picasso

Markiz, w FAQ Nirsoft stoi:

ThePiotrek, wyraźnie powiedziałam co należy podać, czego nie dostarczyłeś. Dane przeanalizuje moderator Hardware. Nawiasem mówiąc, nawet nie raczyłeś przekleić co się pokazało w oknie cmd po ostatniej próbie z chkdsk. Jasnowidzami nie jesteśmy, by ustalić treść komunikatu: "Wyskoczyły jakieś napisy po angielsku. Bardzo małym drukiem i marnej jakości."

Usuwam log OTL, ten przestarzały program nie jest już tu od dawna używany. Obecnie są obowiązkowe raporty z FRST. Niemniej: Skoro jest zgłaszany problem z danymi na dysku zewnętrznym, temat przenoszę do działu Hardware. Zasady działu: KLIK. I pytaniem jest czy próbowałeś już skanu chkdsk?

Zapomnij o uruchomieniu tej gry na systemie XP. Minimalne wymagania gry to system Vista SP2 i wyższy DirectX 10/11: KLIK. Nawiasem mówiąc, podobne pytania już na forum były, np. KLIK / KLIK.

Temat założony w dziale analizy infekcji, opis nie wskazuje na infekcję. Infekcja ukrywa dane za pomocą atrybutów HS. Skoro atrybuty zdjęte, a ujawniły się tylko te dwa foldery (Kosz i folder Przywracania systemu), to znaczy że nie ma nic więcej dostępnego w normalny sposób. Opis sugeruje problem ze strukturą plików, a być może i fizyczny dysku skoro nawet chkdsk nie chce się uruchomić. Temat przenoszę do działu Hardware. Przeczytaj zasady działu co należy podać pod kątem dysku: KLIK.

Kaspersky Internet Security ma wbudowany moduł "Automatic Exploit Prevention" przydatny pod kątem ataku infekcji szyfrujących dane: KLIK. Ta funkcja może ewentualnie kolidować z takimi rozwiązaniami jak Malwarebytes Anti-exploit, pomimo że oficjalnie nie ma oznaczenia braku kompatybilności. Bitdefender Anti-Ransomware działa na innej zasadzie, poprzez immunizację wybranych miejsc, ale pula ochrony jest dość skromna, to nie jest pełna ochrona przed wszystkimi typami szyfratorów. Prawdopodobnie KIS może działać bezkolizyjnie równolegle z tą mini szczepionką.

Dodałam jeszcze w ostatnim punkcie tworzenie raportu w Autoruns, pod kątem spisu rozszerzeń menu kontekstowych widocznych na zrzucie ekranu (FRST tego nie skanuje).

