAE3SqND5176q6SeV3ihdSH51wXxqlxp35k5xXVfwif_H2ld7nlrItjTFdw1RId2fU5ooQpultsLIQo6dCJ9nDUTwu4oPWowJIqjrZEtMyBwSVl7_vEcQwVBJp3KNObMHL0S_n-9p49eEsEgsY8LO&q={searchTerms} HKU\S-1-5-21-1964153532-139224943-451156895-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPYCWbmusIbAE3SqND5176q6SeV3ihdSH51wXxqlxp35k5xXVfwif_H2ld7nlrItjTJkIEpTiKxyWGNHmCJArdjzTSBG3ZhqEnj_h6hDxK7aQV-roHkh3KtX7026v4fOXUZg_xI4Oth1iUTEEiCKZonYlSRJf2o HKU\S-1-5-21-1964153532-139224943-451156895-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPYCWbmusIbAE3SqND5176q6SeV3ihdSH51wXxqlxp35k5xXVfwif_H2ld7nlrItjTFdw1RId2fU5ooQpultsLIQo6dCJ9nDUTwu4oPWowJIqjrZEtMyBwSVl7_vEcQwVBJp3KNObMHL0S_n-9p49eEsEgsY8LO&q={searchTerms} HKU\S-1-5-21-1964153532-139224943-451156895-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPYCWbmusIbAE3SqND5176q6SeV3ihdSH51wXxqlxp35k5xXVfwif_H2ld7nlrItjTFdw1RId2fU5ooQpultsLIQo6dCJ9nDUTwu4oPWowJIqjrZEtMyBwSVl7_vEcQwVBJp3KNObMHL0S_n-9p49eEsEgsY8LO&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPYCWbmusIbAE3SqND5176q6SeV3ihdSH51wXxqlxp35k5xXVfwif_H2ld7nlrItjTFdw1RId2fU5ooQpultsLIQo6dCJ9nDUTwu4oPWowJIqjrZEtMyBwSVl7_vEcQwVBJp3KNObMHL0S_n-9p49eEsEgsY8LO&q={searchTerms} SearchScopes: HKU\S-1-5-21-1964153532-139224943-451156895-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPYCWbmusIbAE3SqND5176q6SeV3ihdSH51wXxqlxp35k5xXVfwif_H2ld7nlrItjTFdw1RId2fU5ooQpultsLIQo6dCJ9nDUTwu4oPWowJIqjrZEtMyBwSVl7_vEcQwVBJp3KNObMHL0S_n-9p49eEsEgsY8LO&q={searchTerms} Task: {5EDE3B68-D177-423F-ABE2-EACB5C3DB48F} - System32\Tasks\{50EB6A16-BEA4-4F4F-84AF-3D852C566858} => pcalua.exe -a C:\Windows\IsUn0415.exe -c -f"C:\Program Files (x86)\SuperMemo UX\Courses\Angielski No Problem 1\Uninst.isu" Task: {DA3B0EA5-7A77-4276-8CEE-3D829165BB57} - System32\Tasks\Microsoft_Hardware_Launch_IPoint_exe => C:\Program Files\Microsoft IntelliPoint\IPoint.exe MSCONFIG\startupreg: SunJavaUpdateSched => "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" IE trusted site: HKU\S-1-5-21-1964153532-139224943-451156895-1000\...\hola.org -> hxxp://hola.org DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Corner Sunshine C:\Program Files (x86)\Legness C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\WinSaber C:\Program Files (x86)\Common Files\Apps C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\AppnormanetouQ C:\ProgramData\corss C:\ProgramData\DCHP C:\ProgramData\MDMA C:\ProgramData\sozy C:\ProgramData\Tencent C:\ProgramData\UvConverter C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MetaTrader 4\MetaEditor.lnk C:\Users\Daniel\AppData\Local\Legness C:\Users\Daniel\AppData\Roaming\*.* C:\Users\Daniel\AppData\Roaming\Booking_helper C:\Users\Daniel\AppData\Roaming\Corner Sunshine C:\Users\Daniel\AppData\Roaming\GoldenGate C:\Users\Daniel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Daniel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Daniel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\Daniel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5d696d521de238c3\Google Chrome.lnk C:\Users\Daniel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\Public\Desktop\Google Chrome.lnk C:\Users\Public\Documents\temp.dat C:\Windows\system32\log C:\Windows\SysWOW64\*.tmp CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Usunięte zostały wszystkie skróty "Chrome", utwórz sobie ręcznie skróty do prawdziwego Chrome. Następnie wyczyść go: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj SafeFinder Search. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Ustaw jako domyślną przeglądarkę Internet Explorer. Na razie nie można ustawić Google Chrome, bo klasy klona powodują, że w opcjach pojawia się fałszywe "Chrome". 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Uruchom FRST ponownie, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt. Legness

