picasso

Wszystko zrobione. Końcowy skrypt. Otwórz Notatnik i wklej w nim: HKLM\...\Policies\Explorer\Run: [BtvStack] => C:\Program Files (x86)\Bluetooth Suite\BtvStack.exe HKU\S-1-5-21-2786685492-2715245155-4169903166-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\Michal\AppData\Local\Akamai\netsession_win.exe" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.bing.com/search?FORM=INCOH1&PC=IC05&PTAG=ICO-32b9a2ed HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.bing.com/search?FORM=INCOH1&PC=IC05&PTAG=ICO-32b9a2ed HKU\S-1-5-21-2786685492-2715245155-4169903166-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.bing.com/search?FORM=INCOH1&PC=IC05&PTAG=ICO-32b9a2ed RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. Odrzucając sterowniki, soft kamery i OneKey związany z Recovery można się pozbyć tych "multi-medialnych" wtrętów: CyberLink PowerDirector 10 (HKLM-x32\...\InstallShield_{B0B4F6D2-F2AE-451A-9496-6F2F6A897B32}) (Version: 10.0.0.2810 - CyberLink Corp.) Lenovo FusionEngine (HKLM-x32\...\Lenovo FusionEngine) (Version: 1.0.13.0 - Lenovo, Inc.) ----> Nie wiem co to jest Lenovo Mobile Phone Wireless Import (HKLM-x32\...\InstallShield_{DFB2E0D6-8DDE-49A4-B8F7-03C14DACCBA6}) (Version: 1.1.1.9 - Lenovo) Lenovo PhoneCompanion (HKLM-x32\...\InstallShield_{0F82EA83-B0C5-4AB9-9695-DFE92C5FD57B}) (Version: 2.0.0.19 - Lenovo) Lenovo Photo Master (HKLM-x32\...\InstallShield_{BC94C56A-3649-420C-8756-2ADEBE399D33}) (Version: 1.0.1826.01 - CyberLink Corp.) Lenovo PowerDVD10 (HKLM-x32\...\InstallShield_{DEC235ED-58A4-4517-A278-C41E8DAEAB3B}) (Version: 10.0.5630.52 - CyberLink Corp.) Lenovo SHAREit (HKLM-x32\...\Lenovo SHAREit_is1) (Version: 2.0.5.0 - Lenovo Group Limited) Power2Go (HKLM-x32\...\{40BF1E83-20EB-11D8-97C5-0009C5020658}) (Version: 5.6.0.10614 - CyberLink Corp.)

Stare dane programu Firefox usunął właśnie ostatni skrypt do FRST, a kwarantannę MBAM możesz oczywiście ręcznie opróżnić w opcjach. Kończymy: Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zaktualizuj Adobe Flash ActiveX (znowu, ta sprawa cały czas powraca u Ciebie). Wszystko opisane tu: KLIK.

Wszystko zrobione, ale w logu nadal brak detekcji profilu Chrome, co w połączeniu z innymi śladami w raporcie mówi mi, że Chrome nie zostało już ponownie zainstalowane. Na koniec: 1. Jeśli Chrome nie będzie już instalowane, przez SHIFT+DEL (omija Kosz) skasuj z dysku foldery Google: C:\Program Files (x86)\Google C:\Users\Monika\AppData\Local\Google Dodatkowo upłynnij folder FRST z Pulpitu. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. GMER i jego log dokasuj ręcznie.

1. AdwCleaner znalazł drobne odpadki adware. Uruchom go ponownie i po kolei wybierz opcje Skanuj + Usuń. Gdy program ukończy robotę: 2. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu folder FRST. Następnie użyj jeszcze DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Do czytania na co uważać, w raporcie AdwCleaner m.in. ślady używania "Asystenta pobierania" dobrychprogramów: KLIK. To wszystko.

Wszystko zrobione. Jeszcze drobny skrypt końcowy. Otwórz Notatnik i wklej w nim: S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4} RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Agata\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\Agata\Downloads\adwcleaner_5.201.exe CMD: del /q C:\Users\Agata\Downloads\SPTDinst-v189-x64.exe Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

A co jest napisane w oknie na pasku statusu?

