picasso

Logi z przestarzałego OTL w ogóle nie są tu już brane pod uwagę. Obowiązują raporty z nowoczesnego FRST. Logi dostarcz w postaci załączników forum, a nie na serwisach zewnętrznych. W logu CheckSur brak wykrytych błędów. To stare łaty. Obecnie należy instalować kombinację KB3020369 (wymagana by móc zainstalować tę drugą) + KB3172605.

Niekompletny interfejs może być związany z uszkodzonymi plikami systemowymi, np. plikami pakietów językowych. Dla porównania wygląd okna Windows Update, gdy są naruszone pakiety: KLIK. Z jaką edycją systemu tu mamy do czynienia, w jaki sposób był on "spolszczany" (tzn. czy to natywnie polski system, czy wręcz przeciwnie i wymuszano instalację pakietu PL). Rozpocznij od komendy sfc /scannow i dostarcz przefiltrowany log: KLIK.

Temat przenoszę do właściwego działu diagnostyki infekcji. Raportu z GMER nie jesteś w stanie dołączyć, bo zapisałeś go w formacie *.log, a nie *.txt jak podane w instrukcji. 1. Odinstaluj program Reimage Repair. To niepożądany skaner. 2. W raportach nie widać jawnej przyczyny, nasuwa się, że problem może tworzyć jedno z zainstalowanych rozszerzeń. W Google Chrome, po odrzuceniu domyślnych rozszerzeń instalowanych z przeglądarką, widać następujące obiekty: CHR Extension: (Text Mode) - C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Extensions\bfeafdpjdmiklabfoleibkmphihdlidp [2016-09-05] CHR Extension: (DownSpeedTest) - C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Extensions\cpdmooaefpilleajjbcmbpnjiillmbak [2016-08-28] CHR Extension: (FreeRadioCast) - C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Extensions\jiblfdgfgcnpigdkdincmfamoknecagc [2016-08-28] CHR Extension: (MovixHub Start) - C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Extensions\ljgpiikiibdligadiaifmdemkbkahfnf [2015-09-22] CHR Extension: (Simple Visual Filter) - C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Extensions\mapigobjnkmfjocindclcenhjadaeoab [2016-08-06] Text Mode i Simple Visual Filter nie jestem w stanie znaleźć w Chrome Web Store, co jest wysoce podejrzane, odinstaluj je. Również pozbądź się FreeRadioCast, to rozszerzenie powiązane z adware. Po deinstalacji zrestartuj Chrome i podaj czy widzisz zmiany.

Przez SHIFT+DEL (omija Kosz) skasuj folder C:\FRST, folder "FRST" z Pulpitu oraz GMER i wszystkie logi narzędzi. Następnie wyczyść foldery Przywracania systemu: KLIK. Temat rozwiązany. Zamykam.

Zapomniałam powiedzieć, tych strumieni Comodo to jest o wiele więcej niż może to pokazać FRST, prawdopodobnie z kilka tysięcy i na obu dyskach. Po prostu FRST skanuje tylko wybrane lokalizacje. Poza tym, ponoć w wersji CIS 10.0.0.5144 wyeliminowano te strumienie. W Twojej wersji usuwa je przestawienie opcji którą podałam.

Cisowiaka, przecież logi zostały sprawdzone. Strumienie ADS są, nie będą przetwarzane w skrypcie FRST, bo nie jest to potrzebne (Comodo i tak by je odtworzył). A FRST niektórych nie umie przetworzyć pewnie ze względu na uprawnienia i ochronę Comodo (cmdagent.exe), nic tu nie będzie zmieniane. Jeśli chcesz je usunąć, to służy do tego opcja w konfiguracji Comodo.

Zamiast Adblock Plus zainteresuj się lżejszym uBlock Origin, popatrz na listę: KLIK.

