picasso

Tak, rozumiem, że to paskudny przypadek i chwytasz się wszystkiego, ale jedyny wiarygodny temat to ten na Bleeping (tam są prawdziwi eksperci od szyfratorów danych) i obecnie nie znajdziesz nigdzie indziej żadnego wiarygodnego opisu. Jedyne co możesz zrobić, to zachować zaszyfrowane dane i sprawdzać regularnie podany temat na forum Bleeping. Na razie jest wiadome, że: przypuszczalna bomba czasowa odpalona z opóźnieniem 23 września (rzeczywista data infekcji prawdopodobnie zupełnie inna, by zaciemnić prawdziwe źródło i czas infekcji), nie wiadomo w jaki sposób uruchamia się infekcja (plik einfo.exe w starcie którego notabene już u Ciebie nie było, to tylko wyświetlanie planszy z okupem na Pulpicie po starcie, poza tym infekcje szyfrujące dane samoczynnie się kasują po wykonaniu zadania), zastosowane szyfrowanie AES-128 jest nie do złamania. Jest poszukiwany dropper infekcji, by zanalizować budowę infekcji.

Dane przesunięte do spoilera, by nie wprowadzać w błąd. Popatrz na datę posta i opis. To w ogóle nie ta infekcja. To co linkujesz to opis starej infekcji w MBR blokującej całkowicie dostęp do systemu (wyświetla się plansza z kodem do wpisania zamiast ekranu startu Windows). Jest masa infekcji szyfrujących, już chyba z kilkaset różnych wariantów. Nie można się odnosić do danych innych infekcji. U Ciebie był Unblockupc Ransomware. Podany przeze mnie na początku link do forum Bleeping to obecnie jedyny wiarygodny link.

vito777, gdyby były widoczne infekcje, to bym to od razu wskazała. Problemy w ogóle nie są pochodną infekcji, to błędny tok myślenia. Potem będą do usunięcia drobne szczątki odinstalowanych programów, akcja poziomu kosmetycznego bez wpływu na zachowanie systemu, dlatego w pierwszej kolejności wykonaj opisywane akcje.

Przez SHIFT+DEL (omija Kosz) skasuj z dysku folder C:\FRST oraz folder FRST64 z dokumentów. Wyczyść też foldery Przywracania systemu, by usunąć punkty mające nagraną poprzednią wersję danych Harmonogramu: KLIK. To wszystko.

Widzę tu dwie rzeczy, które potencjalnie mogą kolidować: 1. Poniższy wpis w pliku Hosts: 54.230.89.168 data-cdn.mbamupdates.com Czy ta edycja została wprowadzona właśnie, by rozwiązać problem, czy była też wcześniej? To był trik stosowany ponad rok temu i to nie wygląda w ogóle na aktualne. Wg ping i tracert obecnie serwer aktualizacji ma inny adres IP: C:\WINDOWS\system32>ping data-cdn.mbamupdates.com Pinging vip0x062.ssl.hwcdn.net [205.185.208.98] with 32 bytes of data: Reply from 205.185.208.98: bytes=32 time=10ms TTL=57 Reply from 205.185.208.98: bytes=32 time=28ms TTL=57 Reply from 205.185.208.98: bytes=32 time=37ms TTL=57 Reply from 205.185.208.98: bytes=32 time=46ms TTL=57 Ping statistics for 205.185.208.98: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 10ms, Maximum = 46ms, Average = 30ms C:\WINDOWS\system32>tracert data-cdn.mbamupdates.com Tracing route to vip0x062.ssl.hwcdn.net [205.185.208.98] over a maximum of 30 hops: 1 4 ms 8 ms 2 11 ms 6 ms 8 ms 10.240.192.1 3 7 ms 6 ms 7 ms tb-rc0001-cr101-xe-0-0-1-0.core.as9143.net [213.51.186.16] 4 11 ms 16 ms 10 ms asd-tr0042-cr101-ae5-0.core.as9143.net [213.51.158.18] 5 10 ms 12 ms 12 ms 213.51.156.242 6 19 ms 10 ms 39 ms 1-1.r2.am.hwng.net [69.16.191.101] 7 22 ms 23 ms 22 ms ve1004.ar1.am4.hwng.net [69.16.189.22] 8 12 ms 10 ms 10 ms vip098.ssl.hwcdn.net [205.185.208.98] Trace complete. Start > w polu szukania wpisz notepad > z prawokliku Uruchom jako administrator > otwórz do edycji plik C:\Windows\system32\Drivers\etc\hosts i wymaż z niego tę linię Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako administrator > wklep ipconfig /flushdns i ENTER Dla pewności zresetuj system. 2. Instalacja 360 Total Security.

Ale ja nie podawałam, by go szukać (skoro widoczny jest w logu FRST), tylko by wykonać podane instrukcje. Usuwanie tego pliku miał zaplanowany skrypt FRST...