Jak mówiłam, nie widać tu infekcji tego typu wcale. Możesz przeprowadzić tylko kosmetyczne działania polegające na usunięciu odpadkowych i pustych wpisów (wliczając te po aktualizacji z Windows 7 do Windows 10) i czyszczeniu Temp: 1. Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń wpis ZoneAlarm Antivirus. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Run: [hshhsaaaws] => [X] HKLM-x32\...\Run: [] => [X] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia S2 HuaweiHiSuiteService64.exe; "C:\ProgramData\HandSetService\HuaweiHiSuiteService64.exe" -/service [X] U3 idsvc; Brak ImagePath U2 TMAgent; Brak ImagePath U3 wpcsvc; Brak ImagePath Task: {05906CF1-1D46-4CFE-B90F-7C179FFD1366} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {05CF6E1A-9DC8-4BC2-9594-E91EB1BED40F} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\System32\browserchoice.exe Task: {0C097C32-AF0D-45E7-B562-AF1B9EC87EAF} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {2F3B95D3-3655-4259-8FD1-BF6211E13C73} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {2FD43D47-D340-4304-80D6-50BDDC58F2E7} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {34603196-FA3F-4943-9934-FEA8EE087176} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {4011FD5C-4601-456C-8F83-D557389F1B9D} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {48AD75A2-780A-4970-836A-C45E993C2A66} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {5C590155-A6AC-49A6-B010-FC16FFB36AC7} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {720FA242-3D85-4FF9-820F-6C9F47E70C6B} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {74CA2B9B-1742-4708-8418-98270B4CE557} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {75006CB1-EB61-4CF8-BEBB-FC7AD426A8E3} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {88DA89A8-BC90-4BB9-A3BE-6287ECE25F1C} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {923187E1-45CF-4069-8D81-B426C8C35509} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {AFD05202-286A-425F-8679-341035347953} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {B09BB8B2-873D-4E69-93D0-F75E956A7F00} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {BDEC0A04-3AE2-494A-AC9B-148B328A53AC} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {C84A0CA3-D781-43FD-954C-21419FA993F7} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {C9A87FFB-98D1-45AD-BF63-5E55E4650A5B} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {C9AA7CCD-F47A-45EB-83FC-5703B892BC0E} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {EE22889A-51EA-419C-BD7C-4A10D7CE028F} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {F027B635-D954-48BB-BAA2-68CAD1DDB01B} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {F177E0B5-525B-4D56-8CF0-B9B0A01CFAB2} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {FF10316E-34A0-4555-81AA-67A1471B6EAA} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v hshhsaaaws /f C:\$360Section C:\Program Files (x86)\360 C:\ProgramData\360Quarant C:\ProgramData\CheckPoint C:\ProgramData\Lavasoft C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MyFree Codec C:\Windows\ehome C:\Windows\System32\Tasks\Microsoft\Windows\Media Center C:\WINDOWS\SysWOW64\Drivers\360AvFlt.sys CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany nie są potrzebne.

Nie polecam żadnych szczególnych marek (byle brać program o marce o ustalonej reputacji), a zachowania danego programu na konkretnej konfiguracji systemowo-sprzętowej nie da się przewidzieć. Może być tak, że u jednego dany program nie będzie odczuwalny wcale, a na innym komputerze nie będzie to wyglądać tak "ładnie".

To jest osobny program i wg raportu FRST powinien być widoczny na liście: Windows Media Player Firefox Plugin (HKLM-x32\...\{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}) (Version: 1.0.0.8 - Microsoft Corp) Windows Media Player Yule Log Visualization (HKLM-x32\...\{47CEA7F4-73CA-4E15-BF14-BCB857EAEF53}) (Version: 1.0.1 - Sean Alexander and Microsoft) Jeśli go nie widzisz, pomiń ten krok na razie i przejdź dalej.