Zacznijmy od tego, że w Twojej konfiguracji te strumienie w ogóle nie powinny być usuwane. Masz zainstalowany COMODO Antivirus, te strumienie tworzy Comodo. Ja tylko wtedy je usuwam, gdy w systemie już nie ma zainstalowanych żadnych produktów COMODO. Strumienie same znikną, jeśli nastąpi rekonfiguracja opcji w ustawieniach COMODO, tzn. wyłączenie Enable file source tracking: KLIK.

Fix pomyślnie wykonany, Hosts zresetowany. Czy po wykonaniu skryptu FRST ustąpił problem z internetem? Natomiast jeśli nadal jest obciążony ten drugi svchost hostujący usługę Windows Update, to już podałam link jakimi łatami należy się zainteresować.

Temat przenoszę do działu Windows, to nie jest problem infekcji, a wręcz przeciwnie - rzekomych zabezpieczeń przed infekcją. W systemie jest HOSTS Anti-Adware_PUPs, który wykonał katastrofalną edycję pliku Hosts. Plik Hosts mieli ponad 100 tysięcy wpisów. U Ciebie jest to obrazowane błędem o długiej odpowiedzi z usługi Klient DNS (Dnscache), co namacalnie ma skutek w postaci "słabego internetu". Przykładowy temat z forum pokazujący jakie skutki uboczne może mieć tak ogromna modyfikacja, a wpisów było dużo mniej: KLIK. Tego programu należy się pozbyć i zresetować plik Hosts. Program został już dawno temu wycofany z użytku, nie jest w ogóle aktualizowany i nie chroni przed bieżącymi zagrożeniami. Zastąpiono go Blockulicious DNS (orientacja na francuskich użytkowników): KLIK. S2 HOSTS Anti-PUPs; C:\Program Files (x86)\Hosts_Anti_Adwares_PUPs\HOSTS_Anti-Adware.exe [285795 2014-04-14] () [Brak podpisu cyfrowego] HKLM-x32\...\Run: [HOSTS Anti-Adware_PUPs] => C:\Program Files (x86)\Hosts_Anti_Adwares_PUPs\HOSTS_Anti-Adware_main.exe [302961 2014-04-14] () ==================== Hosts - zawartość: ========================== 2009-07-14 04:34 - 2016-07-17 08:27 - 07263887 ____A C:\Windows\system32\Drivers\etc\hosts 127.0.0.1 08sr.combineads.info # hosts anti-adware / pups 127.0.0.1 08srvr.combineads.info # hosts anti-adware / pups 127.0.0.1 12srvr.combineads.info # hosts anti-adware / pups 127.0.0.1 2010-fr.com # hosts anti-adware / pups 127.0.0.1 2012-new.biz # hosts anti-adware / pups 127.0.0.1 212link.com # hosts anti-adware / pups 127.0.0.1 2319825.ourtoolbar.com # hosts anti-adware / pups 127.0.0.1 24h00business.com # hosts anti-adware / pups 127.0.0.1 a.adorika.net # hosts anti-adware / pups 127.0.0.1 a.ad-sys.com # hosts anti-adware / pups 127.0.0.1 a.daasafterdusk.com # hosts anti-adware / pups 127.0.0.1 ad.adn360.com # hosts anti-adware / pups 127.0.0.1 adcash.com # hosts anti-adware / pups 127.0.0.1 adeartss.eu # hosts anti-adware / pups 127.0.0.1 adesoeasy.eu # hosts anti-adware / pups 127.0.0.1 adf.girldatesforfree.net # hosts anti-adware / pups 127.0.0.1 adm.soft365.com # hosts anti-adware / pups 127.0.0.1 adomicileavail.googlepages.com # hosts anti-adware / pups 127.0.0.1 ads7.complexadveising.com # hosts anti-adware / pups 127.0.0.1 ads.adplxmd.com # hosts anti-adware / pups 127.0.0.1 ads.aff.co # hosts anti-adware / pups 127.0.0.1 ads.alpha00001.com # hosts anti-adware / pups 127.0.0.1 ads.cloud4ads.com # hosts anti-adware / pups 127.0.0.1 ads.egdating.net # hosts anti-adware / pups 127.0.0.1 ads.eorezo.com # hosts anti-adware / pups 127.0.0.1 ads.hooqy.com # hosts anti-adware / pups 127.0.0.1 ads.pornerbros.com # hosts anti-adware / pups 127.0.0.1 ads.realken.com # hosts anti-adware / pups 127.0.0.1 ads.regiedepub.com # hosts anti-adware / pups 127.0.0.1 ads.sucomspot.com # hosts anti-adware / pups Wykryto więcej niż wyliczono: 101118 linii. Dziennik System: ============= Error: (09/26/2016 02:52:14 PM) (Source: Service Control Manager) (EventID: 7011) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na odpowiedź transakcji z usługi Dnscache. A to może być inny problem. Wprawdzie usługa Klient DNS (Dnscache), która się zawiesza, jest podmontowana na svchost, ale na innym wystąpieniu. To co pokazujesz na obrazku to inna grupa svchost. I tu prawdopodobnym delikwentem może być usługa Windows Update (wuauserv). Ostatnio sporo tematów na forum, a sprawę rozwiązuje instalacja łat: KLIK. Czyli do wykonania usuwanie Hosts_Anti_Adwares_PUPs, a przy okazji innych odpadkowych wpisów i programów: 1. Odinstaluj stare wersje i śmieci: Adobe Flash Player 20 ActiveX, Adobe Shockwave Player 12.0, FileViewPro, Java 7 Update 45 (64-bit), Java 7 Update 67, Java 8 Update 20 (64-bit), Java 8 Update 25, Java SE Development Kit 8 Update 20 (64-bit), McAfee Security Scan Plus, Smart File Advisor 1.1.6, YTD Video Downloader 4.8.5. Wszystkie programy z wyjątkiem Adobe i Java to programy z kategorii "PUP", instalacje niepożądane i przemycone w system w innym instalatorze. Deinstalacja Smart File Advisor usunie też Alcohol 52%. Należy Alcohol 52% przeinstalować przy całkowicie odciętym połączeniu sieciowym, by zapobiec instalacji tego śmiecia, instrukcje na spodzie: KLIK. 2. Usuń puste wpisy wtyczek Google Chrome poprzez reset cache wtyczek: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [HOSTS Anti-Adware_PUPs] => C:\Program Files (x86)\Hosts_Anti_Adwares_PUPs\HOSTS_Anti-Adware_main.exe [302961 2014-04-14] () S2 HOSTS Anti-PUPs; C:\Program Files (x86)\Hosts_Anti_Adwares_PUPs\HOSTS_Anti-Adware.exe [285795 2014-04-14] () [Brak podpisu cyfrowego] U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) Task: {0EAC5DA4-171F-4C1B-9674-D3BDC16DEC08} - System32\Tasks\{2A69CA78-34A4-4720-ABF3-FD1202EAE45E} => pcalua.exe -a D:\mateusz\PDFCombiner-Installation.exe -d D:\mateusz Task: {143A9E6B-09D5-48F8-A324-377DE3DA570F} - System32\Tasks\{D353E3AE-5EFC-414F-9B73-52D3E94F350D} => pcalua.exe -a "C:\Program Files (x86)\FTdownloader V4.0\Uninstall.exe" -c /fromcontrolpanel=1 Task: {48892E71-E6DC-4B52-85F6-7843D5D937F2} - System32\Tasks\{EB700679-283B-4BBC-B73D-32E5274B4497} => pcalua.exe -a G:\MU1_04M_Full(Eng).exe -d G:\ Task: {53E01B1D-64E1-4FF5-989F-04C9D8C77B69} - \DealPlyUpdate -> Brak pliku <==== UWAGA Task: {716F1038-BF53-47BE-BE06-21B7C2802454} - \Desk 365 RunAsStdUser -> Brak pliku <==== UWAGA Task: {76FAE829-75EC-4439-8C8A-61F17E0A04D4} - System32\Tasks\{B4D08592-4010-46DB-B412-596B4304B52C} => pcalua.exe -a E:\Setup.exe -d E:\ Task: {80FB23B8-7F62-41C5-9D0B-036112A38250} - System32\Tasks\{1BF4EEE9-DA42-4EC8-82D0-CAFD23A96A83} => pcalua.exe -a "C:\Program Files (x86)\Desk 365\eUninstall.exe" Task: {862DFEC7-AADD-4299-A198-5F1B035D79CE} - \BrowserDefendert -> Brak pliku <==== UWAGA Task: {A4480555-0CF0-4D4A-81E5-C77EBBDF3DAB} - System32\Tasks\{FDBF44D6-19F5-4700-B2AA-65319175E89A} => D:\cs\cstrike.exe Task: {E3C38427-31F3-4B3A-B003-1B4B06030D21} - System32\Tasks\{0BF0F1F6-3E1B-45EB-8ED3-86F5F7C00FA1} => pcalua.exe -a D:\mateusz\pulpit\aktywatory\AntiWPA_3.3.exe -d D:\mateusz\pulpit\aktywatory Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> Brak pliku <==== UWAGA Task: {F9608788-A6A2-44BD-8ECA-B5D5D61F53C4} - \DealPly -> Brak pliku <==== UWAGA MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Kalendarz.lnk => C:\Windows\pss\Kalendarz.lnk.CommonStartup MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk => C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup MSCONFIG\startupreg: ApnTBMon => "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe" MSCONFIG\startupreg: DAEMON Tools Lite => "D:\daemon\DAEMON Tools Lite\DTLite.exe" -autorun HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-21-2288698525-1566227253-1269940816-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA SearchScopes: HKLM -> DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = SearchScopes: HKLM-x32 -> DefaultScope - brak wartości BHO-x32: MSS+ Identifier -> {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} -> C:\Program Files\McAfee Security Scan\3.8.141\McAfeeMSS_IE.dll => Brak pliku BHO-x32: Google Toolbar Helper -> {AA58ED58-01DD-4d91-8333-CF10577473F7} -> C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll => Brak pliku BHO-x32: SimpleAdblock Class -> {FFCB3198-32F3-4E8B-9539-4324694ED664} -> C:\Program Files (x86)\Common Files\Simple Adblock\SimpleAdblock.dll => Brak pliku Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab FF HKLM-x32\...\Firefox\Extensions: [fmconverter@gmail.com] - C:\Program Files (x86)\Freemake\Freemake Video Converter\BrowserPlugin\Firefox FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF DeleteKey: HKCU\Software\Mozilla\SeaMonkey DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main C:\Program Files (x86)\Hosts_Anti_Adwares_PUPs C:\Program Files (x86)\Mozilla Firefox\plugins C:\Users\Dorota\Downloads\13 stycznia 2015.lnk Hosts: CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Potwierdź ustąpienie problemu z internetem.