Czy na pewno na błędach są te same zadania co poprzednio? Zadania Adobe i Google zostały usunięte całkowicie za pomocą skryptu FRST. Skoro nadal jest masa błędów, przebuduj cały Harmonogram poprzez usunięcie wszystkich obiektów z niego, Windows zacznie uzupełniać zadania od zera. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule" /f Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. Podaj czy nadal widzisz błędy Harmonogramu.

Kontaktowałeś się via forum MBAM czy e-mail? Na wszelki wypadek podaj raporty z FRST.

Zgłoszenie jest wynikiem oceny IP. Nie ma oznak infekcji szyfrującej dane, więc prawdopodobnie obecnie przyznany Twojemu komputerowi mógł być wcześniej w użyciu przez inny zainfekowany komputer. Rozwiązaniem jest wymuszenie zmiany IP. Natomiast w systemie są inne nie powiązane z w/w problemem obiekty, tzn. niedokładnie czyszczone wcześniej elementy adware. Skan Panda wykrył szczątki adware w Tymczasowych plikach internetowych, ale nie te które widać w raportach FRST, a detekcja FRST64.exe jako "W32/Exploit.gen" to fałszywy alarm. Działania do przeprowadzenia: 1. Odinstaluj starą wersję Java 8 Update 31 (64-bit). Zaktualizuj Firefox (posiadasz wersję 35.0, aktualna to 49). Ponadto Ad Muncher to właściwie martwy program, nierozwijany od dawna. Do wglądu lista jakie są alternatywy: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {39A3F939-4673-48FF-9F61-4ABA3865975C} - \Price Fountain -> Brak pliku Task: {86C87B50-8E23-4E28-A2BA-BC73A8CE1D60} - \Trojan Killer -> Brak pliku S2 IhPul; C:\Users\Sebastian\AppData\Roaming\TSv\TSvr.exe [X] S2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe -s [X] S2 WdMan; C:\ProgramData\nWdMn\WdMan.exe -svr [X] S3 AsrCDDrv; \??\C:\Windows\SysWOW64\Drivers\AsrCDDrv.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia ShortcutWithArgument: C:\Users\Sebastian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B ShortcutWithArgument: C:\Users\Sebastian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B ShortcutWithArgument: C:\Users\Sebastian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B ShortcutWithArgument: C:\Users\Sebastian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.omniboxes.com/?type=hp&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.omniboxes.com/?type=hp&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.omniboxes.com/?type=hp&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.omniboxes.com/?type=hp&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B&q={searchTerms} HKU\S-1-5-21-3580256871-2974044544-3284647674-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B&q={searchTerms} HKU\S-1-5-21-3580256871-2974044544-3284647674-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.omniboxes.com/?type=hp&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B HKU\S-1-5-21-3580256871-2974044544-3284647674-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.omniboxes.com/?type=hp&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B HKU\S-1-5-21-3580256871-2974044544-3284647674-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B&q={searchTerms} SearchScopes: HKU\S-1-5-21-3580256871-2974044544-3284647674-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = StartMenuInternet: IEXPLORE.EXE - iexplore.exe StartMenuInternet: FIREFOX.EXE - firefox.exe DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Users\Sebastian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GameRanger.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

punisher935 & maximus600 Proponuję skontaktować się bezpośrednio z supportem MBAM. mimak Fixdamage służy do reperacji usług Windows naruszonych przez infekcje, chodzi o ten typ naruszenia: KLIK. Opis tego narzędzia jest na forum w opisie MBAR: KLIK. Poza tym, jeden ze zgłaszających problem przeinstalował Windows od zera.