W raportach nie widać żadnych aktywnych infekcji adware, do czyszczenia tylko wpisy szczątkowe. 1. Klawisz z flagą Windows + X > odinstaluj zbędny program HP Customer Participation Program 14.0. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 ShellExecuteHooks: - {6710C780-E20E-4C49-A87D-321850ED3D7C} - Brak pliku [ ] CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-4241658497-3624425046-3709114523-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130932014023261915&GUID=52C0F3C7-E233-4B73-9CF5-9BAF2B5D37F5 SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-4241658497-3624425046-3709114523-1002 -> DefaultScope {2D52AFF7-2C9D-4A72-8D41-5FF65727ED51} URL = Task: {5B1242EB-5E1B-4A1A-AFE0-B07AEF774D77} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {60C1A2C2-7E2F-476E-968C-01CFDCABE12E} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {6f99713c-1c30-4115-8320-ca871f79be10} - Brak ścieżki do pliku Task: {7339899A-2D7F-4352-BCE7-8EB7076C2617} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {7E2A0553-6335-4894-B229-FC00821B801F} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {830184A2-F4C5-4023-9F3F-E6E814251014} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {98EFFE7D-148D-4310-9889-50B8B5F6386B} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {9D59A418-CD65-4227-BA78-5E88C52EAA0B} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2012-08-08] (Lenovo) Task: {B55B9066-F6DA-4DBF-8053-808EBF55CC92} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {BE3147D9-9E0D-4140-AF97-65E4F53CC059} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {C4E53FD1-F49E-4AD8-A752-07FF32900DF8} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {D6156A66-70BA-4775-9941-4E5844B83B35} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {E0A9F390-2741-4EE2-85AB-E89E2FB66D93} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Amazon C:\ProgramData\Microsoft\Windows\Start Menu\Programs\USB大师 C:\Users\Monika\AppData\Local\atekoshjupwardanikadom C:\Users\Monika\AppData\Roaming\*.* C:\Users\Monika\AppData\Roaming\ZWfaXAYhTaIC C:\Users\Monika\AppData\Roaming\KZMount C:\Users\Monika\AppData\Roaming\Softlink C:\Users\Monika\AppData\Roaming\tmp C:\Users\Monika\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk C:\WINDOWS\system32\MONIKA_Monika_HistoryPrediction.bin C:\WINDOWS\system32\Drivers\etc\hp.bak C:\WINDOWS\SysWOW64\kz.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wg raportu domyślną i zainstalowaną przeglądarką jest Google Chrome, tylko że FRST w ogóle nie wykrył profilu przeglądarki na dysku, co sugeruje że coś jest uszkodzone. Przeinstaluj Google Chrome wg tych kroków: Zresetuj synchronizację (o ile włączona): KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą wersję Google Chrome. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Opisz dokładnie co siędzieje, czy coś wymaga jeszcze interwencji.

1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {E2B426BC-DFAC-48CD-8817-210C8BD46A72} - System32\Tasks\adminGoatskinsSurcoatsV2 => Rundll32.exe DisroberCoolant.dll,main 7 1 Task: {E9D1F0B3-7B2E-4C32-A89C-D2B6F93A475F} - System32\Tasks\{02A4C830-93E9-550B-DF07-2212D2B65170} => C:\Users\admin\AppData\Roaming\PriceFountainUpdateVer\syncversion.exe [2013-05-01] () Task: C:\Windows\Tasks\{02A4C830-93E9-550B-DF07-2212D2B65170}.job => C:\Users\admin\AppData\Roaming\PRICEF~1\SYNCVE~1.EXE HKLM-x32\...\Run: [Tv-Plug-In] => C:\Program Files (x86)\Tv-Plug-In\Tv-Plug-In.exe [312552 2015-02-24] (Orzilia Ltd.) HKU\S-1-5-21-1693114668-2537149228-3336235061-1001\...\Run: [bingSvc] => C:\Users\admin\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-11-05] (© 2015 Microsoft Corporation) ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku CHR HomePage: Default -> msn.com/?pc=__PARAM__&ocid=__PARAM__DHP&osmkt=pl-pl CHR DefaultSearchURL: Default -> hxxp://www.bing.com/search?FORM=__PARAM__DF&PC=__PARAM__&q={searchTerms} DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{02A4C830-93E9-550B-DF07-2212D2B65170} DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\MpsSvc CMD: sc config MpsSvc start= auto C:\extensions C:\Program Files (x86)\Tv-Plug-In C:\searchplugins C:\Users\admin\AppData\Local\GoatskinsSurcoats C:\Users\admin\AppData\Local\Microsoft\BingSvc C:\Users\admin\AppData\LocalLow\Tv-Plug-In C:\Users\admin\AppData\Roaming\Browser-Security C:\Users\admin\AppData\Roaming\PriceFountainUpdateVer C:\Users\admin\AppData\Roaming\Tv-Plug-In C:\Users\admin\Desktop\instalki\Avast SafeZone Browser.lnk C:\Users\admin\Downloads\*-dp*.exe C:\Users\admin\Downloads\*.crdownload EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale uBlock Origin trzeba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. "Lekki" to pojęcie względne. Jeśli chodzi o ilość elementów startowych to nie ma nic "lekkiego", wszystkie standardowe antywirusy mocno rozgałęzione (kupa usług i sterowników). Jeśli chodzi o zabezpieczenie przez instalacją adware, to przyda się np. Unchecky. Popatrz na listę w przyklejonym: KLIK.