W systemie kupa chińskich infekcji, a także infekcja WMI atakująca skróty przeglądarek. Wygląda na to, że adware ustawiło inny profil przeglądarki (ChromeDefaultData2). Będę sprawdzać czy jest poprzedni profil. Czyszczenie będzie rozłożone na wiele etapów. Działania wstępne do przeprowadzenia: 1. Próba deinstalacji określonych programów adware/PUP. Wejdź do folderu C:\Program Files (x86) i z prawokliku na oba wyliczane pliki Uruchom jako Administrator: C:\Program Files (x86)\ADSKIP\uninst.exe C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\Uninst.exe Następnie wejdź jeszcze do folderu C:\Program Files\żěŃą (oraz podfolderów) i sprawdź czy nie ma jakiegoś podobnego pliku deinstalacyjnego. Jeśli podczas deinstalacji wystąpią błędy, nie szkodzi. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe WMI_ActiveScriptEventConsumer_ASEC: R2 KuaizipUpdateChecker; C:\Program Files\żěŃą\X86\kuaizipUpdateChecker.dll [219072 2016-06-02] () R2 QQPCRTP; C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\QQPCRtp.exe [295144 2016-06-02] (Tencent) S3 blNetFilter; C:\Windows\system32\drivers\blNetFilter.sys [54664 2016-05-11] () S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-06-02] () S3 FHUXXZLDPA; C:\Windows\System32\Drivers\askProtect64.sys [208776 2016-05-11] () R2 KuaiZipDrive; C:\Windows\system32\drivers\KuaiZipDrive.sys [92872 2016-06-02] (WinMount International Inc) R2 QQSysMonX64; C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\QQSysMonX64.sys [126456 2016-06-02] (PC Manager) R3 TFsFlt; C:\Windows\System32\Drivers\TFsFltX64.sys [95224 2016-06-02] (PC Manager) R1 TSSysKit; C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\TSSysKit64.sys [97272 2016-06-02] (PC Manager) S0 mvs91xx; System32\drivers\mvs91xx.sys [X] S1 QMUdisk; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\QMUdisk64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" Task: {017E626B-A215-4D1F-BED7-539C0167F28C} - System32\Tasks\{86835B39-E574-433C-AB70-4351533C682A} => pcalua.exe -a "C:\Program Files (x86)\Common Files\K-tam\uninstall.exe" -c shuz -f "C:\Program Files (x86)\Common Files\K-tam\uninstall.dat" -a uninstallme 5952C0CA-608B-4DF6-88EB-50D2BA9A6C7C DeviceId=b9fa0cf2-b857-720c-65de-843591f62eed BarcodeId=51107003 ChannelId=3 DistributerName=APSFClickMeIn Task: {28C523D2-57F4-4DC3-9C41-A53BB45F4E4C} - System32\Tasks\KuaiZip_Update => C:\Program Files\żěŃą\X86\Update.exe [2016-06-02] (Shanghai Guangle Network Technology Ltd ) Task: {4680F67C-3AE3-47D5-82F8-0B72DB73FE11} - System32\Tasks\PPTAssistantUpdateTask_Magdalena => C:\Users\Magdalena\AppData\Local\PPTAssist\assistupdate.exe Task: {4E1B5BA3-3F3A-4C77-967B-973D344AF882} - System32\Tasks\{3772494E-FDA7-4249-B94E-11E1C61A7F28} => pcalua.exe -a "C:\Program Files (x86)\EasyHotspot\uninstaller.exe" Task: {4F7D3A5F-B0CC-48BE-8713-F6284F866D94} - System32\Tasks\{808055D5-E073-48B3-92A4-92290238395D} => pcalua.exe -a "C:\Program Files (x86)\Hostify\uninstaller.exe" Task: {641E5119-67FD-41EC-89E2-7C4480963F3E} - System32\Tasks\tasklist => C:\Users\Magdalena\AppData\Roaming\setup_qg02.exe Task: {811EB506-332D-4C42-A624-320FC381CB96} - System32\Tasks\DriverToolkit Autorun => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe [2015-07-01] (Megaify Software Co., Ltd.) Task: {A6322CFE-615E-4CD7-81D9-B05A9C235F6A} - System32\Tasks\{B57DE98B-827F-4AD0-8736-0D1FD5EE3586} => pcalua.exe -a "C:\Program Files (x86)\sunnyday\uninstaller.exe" Task: {AF85F5BE-AC76-42C6-A312-5BC9C0F51703} - System32\Tasks\{34522D2B-DBFC-4C45-A69C-CA5FBB933EE6} => pcalua.exe -a "C:\Program Files (x86)\mpck\uninstaller.exe" Task: {B02C6A97-ADF3-4218-AC76-0892296C7DCE} - System32\Tasks\Zivuleclahtain Launcher => C:\Program Files (x86)\Zivuleclahtain\zivuleclahtainlauncherTsk.exe Task: C:\Windows\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe Task: C:\Windows\Tasks\PPTAssistantUpdateTask_Magdalena.job => C:\Users\Magdalena\AppData\Local\PPTAssist\assistupdate.exe Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\PHOTOfunSTUDIO 9.5 PE.lnk [2015-06-09] HKLM\...\Run: [FAHConsole] => C:\Program Files\File Association Helper\FAHConsole.exe [729272 2014-01-28] (Nico Mak Computing) HKLM-x32\...\Run: [ QQPCTray] => C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\QQPCTray.exe [352488 2016-06-02] (Tencent) HKLM\...