Proszę nie zapisuj logów FRST do nowych plików, bo te to nie są w oryginalnym kodowaniu (jest ANSI zamiast UTF-8). W systemie widać jeszcze dwa niepożądane programy BackupPCFiles 1.0.0.676 i TV-Plugin. - Wejdź do folderu C:\Program Files (x86)\Tv-Plug-In, wyszukaj deinstalator i z prawokliku Uruchom jako administrator. - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj BackupPCFiles 1.0.0.67. Odinstaluj również: Bonjour, Google Chrome, Java 7 Update 71, QuickTime 7, Skaner on-line mks_vir. Chrome przekonwertowane przez adware do wersji developerskiej, MKS martwy od lat, a reszta to stare wersje z niebezpiecznymi lukami. Po deinstalacjach zrób nowe raporty z FRST. Potem do czyszczenia będą jeszcze inne szczątki adware, ale nie ma to obecnie znaczenia w kontekście problemów głównych. To normalne. Plik CBS.LOG jest w lokalizacji chronionej i nie można go otwierać ani kopiować bezpośrednio w obrębie tej lokalizacji. I dostarczony plik CBS.LOG jest za duży (zawiera wszystko), zrób wersję przefiltrowaną ograniczoną do akcji narzędzia SFC, zgodnie z wytycznymi: KLIK.

BSOD pochodzący z uruchomienia GMER się nie liczy, chodzi o analizę tego poprzedniego. Narzędzie BlueScreenView jest niestety zbyt ograniczone, nic konkretnego, i to odczyty tylko z folderu Minidump. Na komunikacie błędu był wskazany plik C:\WINDOWS\MEMORY.DMP i to ten należało otworzyć w debugerze Microsoftu. Niestety to raczej już niemożliwe, bo plik został nadpisany BSODem od GMER. Zacinanie przeglądarek jak najbardziej może być powiązane z doinstalowanym zestawem. Dla świętego spokoju po kolei sprawdź co się stanie po deinstalacji tych programów (usuwając po jednym na raz).

Niestety błędy wskazują, że nadal jest jakiś problem z Harmonogramem, gdyż po wyczyszczeniu klucza TaskCache zadania powinny zacząć się odbudowywać, a tu jest "Odmowa dostępu". Być może trzeba opróżnić też cały katalog na dysku. Na razie podaj więcej danych: Otwórz Notatnik i wklej w nim: Folder: C:\Windows\System32\Tasks ListPermissions: C:\Windows\System32\Tasks ListPermissions: C:\Windows\System32\Tasks\Microsoft ListPermissions: C:\Windows\System32\Tasks\Microsoft\Windows ListPermissions: C:\Windows\System32\Tasks\Microsoft\Windows\SystemRestore ListPermissions: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule" /s Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Wprawdzie ta edycja Hosts jest powiązana z rozwiązywaniem problemu aktualizacji w dawniejszych czasach (gdy był inny adres IP aktualizacji) i mogła się znaleźć w pliku w niewinny sposób, ale mam podejrzenia, że tu w robocie był jakiś crack do MBAM... punisher935, u Ciebie w pliku Hosts były także inne ślady, które przemilczałam, czyli rekordy blokowania *.mwbsys.com wskazujące jednoznacznie na próby obejścia aktywacji. maximus600, Ty z kolei przeinstalowałeś system, więc edycja w pliku Hosts jest automatycznie zerowana i musiała zostać zaaplikowana ponownie ręcznie w jakiś sposób. Instalator MBAM nie wprowadza takiego wejścia w Hosts, musiał być użyty inny "element". Temat rozwiązany. Zamykam. PS. Ad "Kolego" = jestem "Koleżanką".