1. Jeśli chodzi o ten odczyt z pliku Secure Preferences, to wg Chrome szczątkowa wyszukiwarka adware jest ustawiona jako domyślny dostawca wyszukiwania: "default_search_provider":{"enabled":true,"encodings":"UTF-8","favicon_url":"http://www.mylucky123.com/searchfavicon.ico","id":3276848,"prepopulate_id":0}Wróć do opcji Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > ustaw jako domyślną wyszukiwarkę dowolną inną niż wybrana obecnie, następnie z powrotem ustaw Google. Ta operacja powinna samodzielnie zresetować dane w pliku Secure Preferences i AdwCleaner nie powinien nic wykrywać w Secure Preferences. Jeśli jednak to się nie wydarzy, ręcznie zedytuję plik. 2. W rejestrze ostał się jednak jeden wadliwy klucz utworzony przez Redjane, to bug instalatora Redjane. Klawisz z flagą Windows + R > regedit > z prawokliku skasuj klucz który ma w nazwie znaczek: HKEY_CURRENT_USER\"SOFTWARE

Skasuj FRST/GMER i ich logi oraz folder C:\FRST z dysku. Temat zostawiam otwarty na bliżej nieokreślony czas. Gdyby się coś podejrzanego działo, zgłoś się tu ponownie.

