picasso

Format C załatwi sprawę na partycji C. Nie otrzymałam FRST Addition, więc nie wiem ile jeszcze partycji jest w systemie. Jeśli więcej niż tylko C, to są one zagrożeniem i po formacie trzeba by było je natychmiast przeskanować, nie próbując z nich nic uruchamiać. Z zainfekowanych dysków nie można też obecnie skopiować żadnych plików wykonywalnych (instalki / sterowniki, etc.) ani plików HTML, gdyż po formacie nastąpi z nich reinfekcja.

Kolejne podejście z naprawą komponentów: Klawisz z flagą Windows + X > Wiersz polecenia (administrator) > wklej następującą komendę: dism /Online /Cleanup-Image /RestoreHealth ENTER, poczekaj na ukończenie zadania, zresetuj system.

Z tego co widzę, błąd pojawił się tylko dla jednego szczególnego wystąpienia (to samo ActivityId), mówiący po prostu że nowszy pakiet którejś z aplikacji już jest w systemie. Mimo wszystko zresetuj system i podaj czy są jakieś zmiany.

Spróbuj przebudować natywne aplikacje Windows 10: Uruchom menedżer zadań > Plik > Uruchom nowe zadanie > w polu wklep powershell > zaznacz "Utwórz to zadanie z uprawnieniami administracyjnymi". W onie PowerShell wklej poniższe polecenie: Get-AppxPackage -AllUsers | Foreach {Add-AppxPackage -Register "$($_.InstallLocation)\AppXManifest.xml" -DisableDevelopmentMode} Zanotuj czy w oknie pokażą się błędy (w razie czego zrób zrzut ekranu z tego fragmentu). Po akcji zresetuj system.

Wstępnie zrób weryfikację sfc /scannow i dostarcz przefiltrowany raport: KLIK.

Poleciłam płytę, bo zewnętrzne środowisko to najlepsza metoda w przypadku infekcji w wykonywalnych, przy założeniu że podejmuje się kroki dezynfekcji a nie od razu format. Nie ma jednak gwarancji, że płyta podoła zadaniu. Ramnit bardzo trudno ubić, a szkody przezeń poczynione mogą być tak obszerne, że w wielu przypadkach kończy się na formacie dysku.

Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Prawdopodobnie tak, konsekwencja nieużycia deinstalatora. Punkt 1 zgodnie z planem, ale nadal widzę że nie wykonałeś puntu 2. W raporcie nadal stoi folder z uszkodzoną nazwą użytkownika C:\Users\PaweĹ‚ (nie mylić z poprawnym C:\Users\Paweł). Czy był jakiś problem z jego usunięciem?

Brakuje raportów FRST Addition + Shortcut. Ale to już sobie darujmy na razie. W podanym raporcie FRST nie widać aktywnego loadera Ramnit (choć GMER nie podany), za to za dużo antywirusów (Avast + Kaspersky). Jeśli problemem obecnie są masowo zainfekowane pliki wykonywalne i HTML, zostaje próba leczenia infekcji z poziomu bootowalnej płyty Kaspersky Rescue Disk. Wszystkie zainfekowane pliki leczyć lub jeśli to niemożliwe wyrzucać z dysku.

Problemem jest, że CKW jakimś cudem zmodyfikował wartość Userinit, niezbędną do ładowania powłoki: HKLM\...\Winlogon: [userinit] D:\Programy\CzasoWylacznik4\czasowyl.exe -tray, Akcja do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Winlogon: [userinit] D:\Programy\CzasoWylacznik4\czasowyl.exe -tray, Task: {173BC8B0-3647-4AE7-88C3-5232C37129DE} - System32\Tasks\AutoPico Daily Restart => C:\Program Files\KMSpico\AutoPico.exe Task: {9E976AF5-7563-4E4A-8BBB-4CE69CEC399E} - System32\Tasks\Driver Booster SkipUAC (Paweł) => C:\Program Files (x86)\IObit\Driver Booster\DriverBooster.exe RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\Paweł\Doctor Web RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CzasoWyłącznik 4 EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez SHIFT+DEL (omija Kosz) skasuj z dysku folder z uszkodzoną nazwą użytkownika: C:\Users\PaweĹ‚ 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition. Dołącz też plik fixlog.txt. Pliki załączasz poprzez: na spodzie tematu w polu szybkiej odpowiedzi > Więcej opcji.

