picasso

Wszystko zrobione. Teraz jeszcze: 1. Uruchom DelFix, który ma skasować użyte narzędzia. 2. Przeprowadź skan za pomocą Hitman Pro. Jeśli coś wykryje, dostarcz log.

1. Pomyliłeś się przy wklejaniu Fixlist do Notatnika, skleiłeś jedną z końcowych linii i się nie wykonało usuwanie plików z C. Poprawka - do Notatnika wklej: CMD: del /q /s "C:\# HELP DECRYPT #.*" Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. AdwCleaner wykrył tylko szczątki adware w rejestrze. Uruchom go ponownie i tym razem wybierz po kolei opcje Skanuj + Usuń. Przedstaw log wynikowy z usuwania.

Na przyszłość trzymaj się konfiguracji FRST w przyklejonym, sekcje Lista BCD, MD5 sterowników, Pliki z 90 dni nie miały być zaznaczone (to skany pod szczególne i to stare infekcje, obecnie w większości przypadków skany bezużyteczne). Nic w raportach nie wskazuje na infekcję, a znaleziska MBAM nie powiązane. Tylko mnie na moment zastanowił ten crack do Uninstall Tool w Harmonogramie. Opisywany problem wygląda raczej na sprzętowy i na razie temat przesuwam do działu Hardware. Na jakich sterownikach klawiatura operuje (z Windows Update czy bezpośrednio od producenta)? O jakiej klawiaturze mowa, zintegrowanej czy zewnętrznej? Czy wcześniejsza klawiatura była takiego samego typu? Czy klawiatura była "rozkręcana", czyszczona? Czy próbowałeś podpiąć jeszcze inną niż te dwie? Przy okazji, widać w raporcie jakieś nierozpoznane urządzenie do którego nie ma zainstalowanych sterowników: ==================== Wadliwe urządzenia w Menedżerze urządzeń ============= Name: Description: Class Guid: Manufacturer: Service: Problem: : The drivers for this device are not installed. (Code 28) Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard. PS. W spoilerze doczyszczanie wpisów pustych / szczątkowych, zupełnie niepowiązane z problemem głównym.

Nareszcie, skrypt FRST wykonał się do końca. Infekcja nie jest już czynna, teraz już tylko poprawki. Log RansomNoteCleaner wygląda jakby narzędzie zajmowało się tylko folderem Pulpitu i jego podfolderami, a w logu FRST nadal widać notki ransom w innych lokalizacjach. Kolejna porcja działań: 1. Ustaw tymczasowo Internet Explorer jako domyślną przeglądarkę, gdyż nadal widać przypisany UCBrowser. 2. Otwórz Notatnik i wklej w nim: Winlogon\Notify\txtpass-x32: C:\Users\Stefan\AppData\Local\txtpass.dll [X] SearchScopes: HKU\S-1-5-21-2469171809-464102732-1853336734-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = S3 Afc; SysWOW64\drivers\Afc.sys [X] S3 EsgScanner; system32\DRIVERS\EsgScanner.sys [X] RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Adobe RemoveDirectory: C:\ProgramData\Adobe RemoveDirectory: C:\ProgramData\MFAData RemoveDirectory: C:\Qoobox RemoveDirectory: C:\Users\Stefan\AppData\Local\30393644-1473352024-3043-3041-363831314531 StartBatch: ipconfig /flushdns netsh advfirewall reset attrib -h -s "C:\# HELP DECRYPT #.*" /s attrib -h -s "D:\# HELP DECRYPT #.*" /s del /q C:\Users\Stefan\AppData\Roaming\changelog del /q C:\Users\Stefan\Downloads\hzoc3cog.exe del /q C:\Users\Stefan\Downloads\jhnmqgsg.exe del /q /s "C:\# HELP DECRYPT #.*" del /q /s "D:\# HELP DECRYPT #.*" EndBatch: Tym razem nie musisz zapisywać pliku w UTF-8, ani wykonywać skryptu z poziomu trybu awaryjnego. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nie powinno być restartu. Przedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner (był wcześniej używany, ale nie wiadomo co robił). Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. To podam na końcu. Jeszcze czyszczenie w toku.

Podałam powyżej instrukcje, tylko punkt 2 z (nowym) skryptem w trybie awaryjnym.

Próba zamknięcia, gdy program coś robi, jest tożsama z przerwaniem jego działania i wykonywania skryptu. Tak, czekać nawet jeśli jest "brak odpowiedzi", to nie jest jednoznaczne z tym że FRST całkowicie się zawiesił. Określone operacje mogą trwać. Oczywiście program nie może wisieć z tym komunikatem godzinami, wtedy trzeba go zamknąć. Wg logów FRST zacina się na przetwarzaniu sterownika UCGuard. Toteż powyżej podałam, by tym razem skrypt uruchomić z poziomu Trybu awaryjnego Windows. PS. A podany powyżej Fixlog to nie jest ten właściwy, uruchomiłeś ponownie ten sam skrypt, który nie jest już aktualny. Miałeś dostarczyć Fixlog z poprzedniego uruchomienia.