Szczerze mówiąc, nie wiem czy można ufać stanowi systemu, a mechanizm tej infekcji nie jest do końca znany. Przy infekcjach szyfrujących dane jest mimo wszystko zalecany format. Jeśli decydujesz się na doczyszczanie: Na początek uruchom RansomNoteCleaner, wybierz tę infekcję i wskaż do czyszczenia cały dysk / dyski. Narzędzie nagra log z operacji. Przedstaw go. Log ten będzie zapewne ogromny i nie wejdzie w załączniki, więc shostuj na serwisie zewnętrznym i dostarcz link.

Rzeczywiście, zasugerowana komunikatem Avast nie sprawdziłam IP z komunikatu, a to IP Orange. Czyli żadne dane z przedstawionych nie pokazywały elementów infekcji. Jeśli chodzi o samo zjawisko pojawienia się zgłoszenia Cybertarczy, to skan ten jest oparty na IP a nie skanie systemu. Orange przypisuje zmienne adresy IP, nie jest wykluczone, że przyznany Ci był wcześniej w użyciu przez inny zainfekowany komputer. Poboczne działania wykonane. Aczkolwiek widzę, że w Chrome posunąłeś się dalej i usunąłeś rozszerzenie nie wskazywane do deinstalacji, czyli Avast Online Security. Ono i tak się przeinstaluje, bo zostawiłam reinstalator w rejestrze, usuwałam tylko reinstalatory sponsoringowego Avast SafePrice. Na koniec: 1. Przez SHIFT+DEL (omija Kosz) skasuj z dysku te dwa foldery: C:\Users\Olek\AppData\Roaming\.ACEStream C:\Users\Olek\AppData\Roaming\ACEStream 2. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. GMER i jego log dokasuj ręcznie. 3. W Chrome jest AdBlock, obecnie to i tak kopia Adblock Plus. Polecam zamianę na uBlock Origin. Lista programów do wglądu: KLIK.

Adresy Google mogą pozostać, jeśli nie wiesz jakie oryginalnie były adresy DNS od dostawcy sieci. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To wszystko. PS. Mam prośbę. Czy mógłbyś zrobić zrzuty ekranu z Twojej konfiguracji routera (ustawienia DNS i zamknięcie dostępu do Internetu) i wysłać mi na PW? To do mojego ukrytego tematu o usuwaniu infekcji DNS, którego jeszcze nie opublikowałam. Zrzuty ekranu przydadzą się innym użytkownikom.