\RunOnce: [WEPRODUCT64Hg4] => C:\Users\Magdalena\AppData\Local\Temp\I5XM880YVG.exe [175616 2016-06-02] () HKU\S-1-5-21-3207241678-2084453937-2149904728-1001\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-3207241678-2084453937-2149904728-1001\...\Policies\Explorer: [] ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D43} => Brak pliku ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2016-06-02] () BHO: Brak nazwy -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> Brak pliku BHO: PC Manager网页防火墙 -> {7C260B4B-F7A0-40B5-B403-BEFCDC6A4C3B} -> C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\TSWebMon64.dat [2016-06-02] (Tencent) BHO-x32: Brak nazwy -> {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} -> Brak pliku CustomCLSID: HKU\S-1-5-21-3207241678-2084453937-2149904728-1001_Classes\CLSID\{034DF736-A378-4292-ACAE-A561088999F5}\InprocServer32 -> C:\Users\Magdalena\AppData\Local\PPTAssist\pptassist64.dll (珠海金山办公软件有限公司) CustomCLSID: HKU\S-1-5-21-3207241678-2084453937-2149904728-1001_Classes\CLSID\{1077138E-896C-445E-BD31-CFCFFA4636C4}\InprocServer32 -> C:\Users\Magdalena\AppData\Local\PPTAssist\pptassist64.dll (珠海金山办公软件有限公司) CustomCLSID: HKU\S-1-5-21-3207241678-2084453937-2149904728-1001_Classes\CLSID\{C4917602-2AC8-4ECE-8E5D-390C3871ABB3}\InprocServer32 -> C:\Users\Magdalena\AppData\Local\PPTAssist\tabassist64.dll (珠海金山办公软件有限公司) CustomCLSID: HKU\S-1-5-21-3207241678-2084453937-2149904728-1001_Classes\CLSID\{E00310B2-F036-4771-9347-C131257D990F}\InprocServer32 -> C:\Users\Magdalena\AppData\Local\PPTAssist\tabassist64.dll (珠海金山办公软件有限公司) ShortcutWithArgument: C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% FirewallRules: [TCP Query User{D9A32231-1F97-43D3-851B-E4ABA77B234B}C:\program files (x86)\adskip\adskip.exe] => (Block) C:\program files (x86)\adskip\adskip.exe FirewallRules: [uDP Query User{A4F8889E-A354-4772-B0B4-5647C98C4857}C:\program files (x86)\adskip\adskip.exe] => (Block) C:\program files (x86)\adskip\adskip.exe FirewallRules: [{3B0A9B77-2478-4DB9-8B6D-A6610D17DD38}] => (Allow) C:\Program Files (x86)\ADSKIP\ADSkipSvc.exe FirewallRules: [{70C99020-C78C-4E64-947C-81110F017BE1}] => (Allow) C:\Program Files (x86)\ADSKIP\ADSkip.exe FirewallRules: [{D26C4207-B3B1-4887-A2E1-4E892BEC7691}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\QQPCTray.exe FirewallRules: [{F6398801-F413-4D28-AD45-347AFEF30E41}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\QQPCMgr.exe FirewallRules: [{59B93E18-E99A-4987-ADE7-BFDA051B3C47}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\QQPCRTP.exe FirewallRules: [{66BE47B1-A0FE-4ED6-8C54-20468F4EE544}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\bugreport.exe FirewallRules: [{678F6EA1-FA8A-4DB9-BCFB-DCAE324B1B32}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\QQPConfig.exe FirewallRules: [{223DC554-FEE4-47C2-81AA-F3048A71B10C}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\QMUpdate\QQPCMgrUpdate.exe FirewallRules: [{5D8F9EAD-33F4-44CC-A1B4-93A83881B477}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\QQPCUpdateAVLib.exe FirewallRules: [{5EA68776-3FA1-4C26-8F29-F429B8CDBE0B}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\Uninst.exe FirewallRules: [{3CD11196-136C-43AC-BB0A-1343CD41F66C}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\TpkUpdate.exe FirewallRules: [{F3338BF5-5102-4237-9E71-D2F806EFF739}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\QMDL.exe FirewallRules: [{E2C9F419-1E67-4C35-808D-6D7D05DDC512}] => (Allow) C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\QMDL.exe FirewallRules: [{8992A8EE-1924-43C7-8B11-80FC4B6A1220}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\132\tencentdl.exe FirewallRules: [{01B0A32C-1871-4AC5-84CE-B5778F0AA19B}] => (Allow) C:\program files (x86)\common files\tencent\qqdownload\132\bugreport_xf.exe FirewallRules: [{B7421323-FBD7-474B-9D56-258C2B0D43AB}] => (Allow) C:\Program Files (x86)\ADSKIP\ADSkip.exe FirewallRules: [{9B7F6473-DB66-46C0-96A3-4553AAB81D61}] => (Allow) C:\Program Files (x86)\ADSKIP\ADSkipSvc.exe DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{5CC359A2-C839-485F-8DA9-15EC6DD056B0} DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "PHOTOfunSTUDIO 9.5 PE.lnk" /f Reg: reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager" /v PendingFileRenameOperations /t REG_MULTI_SZ /d "" /f CMD: for %i in ("C:\Program Files\żěŃą\X86\*.dll") do