Zabrakło pliku fixlog.txt z wynikami usuwania. Dostarcz go przed przejściem do poniższych działań (doczepiając w poście powyżej), bo już widać po logu FRST że niestety nie wszystko usunięte... I mam pytanie, czy Ty przerywasz pracę FRST podczas opcji Fix (niecierpliwiąc się ze względu na długie przetwarzanie) czy występuje jakiś błąd? To już drugi raz, gdy Fix nie kończy roboty... I w międzyczasie doinstalowałeś lewy skaner SpyHunter! To program którego należy unikać, reklamowany na stronach rzekomych instrukcji usuwania, a chodzi tylko o to by go zainstalować i płacić za pełną wersję (która na dodatek w ogóle nie rozwiąże problemu np. zaszyfrowanych plików). Nie podejmuj działań na własną rękę. Kolejne podejście: 1. Odinstaluj SpyHunter 4. Następnie, niezależnie od tego czy deinstalacja się powiedzie czy wręcz przeciwnie, zastosuj SpyHunterCleaner. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: Winlogon\Notify\txtpass: C:\Users\Stefan\AppData\Local\txtpass.dll [2016-09-08] () Task: {00083533-60EC-4C15-BA52-EFA455DC414E} - System32\Tasks\{5DC0F6A7-3172-4D09-A1E0-14D850336455} => pcalua.exe -a "C:\Program Files (x86)\mpck\uninstaller.exe" Task: {3CA2C85C-5810-4CF0-B93B-62DA0ACAA9F5} - System32\Tasks\UnregisterNonABICompliantCodeRange => C:\PROGRA~2\8js1E8B\i0o1E8B.bat Task: {5AF3E7FB-C40A-4373-A8D5-F2CE44FFE6DC} - System32\Tasks\Drogoghtsocerse Helper => C:\Program Files (x86)\Woctioncogesh\DrgHelperKlc.exe Task: {5F2B5512-FA12-44B2-9EF3-265F22FD5179} - System32\Tasks\{9D940323-563F-4E1C-9180-680B6CF4C100} => pcalua.exe -a "C:\Program Files (x86)\EasyHotspot\uninstaller.exe" Task: {7E55B478-CC77-4672-BAC1-B1ACD22319D9} - System32\Tasks\KuaiZip_Update => C:\Program Files\żěŃą\X86\Update.exe [2016-09-07] (Shanghai Guangle Network Technology Ltd ) Task: {BDE61454-24C8-4F7F-B81C-FB2270245133} - System32\Tasks\{42EF222B-6DE4-40BF-9D91-F141719A754B} => pcalua.exe -a "C:\Program Files (x86)\MPC Cleaner\Uninstall.exe" -c /xuninstall Task: {F266B8A1-FFF9-4640-92BE-5EE2781C175B} - System32\Tasks\{C54ED715-26DF-4DDF-A85E-43143223D61F} => pcalua.exe -a "C:\Program Files\SpaceSoundPro\uninstaller.exe" R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-02] (Huorong Borui (Beijing) Technology Co., Ltd.) S1 ArcCtrl; system32\drivers\ArcCtrl.sys [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] NETSVCx32: HpSvc -> Brak ścieżki do pliku. HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www%2dsearching.com/?prd=set_epf&s=g97zamobl2140bu,1adabb25-6e16-4bd3-b316-b5c3449df784, HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com SearchScopes: HKU\S-1-5-21-2469171809-464102732-1853336734-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DeleteKey: HKCU\Software\Google\Chrome DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: ipconfig /flushdns CMD: netsh advfirewall reset CMD: regsvr32 /u /s "C:\Program Files\żěŃą\X64\KZipShell.dll" CMD: regsvr32 /u /s "C:\Program Files (x86)\KuaiZip\X64\KZipShell.dll" CMD: regsvr32 /u /s "C:\Program Files (x86)\LuDaShi\ComputerZ7_x64.dll" C:\Program Files\SpaceSoundPro C:\Program Files\ZipTool C:\Program Files\żěŃą D:\Program Files\MS.Default C:\Program Files (x86)\30393644-1473274685-3043-3041-363831314531 C:\Program Files (x86)\30393644-1473333862-3043-3041-363831314531 C:\Program Files (x86)\Google\Chrome C:\Program Files (x86)\GreatMaker C:\Program Files (x86)\KuaiZip C:\Program Files (x86)\LDSGameCenter C:\Program Files (x86)\LuDaShi C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\MPC Cleaner C:\Program Files (x86)\mpck C:\Program Files (x86)\SOEasy.3 C:\Program Files (x86)\SOEasy.4 C:\Program Files (x86)\SOEasy.5 C:\Program Files (x86)\SOEasy.6 C:\Program Files (x86)\UCBrowser C:\Program Files (x86)\WeatherChickn C:\Program Files (x86)\Woctioncogesh C:\ProgramData\ArcSoft C:\ProgramData\AVG C:\ProgramData\Avira C:\ProgramData\AVAST Software C:\ProgramData\cosun C:\ProgramData\Mozilla C:\ProgramData\Microsoft\Performance C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Compress C:\uninst C:\Users\Stefan\AppData\Local\txtpass.dll C:\Users\Stefan\AppData\Local\30393644-1473281992-3043-3041-363831314531 C:\Users\Stefan\AppData\Local\app C:\Users\Stefan\AppData\Local\Apps\2.0\abril.exe C:\Users\Stefan\AppData\Local\ArcSoft C:\Users\Stefan\AppData\Local\Google\Chrome C:\Users\Stefan\AppData\Local\Iwfbsoft C:\Users\Stefan\AppData\Local\jervitheranaqientviriied C:\Users\Stefan\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk C:\Users\Stefan\AppData\Local\Mozilla C:\Users\Stefan\AppData\Local\Poker at bet365 C:\Users\Stefan\AppData\Local\Tempfolder C:\Users\Stefan\AppData\Local\UCBrowser C:\Users\Stefan\AppData\Local\Uwwlmedia C:\Users\Stefan\AppData\Roaming\*.* C:\Users\Stefan\AppData\Roaming\ArcSoft C:\Users\Stefan\AppData\Roaming\Corner Sunshine C:\Users\Stefan\AppData\Roaming\Geunfy C:\Users\Stefan\AppData\Roaming\KuaiZip C:\Users\Stefan\AppData\Roaming\KZMount C:\Users\Stefan\AppData\Roaming\Ludashi C:\Users\Stefan\AppData\Roaming\Mozilla C:\Users\Stefan\AppData\Roaming\Profiles C:\Users\Stefan\AppData\Roaming\Softlink C:\Users\Stefan\AppData\Roaming\VDI C:\Users\Stefan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Stefan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\MaohaWiFi.lnk C:\Users\Stefan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk C:\Users\Stefan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Stefan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器.lnk C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\KuaiZip.lnk C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk C:\Users\Stefan\Desktop\żěŃą.lnk C:\Users\Stefan\Desktop\Arcsoft TotalMedia 3.5.7.359 keygen.zip C:\Users\Stefan\Desktop\ArcSoft TotalMedia C:\Users\Stefan\Desktop\Dysk D\SAMSUNG\sol\Google Chrome.lnk C:\Users\Stefan\Desktop\Skróty\Google Chrome.lnk C:\Users\Stefan\Downloads\Arcsoft_totalmedia_3_serial_key_downloader.exe C:\Users\Stefan\Downloads\ArcSoft TotalMedia.torrent C:\Users\Stefan\Downloads\ReimageRepair.exe C:\Users\Stefan\Downloads\TotalMedia Extreme3.gz C:\Windows\Reimage.ini C:\Windows\system32\bi3.exe C:\Windows\system32\Drivers\EsgScanner.sys C:\Windows\system32\Drivers\KuaiZipDrive.sys C:\Windows\system32\Drivers\KuaiZipDrive2.sys C:\Windows\system32\Drivers\ucguard.sys C:\Windows\system32\Drivers\VirtualizerDDK.sys C:\Windows\system32\sik C:\Windows\SysWOW64\Drivers\afc.sys Hosts: EmptyTemp: Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, ma nastąpić automatyczny restart Windows, opuść Tryb awaryjny. Powstanie kolejny fixlog.txt (nadpisze poprzedni). 3. Co właściwie zrobiłeś w programie RansomNoteCleaner? Czy program wykrywa pliki Cerber? Czy coś usuwałeś? W raporcie nadal notatki ransom. Powtórz operację z programem, wykryte pliki dodane przez Cerber powinny zostać usunięte. W tym samym folderze skąd uruchamiasz narzędzie powstanie plik RansomNoteCleaner.log, zmień ręcznie rozszerzenie na txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, bez Shortcut. Dołącz też pliki fixlog.txt (chodzi o plik z tego podejścia) oraz RansomNoteCleaner.txt.

Nie, ta aplikacja usuwa tylko pliki dodatkowe wyświetlające żądanie okupu. Niestety nie ma. Pomiń ten krok, Chrome usunę na siłę na podstawie nowych raportów FRST.