Czy Autoruns został uruchomiony za pomocą "Uruchom jako Administrator"? W Options to raczej nie ma żadnego filtra, który byłby zdolny ukryć aktywne obiekty producentów trzecich (np. sterowniki Avast). I pytanie czy po ostatniej porcji zadań + restart są nadal jeszcze jakieś problemy?

Co konkretnie usuwałeś, jaki typ wpisów, czy coś więcej niż zaleciłam? To co mnie niepokoi to jak ten log wygląda (powinno być więcej wpisów), w ogóle nie widać określonych elementów, które powinny być, np. sterowniki Avast. Czyżbyś usunął za dużo w Autoruns?

Fix FRST pomyślnie wykonany. Natomiast ten log z Autoruns jest tak krótki, że aż podejrzany, na pewno tylko tyle niedomyślnych elementów tam widać? Jeśli na pewno to kompletny odczyt, to nie ma tu nic do roboty. W kwestii Windows Update, ponów próbę po tymczasowym wyłączeniu Avast. Ale Windows będzie mielił. To niestety jest obecnie "normalne". Od końca 2015 nastąpiły zmiany w sposobie pracy Windows Update Windows 7 i Vista, wyszukiwanie i pobieranie aktualizacji trwa o wiele dłużej (np. może trwać wiele godzin). Na dodatek podczas tego procesu może być mocno obciążony procesor przez svchost hostujący usługę Windows Update.

Wszystko wygląda dobrze. Poprawki: 1. Usunięcie ukrytego wpisu Amazon. Uruchom Zoek. W oknie wklej: Amazon 1Button App;u Klik w Run Script. Przedstaw wynikowy log zoek-results.txt (po zmianie nazwy z *.log). 2. Wdrożenie zaległej komendy EmptyTemp: i pozostałe mniejsze poprawki na odpadki. Otwórz Notatnik i wklej: CloseProcesses: Task: {497DE5BF-5A78-4303-8DE2-344D3A343647} - \Microsoft\Windows\Media Center\ConfigureInternetTimeService -> Brak pliku DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Amazon 1Button App Service DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\GamesAppIntegrationService DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\GamesAppService RemoveDirectory: C:\AVG_Remover RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Nero RemoveDirectory: C:\Program Files (x86)\NewTech Infosystems RemoveDirectory: C:\Program Files (x86)\Packard Bell Games RemoveDirectory: C:\ProgramData\CyberLink RemoveDirectory: C:\ProgramData\Nero RemoveDirectory: C:\ProgramData\WildTangent RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Games RemoveDirectory: C:\Users\KLAKIA\AppData\Roaming\WildTangent RemoveDirectory: C:\Users\ROBERT\AppData\Roaming\WildTangent EmptyTemp: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny*. Uruchom FRST i kliknij w Napraw (Fix). Gdy Fix ukończy pracę, nastąpi restart systemu. Przedstaw wynikowy fixlog.txt. * Przycisk Start > Ustawienia > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > nastąpi restart i pojawi się ekran z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > wybrać Tryb awaryjny.

Dla porównania układy z BlackViper, konfiguracje typu "Tweaked" i "Bare-Bones" dla kaskaderów: KLIK. Jeśli zaś chodzi o czyszczenie / naprawianie systemu, to skończyliśmy. Przez SHIFT+DEL (omija Kosz) skasuj foldery C:\FRST i E:\FRST. Następnie wyczyść foldery Przywracania systemu: KLIK. I załaduj łatkę do Adobe Reader (też pod linkiem), obecnie posiadasz wersję 11.0.00.

