Komputer zablokowany, dysk zaszyfrowany - wyślij SMS

[Grillaz]

Dziś mojej żonie na laptopie z Windows 7 32-bit wyskoczył taki komunikat
 

Komputer zablokowany, dysk zaszyfrwany
Aby odblokować wyślij sms o treści

 
System nawet się nie BOOT-uje.

FRST.txt

[picasso]

Jest tu infekcja typu ransomware, która modyfikuje kod MBR dysku, coś podobnego do (to inny stary wariant): KLIK. Teoretycznie ten rodzaj infekcji wykonuje jedynie symulację, że dysk jest zaszyfrowany, i po prostu należy naprawić rozruch i MBR, by zdjąć zastraszającą planszę. Aczkolwiek są tu niepokojące znaki, gdyż FRST kompletnie nie może się dostać do zawartości dysku (nie zdołał odczytać układu partycji, ani podmontować rejestru, ani odczytać plików na dysku), log jest całkowicie bezużyteczny.

 

Wstępnie sprawdź czy jesteś w stanie uruchomić płytę Kaspersky Rescue Disk i czy ona wykrywa zawartość dysku.

 

 

 

.

[Grillaz]

Zanim utworzyłem temat użyłem wcześniej właśnie tej płyty. I problem w tym że ona również nie znalazła partycji. Użycie WinRE też nie dało niczego, tzn że nie widział żadnych partycji systemowych.

 

Czy jedyne wyjście z tej sytuacji to reinstalacja systemu?

[Bonifacy]

Jest jeszcze coś takiego jak dysk rozruchowy AntiSMS - http://www.comss.ru/page.php?id=840
Domyślm się, że należałoby uruchomić AntiSMS Tool (nibieską ikionkę ze słuchawką) - http://cdn.comss.net/img/antisms_bootcd_5.png
Płyta ta jest  ciągle akkualizowana więc chyba jest przydatna. Przynajmniej w Rosji. Poczekaj Grillaz na opinię Picasso.

[Groszexxx]

Możesz jeszcze sprawdzić czy DMDE zobaczy partycje . Nawet, gdy bedą nieprawidłowe/zaszyfrowane wpisy w tablicy partycji czy GPT - to i tak przeskanuje domyślne miejsca i pierwsze kilkadziesiat tysiecy sektorów. Jeśli i boot sektory nie sa poszyfrowane to powinien je bez problemu znalezc. Czasu to kosztuje kilkanascie sekund. Działa i w windowsie PE i na linuxach. 

[picasso]

Oczywiście można spróbować powyższych akcji. Natomiast ja szukałam pasującego kodu, który może odblokować start. Z tematu na Elektrodzie ostatni post:

 

Zrobiłem analizę kodu maszynowego naszego przyjaciela z MBR i znalazłem prawidłowe hasło, które trzeba wpisać. Jest to xxxxxxxx27, gdzie x to dowolny znak. Ma być 10 znaków, a sprawdzane są tylko ostatnie dwie cyfry. Po wpisaniu hasła stara zawartość MBR jest przywracana i system się uruchamia.

 

Spróbuj wklepać ten kod na ekranie.

 

 

 

.

[Groszexxx]

Miałem nadzieję, że w temacie, który podała Picasso będzie zrzut tego mbr'a, niestety - jego autor sam sobie pomógł. Mógłbym zatem prosić Cię Grillaz, żebyś zanim zastosujesz się do rady - zrobił kopię pierwszych 2049 sektorów i mi podrzucił? Byłbym bardzo wdzięczny!  

[Grillaz]

Jeśli szybko mi napiszesz jak zrobić taką kopie tych 2049 sektorów, to podrzucę.

[Groszexxx]

A jakimi możliwościami dysponujesz, w sensie jakim systemem? 

http://www.elektroda.pl/rtvforum/viewtopic.php?p=7096434#7096434

Masz jakiegoś windowsaPE ? Najprosciej i najszybciej bedzie ogarnac starego, poczciwego hirensa. Do pobrania stąd: 

http://www.hirensbootcd.org/files/Hirens.BootCD.15.2.zip

tu instrukcja jak go na pena spreparować: 

http://www.hiren.info/pages/bootcd-on-usb-disk

 

Chyba, że podać Ci dla linuxa? Z linuxem bedzie o tyle gorzej, ze bedziesz potrzebowal dostep do internetu, zeby pobrac odpowiednie pakiety, nie sadze, zeby domyslnie mialy to co nam potrzeba.

[picasso]

Masz jakiegoś windowsaPE ? Najprosciej i najszybciej bedzie ogarnac starego, poczciwego hirensa.

Zrobił przecież log z FRST ... Ma dostęp do środowiska WinRE (rozszerzone PE) i jego linii komend.