Niestety Fix FRST nie wykonał się, przetworzone ledwie kilka początkowych linii. Nadal nie wyleczona 32-bitowa kopia pliku C:\Windows\SysWOW64\dnsapi.dll. Ponadto, postępująca tragedia, doinstalowało się nowe malware (trojan Ropest i infekcja Cerber szyfrująca dane). Cerber w najnowszym wariancie (rozszerzenie *.cerber3). Wygląda na to, że to skutek kolejnych prób z pirackimi programami, niektóre obiekty infekcji powstały zaraz po pojawieniu się "Arcsoft_totalmedia_3_serial_key_downloader.exe" + "ArcSoft TotalMedia.torrent". Plików cerber niestety nie da się odkodować. Jedyne co jestem w stanie zrobić, to wyczyścić infekcje. Na dalszą metę i tak będzie zalecany format dysku, ze względów bezpieczeństwa. Kolejne działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: (Microsoft Corporation) C:\Windows\explorer.exe ShellIconOverlayIdentifiers: [0PerformanceMonitor] -> {3B5B973C-92A4-4855-9D3F-0F3D23332208} => C:\ProgramData\Microsoft\Performance\Monitor\PerformanceMonitor.dll [2016-09-08] () ShellIconOverlayIdentifiers: [JzShlobj] -> {7B286609-DA97-47E1-AC6B-33B8B4732C95} => Brak pliku ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2016-09-07] () ShellIconOverlayIdentifiers: [KzShlobj2] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F3} => C:\Program Files (x86)\KuaiZip\X64\KZipShell.dll [2016-09-07] () Winlogon\Notify\txtpass: C:\Users\Stefan\AppData\Local\txtpass.dll [2016-09-08] () HKU\S-1-5-21-2469171809-464102732-1853336734-1001\...\Run: [msiql] => C:\Users\Stefan\AppData\Local\Temp\msiql.exe /RUNNING HKU\S-1-5-21-2469171809-464102732-1853336734-1001\...\Run: [iwfbsoft] => C:\Users\Stefan\AppData\Local\Iwfbsoft\tmp548B.exe [155309 2016-09-08] () HKU\S-1-5-21-2469171809-464102732-1853336734-1001\...\Run: [uwwlmedia] => regsvr32.exe C:\Users\Stefan\AppData\Local\Uwwlmedia\trkgyqww.dll HKU\S-1-5-21-2469171809-464102732-1853336734-1001\...\Run: [igklsoft] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Stefan\AppData\Local\Iwfbsoft\lpjjiqtv.dll HKU\S-1-5-21-2469171809-464102732-1853336734-1001\...\Run: [txtpass] => C:\Users\Stefan\AppData\Local\txtpass.dll [41472 2016-09-08] () HKU\S-1-5-21-2469171809-464102732-1853336734-1001\...\Policies\Explorer: [RestrictRun] 0 HKLM\...\Policies\Explorer: [RestrictRun] 0 R2 jinyvymuzbt; C:\Program Files (x86)\30393644-1473274685-3043-3041-363831314531\kns9024.tmp [439296 2016-09-08] () [brak podpisu cyfrowego] R2 bebomiquzbt; C:\Program Files (x86)\30393644-1473333862-3043-3041-363831314531\knsjED95.tmpfs [X] R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-02] (Huorong Borui (Beijing) Technology Co., Ltd.) S1 ArcCtrl; system32\drivers\ArcCtrl.sys [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] NETSVCx32: HpSvc -> Brak ścieżki do pliku. Task: {00083533-60EC-4C15-BA52-EFA455DC414E} - System32\Tasks\{5DC0F6A7-3172-4D09-A1E0-14D850336455} => pcalua.exe -a "C:\Program Files (x86)\mpck\uninstaller.exe" Task: {3CA2C85C-5810-4CF0-B93B-62DA0ACAA9F5} - System32\Tasks\UnregisterNonABICompliantCodeRange => C:\PROGRA~2\8js1E8B\i0o1E8B.bat Task: {5AF3E7FB-C40A-4373-A8D5-F2CE44FFE6DC} - System32\Tasks\Drogoghtsocerse Helper => C:\Program Files (x86)\Woctioncogesh\DrgHelperKlc.exe Task: {5F2B5512-FA12-44B2-9EF3-265F22FD5179} - System32\Tasks\{9D940323-563F-4E1C-9180-680B6CF4C100} => pcalua.exe -a "C:\Program Files (x86)\EasyHotspot\uninstaller.exe" Task: {7E55B478-CC77-4672-BAC1-B1ACD22319D9} - System32\Tasks\KuaiZip_Update => C:\Program Files\żěŃą\X86\Update.exe [2016-09-07] (Shanghai Guangle Network Technology Ltd ) Task: {BDE61454-24C8-4F7F-B81C-FB2270245133} - System32\Tasks\{42EF222B-6DE4-40BF-9D91-F141719A754B} => pcalua.exe -a "C:\Program Files (x86)\MPC Cleaner\Uninstall.exe" -c /xuninstall Task: {F266B8A1-FFF9-4640-92BE-5EE2781C175B} - System32\Tasks\{C54ED715-26DF-4DDF-A85E-43143223D61F} => pcalua.exe -a "C:\Program Files\SpaceSoundPro\uninstaller.exe" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Stefan\Desktop\Skróty\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www%2dsearching.com/?prd=set_epf&s=g97zamobl2140bu,1adabb25-6e16-4bd3-b316-b5c3449df784, ShortcutWithArgument: C:\Users\Stefan\Desktop\Dysk D\SAMSUNG\sol\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www%2dsearching.com/?prd=set_epf&s=g97zamobl2140bu,1adabb25-6e16-4bd3-b316-b5c3449df784, ShortcutWithArgument: C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www%2dsearching.com/?prd=set_epf&s=g97zamobl2140bu,1adabb25-6e16-4bd3-b316-b5c3449df784, ShortcutWithArgument: C:\Users\Stefan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Stefan\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Stefan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Stefan\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Stefan\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com SearchScopes: HKU\S-1-5-21-2469171809-464102732-1853336734-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: ipconfig /flushdns CMD: netsh advfirewall reset CMD: regsvr32 /u /s "C:\Program Files\żěŃą\X64\KZipShell.dll" CMD: regsvr32 /u /s "C:\Program Files (x86)\KuaiZip\X64\KZipShell.dll" CMD: regsvr32 /u /s "C:\Program Files (x86)\LuDaShi\ComputerZ7_x64.dll" C:\Program Files\SpaceSoundPro C:\Program Files\ZipTool C:\Program Files\żěŃą D:\Program Files\MS.Default C:\Program Files (x86)\30393644-1473274685-3043-3041-363831314531 C:\Program Files (x86)\30393644-1473333862-3043-3041-363831314531 C:\Program Files (x86)\GreatMaker C:\Program Files (x86)\KuaiZip C:\Program Files (x86)\LDSGameCenter C:\Program Files (x86)\LuDaShi C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\MPC Cleaner C:\Program Files (x86)\mpck C:\Program Files (x86)\SOEasy.3 C:\Program Files (x86)\SOEasy.4 C:\Program Files (x86)\SOEasy.5 C:\Program Files (x86)\SOEasy.6 C:\Program Files (x86)\UCBrowser C:\Program Files (x86)\WeatherChickn C:\Program Files (x86)\Woctioncogesh C:\ProgramData\ArcSoft C:\ProgramData\AVG C:\ProgramData\Avira C:\ProgramData\AVAST Software C:\ProgramData\cosun C:\ProgramData\Mozilla C:\ProgramData\Microsoft\Performance C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Compress C:\uninst C:\Users\Stefan\AppData\Local\txtpass.dll C:\Users\Stefan\AppData\Local\30393644-1473281992-3043-3041-363831314531 C:\Users\Stefan\AppData\Local\app C:\Users\Stefan\AppData\Local\Apps\2.0\abril.exe C:\Users\Stefan\AppData\Local\ArcSoft C:\Users\Stefan\AppData\Local\Iwfbsoft C:\Users\Stefan\AppData\Local\jervitheranaqientviriied C:\Users\Stefan\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk C:\Users\Stefan\AppData\Local\Mozilla C:\Users\Stefan\AppData\Local\Poker at bet365 C:\Users\Stefan\AppData\Local\Tempfolder C:\Users\Stefan\AppData\Local\UCBrowser C:\Users\Stefan\AppData\Local\Uwwlmedia C:\Users\Stefan\AppData\Roaming\*.* C:\Users\Stefan\AppData\Roaming\ArcSoft C:\Users\Stefan\AppData\Roaming\Geunfy C:\Users\Stefan\AppData\Roaming\KuaiZip C:\Users\Stefan\AppData\Roaming\KZMount C:\Users\Stefan\AppData\Roaming\Ludashi C:\Users\Stefan\AppData\Roaming\Mozilla C:\Users\Stefan\AppData\Roaming\Profiles C:\Users\Stefan\AppData\Roaming\Softlink C:\Users\Stefan\AppData\Roaming\VDI C:\Users\Stefan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\MaohaWiFi.lnk C:\Users\Stefan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk C:\Users\Stefan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器.lnk C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\KuaiZip.lnk C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome C:\Users\Stefan\Desktop\żěŃą.lnk C:\Users\Stefan\Desktop\Arcsoft TotalMedia 3.5.7.359 keygen.zip C:\Users\Stefan\Desktop\ArcSoft TotalMedia C:\Users\Stefan\Downloads\Arcsoft_totalmedia_3_serial_key_downloader.exe C:\Users\Stefan\Downloads\ArcSoft TotalMedia.torrent C:\Users\Stefan\Downloads\TotalMedia Extreme3.gz C:\Windows\system32\bi3.exe C:\Windows\system32\Drivers\EsgScanner.sys C:\Windows\system32\Drivers\KuaiZipDrive.sys C:\Windows\system32\Drivers\KuaiZipDrive2.sys C:\Windows\system32\Drivers\ucguard.sys C:\Windows\system32\Drivers\VirtualizerDDK.sys C:\Windows\system32\sik C:\Windows\SysWOW64\Drivers\afc.sys Hosts: EmptyTemp: Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie kolejny fixlog.txt. 2. Ponownie uruchom RepairDNS i po jego użyciu zresetuj system. 3. Uruchom RansomNoteCleaner (sekcja "Ransom - zaszyfrowane pliki"). 4. Wszystkie operacje z Google Chrome podane wcześniej nadal aktualne, zero zmian w dostarczonych raportach. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też pliki fixlog.txt i RepairDNS.txt.