Potrzebne są obowiązkowe raporty z FRST i GMER, by się upewnić że infekcja nie jest aktywna. Natomiast zaszyfrowane dane to odrębny wątek. Opis z hasłem "nielegalne pliki" wskazuje, że to nowa infekcja Unblockupc Ransomware atakująca głównie polskich użytkowników. Podobny temat z forum: KLIK. Odkodowanie plików jest awykonalne.

Nic z tego dla mnie nie wynika. Urządzenie zostało zablokowane, hasło logowania zmieniłeś, więc na razie nie widzę innych działań do podjęcia.

Sprawa certyfikatów jest tu nieaktualna. Odinstalowałeś program, certyfikat Y2Go nie jest widoczny w przystawce, więc został tym procesem usunięty. Log z FRST nie wykazuje także żadnych innych niepożądanych modyfikacji, poza tymi wpisami które właśnie zostały przetworzone. Robiłeś także liczne skany. Moim zdaniem nie ma tu czego szukać więcej, infekcje usunięte. Jaki widzisz błąd? Pobranie ręczne definicji też nie jest możliwe? Czy to na pewno problem powiązany z instalacją adware? W tym temacie użytkownicy raportują, że też nie mogą wykonać aktualizacji.

W raportach brak oznak infekcji. Odczyty "rootkit" w GMER to fałszywe alarmy na komponentach Windows 10. Co widzisz na stronie aktywności? Czy widnieje tam atypowe nierozpoznane urządzenie?

Windows 8.1 Nie widzę nic nowego w raportach, nie widzę też by powstały jakieś nowe elementy na dysku. Hmmm... twierdzisz, że z poziomu tego systemu zaglądasz do katalogu który nigdy nie był odwiedzany i pliki działają > restart i pliki już nie działają. Czy tak? To by oznaczało, że infekcja jest aktywna, tylko nie wiem w jaki sposób, bo w logach nic nie widać... Spakuj folder C:\FRST\Hives do ZIP, shostuj gdzieś i wyślij mi link do pliku na PW. Windows XP W tym systemie jest infekcja, ale wygląda na infekcję innego typu (nie od szyfratora danych), która siedzi bardzo długo (od zeszłego roku)... W starcie fałszywy "Windows Updater". Usuwanie: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicyScripts: Ograniczenia <======= UWAGA Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Windows Updater.lnk [2015-01-10] C:\Program Files\Windows Updater C:\Documents and Settings\Administrator\Menu Start\Programy\The Bat!.LNK C:\Documents and Settings\Administrator\Pulpit\The Bat!.LNK C:\Documents and Settings\Administrator\SendTo\The Bat!.LNK DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox\Extensions EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Nie wiem do czego zmierzasz z "Ablock", to wyciąg z FRST jakie rozszerzenie były zainstalowane: Chrome: ======= CHR HomePage: Default -> hxxps://www.google.de/ CHR StartupUrls: Default -> "hxxp://google.de/" CHR Profile: C:\Users\Patrycja\AppData\Local\Google\Chrome\User Data\Default CHR Extension: (ProxFlow) - C:\Users\Patrycja\AppData\Local\Google\Chrome\User Data\Default\Extensions\aakchaleigkohafkfjfjbblobjifikek [2016-08-15] CHR Extension: (Google Docs) - C:\Users\Patrycja\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2015-02-06] CHR Extension: (Google Drive) - C:\Users\Patrycja\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-11-02] CHR Extension: (SoundCloud Downloader) - C:\Users\Patrycja\AppData\Local\Google\Chrome\User Data\Default\Extensions\baignpanbngjdimbgmannbolcbplmofl [2016-04-23] CHR Extension: (YouTube) - C:\Users\Patrycja\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-09-30] CHR Extension: (Adblock Plus) - C:\Users\Patrycja\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2016-08-26] CHR Extension: (Google-Suche) - C:\Users\Patrycja\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-11-02] CHR Extension: (Google Docs Offline) - C:\Users\Patrycja\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-03-16] CHR Extension: (360 Internet Protection) - C:\Users\Patrycja\AppData\Local\Google\Chrome\User Data\Default\Extensions\glcimepnljoholdmjchkloafkggfoijh [2016-07-22] CHR Extension: (Chrome Web Store-Zahlungen) - C:\Users\Patrycja\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2016-04-05] CHR Extension: (Google Mail) - C:\Users\Patrycja\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-03-31] CHR Extension: (Chrome Media Router) - C:\Users\Patrycja\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-09-20] CHR HKLM-x32\...\Chrome\Extension: [kpdmjodecdegfglgaapafjleomjjlpnh] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - C:\Program Files (x86)\Skype\Toolbars\ChromeExtension\skype_chrome_extension.crx [2016-05-25] Opera: ======= OPR Extension: (ProxFlow) - C:\Users\Patrycja\AppData\Roaming\Opera Software\Opera Stable\Extensions\pfhgklkklombiikjckbfpkadmlodekgo [2016-07-15] Reklamy zgłaszałeś w obu przeglądarkach. Jedyny element wspólny to ProxFlow. Przywróciłeś to rozszerzenie. Ono bedzie produkować i tak reklamy, to licencja "darmowej" wersji.