Temat przenoszę do działu Windows pod bardziej dopasowanym do problemów tytułem. Brak oznak infekcji. Użyte Przywracanie systemu, więc logi nie przedstawiają stanu z momentu awarii, ale opis co się działo w owym momencie również nie wskazuje jednoznacznie na infekcję, równie dobrze całkiem inna usterka mogła wystąpić. vs. Dziennik System: ============= Error: (09/28/2016 12:04:28 AM) (Source: BugCheck) (EventID: 1001) (User: ) Description: Nastąpił ponowny rozruch komputera po operacji wykrywania błędów. Wyniki tej operacji były następujące: 0x00000109 (0xa3a00ade9e9c484b, 0xb3b71764f11d46c5, 0xfffff8014a8d2070, 0x0000000000000002). Zrzut zapisano w: C:\WINDOWS\MEMORY.DMP. Identyfikator raportu: 639ac423-4e8e-4290-8a28-88d9f644f628. Diagnostyka BSOD poprzez debug zrzutów pamięci: KLIK. vs. ==================== Wadliwe urządzenia w Menedżerze urządzeń ============= Name: Microsoft Wi-Fi Direct Virtual Adapter #4 Description: Karta Microsoft Wi-Fi Direct Virtual Adapter Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318} Manufacturer: Microsoft Service: vwifimp Problem: : This device is disabled. (Code 22) Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions. Name: Microsoft Wi-Fi Direct Virtual Adapter #3 Description: Karta Microsoft Wi-Fi Direct Virtual Adapter Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318} Manufacturer: Microsoft Service: vwifimp Problem: : This device is disabled. (Code 22) Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions. Wirtualnych adapterów tego typu pozbywa się poprzez deaktywację poniższej opcji: Start > Ustawienia > System > Wyświetlanie na tym komputerze > Komputery i telefony z systemem Windows mogą wyświetlać obraz na tym komputerze, gdy wyrazisz na to zgodę > Zawsze wyłączone Z raportów nic nie wynika. 1. Ostatnio doinstalowane aplikacje to właśnie Avast i MBAM. Czy na pewno spowolnienie nie zazębia się z ich instalacją? 2. Widzę kilka błędów tego typu od aplikacji Lenovo: Dziennik Aplikacja: ================== Error: (09/28/2016 12:07:56 AM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: CCSDK.exe, wersja: 1.3.0.3, sygnatura czasowa: 0x56ef5fb7 Nazwa modułu powodującego błąd: ntdll.dll, wersja: 10.0.14393.103, sygnatura czasowa: 0x57b7e09e Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x00055dfc Identyfikator procesu powodującego błąd: 0x159c Godzina uruchomienia aplikacji powodującej błąd: 0x01d2190b67a2aaa4 Ścieżka aplikacji powodującej błąd: C:\Program Files (x86)\Lenovo\CCSDK\CCSDK.exe Ścieżka modułu powodującego błąd: C:\WINDOWS\SYSTEM32\ntdll.dll Identyfikator raportu: 22f72712-ffe3-4a99-b2a5-7e01a0e0d11c Pełna nazwa pakietu powodującego błąd: Identyfikator aplikacji względem pakietu powodującego błąd: Dziennik System: ============= Error: (09/28/2016 12:07:57 AM) (Source: Service Control Manager) (EventID: 7034) (User: ) Description: Usługa CCSDK niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. Możesz odinstalować te zbędne aplikacje Lenovo: CCSDK Customer Engagement Service, Lenovo Experience Improvement, SHAREit. To zredukuje ilość uruchamianych procesów. Po deinstalacjach zastosuj także Program Install and Uninstall Troubleshooter, by usunąć ukryte aplikacje Lenovo Metric Collection SDK + Metric Collection SDK 35.

Skoro w składzie wyłączonych usług było Windows Update, to przypuszczalnie tu jest zlokalizowany problem. Rozwiązuje się go obecnie poprzez instalację konkretnych łat. Wyłączenie usług to obejście problemu, a nie jego rozwiązanie. Poza tym, zamiast wyłączać Windows Update należy je w pełni ukończyć. Pośrednio widać tu brak aktualizacji poprzez wykrycie bardzo starej wersji IE8, która nie jest już wspierana, musi zostać zainstalowany IE11, niezależnie od faktu, że używasz Chrome. Silnik IE i tak jest używany przez system i zewnętrzne aplikacje. W Dzienniku zdarzeń pojawiły się też błędy będące konsekwencją deaktywacji: Dziennik System: ============= Error: (09/27/2016 06:04:14 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Przeglądarka komputera zależy od usługi Serwer, której nie można uruchomić z powodu następującego błędu: Nie można uruchomić określonej usługi, ponieważ jest ona wyłączona lub ponieważ nie są włączone skojarzone z nią urządzenia. Wykonaj następujące operacje: 1. Przywróć wyłączonym usługom poprzedni Typ uruchomienia, z wyjątkiem Windows Update, któremu tymczasowo przyznaj Ręczny. 2. Panel sterowania > System i zabezpieczenia > Windows Update > Zmień ustawienia > ustaw Nigdy nie sprawdzaj, czy są aktualizacje (niezalecane). To krok potrzebny, by podczas instalacji poniższych łat nie uruchomiło się wyszukiwanie trwające "w nieskończoność" 3. Pobierz instalatory KB3020369, KB3172605, IE11. Rozłącz sieć i zainstaluj wymienione aktualizacje. Zresetuj system. 4. Ustaw usługę Windows Update na domyślny typ Automatycznie (opóźnione uruchomienie), a w konfiguracji Windows Update "Wyszukaj aktualizacje ale pozwól mi wybrać...". Uruchom wyszukiwanie Windows Update (po instalacji w/w łat nie powinno trwać tak długo) i zainstaluj wszystkie znalezione łaty. Wyszukiwanie powtarzaj tyle razy, aż zostanie zero znalezionych.