Poniższe pliki wyglądają na falsyfikaty zrobione przez Brontok (EXE powtarzające nazwę folderu w którym siedzą), wszystkie nabite w tym samym czasie i mają identyczny rozmiar: [25/04/2011 - 10:38:20 | A | 43 Ko] - F:\Data ADMIN.exe [25/04/2011 - 10:38:20 | A | 43 Ko] - F:\Big Daddy Kane - (1988) Long Live The Kane [320]\Big Daddy Kane - (1988) Long Live The Kane [320].exe [25/04/2011 - 10:38:20 | A | 43 Ko] - F:\Bonus_RPK_2009_Wkurwiony_Dzieciak-Bootleg--oNLe\Bonus_RPK_2009_Wkurwiony_Dzieciak-Bootleg--oNLe.exe [25/04/2011 - 10:38:20 | A | 43 Ko] - F:\deep house\deep house.exe [25/04/2011 - 10:38:20 | A | 43 Ko] - F:\diagnostyka\diagnostyka.exe [25/04/2011 - 10:38:20 | A | 43 Ko] - F:\diagnostyka\frst\frst.exe [25/04/2011 - 10:38:20 | A | 43 Ko] - F:\DJ Decks - Mixtape Vol.3 [2003]\DJ Decks - Mixtape Vol.3 [2003]`.exe [25/04/2011 - 10:38:20 | A | 43 Ko] - F:\do fury\do fury.exe [25/04/2011 - 10:38:20 | A | 43 Ko] - F:\Gang Starr - No More Mr. Nice Guy [1989]\Gang Starr - No More Mr. Nice Guy [1989]`.exe [25/04/2011 - 10:38:20 | A | 43 Ko] - F:\Gang Starr - Step in the Arena\Gang Starr - Step in the Arena\Gang Starr - Step in the Arena.exe [25/04/2011 - 10:38:20 | A | 43 Ko] - F:\Kali & Paluch - Milion dróg do śmierci\Kali & Paluch - Milion dróg do śmierci.exe [25/04/2011 - 10:38:20 | A | 43 Ko] - F:\KONCERT 22 KWIETNIA 2016\bity\bity.exe [25/04/2011 - 10:38:20 | A | 43 Ko] - F:\Obywatel MC - Getto Deluks\Obywatel MC - Getto Deluks.exe [25/04/2011 - 10:38:20 | A | 43 Ko] - F:\Parzel & Siwers - Cos Sie Konczy, Cos Sie Zaczyna\Parzel & Siwers - Cos Sie Konczy, Cos Sie Zaczyna.exe [25/04/2011 - 10:38:20 | A | 43 Ko] - F:\SOMP WPL - Niewidzialny\SOMP WPL - Niewidzialny.exe [25/04/2011 - 10:38:20 | A | 43 Ko] - F:\Somp WPL - Wciąż Płonie Lolek (2013)\Somp WPL - Wciąż Płonie Lolek (2013).exe [25/04/2011 - 10:38:20 | A | 43 Ko] - F:\www\ESENCJA\studio\studio.exe [25/04/2011 - 10:38:20 | A | 43 Ko] - F:\www\ESENCJA\ubrania\ubrania.exe [25/04/2011 - 10:38:20 | A | 43 Ko] - F:\_Serato_\_Serato_.exe [25/04/2011 - 10:38:20 | A | 43 Ko] - K:\.Trashes\.Trashes`.exe [25/04/2011 - 10:38:20 | A | 43 Ko] - K:\DO ZABRANIA DO STUDIA\teksty\teksty.exe [25/04/2011 - 10:38:20 | A | 43 Ko] - K:\DO ZABRANIA DO STUDIA\robocze\robocze.exe [25/04/2011 - 10:38:20 | A | 43 Ko] - K:\DO ZABRANIA DO STUDIA\bity\bity.exe [25/04/2011 - 10:38:20 | A | 43 Ko] - K:\.fseventsd\.fseventsd`.exe [25/04/2011 - 10:38:20 | A | 43 Ko] - K:\.Spotlight-V100\Store-V1\Store-V1.exe [25/04/2011 - 10:38:20 | A | 43 Ko] - K:\.Spotlight-V100\Store-V1\Stores\FFA69006-EFDE-445E-9236-96128FFFA39D\FFA69006-EFDE-445E-9236-96128FFFA39D.exe [25/04/2011 - 10:38:20 | A | 43 Ko] - K:\Digidesign Databases\Unicode\Unicode.exe [25/04/2011 - 10:38:20 | A | 43 Ko] - K:\diagno\mbam-chameleon-3.1.33.0\Chameleon\Windows\windows.exe Przypominam o wyłączeniu ukrywania rozszerzeń, by widzieć dokładnie że to EXE. I przez SHIFT+DEL (omija Kosz pendrive) skasuj wyliczone pliki. Ponadto pozbądź się z pendrive wszystkich wystąpień FRST i jego logów oraz innych skanerów. Gdy uzyskasz dostęp do 4-tego pendrive, sprawdź go ręcznie na okoliczność występowania plików o podanej charakterystyce. To ponoć komunikat generowany przez aktualizator nVidia: KLIK. Posiadasz NVIDIA GeForce Experience, możesz to odinstalować, nie jest to komponent niezbędny. Jeśli na pewno powielone falsyfikaty "aplikacja-folder" usunięte, to kończymy. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Brak oznak infekcji. Ten komunikat może być wynikiem tego: PS. Możesz wykonać poboczne działania usuwające wpisy puste / śmieciowe i szczątki odinstalowanego Firefoxa: 1. Uruchom Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń wpis Metric Collection SDK 35. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Policies\Explorer\Run: [btvStack] => C:\Program Files (x86)\Bluetooth Suite\BtvStack.exe HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> Task: {05C663F9-9D29-4776-AA37-266F3DB8B71B} - System32\Tasks\PDVDServ Task => C:\Program Files (x86)\Lenovo\PowerDVD10\PDVD10Serv.EXE Task: {0C017818-17DD-4F37-88A6-8E1F1DC612C7} - System32\Tasks\{8AC81B1D-7CF1-4FA3-A2B0-A3F88A452D73} => pcalua.exe -a "D:\NFS Carbon\EAUninstall.exe" Task: {19FB4902-68DA-462D-BE1F-D4E38E005046} - System32\Tasks\Safer-Networking\Spybot Anti-Beacon\Refresh Anti-Beacon immunization => C:\Program Files (x86)\Spybot Anti-Beacon\SDAntiBeacon.exe Task: {20EEA30E-FB16-4933-B1FC-B74394B6AA30} - System32\Tasks\{0BAFADCD-1ED6-43B0-B9E7-0931A3759C97} => pcalua.exe -a "D:\Diablo II\Game.exe" -d "D:\Diablo II" Task: {26D04EB5-A5DD-412B-9A78-F5BA4A7610CD} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2014-09-10] (Lenovo) Task: {54D0B0AA-39C8-493A-8658-464F84D6FAA6} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe Task: {68CF97DB-E4FB-49B8-8A09-8D20806082FA} - System32\Tasks\{1773F3F7-D0C0-4BBE-A5BE-4182BB336F4F} => pcalua.exe -a "C:\Users\Jakub\Downloads\Diablo 2 LOD + Dodatki\LOD_109.EXE" -d "C:\Users\Jakub\Downloads\Diablo 2 LOD + Dodatki" Task: {6C611C45-7E68-4392-8661-549E400A1853} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {75A81306-EA6F-4CBA-A1AE-01FDC12E02E2} - System32\Tasks\{3875887A-F900-47A0-9FA1-D486D5676695} => Chrome.exe hxxp://ui.skype.com/ui/0/7.24.0.104/pl/abandoninstall?page=tsProgressBar Task: {7B002E9D-27BA-4AB5-A9F6-DCFD0F460F3A} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe Task: {A1911CA8-4943-421B-A300-446118A09A2C} - System32\Tasks\{D2FCE7D1-6C75-475F-8B64-369605AA97F0} => pcalua.exe -a "D:\Diablo II\Diablo II.exe" -d "D:\Diablo II" Task: {DC00798B-C5A8-4E1E-8C08-1CF697ED71A0} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {E32E26E7-4C9D-45A0-8C70-3C9506B7C5C6} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {F4F9820B-2FB0-4630-BCF2-86FAF6E2EA98} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {F893A745-CC48-4A70-B2DC-EC6ACF0E848D} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {F934E4AC-FF62-433C-A392-4F7667D6FAE3} - System32\Tasks\McAfee\McAfee Idle Detection Task Tcpip\..\Interfaces\{b7bb15fc-c8f2-4b0c-9d01-2f9d922548f3}: [DhcpNameServer] 150.205.1.2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\McAfee DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\IObit\Game Booster 3\BackLnk C:\ProgramData\HitmanPro.Alert C:\ProgramData\Malwarebytes C:\ProgramData\Mozilla C:\ProgramData\Pokki C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Electronic Arts C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hitman - Codename 47 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games C:\Users\Jakub\AppData\Local\Mozilla C:\Users\Jakub\AppData\Roaming\Mozilla C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antaris C:\Users\Jakub\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Sierra C:\WINDOWS\_detmp.1 C:\WINDOWS\_detmp.2 C:\WINDOWS\_detmp.3 C:\Windows\System32\Tasks\Lenovo C:\Windows\System32\Tasks\McAfee c:\Windows\System32\Tasks\Safer-Networking EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.

Logi FRST niepotrzebne i je usuwam, wyciąg stanu usługi Instrumentacji wydrukowany w Fixlog. Nie wiem o co chodzi, ale ten import REG robiony Fixem FRST w ogóle nie wykonał się. Zrób to ręcznie. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000000 "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Instrumentacja zarządzania Windows" "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,02,00,00,00,04,00,03,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00 "Description"="Dostarcza interfejs i model obiektowy w celu uzyskiwania dostępu do informacji zarządzania o systemie operacyjnym, urządzeniach, aplikacjach i usługach. Jeśli ta usługa zostanie zatrzymana, większość oprogramowania opartego na systemie Windows nie będzie działać właściwie. Jeśli ta usługa zostanie wyłączona, uruchomienie usług od niej zależnych nie powiedzie się." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ServiceMain"="ServiceMain" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Enum] "0"="Root\\LEGACY_WINMGMT\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Uruchom plik przez dwuklik, potwierdź import do rejestru i zresetuj system. Jeśli otrzymasz jakiś błąd, przepisz dokładnie. Dostarcz log z USBFix z opcji Listing zrobiony przy podpiętych urządzeniach. Nie. Wątek do działu Hardware. Potem założysz tam nowy temat z danymi wymaganymi do diagnostyki dysku twardego: KLIK.

Nie wiadomo co wykrył ESET, ale mogło wcale nie być tej infekcji w systemie. Cytuję swoją wypowiedź z innego tematu: Komputer po formacie, więc już nie można zweryfikować stanu poprzedniego. Obecnie w raportach nie ma oznak czynnej infekcji, do korekty byłyby tylko drobnostki. Na razie to pomijam. Infekcja TDSS jest martwa od lat. Jeśli TDSSKiller wykrył system plików tej infekcji, to być może to jakieś stare archaiczne odpadki nigdy dobrze nie wyczyszczone. Uruchom ESET Hidden File System Reader i dostarcz zrzut ekranu co widzi narzędzie. Skan nie potwierdza modyfikacji MBR.