Problemem są zmodyfikowane skróty LNK przeglądarek. Działania do przeprowadzenia: 1. Deinstalacje: - Przez Panel sterowania odinstaluj stary program Windows Media Player Firefox Plugin. - Skorzystaj z narzędzia SPTDInst, by usunąć stary i nie używany przez żaden program sterownik SPTD. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 ctsAgentsht.exe; "C:\Program Files (x86)\Phlachhalicult\ctsAgentsht.exe" {C25DA384-2010-45A4-A1ED-BFA540D4789B} {9DC74CD5-24EA-4ADE-9C42-608A8CE17116} [X] S2 GTFPOQUOTT Updater; C:\Program Files (x86)\GTFPOQUOTT Updater\GTFPOQUOTT Updater.exe [X] Task: {232C254C-B02F-47D2-94C3-45ACACA34E2F} - System32\Tasks\GTFPOQUOTT => gtfpoquott.exe Task: {8B197715-493C-495F-A4F1-6521129F88F7} - System32\Tasks\Cotsqwutain Agent => C:\Program Files (x86)\Phlachhalicult\ctsAgentghr.exe ShortcutWithArgument: C:\Users\Agata\Desktop\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www%2dsearching.com/?prd=set_epf&s=g7ezcsdbl0br,ad42d207-9693-4461-9d0d-34100f9d1f48, ShortcutWithArgument: C:\Users\Agata\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www%2dsearching.com/?prd=set_epf&s=g7ezcsdbl0br,ad42d207-9693-4461-9d0d-34100f9d1f48, ShortcutWithArgument: C:\Users\Agata\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www%2dsearching.com/?prd=set_epf&s=g7ezcsdbl0br,ad42d207-9693-4461-9d0d-34100f9d1f48, ShortcutWithArgument: C:\Users\Agata\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www-searching.com/?prd=set_epf&s=g7ezcsdbl0br,ad42d207-9693-4461-9d0d-34100f9d1f48, ShortcutWithArgument: C:\Users\Agata\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www%2dsearching.com/?prd=set_epf&s=g7ezcsdbl0br,ad42d207-9693-4461-9d0d-34100f9d1f48, ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www-searching.com/?prd=set_epf&s=g7ezcsdbl0br,ad42d207-9693-4461-9d0d-34100f9d1f48, ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www-searching.com/?prd=set_epf&s=g7ezcsdbl0br,ad42d207-9693-4461-9d0d-34100f9d1f48, HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.bing.com/search?FORM=INCOH1&PC=IC05&PTAG=ICO-1de21753 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.bing.com/search?FORM=INCOH1&PC=IC05&PTAG=ICO-1de21753 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?FORM=INCOH2&PC=IC05&PTAG=ICO-1de21753&q={searchTerms} SearchScopes: HKU\S-1-5-21-233006258-18527085-3623643150-1000 -> DefaultScope {D97FE477-F0DB-48D2-9B8A-3F99C4EE3162} URL = SearchScopes: HKU\S-1-5-21-233006258-18527085-3623643150-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-233006258-18527085-3623643150-1000 -> {d4fee3d1-1014-4db8-a824-573bf9ab51c7} URL = SearchScopes: HKU\S-1-5-21-233006258-18527085-3623643150-1000 -> {DC91FAFB-6CEA-49E5-BB74-9CEE75D09B77} URL = DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\sun21 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f C:\Program Files (x86)\GTFPOQUOTT C:\Program Files (x86)\zebi C:\Program Files (x86)\Mozilla Firefox\browser\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}.xpi C:\ProgramData\TEMP C:\Users\Agata\AppData\Local\Google C:\Users\Agata\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\VirtualDub.exe - skrót.lnk C:\Users\Agata\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\Agata\AppData\Roaming\Microsoft\Windows\Network Shortcuts\My Web Sites on MSN\target.lnk C:\Users\Agata\Favorites\Links\*.url C:\Windows\system32\bi3.exe C:\Windows\system32\SSL C:\Windows\system32\Drivers\etc\hp.bak CMD: ipconfig /flushdns CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Śmietnisko nabyte z "Asystenta pobierania" dobrychprogramów podczas próby pobrania WinRAR: KLIK. Akcje wstępne: 1. Odinstaluj programy typu adware/PUP: Browser-Security, ByteFence Anti-Malware, PriceFountain, Tv-Plug-In, Update for PriceFountain. 2. Zrób nowy log FRST z opcji Skanuj (Scan) z zaznaczonym Addition. Na podstawie raportów będzie doczyszczanie tego co zostało po deinstalacjach.

Zakładam, że wykonałeś akcję ręcznie. Teraz na wszelki wypadek jeszcze uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Logi z OTL usuwam, to przestarzały program i na nim się już nie pracuje, FRST posiada o wiele więcej skanów i poprawek. Zestaw podanych raportów FRST niekompletny - brak plików Addition i Shortcut. Wróć do konfiguracji i dorób te dwa logi: KLIK. Jeszcze w Addition może się coś ewentualnie pokazać, ale póki co to w głównym FRST są tylko polityki Chrome wprowadzone przypuszczalnie przez adware i jakiś jeden dziwny pusty wpis, żadnych aktywnych śladów ingerencji infekcji szyfrującej dane.