W jaki sposób? Chyba nie przez wyłączenie określonych usług, bo to tylko obejście a nie rozwiązanie? Jeśli chodzi o instalację łat, to nadal aktualne. Należy w pierwszej kolejności tymczasowo wyłączyć wyszukiwanie aktualizacji, by uniknąć opisywanego efektu: - Rozłączyć sieć. W Panelu sterowania w konfiguracji Windows Update zaznaczyć, by nie wyszukiwać aktualizacji. - Start > w polu szukania services.msc > z prawokliku Uruchom jako Administrator > dwuklik na usługę Windows Update i Tryb uruchomienia ustaw na Ręczny - Restart systemu. Instalacja łat. - Restart systemu. W services.msc ustawić usługę na domyślny Automatyczny (opóźnione uruchomienie), a w Panelu sterowania przywrócić wyszukiwanie aktualizacji. - Podłączyć sieć i zainicjować wyszukiwanie aktualizacji, które nie powinno zająć więcej niż kilkanaście minut. Poproszę o raporty z FRST.

Zacznijmy od usunięcia wszystkich zadań zwracających błąd, a przy okazji innych odpadkowych wpisów (w tym martwe zadania po aktualizacji Windows 7 do Windows 10). Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku SearchScopes: HKU\S-1-5-21-1731838417-1053290679-997583816-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => nie znaleziono S3 dbx; system32\DRIVERS\dbx.sys [X] U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath Task: {0DEBCFBD-790F-46C7-BDD9-AB346E76086D} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {13B932E0-0141-4B3F-8D06-1B7DFD1DDAF4} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> Brak pliku Task: {1EB13CBB-2CAE-4104-BBE2-F4782CA87CAC} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku Task: {238D6307-8B2F-4130-9B4F-E4A4F44D4E7B} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {2429DAA5-8F9A-40B2-A296-DC7BF2F56528} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {244537E3-164E-496F-9112-ED2794102B97} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {2677C130-98B2-4494-BC27-4A80617AD174} - System32\Tasks\{BEF6E41A-9B24-4BBA-882C-98F907672E08} => pcalua.exe -a C:\Users\PW\Downloads\chromeinstall-8u31.exe -d C:\Users\PW\Downloads Task: {26D470AB-F310-4E8D-8564-FB02670A493A} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {275C4CB1-A662-4774-A828-DD53B1D24584} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {29C10028-9373-4A7E-9CF2-8DFF4B0D3DD9} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {2D0E0547-1D3A-43B9-845C-A40BE8C6D183} - System32\Tasks\GoogleUpdateTaskMachineUA1cfff72fd466c60 => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-08-29] (Google Inc.) Task: {324EB6B3-C0B4-49E2-A3BA-450E4A7CC205} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-08-29] (Google Inc.) Task: {3313C5F6-6324-4A7B-9C2E-D67374A24014} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {3B18A2C9-88CB-46E0-9F09-ADB867646D62} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {3C5A0414-D2E9-47AD-B411-70F733E2C76C} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {3E9A6497-9A75-48E7-B3A8-F6C41DDCA99A} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {40020BB6-F200-475C-82BD-7E57C04598A3} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {4CC9EC69-BFBE-4868-863C-5779CB79C25C} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {4EC22A5C-21C0-4F52-9721-4D4070A47BAD} - System32\Tasks\GoogleUpdateTaskMachineUA1d0409bac38c273 => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-08-29] (Google Inc.) Task: {50C9739B-1C12-437C-91E6-AFF554F53083} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {5744E29A-7F1E-46D1-88B5-D52C1E765188} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {5A11D3B6-22A0-400C-B13A-2A1C5EA74C7C} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2016-09-26] (Adobe Systems Incorporated) Task: {5B2FB045-F519-437B-8653-1AAE46D3BA05} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {6159E162-ABC0-4C49-BB76-510C39A2A1A3} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {63C89A5B-393F-4DB1-94E4-974A6C64AC9A} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {6E64A98B-C2F5-4482-A781-F34AF934B3B5} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {6EB17E33-B230-4E5F-907C-5C93B8B15106} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {808A657F-F863-4820-87D9-F66C061E9D46} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {9D4C593B-55DA-468F-AC15-B9E497B53BCF} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {A3401EDE-E120-4862-8EDF-EC67FD590021} - \PMTask -> Brak pliku Task: {BAF40D54-D379-4981-BA13-D5B8398660D7} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {BD3B0FA9-9DDD-4D4C-B831-C3639203E7AE} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {BFE0B1DB-28FE-4C27-BA10-169F985B56E9} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-08-29] (Google Inc.) Task: {C0B9A6B4-4152-4AA4-9089-B595ED2F9DD4} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {C2CC5FF5-37A3-4805-9BB7-D736AB2FB0DA} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {D20FF6B7-C624-4852-ABBD-C2D3364BB1E5} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {D38C16DE-78F6-4CD4-AA1E-531157833494} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku Task: {D50AB600-E20B-4F0D-852C-2B906BC8E633} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {D65F092F-455F-42F4-AE0E-B2EFDA7CF39D} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {D7CC4C80-11B3-4A06-A9C6-DB22A8A7A511} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {D9EC4DCA-0141-4F4A-B0B1-EED06454DD14} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {DCA1E93F-7840-4DD2-A6A7-9B1F45C5553F} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {E36F203C-8FC8-4F36-B090-7719FC44CEC0} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {E5DE66A5-F2B2-4366-90FB-3CC490C06B41} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku Task: {E696780D-A9A3-4DAB-A61F-7E818F2E6B33} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {F586F49F-1E19-4B90-A11F-CED2B82B9EC0} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: C:\WINDOWS\Tasks\Adobe Flash Player Updater.job => C:\WINDOWS\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA1cfff72fd466c60.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA1d0409bac38c273.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center C:\Windows\ehome C:\Windows\System32\Tasks\Microsoft\Windows\Media Center CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go i wypowiedz się czy błędy Harmonogramu ustąpiły i nie pojawiają się nowe inne niż poprzednio.