1. Na początek uwaga, byś omyłkowo nie uruchomił jakiegoś pliku Brontok, jeśli gdzieś jeszcze jest zakamuflowany: wyłącz ukrywanie rozszerzeń plików, a będzie widoczne że to plik EXE podrabiający folder a nie folder. Tzn. w Mój komputer > Narzędzia > Opcje folderów > Widok > odznacz Ukrywaj rozszerzenia dla znanych typów plików. 2. Usługa Winmgmt nadal notowana jako niesprawna - to może być wynik braku resetu komputera (konieczny) między Fixem FRST a nowymi loami FRST. Poza tym, już niewiele zostało w logach. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1220945662-842925246-682003330-1006\...\Policies\system: [DisableCMD] 0 HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot => "AlternateShell"="cmd-brontok.exe" S0 ttbietyp; System32\drivers\riyko.sys [X] RemoveDirectory: C:\Avenger RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\KVRT_Data CMD: del /q "C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\Kosong.Bron.Tok.txt" CMD: for /d %f in ("C:\Documents and Settings\Admin\Ustawienia lokalne\Dane aplikacji\*bron*") do rd /s /q "%f" Reg: reg query HKLM\SYSTEM\CurrentControlSet\Services\winmgmt /s Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Masa chińskich instalacji oraz infekcja DNS (podmienione pliki Windows dnsapi.dll) i WMI (reinfekuje skróty przeglądarek w przedefiniowanych odstępach czasu). Działania wstępne do przeprowadzenia: 1. Uruchom RepairDNS. Na Pulpicie powstanie log RepairDNS.txt. 2. Uruchom poniższy skrót deinstalacyjny w Menu Start: Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师\卸载鲁大师.lnk -> C:\Program Files (x86)\LuDaShi\uninst.exe () Dodatkowo, wejdź do poniższych folderów. W każdym sprawdź czy istnieje plik deinstalacyjny (prawdopodobne nazwy: uninst.exe, uninstall.exe, uninstaller.exe), a jeśli tak to z prawokliku na plik "Uruchom jako administrator". Jeśli nie znajdziesz plików deinstalacyjnych lub wystąpią jakieś błędy, nie szkodzi, poniższy skrypt załatwi większość spraw. C:\Program Files\SpaceSoundPro C:\Program Files\żěŃą C:\Program Files (x86)\GreatMaker C:\Program Files (x86)\KuaiZip C:\Program Files (x86)\MPC Cleaner C:\Program Files (x86)\mpck C:\Program Files (x86)\UCBrowser 3. Przez Panel sterowania odinstaluj stare wersje: Adobe AIR, Adobe Flash Player 17 ActiveX, Adobe Flash Player 22 NPAPI, Adobe Reader XI (11.0.10) - Polish, Java 7 Update 79 (64-bit), Java 8 Update 25, Java SE Development Kit 7 Update 79 (64-bit), Visual Studio 2012 x64 Redistributables, Visual Studio 2012 x86 Redistributables (oba to odpadki po deinstalacji AVG). 4. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: (Microsoft Corporation) C:\Windows\explorer.exe R2 HpSvc; C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll [239016 2016-07-21] () R2 Kuaizip Update Checker; C:\Program Files (x86)\KuaiZip\X86\kuaizipUpdateChecker.dll [216704 2016-09-07] () R2 KuaizipUpdateChecker; C:\Program Files\żěŃą\X86\kuaizipUpdateChecker.dll [219072 2016-09-07] () R2 MaohaWifiSvr; C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaohaWifiSvr.exe [170464 2014-12-18] (猫哈网络 版权所有) R2 MPCProtectService; C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe [355808 2016-09-07] (DotC United Inc) R2 UCBrowserSvc; C:\Program Files (x86)\UCBrowser\Application\UCService.exe [899984 2016-08-02] () R2 ziphost; c:\program files\ziptool\ziphost.dll [114080 2015-11-30] () U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) R2 ComputerZLock; C:\Program Files (x86)\LuDaShi\ComputerZLock_x64.sys [44264 2016-05-19] (www.ludashi.com) S3 ComputerZ_x64; C:\Program Files (x86)\LuDaShi\ComputerZ_x64.sys [49152 2016-06-27] (ludashi.com) S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-02-27] () R2 KuaiZipDrive; C:\Windows\system32\drivers\KuaiZipDrive.sys [92872 2016-09-07] (WinMount International Inc) S2 KuaiZipDrive2; C:\Windows\system32\drivers\KuaiZipDrive2.sys [93072 2016-09-07] (WinMount International Inc) R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-02] (Huorong Borui (Beijing) Technology Co., Ltd.) S1 ArcCtrl; system32\drivers\ArcCtrl.sys [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] R1 MaohaWifiNetPro; \??\C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaoHaWiFiNet64.sys [X] R1 MPCKpt; system32\DRIVERS\MPCKpt.sys [X] NETSVCx32: HpSvc -> C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll () ShellIconOverlayIdentifiers: [JzShlobj] -> {7B286609-DA97-47E1-AC6B-33B8B4732C95} => Brak pliku ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2016-09-07] () ShellIconOverlayIdentifiers: [KzShlobj2] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F3} => C:\Program Files (x86)\KuaiZip\X64\KZipShell.dll [2016-09-07] () HKU\S-1-5-21-2469171809-464102732-1853336734-1001\...\Run: [msiql] => C:\Users\Stefan\AppData\Local\Temp\msiql.exe /RUNNING HKU\S-1-5-21-2469171809-464102732-1853336734-1001\...\Run: [ComputerZ-Tray] => C:\Program Files (x86)\LuDaShi\ComputerZTray.exe [2976680 2016-08-24] () HKU\S-1-5-21-2469171809-464102732-1853336734-1001\...\Policies\Explorer: [RestrictRun] 0 HKLM\...\Policies\Explorer: [RestrictRun] 0 Task: {00083533-60EC-4C15-BA52-EFA455DC414E} - System32\Tasks\{5DC0F6A7-3172-4D09-A1E0-14D850336455} => pcalua.exe -a "C:\Program Files (x86)\mpck\uninstaller.exe" Task: {3CA2C85C-5810-4CF0-B93B-62DA0ACAA9F5} - System32\Tasks\UnregisterNonABICompliantCodeRange => C:\PROGRA~2\8js1E8B\i0o1E8B.bat Task: {5AF3E7FB-C40A-4373-A8D5-F2CE44FFE6DC} - System32\Tasks\Drogoghtsocerse Helper => C:\Program Files (x86)\Woctioncogesh\DrgHelperKlc.exe Task: {5F2B5512-FA12-44B2-9EF3-265F22FD5179} - System32\Tasks\{9D940323-563F-4E1C-9180-680B6CF4C100} => pcalua.exe -a "C:\Program Files (x86)\EasyHotspot\uninstaller.exe" Task: {7E55B478-CC77-4672-BAC1-B1ACD22319D9} - System32\Tasks\KuaiZip_Update => C:\Program Files\żěŃą\X86\Update.exe [2016-09-07] (Shanghai Guangle Network Technology Ltd ) Task: {9074A077-AD81-427D-86E9-7E8CE265A0EE} - \SMW_P -> Brak pliku Task: {BDE61454-24C8-4F7F-B81C-FB2270245133} - System32\Tasks\{42EF222B-6DE4-40BF-9D91-F141719A754B} => pcalua.exe -a "C:\Program Files (x86)\MPC Cleaner\Uninstall.exe" -c /xuninstall Task: {F266B8A1-FFF9-4640-92BE-5EE2781C175B} - System32\Tasks\{C54ED715-26DF-4DDF-A85E-43143223D61F} => pcalua.exe -a "C:\Program Files\SpaceSoundPro\uninstaller.exe" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Stefan\Desktop\Skróty\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www%2dsearching.com/?prd=set_epf&s=g97zamobl2140bu,1adabb25-6e16-4bd3-b316-b5c3449df784, ShortcutWithArgument: C:\Users\Stefan\Desktop\Dysk D\SAMSUNG\sol\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www%2dsearching.com/?prd=set_epf&s=g97zamobl2140bu,1adabb25-6e16-4bd3-b316-b5c3449df784, ShortcutWithArgument: C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www%2dsearching.com/?prd=set_epf&s=g97zamobl2140bu,1adabb25-6e16-4bd3-b316-b5c3449df784, ShortcutWithArgument: C:\Users\Stefan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Stefan\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\Users\Stefan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Stefan\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Stefan\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com SearchScopes: HKU\S-1-5-21-2469171809-464102732-1853336734-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f CMD: ipconfig /flushdns CMD: netsh advfirewall reset CMD: regsvr32 /u /s "C:\Program Files\żěŃą\X64\KZipShell.dll" CMD: regsvr32 /u /s "C:\Program Files (x86)\KuaiZip\X64\KZipShell.dll" CMD: regsvr32 /u /s "C:\Program Files (x86)\LuDaShi\ComputerZ7_x64.dll" C:\Program Files\SpaceSoundPro C:\Program Files\ZipTool C:\Program Files\żěŃą D:\Program Files\MS.Default C:\Program Files (x86)\30393644-1473274685-3043-3041-363831314531 C:\Program Files (x86)\GreatMaker C:\Program Files (x86)\KuaiZip C:\Program Files (x86)\LDSGameCenter C:\Program Files (x86)\LuDaShi C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\MPC Cleaner C:\Program Files (x86)\mpck C:\Program Files (x86)\SOEasy.3 C:\Program Files (x86)\SOEasy.4 C:\Program Files (x86)\SOEasy.5 C:\Program Files (x86)\SOEasy.6 C:\Program Files (x86)\UCBrowser C:\Program Files (x86)\WeatherChickn C:\Program Files (x86)\Woctioncogesh C:\ProgramData\ArcSoft C:\ProgramData\AVG C:\ProgramData\Avira C:\ProgramData\AVAST Software C:\ProgramData\cosun C:\ProgramData\Mozilla C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Compress C:\uninst C:\Users\Stefan\AppData\Local\30393644-1473281992-3043-3041-363831314531 C:\Users\Stefan\AppData\Local\app C:\Users\Stefan\AppData\Local\Apps\2.0\abril.exe C:\Users\Stefan\AppData\Local\ArcSoft C:\Users\Stefan\AppData\Local\jervitheranaqientviriied C:\Users\Stefan\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk C:\Users\Stefan\AppData\Local\Mozilla C:\Users\Stefan\AppData\Local\Poker at bet365 C:\Users\Stefan\AppData\Local\Tempfolder C:\Users\Stefan\AppData\Local\UCBrowser C:\Users\Stefan\AppData\Roaming\*.* C:\Users\Stefan\AppData\Roaming\ArcSoft C:\Users\Stefan\AppData\Roaming\Geunfy C:\Users\Stefan\AppData\Roaming\KuaiZip C:\Users\Stefan\AppData\Roaming\Ludashi C:\Users\Stefan\AppData\Roaming\Mozilla C:\Users\Stefan\AppData\Roaming\Profiles C:\Users\Stefan\AppData\Roaming\Softlink C:\Users\Stefan\AppData\Roaming\VDI C:\Users\Stefan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\MaohaWiFi.lnk C:\Users\Stefan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk C:\Users\Stefan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器.lnk C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\KuaiZip.lnk C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器 C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome C:\Users\Stefan\Desktop\żěŃą.lnk C:\Users\Stefan\Desktop\Arcsoft TotalMedia 3.5.7.359 keygen.zip C:\Windows\system32\bi3.exe C:\Windows\system32\Drivers\EsgScanner.sys C:\Windows\system32\Drivers\KuaiZipDrive.sys C:\Windows\system32\Drivers\KuaiZipDrive2.sys C:\Windows\system32\Drivers\ucguard.sys C:\Windows\system32\Drivers\VirtualizerDDK.sys C:\Windows\system32\sik C:\Windows\SysWOW64\Drivers\afc.sys Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Wyczyść Google Chrome z adware: Jest tu ustawiony jako domyślny profil zaciphmuqshdreceward, wprowadzony przez adware. Proponuję przeinstalować Google Chrome od zera, przy deinstalacji zaznacz opcję Usuń także dane przeglądarki. Przy ponownej instalacji ustaw Chrome jako domyślną przeglądarkę. Obecnie w raportach niepożądany UCBrowser. 6. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też pliki fixlog.txt i RepairDNS.txt.