regsvr32.exe /s /u %i CMD: for %i in ("C:\Program Files (x86)\Tencent\QQPCMgr\11.4.26194.901\*.dll") do C:\Windows\SysWOW64\regsvr32.exe /s /u %i C:\extensions C:\Program Files\Caster C:\Program Files\żěŃą C:\Program Files\Common Files\Tencent C:\Program Files (x86)\03D40274-1464874845-058E-7A06-440700080009 C:\Program Files (x86)\ADSKIP C:\Program Files (x86)\badu C:\Program Files (x86)\Cirageqopward C:\Program Files (x86)\Hofight C:\Program Files (x86)\MPC Cleaner C:\Program Files (x86)\mpck C:\Program Files (x86)\Tencent C:\Program Files (x86)\Zivuleclahtain C:\Program Files (x86)\Common Files\K-tam C:\program files (x86)\Common Files\Tencent C:\ProgramData\APN C:\ProgramData\kingsoft C:\ProgramData\Logic Handler C:\ProgramData\Norton C:\ProgramData\Tencent C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DriverToolkit C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\PDFCreator Pomoc.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses\AFPL License.lnk C:\uninst C:\Users\Magdalena\AppData\Local\03D40274-1464884535-058E-7A06-440700080009 C:\Users\Magdalena\AppData\Local\app C:\Users\Magdalena\AppData\Local\cache C:\Users\Magdalena\AppData\Local\PPTAssist C:\Users\Magdalena\AppData\Local\Tempfolder C:\Users\Magdalena\AppData\LocalLow00416DA8 C:\Users\Magdalena\AppData\LocalLow00434908 C:\Users\Magdalena\AppData\LocalLow000000B343FC60A8 C:\Users\Magdalena\AppData\LocalLow\Company C:\Users\Magdalena\AppData\Roaming\*.* C:\Users\Magdalena\AppData\Roaming\ADSKIP C:\Users\Magdalena\AppData\Roaming\JRghk C:\Users\Magdalena\AppData\Roaming\kingsoft C:\Users\Magdalena\AppData\Roaming\Kuaizip C:\Users\Magdalena\AppData\Roaming\lBGhC C:\Users\Magdalena\AppData\Roaming\pptassist C:\Users\Magdalena\AppData\Roaming\Qejge C:\Users\Magdalena\AppData\Roaming\Tencent C:\Users\Magdalena\AppData\Roaming\Softlink C:\Users\Magdalena\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\AdSkip.lnk C:\Users\Magdalena\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk C:\Users\Magdalena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\¶ŕ˛Ę±ăÇ© C:\Users\Magdalena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\AdSkip C:\Users\Magdalena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Tencent Software C:\Users\Magdalena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Autodesk\Install Now Autodesk® AutoCAD® 2014.lnk C:\Users\Magdalena\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Autodesk\Install Now Autodesk® AutoCAD® 2015.lnk C:\Users\Magdalena\Desktop\AdSkip.lnk C:\Users\Magdalena\Desktop\¶ŕ˛Ę±ăÇ©.lnk C:\Users\Magdalena\Desktop\żěŃą.lnk C:\Users\Magdalena\Downloads\SpyHunter-Installer-k.com C:\Users\Magdalena\Downloads\RegHunter-Installer.exe C:\Windows\system32\BIT9237.tmp C:\Windows\system32\Drivers\askProtect64.sys C:\Windows\system32\Drivers\blNetFilter.sys C:\Windows\system32\Drivers\EsgScanner.sys C:\Windows\system32\Drivers\KuaiZipDrive.sys C:\Windows\system32\Drivers\TFsFltX64.sys C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\System32\Tasks\tasklist C:\Windows\System32\Tasks\Remediation Folder: C:\Users\Magdalena\AppData\Local\Apps\2.0 CMD: dir /a "C:\Users\Magdalena\AppData\Local\Google\Chrome\User Data" CMD: dir /a "C:\Users\Magdalena\AppData\Local\Google\Chrome\User Data\ChromeDefaultData2\Extensions" Hosts: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny Windows*. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. * Wejście do Trybu awaryjnego: klawisz z flagą Windows + I > Zmień ustawienia komputera > Aktualizacja i odzyskiwanie > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > nastąpi restart i pojawi się ekran z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > wybierz Tryb awaryjny. 3. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj: Adobe Reader 9.5.0 - Polish (stara wersja), Akamai NetSession Interface (zbędny downloader produktów Autodesk), DriverToolkit version 8.5.0.0 (przypuszczalnie niechciana instalacja), File Association Helper (podobnie). 4. Zrób nowe logi: - FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition, ale już bez Shortcut. - Autoruns, z prawokliku na program Uruchom jako Administrator, a wynikowy log zapisz do formatu *.txt z poziomu menu.. Dołącz też plik fixlog.txt. Oraz zrób zrzut ekranu z tego miejsca w Google Chrome: menu Ustawienia > karta Ustawienia > Osoby.