Tylko jeden wpis się nie przetworzył. Klawisz z flagą Windows + R > regedit > wejdź do tego klucza: HKEY_CURRENT_USER\Software\Clients\StartMenuInternet Powiedz mi czy jesteś w stanie ręcznie usunąć lub zedytować zlokalizowaną tam wartość domyślną kierującą do tego fałszywego klona.

leliwka, założyłaś temat w nieodpowiednim dziale Tutoriali. Przenoszę do działu Malware i czekam na brakujące logi (wyniki MBAM + FRST).

Przestrzegam przez innymi "darmowymi" VPN. Przeważnie są podobne sztuczki, jakieś reklamy w wersji darmowej czy inne uciążliwości. I możemy zająć się pobocznymi działaniami: 1. Odinstaluj stare wersje: Adobe Flash Player 18 NPAPI, Adobe Flash Player 20 ActiveX, Java 8 Update 72 (64-bit). 2. Usunięcie wpisów odpadkowych/pustych i czyszczenie Tempów. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 GUBootStartup; C:\Windows\System32\drivers\GUBootStartup.sys [20160 2016-01-06] (Glarysoft Ltd) S3 ACDaemon; C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe [X] U3 DfSdkS; Brak ImagePath Task: {01B7CF06-558F-4472-810A-932B22BEF680} - System32\Tasks\{6F32AE2D-FC3C-4BC1-8090-C2F90DD53BC7} => pcalua.exe -a C:\Users\Jola-Mariusz\Downloads\Internal_VGA_Intel_WXP_6.14.10.5303\Install.exe -d C:\Users\Jola-Mariusz\Downloads\Internal_VGA_Intel_WXP_6.14.10.5303 Task: {09688081-1C98-4DEB-8C67-B5AE0D8B8E6C} - System32\Tasks\GU5SkipUAC => C:\Program Files (x86)\Glary Utilities 5\Integrator.exe Task: {0E90269F-85C0-4879-8757-49A556C4B573} - System32\Tasks\{2F987813-7F3C-4A0F-8245-00A93D5F86D9} => pcalua.exe -a C:\Users\Jola-Mariusz\Desktop\WLAN_Broadcom_WXP_5.100.82.94\Install.exe -d C:\Users\Jola-Mariusz\Desktop\WLAN_Broadcom_WXP_5.100.82.94 Task: {256D2EF9-52D7-4E50-A4AD-07D17E73531A} - System32\Tasks\{CA0BCE57-6830-4FDC-BAB9-8308360F45DC} => pcalua.exe -a C:\Users\Jola-Mariusz\Downloads\Internal_VGA_Intel_WXP_6.14.10.5303\dotnetfx35.exe -d C:\Users\Jola-Mariusz\Downloads\Internal_VGA_Intel_WXP_6.14.10.5303 Task: {7735BC38-7C86-45EF-8C8D-F0CDA08CF518} - System32\Tasks\{72E31924-5DFE-4CEA-AE1F-EE9B25366348} => pcalua.exe -a E:\HijackThis.exe -d E:\ Task: {CD458BF9-105D-4E4F-937A-58FA91385FCD} - System32\Tasks\GlaryInitialize 5 => C:\Program Files (x86)\Glary Utilities 5\Initialize.exe Task: {F1FECDB2-C481-4B1E-B886-32B6E4F25218} - System32\Tasks\{EB88658D-DBCF-4649-92E2-BC34D0C89B2A} => pcalua.exe -a "F:\ArturO\NFS MOST WANTED\NFS Most Wanted - Spolszczenie.exe" -d "F:\ArturO\NFS MOST WANTED" Task: {F44AC858-741C-441E-9E51-CB5679442879} - System32\Tasks\GlaryUpdate 5 => C:\Program Files (x86)\Glary Utilities 5\CheckUpdate.exe HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = FF Plugin-x32: @java.com/DTPlugin,version=11.73.2 -> C:\Program Files (x86)\Java\jre1.8.0_73\bin\dtplugin\npDeployJava1.dll [brak pliku] FF Plugin-x32: @java.com/JavaPlugin,version=11.73.2 -> C:\Program Files (x86)\Java\jre1.8.0_73\bin\plugin2\npjp2.dll [brak pliku] DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Hamachi2Svc DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EaseUS EPM tray DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GUDelayStartup DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LogMeIn Hamachi Ui C:\Users\Jola-Mariusz\AppData\Roaming\*.* C:\Users\Jola-Mariusz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DBF Viewer 2000 C:\Windows\System32\drivers\GUBootStartup.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany nie są potrzebne.