Problemem jest infekcja DNS - ustawienie rosyjskiego IP 188.120.239.115. Poza tym, w raporcie także inne problemy wynikające z instalacji adware, np. fałszywe skróty Chrome, Firefox i Opera (widoczne tylko w Shortcut.txt) oraz profile przeglądarek zmanipulowane przez adware. Działania do przeprowadzenia: 1. Za dużo antywirusów. Odinstaluj jeden z nich, Avast Free Antivirus lub Norton Security z kopią zapasową. Przy okazji pozbądź się też starego programu Acrobat.com. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Tcpip\..\Interfaces\{18976741-40AE-4DF5-AA16-7ED1838898F4}: [NameServer] 188.120.239.115,8.8.8.8 Tcpip\..\Interfaces\{7041BB92-59D1-44B9-B604-4ED6E63B649E}: [NameServer] 188.120.239.115,8.8.8.8 Tcpip\..\Interfaces\{7F4E235C-626C-4E81-8F1E-A054CE6B7897}: [NameServer] 188.120.239.115,8.8.8.8 Tcpip\..\Interfaces\{C4DA79C9-8D05-4941-8F43-3CFC7F503081}: [NameServer] 188.120.239.115,8.8.8.8 HKLM-x32\...\Run: [sunJavaUpdateSched] => "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" HKLM-x32\...\Run: [kbdsprt] => [X] HKU\S-1-5-21-570891128-3581372902-1687710604-1000\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) HKU\S-1-5-21-570891128-3581372902-1687710604-1000\...\Policies\Explorer: [HideSCAVolume] 0 ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => Brak pliku BootExecute: autocheck autochk * sdnclean64.exe S1 mbmiodrvr; C:\Windows\syswow64\mbmiodrvr.sys [4608 2004-04-10] (cansoft@livewiredev.com) [brak podpisu cyfrowego] Task: {0230B5C1-C7E7-40E7-B514-D82B1014C4ED} - System32\Tasks\{8EBB5130-357B-46BF-8704-8DD1D9C4F123} => pcalua.exe -a "D:\Steam\steamapps\common\Arma 2\BEsetup\setup_BattlEyeARMA2.exe" -d "D:\Steam\steamapps\common\Arma 2\BEsetup" Task: {04693EA9-1EC7-409B-ADC3-6D0A7EBB01E6} - System32\Tasks\e-pity2015a_kwiecien => C:\Program Files (x86)\e-file\e-pity2015\Assets\signxml.exe Task: {36A183B9-BA4B-4C30-9021-D4C620B21F49} - System32\Tasks\{1C920FDE-4550-4EDC-8E86-9EE83F2E458F} => pcalua.exe -a "D:\Steam\steamapps\common\Arma 2 Operation Arrowhead\BEsetup\Setup_BattlEyeARMA2OA.exe" -d "D:\Steam\steamapps\common\Arma 2 Operation Arrowhead\BEsetup" Task: {99C7EBB7-23C2-4683-BDB4-A7C7380172D0} - System32\Tasks\{F6998F7E-FB67-45C6-81BD-C4E4C097456A} => pcalua.exe -a D:\Programy\VirtualBox\VirtualBox-5.0.12-104815-Win.exe -d D:\Programy\VirtualBox Task: {9D0D4571-D802-4397-A418-BF5536D83A6B} - System32\Tasks\MSISW_Host => C:\Windows\SysWOW64\muachost.exe Task: {BB99410E-37D6-44F6-BA7E-CC6BD1F3FDA2} - System32\Tasks\e-pity2015a_styczen => C:\Program Files (x86)\e-file\e-pity2015\Assets\signxml.exe CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKLM\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files (x86)\Norton Security with Backup\Engine\22.5.2.15\Exts\Chrome.crx CHR HKLM-x32\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files (x86)\Norton Security with Backup\Engine\22.5.2.15\Exts\Chrome.crx HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-570891128-3581372902-1687710604-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-570891128-3581372902-1687710604-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKU\S-1-5-21-570891128-3581372902-1687710604-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = FF HKLM\...\Firefox\Extensions: [{C1A2A613-35F1-4FCF-B27F-2840527B6556}] - C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_22.5.2.15\coFFAddon => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [{C1A2A613-35F1-4FCF-B27F-2840527B6556}] - C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_22.5.2.15\coFFAddon => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [{2D3F3651-74B9-4795-BDEC-6DA2F431CB62}] - C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NSBU_22.5.0.124\coFFPlgn FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF S3 ATP; system32\DRIVERS\cmdatp.sys [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 CLMirrorDriver; system32\DRIVERS\CLMirrorDriver.sys [X] S3 clwvd7; system32\DRIVERS\clwvd7.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X] S3 RivaTuner64; \??\D:\Programy\RivaTuner\RivaTuner v2.24 MSI Master Overclocking Arena 2009 edition\RivaTuner64.sys [X] DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\withSIX DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains C:\END C:\Program Files\Common Files\AV\Spybot - Search and Destroy C:\Program Files (x86)\QuickTime C:\Program Files (x86)\RobotSoft C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\Program Files (x86)\tfsikxnn C:\Program Files (x86)\WinZipper C:\ProgramData\{972DC8CA-126D-23FD-11AA-92876DD12AFD} C:\ProgramData\Little Piano C:\ProgramData\KB Piano C:\ProgramData\Spybot - Search & Destroy C:\ProgramData\Temp C:\ProgramData\VSO C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Моzillа Firеfох.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ореrа.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\3DO C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Aftermath C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Audio Record Wizard C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Audio Recorder Platinum C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Battle.net C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bohemia Interactive C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Counter Strike 1.6 Non Steam v32 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Diablo III C:\ProgramData\Microsoft\Windows\Start Menu\Programs\eTeks Sweet Home 3D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Euro Truck Simulator 2 Multiplayer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firefly Studios C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Heroes III C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HWiNFO64 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KB Piano 2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavalys C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Little Piano C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MBM 5 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Metin2 Nawie C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ori and the Blind Forest C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PowerISO C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PremiumSoft\Navicat for SQLite C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PremiumSoft\Navicat for MySQL C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Team17 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Ubisoft C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VSO C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Warships C:\Users\ShastaMan\AppData\Local\arw C:\Users\ShastaMan\AppData\Local\EZSoftMagic C:\Users\ShastaMan\AppData\Local\Hinterland C:\Users\ShastaMan\AppData\LocalLow\Hinterland C:\Users\ShastaMan\AppData\Roaming\COMODO C:\Users\ShastaMan\AppData\Roaming\Vugfus C:\Users\ShastaMan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Audio Recorder Platinum.lnk C:\Users\ShastaMan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\eb52d2edcf7c5f18\Gооglе Сhrоmе.lnk C:\Users\ShastaMan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Intеrnеt Ехрlоrеr.lnk C:\Users\ShastaMan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnеt Ехрlоrеr (Nо Аdd-оns).lnk C:\Users\ShastaMan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Antaris C:\Users\ShastaMan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ArmA 2 C:\Users\ShastaMan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ASIO4ALL v2 C:\Users\ShastaMan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Bohemia Interactive C:\Users\ShastaMan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Electronics Extreme C:\Users\ShastaMan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Metin2-Balmora C:\Users\ShastaMan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\MSI Afterburner C:\Users\ShastaMan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\RivaTuner v2.24 MSI Master Overclocking Arena 2009 edition C:\Users\ShastaMan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\RivaTuner Statistics Server C:\Users\ShastaMan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SNK PLAYMORE C:\Users\ShastaMan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder C:\Users\ShastaMan\Desktop\cim\Battle.net.lnk C:\Users\ShastaMan\Desktop\cim\yiff\Macro Recorder.lnk C:\Users\ShastaMan\Desktop\cim\Synthesia 10.1 Full Version\Synthesia.lnk C:\Users\ShastaMan\Desktop\cim\seses\Aventus Patcher — skrót.lnk C:\Users\ShastaMan\Desktop\Nowy folder (2)\WoM2.lnk C:\Users\ShastaMan\Desktop\Nowy folder (2)\World of Warships.lnk C:\Users\ShastaMan\Desktop\Nowy folder (2)\Ореrа.lnk C:\Users\ShastaMan\Desktop\ProgramyKtore Uzywam\Gооglе Сhrоmе.lnk C:\Users\ShastaMan\Desktop\ProgramyKtore Uzywam\Steam.lnk C:\Users\ShastaMan\Documents\Euro Truck Simulator 2\readme.rtf.lnk C:\Windows\AutoKMS C:\Windows\system32\Drivers\etc\hosts.*.backup C:\Windows\System32\Tasks\Safer-Networking C:\Windows\SysWOW64\EN_*.html C:\Windows\SysWOW64\pl_*.html C:\Windows\SysWOW64\_SSpm C:\Windows\SysWOW64\CmdLineExt03.dll C:\Windows\SysWOW64\mbmiodrvr.sys C:\Windows\SysWOW64\midiwrap3405.deu CMD: ipconfig /flushdns CMD: netsh advfirewall reset CMD: type C:\Users\ShastaMan\AppData\Roaming\Mozilla\Firefox\profiles.ini EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Firefox: Całkowity brak wykrytego profilu na dysku, co jest mocno podejrzane (porównaj poniżej co się dzieje w Google Chrome). Zamknij Firefox. Klawisz z flagą Windows + R i w polu Uruchom wklej poniższą komendę. "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -p Usuń widoczny tam profil Firefox, załóż nowy profil i się na niego zaloguj. Google Chrome: Jest tu ustawiony fałszywy profil adware vafuiedtajuthervperdom. Jeśli nie korzystasz z Google Chrome, po prostu odinstaluj przeglądarkę. Przy deinstalacji zaznacz opcję Usuń także dane przeglądarki. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