eric Nabrałam ponownie wątpliwości.... Otóż w tym temacie który linkowałam w ostatnich postach jest opisane podobne zjawisko, które sugerowałeś, tzn. cofnięcie stanu z kopii zapasowej do daty jakoby daleko sprzed infekcji, a mimo to infekcja szyfrująca zaatakowała ponownie lub "doszyfrowała" dane które wcześniej nie były zaszyfrowane. Tu nie jest wykluczone, że rzeczywista data infekcji była sfałszowana, tzn. infekcja była w systemie wcześniej niż się zorientowałeś (siedziała w uśpieniu) i odpaliła objawy dopiero określonego dnia. To by wyjaśniało dlaczego Przywracanie systemu nie miało skutków. Sugeruję zrobić format dysku C dla bezpieczeństwa... Tak, zawsze dostarczam informacje, gdy zmienia się stan rzeczy. kayabart Zasady działu: KLIK. Każdy ma mieć osobny temat. Poza tym, dostarcza się raporty na okoliczość weryfikacji czy infekcja jest nadal aktywna. Kontakt z przestępcami nie jest polecany. Nie ma gwarancji, że otrzymasz sprawny dekoder lub że w ogóle go otrzymasz. Dla porównania niedawno były incydenty z infekcją szyfrującą CryptXXX - poszkodowani zapłacili i otrzymali niesprawny dekoder do innej wersji infekcji. Link uczyniony nieaktywnym. To opis wątpliwej reputacji, którego jedyny cel to wmanipulować w instalację lewego skanera SpyHunter. Pomijając że to skaner od którego należy trzymać się z daleka, żaden skaner nie pomoże. Dla zakodowanych plików nie ma ratunku.

Mówiłam: "do jakiegoś folderu w krótkiej ścieżce dostępu i bez spacji". Skoro utworzyłeś "Nowy folder", to są spacje i ścieżka musi być ujęta w cudzysłów. A komunikat o Cscript zignorować i OK, następnie czekać cierpliwie na wyniki do utworzenia raportu, skrypt działa w tle w sposób transparentny.

Na razie powstrzymaj się z instalowaniem łat Windows Update. W logach FRST widzę więcej niż raportowane: 1. Jest tu także jakiś niejasny problem z WMI (WMI jest wymagane dla poprawnego funkcjonowania, m.in. Przywracania systemu): ==================== Punkty Przywracania systemu ========================= Sprawdź usługę "winmgmt" lub napraw WMI. Poproszę o raport z WMI Diagnosis Utility. Skrypt należy uruchomić jako Administrator, czyli po rozpakowaniu narzędzia do jakiegoś folderu w krótkiej ścieżce dostępu i bez spacji: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklep ścieżkę do pliku WMIDiag.vbs i ENTER. Wynikowemu raportowi zmień ręcznie rozszerzenie z *.log na *.txt, by wszedł w załączniki. 2. Problem z brakiem punktów może wynikać też z małej ilości miejsca na punkty (starsze są automatycznie usuwane, by zrobić miejsce na nowe). W Dzienniku zdarzeń następujący błąd: Error: (09/22/2016 12:08:40 AM) (Source: volsnap) (EventID: 36) (User: ) Description: Wykonywanie kopii w tle woluminu C: zostało przerwane, ponieważ nie można powiększyć magazynu kopii w tle z powodu limitu wprowadzonego przez użytkownika. 3. Jest zainstalowany lewy skaner SpyHunter4 wersja 4.21.10.4585. A kysz z tym dziadem. Odinstaluj go. Następnie, niezależnie od tego czy deinstalacja się powiedzie czy nie, zastosuj SpyHunterCleaner.

Poproszę o raporty z FRST. Skan FRST pokaże stan niedomyślnych zadań Harmonogramu, co pozwoli mi ocenić conajmniej ten fragment. Zadania trzeba będzie usunąć, ale w pierwszej kolejności podaj wymagane raporty.