Raport wskazuje, że niepożądane Chromium nabyłeś uruchamiając "Asystent pobierania" dobrychprogramów, który miał ściągać PhotoScape. Co do wyników AdwCleaner, to głównie usuwał badziewie preintegrowane na Lenovo (Lenovo Browser Guard, Pokki) oraz aplikację Hola (kontrowersje z działaniem a'la botnet: KLIK / KLIK). Działania do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj Akamai NetSession Interface, Java 8 Update 73, Lenovo SHAREit (o ile nie korzystasz). - Uruchom Program Install and Uninstall Troubleshooter i za jego pomocą usuń ukryty wpis Lenovo Metric Collection SDK 35. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2786685492-2715245155-4169903166-1001\...\Run: [GoogleChromeAutoLaunch_DA6047B3B86664256918EFEC7695FF7C] => C:\Users\Michal\AppData\Local\Chromium\Application\chrome.exe [667136 2015-08-11] (The Chromium Authors) S0 mfeelamk; C:\Windows\System32\drivers\mfeelamk.sys [80920 2015-07-02] (McAfee, Inc.) Task: {0B03F36F-5670-49FA-B021-843B691F1629} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION Task: {6B464D65-73C8-468B-B3EB-B502CF0E2A0B} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION Task: {7DE5B2F8-CDEA-43C3-86EE-941B1C8C6C9C} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION Task: {9817673C-9679-4B35-9631-0CE0771E2380} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION Task: {A6902DE0-3715-47E4-9579-CF3DB856BBFF} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION Task: {A813CD6D-494A-4803-9B3D-1EBC7E136EED} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2015-08-17] (Lenovo) Task: {BAA6ED81-2B71-4B1E-9EB9-304F456BE1FD} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION Task: {BE835AEB-3DDB-406F-B64C-C0BF6E8F9C20} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION Task: {C56F5816-D5B6-4BFA-8254-A644DB9A88A7} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION Task: {CCD771C1-45BA-47AA-988D-3425FCD81801} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION Task: {D1CEEB37-DC7F-4291-B53D-6E89668C8C87} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION Task: {EC591612-659B-4572-8261-59469F0AD277} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION Tcpip\..\Interfaces\{622ce1b9-1a88-4744-b292-769129e61f49}: [DhcpNameServer] 150.212.1.3 IE trusted site: HKU\S-1-5-21-2786685492-2715245155-4169903166-1001\...\hola.org -> hxxp://hola.org SearchScopes: HKLM -> DefaultScope {CE9351DF-0B9F-416D-B488-242CC4CE8BFE} URL = SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?FORM=INCOH2&PC=IC05&PTAG=ICO-ab8f7d5b&q={searchTerms} SearchScopes: HKLM -> {d4fee3d1-1014-4db8-a824-573bf9ab51c7} URL = hxxp://www.bing.com/search?FORM=INCOH2&PC=IC05&PTAG=ICO-32b9a2ed&q={searchTerms} SearchScopes: HKU\S-1-5-21-2786685492-2715245155-4169903166-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?FORM=INCOH2&PC=IC05&PTAG=ICO-ab8f7d5b&q={searchTerms} SearchScopes: HKU\S-1-5-21-2786685492-2715245155-4169903166-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?FORM=INCOH2&PC=IC05&PTAG=ICO-ab8f7d5b&q={searchTerms} SearchScopes: HKU\S-1-5-21-2786685492-2715245155-4169903166-1001 -> {29BAC421-4446-4903-91EE-19B37FE9EEAF} URL = hxxps://uk.search.yahoo.com/search?p={searchTerms}&fr=yset_ie_syc_oracle&type=orcl_default SearchScopes: HKU\S-1-5-21-2786685492-2715245155-4169903166-1001 -> {d4fee3d1-1014-4db8-a824-573bf9ab51c7} URL = hxxp://www.bing.com/search?FORM=INCOH2&PC=IC05&PTAG=ICO-32b9a2ed&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF DefaultSearchEngine: Search Provided by Bing FF SelectedSearchEngine: Search Provided by Bing FF HKLM\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF StartMenuInternet: FIREFOX.EXE - firefox.exe DeleteKey: HKU\.DEFAULT\Software\MozillaPlugins Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f C:\ProgramData\mntemp C:\ProgramData\Temp C:\Users\Michal\AppData\Local\{9A42AC1E-BEEA-C0A6-D372-E54EF71A19D6} C:\Users\Michal\AppData\Local\Chromium C:\Users\Michal\AppData\Local\Google C:\Users\Michal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lenovo Web Start.lnk C:\Users\Michal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Menu.lnk C:\Users\Michal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Chromium C:\Users\Michal\Downloads\Photoscape-12505-dp.exe C:\Windows\System32\drivers\mfeelamk.sys CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Otwieram temat. Po zalogowaniu do panelu opłat przestępcy dają za darmo klucze do odszyfrowania wariantów .crypz i .cryp1 (i tylko i wyłącznie dla tych): KLIK. Jest niejasne co się dzieje, to może być jakiś błąd w "obsłudze" panelu, więc trzeba się śpieszyć.