George Żródem infekcji są dziurawe programy z lukami. W raporcie pełno kwiatków tego typu. Na dodatek system Windows kompletnie nieaktualizowany, brak SP1 + IE 11 i reszty łat. Jeśli nie zlikwidujesz źródła, infekcja może wrócić. Pomiń w/w skrypt i zamiennie wykonaj to: 1. Odinstaluj: Adobe Flash Player 12 ActiveX, Adobe Flash Player 12 Plugin, Apple Application Support, Apple Software Update, avast! Free Antivirus, Foxit Reader, Google Chrome, McAfee Security Scan Plus, Mozilla Firefox (3.6.13), QuickTime, Skype web features, Skype™ 4.1. Co potrzebne w najnowszych wersjach doinstaluj, temat przyklejony: KLIK. Aktualizacja Windows zajmie sporo czasu, więc na razie wątek pomijam. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition. Jessika Na przyszłość, w przypadku takiej modyfikacji Winmgmt wystarczy tylko załączyć linię w Fixlist (z poziomu RE lub Windows). Z tutoriala FRST: Poza tym, przeczytaj o nowych komendach StartRegedit: + EndRegedit:. Już nie ma potrzeby tworzenia plików FIX.REG ręcznie, FRST obecnie załatwia sprawę z automatu (buduje REG i go importuje). PS. A pierwsze podejście z FIX.REG się nie udało prawdopodobnie dlatego, że import rejestru był podany pod Windows a nie pod RE. On przypuszczalnie robił to z RE, skoro nie mógł wejść do Windows. W RE nie istnieje "CurrentControlSet".

Temat przenoszę do działu XP. Również jest ten sam problem z aktualizatorem Google: Error: (09/05/2016 10:56:58 AM) (Source: MsiInstaller) (EventID: 11260) (User: DIE-GAWA) Description: Produkt: InsERT GT 1.44 SP1 -- Błąd 1260. System Windows nie może otworzyć tego programu, ponieważ jest on chroniony przez zasady ograniczeń oprogramowania. Aby uzyskać więcej informacji, otwórz Podgląd zdarzeń lub skontaktuj się z administratorem systemu. (NULL)(NULL)(NULL)(NULL) Error: (09/05/2016 10:47:07 AM) (Source: MsiInstaller) (EventID: 11260) (User: ZARZĄDZANIE NT) Description: Product: Google Update Helper -- Error 1260. System Windows nie może otworzyć tego programu, ponieważ jest on chroniony przez zasady ograniczeń oprogramowania. Aby uzyskać więcej informacji, otwórz Podgląd zdarzeń lub skontaktuj się z administratorem systemu. (NULL)(NULL)(NULL)(NULL) Ten komunikat powinny produkować polityki SAFER, które FRST wykrywa, tylko w logu zero takich śladów. Albo FRST ma jednak limitowany skan, albo jest tu jakieś atypowe naruszenie poza widocznością skanu. Poproszę o skan dodatkowy: Otwórz Notatnik i wklej w nim: Reg: reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Safer /s Folder: C:\Windows\System32\GroupPolicy Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Nie ma żadnych nowych wieści w materii infekcji Microsoft Decryptor, z wyjątkiem że został rozpoznany jako CrypMic, czyli imitator CryptXXX a nie wariant CryptXXX: KLIK / KLIK. Na chwilę obecną nie ma możliwości odkodowania inną metodą niż dekoder od przestępców. Kontakt z przestępcami nie jest polecany. Nie ma gwarancji, że otrzymasz odpowiedni dekoder lub w ogóle jakikolwiek. W jednym z wcześniejszych linków są nawet wypowiedzi poszkodowanych, że dostarczony dekoder nie zadziałał (błędy w dekoderze). To powtarzalny schemat przy infekcjach CrypMic / CryptXXX. Czy mam przejść do tych działań, czy decydujesz się na format dysku systemowego?

Owszem, to infekcja Cerber: 2016-07-10 22:04 - 2016-07-10 22:04 - 0012382 _____ () C:\Users\Julita\AppData\Roaming\# DECRYPT MY FILES #.html 2016-07-10 22:04 - 2016-07-10 22:04 - 0010506 _____ () C:\Users\Julita\AppData\Roaming\# DECRYPT MY FILES #.txt 2016-07-10 22:04 - 2016-07-10 22:04 - 0000090 _____ () C:\Users\Julita\AppData\Roaming\# DECRYPT MY FILES #.url 2016-07-10 22:04 - 2016-07-10 22:04 - 0000234 _____ () C:\Users\Julita\AppData\Roaming\# DECRYPT MY FILES #.vbs 1602-05-15 16:07 - 1602-05-15 16:07 - 0001858 _____ () C:\Users\Julita\AppData\Roaming\28C5oHrph-.cerber 1602-05-15 16:07 - 1602-05-15 16:07 - 0001571 _____ () C:\Users\Julita\AppData\Roaming\2lJH8mMKaf.cerber Niestety nie jestem w stanie nic poradzić na zaszyfrowane dane, raczej brak dekodera. Do jednego z wariantów i to tylko przez chwilę był dekoder Check Point wykorzystujący lukę w interfejsie komunikacji malware, ale niestety przestępcy naprawili ten "błąd" w zasadzie błyskawicznie. Możliwość odkodowania Cerber V1 deklaruje Trend Micro Ransomware File Decryptor, ale nie jest pewne czy to w ogóle teraz działa. Jedyne czym mogę się zająć, to widoczne w raportach szczątki infekcji malware oraz obiekty adware/PUP (m.in. lewy program Reimage Repair). Niemniej przy infekcjach szyfrujących dane sugerowany jest po prostu format. Ważne zaszyfrowane dane można skopiować na zewnętrzny nośnik, licząc że w przyszłości ktoś znajdzie rozwiązanie. Decyduj co robimy, czy mozolnie czyścimy co widać, czy format.