Wg mnie tak właśnie było, choć Twój opis mnie zmylił, tzn. szyfrowanie już się w pełni ukończyło w wielu miejscach na różnych dyskach, choć tego nie zauważyłeś w pierwszej chwili. Notatki ransom z żądaniem okupu pojawiają się w systemie, gdy jest już za późno (procesy zakończone).... Plik C:\ProgramData\encfiles.log trzyma listę danych zdefektowanych i tego się trzymaj. Bardzo mi przykro, ale tu już więcej niż nie wymyślimy. Oba systemy wyglądają na wyczyszczone z aktywnej infekcji. Z zaszyfrowanymi danymi nic nie da się zrobić. Próbowałeś Przywracania systemu, które nic nie wskórało, a sam proces nie dotyczy innych dysków niż systemowe. Zachowaj je, na wypadek gdyby w przyszłości pojawił się jednak dekoder. I to wszystko co można obecnie zrobić. Kroki końcowe do wykonania po kolei na obu systemach: Windows 8.1 1. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu cały folder Stare dane programu Firefox. Pochodzi z resetu Firefox i zawiera śmieci (adware oraz obiekty zaszyfrowane), dane w nim już zbędne. Pobrane skanery i ich logi też możesz pousuwać ręcznie. 2. Zastosuj DelFix, następnie wyczyść foldery Przywracia systemu (te punkty nie są Ci już potrzebne): KLIK. Windows XP 1. Odinstaluj stare wersje Adobe Flash Player 17 NPAPI, Java 8 Update 45, a Firefoxa zaktualizuj. Stare wersje to także jedna z dróg infekcji szyfrującej dane. 2. Również zastosuj DelFix oraz wyczyść foldery Przywracania systemu. Zabezpieczenia przed infekcjami szyfrującymi dane: Lista programów zabezpieczających tutaj: KLIK. Pod kątem infekcji szyfrujących dane, nanieś poprawkę na to, że część nie działa na XP: Niezbędne też wykonywanie kopii zapasowych cennych danych, a kopie umieszczane na odizolowanym dysku podłączanym tylko tymczasowo. Infekcje szyfrujące dane atakują każdy dostępny dysk lokalny, wymienny i sieciowy.

Zadanie posiada konfigurację domyślną. Ale jak mówiłam, punkty nie są tworzone co 24 godziny, tylko co 7 dni, a warunkiem jest uzyskanie stanu bezczynności. Moim zdaniem tu nie ma nic do naprawy w zakresie Przywracania systemu. Zadanie istnieje, a punkty Przywracania inne niż kontrolne są tworzone bez błędu. To zadanie nie jest powiązane z problemem, należy do systemu Ochrony oprogramowania (Software Protection). Błąd świadczy, że zadanie jest uszkodzone i należy je po prostu usunąć. Zapewne nie jest widoczne już nawet w przystawce taskschd.msc, więc operacja usuwania musi się odbyć bezpośrednio w rejestrze i na dysku. Na początek jednak podaj mi raporty z FRST, bym uzyskała ogólny pogląd na system. To popularny tu ostatnio problem. Należy zainstalować dwie łaty: KB3020369 (wymagana by móc zainstalować tę drugą) + KB3172605.