To wygląda na coś w tym stylu: KLIK / KLIK. W raportach nie widać żadnych oznak infekcji. Tylko poboczne działania: 1. Odinstaluj zbędny program HP Customer Participation Program 14.0. Do aktualizacji poniższe programy: KLIK. Adobe Acrobat Reader DC - Polish (HKLM\...\{AC76BA86-7AD7-1045-7B44-AC0F074E4100}) (Version: 15.016.20045 - Adobe Systems Incorporated) Adobe Flash Player 21 NPAPI (HKLM\...\Adobe Flash Player NPAPI) (Version: 21.0.0.242 - Adobe Systems Incorporated) Java 8 Update 66 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83218066F0}) (Version: 8.0.660.18 - Oracle Corporation) 2. Kosmetyczny skrypt usuwający szczątkowe wpisy. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {0248757B-C979-4426-A52B-CEBEFA661627} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\WINDOWS\ehome\ehPrivJob.exe Task: {075F028C-7FF6-45FE-B68D-136A3520F371} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA Task: {0A8A1F24-7A1C-4922-BD76-7AF1CAB2CEEA} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku <==== UWAGA Task: {0A985BE5-27FC-4EB2-8EB5-A0626A806328} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA Task: {116882FD-30C4-4737-AAB8-463F25ADB697} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\WINDOWS\ehome\ehPrivJob.exe Task: {12D2CA48-E0E4-460D-ACB8-2DA71ED21D44} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\WINDOWS\ehome\ehPrivJob.exe Task: {22B7C9CE-4996-408B-A2C1-6251F96737CF} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku <==== UWAGA Task: {28FD07D8-14B0-4A0F-A740-3DADA48DBDBF} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\WINDOWS\ehome\mcupdate.exe Task: {3B8AE42C-FE67-4E31-841F-BA388199D644} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\WINDOWS\ehome\ehPrivJob.exe Task: {4008A5CB-3933-47A4-946F-B70DE6EC8987} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\WINDOWS\ehome\ehPrivJob.exe Task: {4873B9D2-36EF-4F3B-A769-AEF32549D849} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe Task: {55DCBB8A-4148-4DAF-A6F9-7F70FA0A88CB} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\WINDOWS\ehome\ehPrivJob.exe Task: {5A8BC9D6-3318-4C4A-B7BC-F73C3E6F92A1} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\WINDOWS\ehome\ehPrivJob.exe Task: {5DD36B80-6B02-42D9-BEDB-57E65A4B7BC9} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\WINDOWS\ehome\ehPrivJob.exe Task: {64222051-9D29-44AA-8D01-5B65EAE8441A} - \PMTask -> Brak pliku <==== UWAGA Task: {69A89CD8-9D10-4C85-836B-0DA961EEE279} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\WINDOWS\ehome\ehPrivJob.exe Task: {7A86A303-0C4D-426A-8C52-C8CAA202F3FF} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe Task: {8493D86E-9D12-45DD-A852-A958414F1E79} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\WINDOWS\ehome\MCUpdate.exe Task: {84C21648-3732-49C4-8513-F1B498787DE8} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA Task: {9034722B-6488-4867-816C-235FC09AE337} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku <==== UWAGA Task: {99310360-D273-4329-8476-BFC817F32825} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\WINDOWS\ehome\ehrec.exe Task: {A64308A4-C68D-4999-8C9D-728E82ECCBF3} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\WINDOWS\ehome\ehPrivJob.exe Task: {AB3BAB90-DA31-4FBC-B780-5936F0898A5C} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe Task: {B315479C-FBA6-488C-AEAD-05E7E4B72DF9} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\WINDOWS\ehome\mcupdate.exe Task: {B5DA585E-31CC-4221-86AE-B0E01BD34953} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\WINDOWS\ehome\ehPrivJob.exe Task: {BD6729B4-EE8F-48C1-A72D-94016C868255} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\WINDOWS\ehome\ehPrivJob.exe Task: {D44AB5EA-4580-4336-80D4-64FEC157B467} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe Task: {D5F9F32E-8CE7-48DB-B7B3-9FB414EC16AA} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\WINDOWS\ehome\mcupdate.exe Task: {F06644E6-2032-4EC0-B0A1-B150EF95348B} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA Task: {FDCE862C-9615-46A0-BC4F-BC79AC485DA7} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\WINDOWS\ehome\ehrec.exe Task: {FF7C2D8C-53DB-46CB-BE8D-E5AB0BCABBA6} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA Task: {FFCD8A2B-4058-400A-A746-E68D820F5A97} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\WINDOWS\ehome\ehPrivJob.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center C:\WINDOWS\ehome C:\Windows\System32\Tasks\Microsoft\Windows\Media Center FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-1500825603-450778821-1061133333-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 CHR HKLM\...\Chrome\Extension: [ofoeigeaodhbjogdigckajfhjbonaofg] - hxxps://clients2.google.com/service/update2/crx U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.