Temat przenoszę do odpowiedniego działu. W raportach nie widać klasycznych objaw infekcji, ale w Google Chrome i Opera masz zainstalowane rozszerzenie ProxFlow obchodzące limity geo-lokalizacji. ProxFlow jest wpierany przez reklamy: KLIK. Pozbądź się tego rozszerzenia z obu przeglądarek i podaj czy reklamy ustąpiły.

Opcje Lista BCD, MD5 sterowników, Pliki z 90-dni nie miały być zaznaczone. To skany pod określone zjawiska od dawna tu nie występujące (skan MD5 to w zasadzie martwa funkcja), produkujące zbyt obszerne logi. O te skany prosi prowadzący pomoc, gdy widzi podstawy do tego kroku. Logi poświadczają, że infekcja nie jest już aktywana, zostały tylko odpadki Y2Go w Harmonogramie zadań. Przy okazji usunę inne drobne szczątkowe wpisy (wliczając puste skróty). 1. Odinstaluj YTD Video Downloader 4.8.9 - instalator sponsorowany przez adware. Program zresztą jest już uszkodzony, naruszył go AdwCleaner. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {116E20E9-9FB6-4EF5-AF52-FAB16203C84D} - System32\Tasks\Y2Go\Updater\Y2GoUpdater => C:\Program Files (x86)\Y2GoUpdater\updater.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Y2Go C:\Windows\System32\Tasks\Y2Go Task: {22C7C0E8-17E7-43E1-A739-1BF30A17E358} - System32\Tasks\{176DA0D2-23FE-4B39-B2D2-917992A24166} => pcalua.exe -a "C:\Program Files (x86)\Electronic Arts\Need for Speed Carbon\EAUninstall.exe" Task: {5202F340-55C5-4835-912E-656B5CD23F8E} - System32\Tasks\{D78354CA-A9FD-4EBE-A490-488C4F3DCF7D} => pcalua.exe -a "C:\Program Files (x86)\Need for Speed Carbon\setup.exe" -d "C:\Program Files (x86)\Need for Speed Carbon" Task: {73C3D8E0-6355-4F04-BCAB-736A9E64313B} - System32\Tasks\{1F7CA4C6-1AEF-4370-B89B-844C4C20FB53} => Firefox.exe hxxp://ui.skype.com/ui/0/6.18.0.106/pl/abandoninstall?page=tsMain Task: {EA5F8ECE-5D71-451B-9F32-A4C4EF872FF1} - System32\Tasks\{70482A84-F927-432C-AE09-6365473F5C0B} => C:\Program Files (x86)\Electronic Arts\Need for Speed Carbon\NFSC.exe Task: {ECFD28C8-BE2A-4485-9AFD-50464D19F9AB} - System32\Tasks\{732CA07C-0ECD-4A10-90CC-6B882C9F4441} => pcalua.exe -a E:\RGSC\setup.exe -d E:\RGSC Task: {F1DF37AA-1C33-46B7-AE8F-A873AD948BA8} - System32\Tasks\{817020AA-4EE2-4C5B-8DB2-7CF01CA3E092} => pcalua.exe -a "C:\Program Files (x86)\Electronic Arts\Need for Speed Carbon\EAUninstall.exe" CustomCLSID: HKU\S-1-5-21-1031442287-3116140015-3841804844-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Uzytkownik\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku S2 AODDriver4.2.0; \??\C:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 GDPkIcpt; \??\C:\Windows\system32\drivers\PktIcpt.sys [X] MSCONFIG\startupreg: RGSC => C:\Program Files (x86)\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\08498119.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\08498119.sys => ""="Driver" C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Electronic Arts C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gadu-Gadu C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YTD Video Downloader C:\Users\Uzytkownik\AppData\Local\Microsoft\Windows\GameExplorer\{1AA01F43-62F5-4CF8-958C-1C67E3340EAF} C:\Users\Uzytkownik\AppData\Roaming\gdscan.log C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Steam C:\Users\Uzytkownik\Desktop\Nieuzywane skroty pulpitu\Adobe Reader XI.lnk C:\Users\Uzytkownik\Desktop\Nieuzywane skroty pulpitu\Grand Theft Auto IV-fullscreen.lnk C:\Users\Uzytkownik\Desktop\Nieuzywane skroty pulpitu\Need for *.lnk C:\Users\Uzytkownik\Desktop\Nieuzywane skroty pulpitu\Safe Money.lnk C:\Users\Uzytkownik\Desktop\Nieuzywane skroty pulpitu\YTD Video Downloader.lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.