W GMER także nie widzę nic podejrzanego. Czyli jak mówiłam:

Nowe logi wstawione, przechodzimy do usuwania. Odpowiadasz mi już w nowym poście, nie edytuj pierwszego i nie podmieniaj logów. Problem podstawowy to aktywna infekcja DNS i modyfikacja systemowych plików dnsapi.dll. Prócz tego masa odpadków adware. Działania wstępne: 1. Uruchom RepairDNS. Na Pulpicie powstanie log RepairDNS.txt. 2. Odinstaluj Ace Stream Media 3.1.1.1 (wbudowany moduł adware) oraz Adobe Flash Player 10 ActiveX (stara niebezpieczna wersja). 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 Afict; "C:\Users\Karol\AppData\Roaming\Nudnum\Nudnum.exe" -cms [X] S2 backlh; C:\ProgramData\Logic Handler\set.exe [X] S2 CloudPrinter; C:\ProgramData\\CloudPrinter\\CloudPrinter.exe shuz -f "C:\ProgramData\\CloudPrinter\\CloudPrinter.dat" -l -a S2 cobycekozbt; C:\Program Files (x86)\46313030-1464376569-3142-3230-3139FFFFFFFF\knsm18A8.tmpfs [X] S2 dowidoly; Brak ImagePath S2 Ikermuze; "C:\Users\Karol\AppData\Roaming\JatwOjeura\Siynfunf.exe" -cms [X] S2 Quoteex; C:\ProgramData\\Quoteex\\Quoteex.exe shuz -f "C:\ProgramData\\Quoteex\\Quoteex.dat" -l -a S2 rijufoze; C:\Program Files (x86)\46313030-1464376569-3142-3230-3139FFFFFFFF\hnsc4896.tmp [X] S2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe -s [X] R1 cherimoya; C:\Windows\System32\drivers\cherimoya.sys [82240 2016-05-28] (Cherimoya Ltd) S3 TSSKX64; C:\Windows\System32\drivers\tsskx64.sys [54904 2016-05-27] (电脑管家) S1 MPCKpt; system32\DRIVERS\MPCKpt.sys [X] S1 QMUdisk; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QMUdisk64.sys [X] S1 softaal; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\softaal64.sys [X] S1 SRepairDrv; \??\C:\Program Files (x86)\Tencent\QQPCMGR\SRepairDrv [X] S2 tsnethlpx64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TsNetHlpX64.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" HKLM-x32\...\Run: [svchost.exe -start] => C:\ProgramData\svchost.exe -start HKU\S-1-5-19\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun HKU\S-1-5-20\...\Run: [sidebar] => %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun AppInit_DLLs: C:\ProgramData\Quoteex\Zathsoft.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Quoteex\HomeTontough.dll => Brak pliku Tcpip\..\Interfaces\{549DF18E-551F-403C-BCE2-9FA15230C1D2}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{846ee342-7039-11de-9d20-806e6f6e6963}: [NameServer] 104.197.191.4 HKU\S-1-5-21-1544065239-652640673-2946235325-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYu6aEhdAQJAr6KR-UDqFZpQuTFuLw5jK08HKqTPVNZGhjy7WlPsBwQAZxBxCt_IklVdBQgEFpU9AiczlF_ZQMnuA3rTrVH6MciT8yqy1UxAkCeXwr_shxMSSwFsB6TWqTTs_9lqfWraMAEBfglef8Ad861Og,,&q={searchTerms} HKU\S-1-5-21-1544065239-652640673-2946235325-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYu6aEhdAQJAr6KR-UDqFZpQuTFuLw5jK08HKqTPVNZGhjy7WlPsBwQAZxBxCt_IklZe2utCraANmceghWX9XI4m8ZGnnTO5ki8GTH6YAJvEwQNlQjceRUYEgfZ1JHk6huAUllCpDVzBAJmpSHvi6QtrE1o0Q,, HKU\S-1-5-21-1544065239-652640673-2946235325-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYu6aEhdAQJAr6KR-UDqFZpQuTFuLw5jK08HKqTPVNZGhjy7WlPsBwQAZxBxCt_IklVdBQgEFpU9AiczlF_ZQMnuA3rTrVH6MciT8yqy1UxAkCeXwr_shxMSSwFsB6TWqTTs_9lqfWraMAEBfglef8Ad861Og,,&q={searchTerms} HKU\S-1-5-21-1544065239-652640673-2946235325-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYu6aEhdAQJAr6KR-UDqFZpQuTFuLw5jK08HKqTPVNZGhjy7WlPsBwQAZxBxCt_IklVdBQgEFpU9AiczlF_ZQMnuA3rTrVH6MciT8yqy1UxAkCeXwr_shxMSSwFsB6TWqTTs_9lqfWraMAEBfglef8Ad861Og,,&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYu6aEhdAQJAr6KR-UDqFZpQuTFuLw5jK08HKqTPVNZGhjy7WlPsBwQAZxBxCt_IklVdBQgEFpU9AiczlF_ZQMnuA3rTrVH6MciT8yqy1UxAkCeXwr_shxMSSwFsB6TWqTTs_9lqfWraMAEBfglef8Ad861Og,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-1544065239-652640673-2946235325-1000 -> DefaultScope {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYu6aEhdAQJAr6KR-UDqFZpQuTFuLw5jK08HKqTPVNZGhjy7WlPsBwQAZxBxCt_IklVdBQgEFpU9AiczlF_ZQMnuA3rTrVH6MciT8yqy1UxAkCeXwr_shxMSSwFsB6TWqTTs_9lqfWraMAEBfglef8Ad861Og,,&q={searchTerms} SearchScopes: HKU\S-1-5-21-1544065239-652640673-2946235325-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYu6aEhdAQJAr6KR-UDqFZpQuTFuLw5jK08HKqTPVNZGhjy7WlPsBwQAZxBxCt_IklVdBQgEFpU9AiczlF_ZQMnuA3rTrVH6MciT8yqy1UxAkCeXwr_shxMSSwFsB6TWqTTs_9lqfWraMAEBfglef8Ad861Og,,&q={searchTerms} CHR HomePage: Default -> hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYu6aEhdAQJAr6KR-UDqFZpQuTFuLw5jK08HKqTPVNZGhjy7WlPsBwQAZxBxCt_IklVb5P14roTCx8DakOP-yuMHB2bw9fcSQvlq0PEUi886yUi3RLZxleEBahsRhL7RMvD0x3IBuV7UkFlG0jza4EXoRdAqg,, CHR HKU\S-1-5-21-1544065239-652640673-2946235325-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> %SNP% ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% ShortcutWithArgument: C:\Users\Public\Desktop\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> %SNF% DeleteKey: HKCU\Software\Mozilla\Firefox\Extensions DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AvgUi DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DIMDownloading your update...1300677038363 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NVIDIA Corporation\MediaShield C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NVIDIA Corporation\Panel sterowania NVIDIA C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SubtitleCreator C:\Users\Karol\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件 C:\Users\Karol\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Subtitle Workshop\Help C:\Users\Karol\Documents\Corel\CorelDRAW X5 Samples\target.lnk C:\Users\Public\Thunder Network C:\Windows\chromebrowser.exe C:\Windows\system32\ghn C:\Windows\SysWOW64\Number of results C:\Windows\system32\Drivers\etc\hp.bak C:\Windows\system32\Drivers\cherimoya.sys C:\Windows\system32\Drivers\TFsFltX64.sys C:\Windows\system32\Drivers\TSSKX64.sys C:\Windows\SysWOW64\findit.xml C:\Windows\SysWOW64\Drivers\TS888x64.sys CMD: ipconfig /flushdns CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. Dołącz też pliki fixlog.txt i RepairDNS.txt.