Wszystko pomyślnie wykonane. Na koniec zastosuj DelFix (ale GMER skasuj ręcznie), następnie wyczść foldery Przywracania systemu: KLIK.

W raporcie Addition następujący błąd: Dziennik Aplikacja: ================== Error: (07/13/2016 11:29:21 AM) (Source: System Restore) (EventID: 8210) (User: ) Description: Wystąpił nieokreślony błąd podczas przywracania systemu: (Zaplanowany punkt kontrolny). Informacje dodatkowe: 0x8007007b. Ten błąd jest charakterystyczny dla włączonej Ochrony systemu dla nieistniejącego woluminu. Wejdź do konfiguracji Przywracania systemu: KLIK. Sprawdź czy na liście dysków widnieje zaznaczona pozycja opisana jako BRAK. Odznacz ten element i zaznacz właściwy wolumin z Windows. Wykonaj jeszcze te kosmetyczne akcje wspominane na początku. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {02516F6C-CE1B-450A-8254-69B061DA0843} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku <==== UWAGA Task: {0B893776-4A04-4216-BC0A-3A0DF7E134CE} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku <==== UWAGA Task: {21843CE1-2EA8-4359-8DE7-C94CD0D6B307} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2012-08-08] (Lenovo) Task: {3074A512-5E3E-4BE5-929F-75E049471393} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku <==== UWAGA Task: {341D1217-20ED-4DD9-80DB-7F44DA74556F} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku <==== UWAGA Task: {6B5A10D4-811B-4D39-9B73-669A6C2788C9} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku <==== UWAGA Task: {76A1427C-8872-4A61-8666-DED90A31D4D9} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku <==== UWAGA Task: {7DA35250-C581-4682-9DC4-6FD3B0B9FEC5} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku <==== UWAGA Task: {813E416C-C1CE-4690-A3C0-9A9B19B19546} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku <==== UWAGA Task: {9303D520-02D1-47D8-8E52-8C7F7DD93D4B} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku <==== UWAGA Task: {B7924CF2-1435-409F-84DF-D9E1A2B90592} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku <==== UWAGA Task: {D9019A40-A13A-4C7A-9B42-35D2F6189E04} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku <==== UWAGA S0 mfeelamk; C:\Windows\System32\drivers\mfeelamk.sys [80160 2015-02-13] (McAfee, Inc.) C:\Windows\System32\drivers\mfeelamk.sys HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKU\S-1-5-21-1813020923-1184796107-3470649917-1002 -> DefaultScope {5F04DD98-6FE6-481D-980A-1158758D25CD} URL = SearchScopes: HKU\S-1-5-21-1813020923-1184796107-3470649917-1002 -> {5F04DD98-6FE6-481D-980A-1158758D25CD} URL = DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Nowe skany FRST nie są potrzebne.

Gdzie widziałeś tę informację? W temacie wsparcia dla ofiar Cerber jest napisane, że nie jest to możliwe. A te informacje na końcu to dotyczą innej infekcji Xorist, to nie ten przypadek tutaj: Na obrazku U Ciebie są pliki zmieniona nazwa oryginalnego pliku na losową.cerber i tego nie można odkodować. Natomiast Xorist tworzy plik zachowana nazwa oryginalnego pliku.cerber i to jest do odkodowania.

To nie jest Critroni tylko infekcja Cerber szyfrująca dane. Na obrazku widać wyraźnie zakodowane pliki o rozszerzeniu *.cerber. Opis infekcji Cerber: KLIK, KLIK. Odkodowanie danych jest niemożliwe. Jedyne czym jestem w stanie się zająć, to usunięcie infekcji oraz dodanych przez nią notatek ransom. Do tego są potrzebne jednak raporty z FRST. Z drugiej strony, po ataku infekcji szyfrującej i tak jest zalecany format dysku. Zaszyfrowane dane (nie są groźne) można skopiować na zewnętrzny nośnik, na wszelki wypadek gdyby kiedyś w przyszłości pojawiła się solucja.