W podanych raportach nie widzę jawnych szkodliwych obiektów. Avast definitywnie raportował dostęp do proxy, którego nie ma w skanie FRST, więc być może Avast w pełni zapobiegł osadzeniu się tego, lub proxy usunięto w inny sposób. Na wszelki wypadek zadam szukanie rejestru na ten element, który jest na komunikacie Avast, oraz dodam RemoveProxy:. Do wykonania będą też drobne poboczne działania. 1. Uruchom FRST ponownie, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Powstanie plik SearchReg.txt. wpad.dat 2. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj Ace Stream Media 3.1.7 (wbudowany moduł adware preaktywowany po pewnym czasie) oraz Trojan Remover (program przestarzały i mało zdatny). 3. W Google Chrome: - Ustawienia > karta Rozszerzenia > odinstaluj dwa wystąpienia sponsoringowego rozszerzenia Avast SafePrice. - Zresetuj cache wtyczek, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Otwórz Notatnik i wklej w nim: CloseProcesses: Reg: reg query "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" /s CMD: netsh advfirewall reset CHR HKU\S-1-5-21-2610406226-1649471089-3384511987-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [daanglpcpkjjlkhcbladppjphglbigam] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [fcoadmpfijfcmokecmkgolhbaeclfage] - hxxps://clients2.google.com/service/update2/crx Task: {1BE959AD-6F31-46D9-8B8F-8DE7CD654FE4} - System32\Tasks\{41244147-A78A-49AA-93C2-DE741E1482CC} => Chrome.exe hxxp://ui.skype.com/ui/0/7.26.0.101/pl/abandoninstall?source=lightinstaller&page=tsInstall Task: {8A1BB01F-69C6-45ED-9CA1-CFA1EEF5D2E5} - System32\Tasks\{189B942F-3183-4FEE-A252-CF7516CB997D} => pcalua.exe -a "E:\Downloads\Zoo Tycoon 2 with 3 ADDONS +save+Extras FULLY WORKING [slavian_ru]\Setup.Exe" -d "E:\Downloads\Zoo Tycoon 2 with 3 ADDONS +save+Extras FULLY WORKING [slavian_ru]" HKU\S-1-5-21-2610406226-1649471089-3384511987-1001\...\StartupApproved\Run: => "AceStream" DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\END C:\ProgramData\TEMP RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt oraz SearchReg.txt (o ile coś zostanie znalezione, pusty log zbędny).

Raporty z FRST niewiarygodne, użyłeś okropnie starą wersję pozbawioną nowych skanów (m.in. ustawień proxy które pokazuje Avast) i poprawek: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 02-05-2015 (ATTENTION: ====> FRST version is 516 days old and could be outdated) Najnowsza wersja jest z wczoraj. Pobierz najnowszą wersję z przyklejonego i zrób nowe raporty: KLIK.

Router został pomyślnie skonfigurowany, obecnie są z niego pobierane adresy Google: Tcpip\Parameters: [DhcpNameServer] 8.8.8.8 8.8.4.4 Tcpip\..\Interfaces\{92617932-a21b-4b06-bb91-85e742c7bd0a}: [DhcpNameServer] 8.8.8.8 8.8.4.4 Sprawdź jeszcze czy masz najnowsze firmware zainstalowane. Na stronie pobierania najnowsza dostępna wersja to 2.0.0.37: KLIK.

To najnowsza infekcja Unblockupc Ransomware. Nie ma ratunku dla zakodowanych plików. Podobny temat z tą infekcją: KLIK. Przywracanie systemu miałeś wyłączone, więc odpada szukanie kopii zapasowej na dysku C. Poza tym, są tu niestety aż trzy dyski, dane są szyfrowane na wszystkich. W raportach widzę tylko elementy związane z notatkami ransom (te pliki same w sobie nie są szkodliwe) oraz chyba zablokowany katalog minecraft. Jedyne czym jestem w stanie się zająć, to doczyścić to co widać i nic więcej... Decyduj co robimy, czy kopiujesz zaszyfrowane dane na nośnik zewnętrzny (na przyszłość, gdyby pojawiło się jakieś rozwiązanie) i format, czy doczyszczanie tego co widać.

Z opisów mi wynika, że prawdopodobnie 23 wrzesień to nie była data infekcji, w rozumieniu że infekcja nastąpiła dużo wcześniej i opóźniła objawy, by zamaskować źródło infekcji. Tak więc strony odwiedzone tego dnia przypuszczalnie nie są związane z problemem. Narzędzie utworzyło log, dostarcz go.

Wymagane są raporty, by móc podać instrukcje usuwania: KLIK.