Fix FRST pomyślnie wykonany. Skasuj FRST i jego logi z folderu E:\Programy. Zastosuj jeszcze DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To wszystko.

Nie podałeś obowiązkowego raportu z GMER, choć widzę że była z nim jakaś próba - nie mogłeś go uruchomić? W raportach FRST nie widać żadnych oznak infekcji. 1. Jedyne co mogę obecnie doradzić, to zmiana loginów w kontach pocztowych, które są skonfigurowane w Outlooku. 2. Dodatkowo, w systemie są stare niebezpieczne wersje (luki! zagrożenie infekcjami szyfrującymi dane). Do wglądu przyklejony i wątek aktualizacji: KLIK. Internet Explorer Wersja 6 (Domyślna przeglądarka: FF) ==================== Zainstalowane programy ====================== Adobe Flash Player 10 ActiveX (HKLM\...\Adobe Flash Player ActiveX) (Version: 10.0.42.34 - Adobe Systems Incorporated) Adobe Reader XI (11.0.08) (HKLM\...\{AC76BA86-7AD7-1033-7B44-AB0000000001}) (Version: 11.0.08 - Adobe Systems Incorporated) Java 2 Runtime Environment, SE v1.4.1_07 (HKLM\...\{CA532E73-1BB7-11D8-9D6A-00010240CE95}) (Version: - ) Java 8 Update 66 (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F83218066F0}) (Version: 8.0.660.18 - Oracle Corporation) Java Web Start (HKLM\...\Java Web Start) (Version: - )

Niepożądana wyszukiwarka jest zablokowana na bazie polityk oprogramowania. Próbując rozwiązać problem instalowałeś wątpliwe programy: skaner naciągacz SpyHunter oraz badziew gpedt.msc. Fałszywe gpedit nie działa poprawnie na edycji Home: KLIK. Paczki rzekomo instalujące sprawne gpedit w edycji Home zostały zrobione przez dyletantów. Nie jest możliwa instalacja gpedit na edycji która tego nie obsługuje. Akcje do wdrożenia: 1. Odinstaluj stary zbędny Adobe Flash Player 20 NPAPI (to wersja dla Firefox, który tu nie jest zainstalowany) oraz wspominany lewy gpedt.msc. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\...\Chrome\Extension: [ncadhpiimldiaggdmgilboibgpkamcdf] - C:\Users\Kancelaria\AppData\Local\Google\Chrome\User Data\Default\Extensions\ncadhpiimldiaggdmgilboibgpkamcdf.crx [2015-11-18] CHR HKLM-x32\...\Chrome\Extension: [ncadhpiimldiaggdmgilboibgpkamcdf] - C:\Users\Kancelaria\AppData\Local\Google\Chrome\User Data\Default\Extensions\ncadhpiimldiaggdmgilboibgpkamcdf.crx [2015-11-18] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617911&ResetID=130928609252134454&GUID=FEA63531-41C2-4C16-9581-D1C79FB7DF68 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617911&ResetID=130928609252134454&GUID=FEA63531-41C2-4C16-9581-D1C79FB7DF68 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1445617405&z=508afea9624e7204377cabcg4z6z9weqeg7m7z9eew&from=cornl&uid=wdcxwd3200aakx-00erma0_wd-wcc2em91258712587&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.v9.com/?type=hp&ts=1448266997&from=mych123&uid=wdcxwd3200aakx-00erma0_wd-wcc2em91258712587&z=00cfff4e48db42852cc774egfzdz4beocq9qbt0q7c HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1445617405&z=508afea9624e7204377cabcg4z6z9weqeg7m7z9eew&from=cornl&uid=wdcxwd3200aakx-00erma0_wd-wcc2em91258712587&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-578725689-3606790149-3352773718-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-578725689-3606790149-3352773718-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-578725689-3606790149-3352773718-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM -> DefaultScope {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE SearchScopes: HKU\S-1-5-21-578725689-3606790149-3352773718-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-578725689-3606790149-3352773718-1000 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE BHO-x32: Jungle Net -> {7b8998fa-3c1d-46b6-b939-fec402d2a05d} -> C:\Program Files (x86)\Jungle Net\Extensions\7b8998fa-3c1d-46b6-b939-fec402d2a05d.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-578725689-3606790149-3352773718-1000_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\Kancelaria\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-578725689-3606790149-3352773718-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\Kancelaria\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-578725689-3606790149-3352773718-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Kancelaria\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku Task: {35232F13-FF1F-4195-916E-8530D81F4B3F} - System32\Tasks\{9DE16397-2B18-4CF4-B882-7D45D6A9A3C9} => pcalua.exe -a C:\Users\Kancelaria\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=cor Task: {5A972BFC-B922-44FB-8694-FFD1F51D35B6} - System32\Tasks\SpyHunter4Startup => C:\Users\Kancelaria\AppData\Local\Temp\RarSFX0\SpyHunter4.exe [2015-04-17] (Enigma Software Group USA, LLC.) Task: {DB08DF85-B8E7-4BF5-B3D8-17D99BCE490A} - System32\Tasks\PriceFountainUpdateVer => C:\Users\KANCEL~1\AppData\Roaming\PRICEF~1\UPDATE~1\UPDATE~1.EXE Task: {F07284C1-183E-45FF-A899-EFF44DD6A7CF} - System32\Tasks\KancelariaAccusatoryAeronauticsV2 => Rundll32.exe EditorializersRelabelling.dll,main 7 1 BootExecute: autocheck autochk * sh4native Sh4Removal S2 MustangService_2015_10_10; C:\ProgramData\TempMoudleSet\MustangSer1846.exe [236816 2015-10-09] (MustangService) DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AdobeFlashPlayerUpdateSvc DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main C:\spyhunter.fix C:\ProgramData\TempMoudleSet C:\Users\Kancelaria\AppData\Local\AMR-Player_1356.rar C:\Users\Kancelaria\AppData\Local\amrplayer_setup.exe C:\Users\Kancelaria\AppData\Roaming\*.* C:\Users\Kancelaria\AppData\Roaming\Microsoft\Word\*.lnk C:\Users\Kancelaria\Desktop\Kancelaria\C\Desktop\Stany, Karaiby Pani Mec zdjęcia — skrót.lnk C:\Users\Kancelaria\Desktop\Kuba\pen 2\Skrót do aneks[1a]widzew.lnk C:\Windows\SysWOW64\sh4native.exe EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Po odblokowaniu opcji Chrome w/w skryptem FRST przeczyść preferencje: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Kancelaria\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz spację i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