Błędy generują szkodliwe zadania w Harmonogramie zadań. Działania do przeprowadzenia: 1. Odinstaluj starą wersję Adobe Flash Player 18 NPAPI. NPAPI to edycja dla Firefox i jego pochodnych. Firefox tu nie występuje. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {162228E7-D31E-4CAA-B96F-697E0C8DE4D0} - System32\Tasks\hgrffad => Rundll32.exe "C:\Users\HP\AppData\Roaming\Microsoft\Internet Explorer\dqnfxcrs.dll", mnpeivsv:1001 Task: {2A4E2B35-D33A-4F87-9D71-659595E96340} - System32\Tasks\deedeb => Rundll32.exe "C:\Users\HP\AppData\Roaming\Microsoft\Internet Explorer\ytqrytcb.dll", ixkxtxiv:1001 Task: C:\Windows\Tasks\afeagadv.job => C:\Windows\SysWOW64\rundll32.exe C:\Users\HP\AppData\Roaming\Microsoft\Internet Explorer\ytqrytcb.dll Task: C:\Windows\Tasks\bxjlwy.job => C:\Windows\SysWOW64\rundll32.exe C:\Users\HP\AppData\Roaming\Microsoft\Internet Explorer\ytqrytcb.dll Task: C:\Windows\Tasks\deedeb.job => C:\Windows\SysWOW64\rundll32.exe C:\Users\HP\AppData\Roaming\Microsoft\Internet Explorer\ytqrytcb.dll Task: C:\Windows\Tasks\hgrffad.job => C:\Windows\SysWOW64\rundll32.exe C:\Users\HP\AppData\Roaming\Microsoft\Internet Explorer\dqnfxcrs.dll Task: C:\Windows\Tasks\jigiqz.job => C:\Windows\SysWOW64\rundll32.exe C:\Users\HP\AppData\Roaming\Microsoft\Internet Explorer\dqnfxcrs.dll Task: C:\Windows\Tasks\kqedxwn.job => C:\Windows\SysWOW64\rundll32.exe C:\Users\HP\AppData\Roaming\Microsoft\Internet Explorer\ytqrytcb.dll Task: C:\Windows\Tasks\lzitiaqq.job => C:\Windows\SysWOW64\rundll32.exe C:\Users\HP\AppData\Roaming\Microsoft\Internet Explorer\ytqrytcb.dll Task: C:\Windows\Tasks\mefdynwnf.job => C:\Windows\SysWOW64\rundll32.exe C:\Users\HP\AppData\Roaming\Microsoft\Internet Explorer\dqnfxcrs.dll Task: C:\Windows\Tasks\ugmsjhld.job => C:\Windows\SysWOW64\rundll32.exe C:\Users\HP\AppData\Roaming\Microsoft\Internet Explorer\dqnfxcrs.dll Task: C:\Windows\Tasks\xywyfzcev.job => C:\Windows\SysWOW64\rundll32.exe C:\Users\HP\AppData\Roaming\Microsoft\Internet Explorer\dqnfxcrs.dll Winlogon\Notify\ScCertProp: wlnotify.dll [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses C:\Users\HP\AppData\Roaming\cookies.sqlite C:\Users\HP\Documents\Stare dokumenty\Skrót do cennik 1JS60.pdf.lnk C:\Users\HP\Documents\Stare dokumenty\moje dokumenty\Kopia Moje obrazy\Samples.lnk C:\Users\HP\Documents\Stare dokumenty\Prywatne\mieszkanie\sciany,O_kazdej_porze_w_innym_kolorze,3670_pliki\salon.lnk C:\Users\HP\Documents\Stare dokumenty\Umowa\Skrót do Świadectwo Jakości Inter city Kraków.sxw.lnk C:\Users\HP\Documents\Stare dokumenty\Umowa\Skrót do Umowa+współpracy+wersja+końcowa (4)bis.sxw.lnk Folder: C:\Users\HP\AppData\Roaming\Microsoft\Internet Explorer EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.