Czy po instalacji Elantech działa skrót Fn + F9? Tak, aktualizacje systemu zainstaluj. Natomiast Cyberlink Power2Go jednak nie odinstalował się kompletnie - w starcie pozostały dwa wpisy i ładują się też dodatkowe moduły. Czyli poprawki pod tym kątem: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM-x32\...\Run: [updateP2GoShortCut] => C:\Program Files (x86)\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe [222504 2009-05-20] (CyberLink Corp.) HKLM-x32\...\Run: [CLMLServer] => C:\Program Files (x86)\CyberLink\Power2Go\CLMLSvc.exe [103720 2009-11-02] (CyberLink) DeleteKey: HKCU\Software\CyberLink DeleteKey: HKLM\SOFTWARE\Wow6432Node\CyberLink CMD: for %i in ("C:\Program Files (x86)\CyberLink\*.dll") do C:\Windows\SysWOW64\regsvr32.exe /s /u %i CMD: for %i in ("C:\Program Files (x86)\CyberLink\Power2Go\*.dll") do C:\Windows\SysWOW64\regsvr32.exe /s /u %i C:\Program Files (x86)\CyberLink C:\Users\adam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\CyberLink Blu-ray Disc Suite EmptyTemp: Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. 2. Uruchom Autoruns. Sprawdź w sekcjach Codecs oraz Explorer czy widać tam jakieś obiekty Cyberlink, a ewentualne rekordy usuń. Dodatkowo, możesz też wyłączyć poniższe obiekty w kartach Logon i Services, by ograniczyć ilość ładowanych elementów: HKLM\...\Run: [AdobeAAMUpdater-1.0] => C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe [500208 2010-03-06] (Adobe Systems Incorporated) HKLM-x32\...\Run: [switchBoard] => C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [517096 2010-02-19] (Adobe Systems Incorporated) HKLM-x32\...\Run: [AdobeCS5ServiceManager] => C:\Program Files (x86)\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe [402432 2010-07-22] (Adobe Systems Incorporated) S3 SwitchBoard; C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [517096 2010-02-19] (Adobe Systems Incorporated) [File not signed] R2 LMS; C:\Program Files (x86)\Intel\Intel® Management Engine Components\LMS\LMS.exe [262144 2009-10-01] (Intel Corporation) [File not signed] R2 UNS; C:\Program Files (x86)\Intel\Intel® Management Engine Components\UNS\UNS.exe [2314240 2009-10-01] (Intel Corporation) [File not signed] Po akcji zresetuj system i wyprodukuj log z Autoruns (w formacie *.txt)

Brak reakcji na prośbę i nie zostały dostarczone żadne dane na temat systemu i co konkretnie wykryto (jakie ścieżki dostępu), co umożliwiłoby doczyszczenie systemu. Detekcje wskazywały na dwa różne typy zagrożeń, czyli infekcję szyfrującą dane oraz proste adware/PUP. Jeśli chodzi o samą frazę "TeslaCrypt": "Projekt" TeslaCrypt został zamknięty, o dziwo przestępcy upublicznili klucz i w dekoderach TeslaDecoder lub ESET TeslaCrypt decrypter jest już możliwe odkodowanie plików zakodowanych przez TeslaCrypt 3 i 4 (rozszerzenia .xxx, .ttt, .micro, .mp3 lub brak zmiany w rozszerzeniach).

Nie, w systemie nie ma takiej funkcji. Niemniej Microsoft udostępnia dodatkowy diagnostyk pozwalający tymczasowo ukryć poprawki, jeśli ich instalacja prowadzi do niestabilności / problemów. Linkowany w KB3073930 (wushowhide.diagcab): KLIK.

W tej sytuacji temat zamykam. Tak, oczywiście rozwiązane tematy są zamykane, m.in. też po to by zapobiec dopisywaniu się innych użytkowników.

PaweR, proszę dodaj raporty z FRST.

Czy będziemy się zajmować sprzątaniem drugiego pobocznego systemu, czy też już samodzielnie porobiłeś porządki?

Dalsze losy serwera nieznane. Ale jeśli chodzi o same zaszyfrowane dane: "Projekt" TeslaCrypt został zamknięty, o dziwo przestępcy upublicznili klucz i w dekoderach TeslaDecoder lub ESET TeslaCrypt decrypter jest już możliwe odkodowanie plików zakodowanych przez TeslaCrypt 3 i 4 (rozszerzenia .xxx, .ttt, .micro, .mp3 lub brak zmiany w rozszerzeniach).

"Projekt" TeslaCrypt został zamknięty, o dziwo przestępcy upublicznili klucz i w dekoderach TeslaDecoder lub ESET TeslaCrypt decrypter jest już możliwe odkodowanie plików zakodowanych przez TeslaCrypt 3 i 4 (rozszerzenia .xxx, .ttt, .micro, .mp3 lub brak zmiany w rozszerzeniach).

"Projekt" TeslaCrypt został zamknięty, o dziwo przestępcy upublicznili klucz i w dekoderach TeslaDecoder lub ESET TeslaCrypt decrypter jest już możliwe odkodowanie plików zakodowanych przez TeslaCrypt 3 i 4 (rozszerzenia .xxx, .ttt, .micro, .mp3 lub brak zmiany w rozszerzeniach).

"Projekt" TeslaCrypt został zamknięty, o dziwo przestępcy upublicznili klucz i w dekoderach TeslaDecoder lub ESET TeslaCrypt decrypter jest już możliwe odkodowanie plików zakodowanych przez TeslaCrypt 3 i 4 (rozszerzenia .xxx, .ttt, .micro, .mp3 lub brak zmiany w rozszerzeniach).