W systemie jest aktywna infekcja DNS, są zainfekowane pliki systemowe dnsapi.dll. Działania do przeprowadzenia: 1. Uruchom RepairDNS. Na Pulpicie powstanie log RepairDNS.txt. 2. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj wątpliwy skaner: SpyHunter 4. Następnie zastosuj SpyHunterCleaner. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 Bempocth; "C:\Users\Andrzej\AppData\Roaming\ArhsufKihpeht\Chiakiw.exe" -cms [X] S2 Dofles; "C:\Users\Andrzej\AppData\Roaming\YphdyMesli\Rabaf.exe" -cms [X] S2 dufyvuqezbt; Brak ImagePath S2 Ewurjydw; Brak ImagePath S2 Hhjerlydc; Brak ImagePath S2 QQRepairFixSVC; C:\Program Files (x86)\Tencent\QQPCMGR\QQRepairFixSVC [X] S2 Quoteex; Brak ImagePath S2 Thlrprservice; "C:\Program Files (x86)\Thalepharck\Thlrprservice.exe" {79740E79-A383-47A7-B513-3DF6563D007F} {A16B1AF7-982D-40C3-B5C1-633E1A6A6678} [X] S0 mfeelamk; C:\Windows\System32\drivers\mfeelamk.sys [82072 2015-09-23] (McAfee, Inc.) R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [80768 2016-04-25] (Huorong Borui (Beijing) Technology Co., Ltd.) S1 tfycgwhc; \??\C:\WINDOWS\system32\drivers\tfycgwhc.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" HKLM\...\Run: [iDSCCOMXOX] => "C:\Program Files (x86)\EasyHotspot\idsccom_XOX.exe" HKLM\...\Run: [LenovoUtility] => "C:\Program Files\Lenovo\LenovoUtility\utility.exe" HKU\S-1-5-21-2858278435-3680462583-434968480-1001\...\Run: [svchost0] => C:\Program Files (x86)\UCBrowser\Application\UUC0789.exe AppInit_DLLs: C:\ProgramData\Quoteex\StatFax.dll => Brak pliku BootExecute: autocheck autochk * bootdelete Task: {2FBE2DA5-98F0-45CA-B941-F786302C1235} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe Task: {32ED38F4-3A02-4DC2-A316-3521EA5815D3} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {3D421CCA-0DC4-436C-A3B7-028F1B467330} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {50499D16-0669-4589-960A-A8A41D99BBBF} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2015-08-17] (Lenovo) Task: {55624B48-CA86-4FE5-BB44-EE3E8B06F8F4} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {6A2CB3D2-5404-4D67-9FAA-F7EA2C083C1F} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {6E640987-594E-4780-AFE0-182104563234} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {7C0D1AFD-A7B0-4453-8FDB-67C351E982A9} - System32\Tasks\Thalepharck Reports => C:\Program Files (x86)\Thalepharck\Thlrprtask.exe Task: {83E2806A-FDD2-4738-8F4B-B6D274A1ED7B} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {A8B0E4B4-B732-4AF5-BE8C-87912CF01099} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {AB9ADE20-F13C-43FD-9EF2-F47E7806DF57} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {EC4918AF-7392-42E6-99AD-B4035ACA7E42} - System32\Tasks\McAfee\McAfee Idle Detection Task Task: {EE059F3A-26A9-45E8-969C-90EAD6D6193C} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {EE76D6A9-2C39-4E06-9B41-1C1841F96997} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {F88219F4-3E89-41EB-9F5F-663407A71DC6} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Metric Collection SDK 35 (x32 Version: 1.2.0001.00 - Lenovo Group Limited) Hidden Tcpip\..\Interfaces\{06e8373a-b1b1-4e93-a019-8ed2a50a08f7}: [DhcpNameServer] 150.213.1.2 Tcpip\..\Interfaces\{4e438b44-2451-424e-b55b-70a68362eeeb}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{8718928d-cbeb-45ea-a621-800a9249001d}: [NameServer] 104.197.191.4 Tcpip\..\Interfaces\{b2bcd732-6369-4e33-907b-4e757c64e8b5}: [DhcpNameServer] 192.168.1.1 Tcpip\..\Interfaces\{bd7798d7-a1a9-11e5-b67f-806e6f6e6963}: [NameServer] 104.197.191.4 HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKU\S-1-5-21-2858278435-3680462583-434968480-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=131084323135078955&GUID=2C919B93-21CD-4B8F-B673-87833E822606 SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYpQziEoQ97lZKvfzUeSnvTaiFkXD4kXsYYcJmckSGfDb2wODbi8BaEpjBV1C0pH_rj2DUaErfODPhXuXmmuPTaLnNXxQcJsTlzZUiOl9h0m5ltTVNXdqRHzGlIJRQ0KkDBSkHtlSj0yzbuKY80EE9ma7-ciuYE&q={searchTerms} SearchScopes: HKU\S-1-5-21-2858278435-3680462583-434968480-1001 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBRGNclVS1AC6sNoGk3GzeHhcr-ccYpQziEoQ97lZKvfzUeSnvTaiFkXD4kXsYYcJmckSGfDb2wODbi8BaEpjBV1C0pH_rj2DUaErfODPhXuXmmuPTaLnNXxQcJsTlzZUiOl9h0m5ltTVNXdqRHzGlIJRQ0KkDBSkHtlSj0yzbuKY80EE9ma7-ciuYE&q={searchTerms} Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v LMCSSTART1 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v LMCSSTART2 /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v LMCSSTART3 /f C:\Program Files (x86)\7C20BD0E-1463958272-11E4-A961-68F728D08E93 C:\ProgramData\xldl.dll C:\ProgramData\download C:\ProgramData\Quoteex C:\ProgramData\Quoteexs C:\uninst C:\Users\Andrzej\AppData\Local\app C:\Users\Andrzej\AppData\Local\Tempfolder C:\Users\Andrzej\AppData\Local\tuto_monetize_120160522 C:\Users\Andrzej\AppData\LocalLow004B6DE8 C:\Users\Andrzej\AppData\LocalLow000001EC4FA0F848 C:\Users\Andrzej\AppData\Roaming\*.* C:\Users\Andrzej\AppData\Roaming\ArhsufKihpeht C:\Users\Andrzej\AppData\Roaming\Kujpidfo C:\Users\Andrzej\AppData\Roaming\MCorp C:\Users\Andrzej\AppData\Roaming\WebApp C:\Users\Andrzej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件 C:\Users\Andrzej\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\KWHotel C:\WINDOWS\system32\gayg C:\WINDOWS\System32\Drivers\mfeelamk.sys C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys C:\WINDOWS\system32\Drivers\ucguard.sys C:\WINDOWS\system32\Drivers\etc\hp.bak C:\WINDOWS\SysWOW64\Drivers\TS888x64.sys CMD: ipconfig /flushdns CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. W Firefox odmontuj wszystkie adbloki (a AdBlocker Ultimate nie jest polecany przeze mnie, jest coś w nim podejrzanego). W zamian zainstaluj uBlock Origin. Podobną akcję zalecam w Google Chrome. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition. Dołącz też pliki fixlog.txt i RepairDNS.txt.