Tak, infekcja nadal jest aktywna, w starcie Windows plik einfo.exe. A w pliku C:\ProgramData\encfiles.log powinna być pełna lista zaszyfrowanych plików. Prócz tego jest niepożądany program Tv-Plug-In oraz zablokowany dostęp do katalogu .minecraft (w GMER widać go), ale to akurat najmniejsze zmartwienie. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\einfo.exe [2016-09-23] () HKLM\...\Run: [Tv-Plug-In] => C:\Program Files\Tv-Plug-In\Tv-Plug-In.exe [312552 2015-02-24] (Orzilia Ltd.) Task: {44581631-583C-433E-8AAC-5318FBA6251B} - System32\Tasks\{2AEA283D-897F-445D-A5CC-C766539ED159} => C:\Program Files\Origin\Origin.exe Task: {5E4A57D7-0D75-4396-9019-4A1B93AEDF79} - System32\Tasks\{67A719A1-4EA9-4CBB-8BE9-5F35EF3A71C4} => D:\Gry\Nowy folder (2)\The Sims 4\__Installer\Cleanup.exe Task: {60CFA526-8A0F-4862-B854-14AFCB6A7E9C} - System32\Tasks\{44243944-C9D8-4833-A2A7-76F167473D3A} => C:\Program Files\Origin\Origin.exe Task: {A029C68F-EC95-43BC-98E1-1778450C7B3F} - System32\Tasks\{2BED4050-EC65-47B6-AA59-FB39EF4FF88A} => pcalua.exe -a C:\Users\Łukasz\Downloads\Programs\forge-1.7.10-10.13.4.1614-1.7.10-installer-win.exe -d C:\Users\Łukasz\Downloads\Programs Task: {A54286B7-53E8-40C0-A90E-DBFC25F3EDB0} - System32\Tasks\{6FF8FB38-FE02-4EEC-914C-DB84D6FFEBBC} => D:\Gry\Nowy folder (2)\The Sims 4\__Installer\Cleanup.exe U5 AppMgmt; C:\Windows\system32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) U3 TrueSight; C:\Windows\System32\drivers\TrueSight.sys [24688 2016-09-27] () CustomCLSID: HKU\S-1-5-21-3215043942-3594844569-900473125-1000_Classes\CLSID\{0C4AE826-5677-EB66-9846-97AA57BA5F88}\InprocServer32 -> C:\ProgramData\Package Cache\{13A4EE12-23EA-3371-91EE-EFB36DDFFF3E}v12.0.21005\packages\vcRuntimeMinimum_x86\cab1.xml () CustomCLSID: HKU\S-1-5-21-3215043942-3594844569-900473125-1000_Classes\CLSID\{52CAF26D-BD7C-794E-9B23-77DF791E5E28}\InprocServer32 -> C:\Users\Łukasz\AppData\Roaming\.minecraft\mods\ccSensors\api\sensorsAPI.nls () CustomCLSID: HKU\S-1-5-21-3215043942-3594844569-900473125-1000_Classes\CLSID\{B74D0994-F4D2-2C5F-626B-7EE8CDB3C279}\InprocServer32 -> C:\ProgramData\AVAST Software\Persistent Data\Avast\Logs\Setup.tmp () CustomCLSID: HKU\S-1-5-21-3215043942-3594844569-900473125-1000_Classes\CLSID\{E1CF3B7E-A068-E74D-E252-9EF4E9C77BE5}\InprocServer32 -> C:\ProgramData\RELOADED\RLD!\200170\stats\achievements.log () SearchScopes: HKU\S-1-5-21-3215043942-3594844569-900473125-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Mozilla\Thunderbird CMD: netsh advfirewall reset RemoveDirectory: C:\32788R22FWJFW RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files\Tv-Plug-In RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\ProgramData\RogueKiller RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tv-Plug-In Zip: C:\ProgramData\encfiles.log;C:\ProgramData\encinfo.jpg;C:\ProgramData\uid.txt C:\ProgramData\encinfo.jpg C:\Users\Łukasz\Desktop\decryptor.exe C:\Users\Łukasz\Documents\decryptor.exe C:\Users\Public\Desktop\Tv-Plug-In.lnk C:\Windows\System32\drivers\TrueSight.sys ListPermissions: C:\Users\Łukasz\AppData\Roaming\.minecraft ListPermissions: C:\Users\Łukasz\AppData\Roaming\.minecraft\mods ListPermissions: C:\Users\Łukasz\AppData\Roaming\.minecraft\saves ListPermissions: C:\Users\Łukasz\AppData\Roaming\.minecraft\saves\Nowy ListPermissions: C:\Users\Łukasz\AppData\Roaming\.minecraft\saves\NEI EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom RansomNoteCleaner. Wybierz tę infekcję i wskaż, by usuwanie notatek ransom odbyło się z całego dysku. Program powinien usunąć pliki uid.txt z wszystkich katalogów. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt. Na Pulpicie powstał plik Upload.zip - shostuj gdzieś i na PW wyśwlij link. Na dalszą metę zalecany format dysku. Zaszyfrowane dane skopiować na wypadek gdyby w przyszłości pojawiło się rozwiązanie. Obecnie odkodowanie jest niewykonalne i nie ma żadnego ratunku. Próbowałeś RannohDecryptor, ten dekoder nic tu nie zdziała.

Analiza rejestru w toku i na razie nic nie widzę. Chcę się upewnić na 100%: Czyli dany plik nie był zaszyfrowany podczas pierwszego wejścia do katalogu, ale po restarcie systemu przestał się otwierać? Czy na pewno? Czy na pewno te dane nie były już zaszyfrowane i po prostu wyszło to na jaw przy dokładniejszym sprawdzaniu? Pliki są zaszyfrowane i ich stan nie zmieni się gdy będą przeglądane z poziomu innego systemu. Szyfrowanie jest niezależne od systemu operacyjnego i jest nie do obejścia. Infekcja szyfruje tylko określone rozszerzenia plików, dlatego programy mogą działać.

"Od kilku dni", tzn. ilu konkretnie? W odróżnieniu od starszych systemów, które robiły punkty kontrolne co 24 godziny, w Windows 7 punkt kontrolny jest tworzony co tydzień, jeśli nie wykryto w tym czasokresie innych punktów. Punkty kontrolne są produkowane przy udziale zadania w Harmonogramie: taskschd.msc > Microsoft > Windows > SystemRestore > SR. Jeśli Harmonogram nie działa lub zadanie usunięto/wyłączono, punkt kontrolny nie zostanie utworzony. Nawet jeśli zadanie w Harmonogramie jest sprawne, odpalane jest tylko gdy komputer wejdzie w stan bezczynności (ten warunek mógł nie zostać spełniony). Raportujesz, że punkty są tworzone tak automatycznie (instalacja sterowników to odpaliła), jak i ręcznie na żądanie, więc na pewno nie ma tu problemu z naruszeniem ogólnej zdolności tworzenia punktu przywracania. Usługa Kopiowania woluminów w tle ma domyślnie start Ręczny i to jest poprawne.

Logi z przestarzałego OTL w ogóle nie są tu już brane pod uwagę. Obowiązują raporty z nowoczesnego FRST. Logi dostarcz w postaci załączników forum, a nie na serwisach zewnętrznych. W logu CheckSur brak wykrytych błędów. To stare łaty. Obecnie należy instalować kombinację KB3020369 (wymagana by móc zainstalować tę drugą) + KB3172605.