Chodzi o uruchomienie skanów FRST i GMER z poziomu każdego systemu po kolei będąc zalogowanym w danym systemie. FRST nie skanuje innych dysków niż bieżący systemu.

Nie poddajemy się. Poza tym, jeszcze będą czynności końcowe do wykonania. Ale na razie: Dodatkowo, w wynikach wyszukiwania rejestru był dziwny odczyt z cudzysłowiem. Założyłam że to może być błąd skanu, ale po konsultacji z autorem nabrałam wątpliwości. Poproszę o odczyt z rejestru. Otwórz Notatnik i wklej w nim: Reg: reg query HKU\S-1-5-21-978019282-1476024836-731519584-1000 Zip: C:\Users\Tom\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Dostarcz wynikowy fixlog.txt. Poza tym, na Pulpicie powstanie Upload.zip - shostuj go gdzieś i wyślij link na PW.

Czyli twierdzisz, że dane są cały czas szyfrowane? Poproszę o nowe raporty FRST i GMER - raporty zrób z obu systemów, z Windows 8.1 i Windows XP.

Skrypt FRST uruchomiłeś dwa razy (to skrypt jednorazowego użytku i nie zrobi ponownie tego samego) i było to niepożądane (nadpisałeś plik Upload.zip i skopiował się tylko jeden plik). W każdym razie wygląda na to, że plik C:\ProgramData\encfiles.log trzyma listę wszystkich plików, które podlegały szyfrowaniu. Jest tam ogromna ilość ścieżek z innych dysków, np. I: czy K:... Otwórz ten plik i sprawdź wszystkie ścieżki tam wyliczane czy w tych miejscach są zaszyfrowane dane. Jeśli tak, zakres szkód jest obszerniejszy niż to raportowałeś. Jeśli chodzi o sam fakt przestawiania który system startuje, to nie widzę problemu. Co masz na myśli? Jakie zmiany? PS. I proszę już odpowiadaj w nowym poście.

Usuwanie FRST i GMER podałam powyżej.