Temat przenoszę do działu Windows. Nic tu nie wskazuje na problem infekcji. W Dzienniku zdarzeń są błędy od cracka aktywacji Windows (to raczej nie ma związku) oraz naruszenia struktury plików: System errors: ============= Error: (09/07/2016 01:55:51 PM) (Source: Ntfs) (EventID: 55) (User: ) Description: The file system structure on the disk is corrupt and unusable. Please run the chkdsk utility on the volume MUZYKA. Error: (09/07/2016 01:55:51 PM) (Source: Ntfs) (EventID: 55) (User: ) Description: The file system structure on the disk is corrupt and unusable. Please run the chkdsk utility on the volume MUZYKA. Error: (09/07/2016 01:55:13 PM) (Source: Ntfs) (EventID: 55) (User: ) Description: The file system structure on the disk is corrupt and unusable. Please run the chkdsk utility on the volume G:. Error: (09/07/2016 01:55:13 PM) (Source: Ntfs) (EventID: 55) (User: ) Description: The file system structure on the disk is corrupt and unusable. Please run the chkdsk utility on the volume . Error: (09/07/2016 01:55:13 PM) (Source: Ntfs) (EventID: 55) (User: ) Description: The file system structure on the disk is corrupt and unusable. Please run the chkdsk utility on the volume . Error: (09/07/2016 01:55:13 PM) (Source: Ntfs) (EventID: 55) (User: ) Description: The file system structure on the disk is corrupt and unusable. Please run the chkdsk utility on the volume . Error: (09/07/2016 01:55:13 PM) (Source: Ntfs) (EventID: 55) (User: ) Description: The file system structure on the disk is corrupt and unusable. Please run the chkdsk utility on the volume . Error: (09/07/2016 01:55:13 PM) (Source: Ntfs) (EventID: 55) (User: ) Description: The file system structure on the disk is corrupt and unusable. Please run the chkdsk utility on the volume . Error: (09/07/2016 01:55:13 PM) (Source: Ntfs) (EventID: 55) (User: ) Description: The file system structure on the disk is corrupt and unusable. Please run the chkdsk utility on the volume . ==================== Drives ================================ Drive c: () (Fixed) (Total:195.31 GB) (Free:24.21 GB) NTFS ==>[drive with boot components (obtained from BCD)] Drive d: (CARGO) (Fixed) (Total:736.2 GB) (Free:22.41 GB) NTFS Drive e: (Projekty) (Fixed) (Total:465.76 GB) (Free:30.87 GB) NTFS Niektóre odnoszą się do woluminu niedostępnego, ale reszta niewiadoma i może tyczyć woluminu z Windows. Rozpocznij od wykonania operacji z chkdsk, jak sugerują komunikaty. Być może trzeba będzie też temat przesunąć na diagnostykę dysku twardego do działu Hardware. PS. Aplikacja Tlen.pl do deinstalacji. Martwa sieć i komunikator.

Ja tylko dodam, że przed formatem w logu FRST było widać wyraźnie znaki w czym rzecz, tzn. uszkodzenia plików Windows: S2 clr_optimization_v4.0.30319_64; C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [124088 2014-04-11] () [Brak podpisu cyfrowego] S3 Fax; C:\Windows\system32\fxssvc.exe [689152 2010-11-21] () [Brak podpisu cyfrowego] S3 KtmRm; C:\Windows\system32\msdtckrm.dll [368640 2009-07-14] () [Brak podpisu cyfrowego] S3 lltdsvc; C:\Windows\System32\lltdsvc.dll [300032 2009-07-14] () [Brak podpisu cyfrowego] R2 lmab_device; C:\Windows\system32\LMabcoms.exe [1045504 2010-03-26] ( ) [Brak podpisu cyfrowego] R2 lmab_device; C:\Windows\SysWOW64\LMabcoms.exe [593920 2010-03-26] ( ) [Brak podpisu cyfrowego] S3 MSDTC; C:\Windows\System32\msdtc.exe [141824 2009-07-14] () [Brak podpisu cyfrowego] S3 MSiSCSI; C:\Windows\system32\iscsiexe.dll [156672 2009-07-14] () [Brak podpisu cyfrowego] S3 WebClient; C:\Windows\SysWOW64\webclnt.dll [206848 2015-07-01] () [Brak podpisu cyfrowego] Error: (09/05/2016 01:07:26 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa System szyfrowania plików (EFS) zakończyła działanie; wystąpił następujący błąd: System szyfrowania plików (EFS) nie jest prawidłową aplikacją systemu Win32. Error: (09/05/2016 01:07:25 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Autokonfiguracja sieci WLAN zależy od usługi Protokół uwierzytelniania rozszerzonego (EAP), której nie można uruchomić z powodu następującego błędu: Autokonfiguracja sieci WLAN nie jest prawidłową aplikacją systemu Win32. Error: (09/05/2016 01:07:25 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Protokół uwierzytelniania rozszerzonego (EAP) zakończyła działanie; wystąpił następujący błąd: Protokół uwierzytelniania rozszerzonego (EAP) nie jest prawidłową aplikacją systemu Win32. Raport FRST jest bardzo limitowany, więc powyższe wyniki to pewnie była tylko część naruszeń, zakres rzeczywisty nieznany. Nie byłeś nawet w stanie uruchomić programów cmd potrzebnych do diagnozy zakresu naruszeń w plikach Windows (piję do sfc), a problem uszkodzonych plików osobistych nie podlegałby nawet temu procesowi, więc format był tu właściwie dobrym rozwiązaniem.

W raporcie nadal widać usługi/sterowniki powiązane z przekierowaniem oraz załadowany moduł vonetframeHelp.dll. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj stare wersje: Adobe Reader 9.5.0 - Polish, Facebook Video Calling 3.1.0.521. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 allwatfldsport; C:\Windows\system32\drivers\dxkzfilemgr.sys [140952 2009-07-14] () R2 TMKernel; C:\Windows\system32\drivers\TMKernel.sys [142368 2016-01-24] () R1 vonetframe; C:\Windows\system32\drivers\vonetframe.sys [932872 2016-08-12] () R2 VoVUpdateEngine; C:\Windows\SysWOW64\adnsvirtual.dll [414456 2009-07-14] () CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Facebook Update DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\WindowsTM C:\ProgramData\TMSetup0122.exe C:\ProgramData\winfirewall C:\Users\admin\AppData\Local\{1E5710D4-E07C-4E35-BD66-F3805C6476C0} C:\Users\admin\Desktop\Continue 7-Zip installation.lnk C:\Windows\vonetframeHelp.dll C:\Windows\system32\drivers\dxkzfilemgr.sys C:\Windows\system32\drivers\TMKernel.sys C:\Windows\system32\drivers\vonetframe.sys C:\Windows\SysWOW64\adnsvirtual.dll EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Zostały dwa aktywne elementy od zainstalowanych programów adware oraz polityki Chrome. Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware GameLauncher i HPReyos. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR Session Restore: Default -> [funkcja włączona] S3 cpuz139; \??\C:\Users\Biuro2\AppData\Local\Temp\cpuz139\cpuz139_x64.sys [X] DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\TEMP C:\Windows\msdownld.tmp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition ale z Shortcut. Dołącz też plik fixlog.txt.

1. Poprzedni skrypt tyczący naprawy Instrumentacji Windows do powtórzenia. Porównaj formatowanie w moim poście z formatowaniem Fixlog - naruszone wszystkie przejścia do nowej linii. Wklejony tekst do Notatnika musi mieć zachowane "entery". Przedstaw wynikowy Fixlog. 2. Jeśli chodzi o reinfekcję Brontok, skrypty z poprzednich operacji są już nieaktualne. I jeszcze mi się wydaje, że MBAM nie widzi wszystkich plików Brontok, gdyż uruchamiałeś aż dwa razy "aplikację-folder" już po skanie MBAM. W związku z tym poproszę o skorzystanie teraz z innego skanera czyli Kaspersky Virus Removal Tool (KVRT). Skonfiguruj go na pełny skan dysku C i usuń za jego pomocą to co wykryje od Brontok. Po tym zrób nowe raporty z FRST.