Wg pliku Local State bieżącym profilem jest zgodnie z podejrzeniem Profile 2: "last_used":"Profile 2","profiles_created":3} Potwierdza to też nowy log FRST, co dopiero skonfigurowałeś preferencje w tym profilu, dlatego teraz widać w logu, że Profile 2 jest domyślnym: CHR DefaultSearchURL: Profile 2 -> hxxp://www.fixitpc.pl/topic/30470-chrome-ca%C5%82kowity-reset-moich-ustawie%C5%84-w%C5%82%C4%85czaj%C4%85ce-si%C4%99-samoczynnie-strony/ Na dysku jest jednak katalog starszego profilu Default, który być może jest tym właściwym, o ile on w ogóle działa i jest intepretowany przez Chrome. Powiedz mi co widzisz w opcjach Google Chrome w tym miejscu: menu Ustawienia > karta Ustawienia > Osoby > czy widać więcej niż jedną pozycję. Dla jasności dorzuć zrzut ekranu z tego fragmentu opcji.

Drobna aktualizacja. Obecnie w narzędziu Trend Micro Ransomware File Decryptor jest możliwe częściowe odkodowanie określonych plików (z wyłączeniem archiwów i czysto tekstowych plików) nie większych niż 13MB. Oznacza to, że wynikowo uzyskujemy uszkodzony plik, który ewentualnie można obrabiać dalej jakimiś narzędziami do odzyskiwania / "regeneracji" danych. W praktyce oznacza to niestety raczej utratę danych. Ponadto, pojawił się nowy wariant dodający rozszerzenie .cryp1 lub .crypz, również inna szata graficzna i przejęta tapeta: KLIK / KLIK.

W temacie wystąpiło aż podwójne szyfrowanie CryptoWall > TeslaCrypt, więc tu raczej nic nie zdziałamy. Na wszelki wypadek jednak podaję informację: Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor. * Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.

W temacie wystąpiło aż podwójne szyfrowanie CryptoWall > TeslaCrypt, więc tu raczej nic nie zdziałamy. Na wszelki wypadek jednak podaję informację: Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor. * Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.

W temacie wystąpiło aż podwójne szyfrowanie CryptoWall > TeslaCrypt, więc tu raczej nic nie zdziałamy. Na wszelki wypadek jednak podaję informację: Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor. * Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.

Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor. * Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.

Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor. * Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.

Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor. * Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.

Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor. * Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html. Te ocalone tu pliki identyfikacyjne recover_file_*.txt to pliki używane w tym procesie.

Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor. * Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.

Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor. * Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.