 

Boot Mode: Recovery
 

==================== Drives ================================
 

Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS

Drive y: (MULTIBOOT) (Removable) (Total:0.98 GB) (Free:0.97 GB) FAT32

 

Nie potrzebuje dodatkowych płyt. * Od razu pobrać dla ułatwienia wersję GUI for Windows. Po rozpakowaniu zmienić nazwę folderu na krótkie "DMDE", folder skopiować na dysk przenośny Y, w Wierszu polecenia WinRE wklepać Y:\DMDE\dmde.exe. Tools > Copy Sectors > wypełnić pola (Start Sector zaczynając od zera) > w Destination wybrać File i zapisać plik.

 

EDIT: * Nie zauważyłam, ten DMDE to niestety 32-bit (tylko wersja Pro ma natywne kompilacje), a tu jest system 64-bit. Odpada więc WinRE / WinPE w wersji x64, DMDE nie uruchomi się. Musi być użyta wersja 32-bit WinRE / WinPE lub jakaś inna płyta.

 

EDIT: Właściwie to zrzut z DMDE mogę wysłać autorowi FRST, więc darujmy sobie dodatkowe kroki przy udziale komend FRST.

 

 

 

.

[Groszexxx]

Jakby DMDE chodziło w 64 bitowym WInRE to bym nie kombinował. Nie znałem z pamięci żadnego programu, który by oferował kopiowanie sektorów i był 64 bitowy. Teraz jestem po krotkim teście. 

Jeżeli tak bardzo trzeba użyć obecnej wersji WinRE to można zastosować program MBRFix

http://www.sysint.no/products/Download/tabid/536/language/en-US/Default.aspx

Tu dokumentacja: 

http://www.sysint.no/nedlasting/mbrfix.htm

 

Także w cmd wpisz najpierw diskpart > list disk (w ten sposob upewnisz się co do numeru dysku, profilaktyczne) 

exit 

Przykładowo program Mbrfix mamy na pendrive, który ma przydzieloną literkę J 

Przechodzimy zatem na partycję J komendą J: 

cd mbrfix 

mbrfix64 /drive X readdrive 0 2049 J:\backupsektorow

X to oczywiscie nr dysku, z ktorego chcemy kopiowac sektory. Kopiujemy je do pliku backupsektorow na woluminie J. 

 

I shostuj gdzieś ten pliczek i wrzuć linka tutaj. W razie gdyby nie było jeszcze za pozno na eksperymenty....

Chyba, że Ty Picasso dysponujesz identyczna infekcja i zainfekowanym nią mbr?

[Bonifacy]

 

 

Nie znałem z pamięci żadnego programu, który by oferował kopiowanie sektorów i był 64 bitowy.

BOOTICEx64 - zapewne znasz tylko Ci umkło - http://www.softpedia.com/get/System/Boot-Manager-Disk/Bootice.shtml

[Grillaz]

Za późno z tą wersją 32-bitową. Bo nie mogłem uruchomić programu, więc użyłem porady z wpisaniem 10 znaków xxxxxxxx27.

 

Pomogło, system od razu się uruchomił. W systemie widać wszystkie pliki itp. Na pierwszy rzut oka wydaje się okey, ale zrobiłem pełen skan zalecanymi programami.

 

Załączam pliki.

 

EDIT: Uruchomiłem DMDE już pod Windowsem i zrobiłem ten zrzut dysku. Załączam plik.

http://przeklej.org/file/AKFHu5/dev0.lba0.2049.bin

Addition.txt

Extras.Txt

FRST.txt

GMER.txt

OTL.Txt

Shortcut.txt

[picasso]

Groszexxx

 

Chyba, że Ty Picasso dysponujesz identyczna infekcja i zainfekowanym nią mbr?

Niestety nie posiadam.

 

 

Grillaz

 

Uruchomiłem DMDE już pod Windowsem i zrobiłem ten zrzut dysku. Załączam plik.

Nie wniesie nic do sprawy, gdyż został zrobiony już po przywróceniu oryginalnego MBR.

 

 

Na pierwszy rzut oka wydaje się okey, ale zrobiłem pełen skan zalecanymi programami.

System nadal jest mocno zainfekowany dziadostwami, głównie adware/PUP, ale jest w katalogu Windows i plik (point.dll) sugerujący pozostałe komponenty infekcji ransomware.

 

Kolejna porcja czynności:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
R1 F06DEFF2-5B9C-490D-910F-35D3A91196222; C:\Program Files\Settings Manager\systemk\systemkmgrc2.cfg [34192 2014-07-06] (Aztec Media Inc)
R1 {01531192-f7ef-415f-a549-cfdb11836731}w; C:\Windows\System32\drivers\{01531192-f7ef-415f-a549-cfdb11836731}w.sys [52512 2014-05-27] (StdLib)
S2 globalUpdate; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2014-07-03] (globalUpdate) [File not signed]
S3 globalUpdatem; C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [68608 2014-07-03] (globalUpdate) [File not signed]
R2 IePluginService; C:\ProgramData\IePluginService\PluginService.exe [705136 2014-04-11] (Cherished Technololgy LIMITED)
R2 RelevantKnowledge; C:\Program Files\RelevantKnowledge\rlservice.exe [186136 2013-08-17] (TMRG, Inc.)
R2 SystemkService; C:\Program Files\Settings Manager\systemk\SystemkService.exe [3572240 2014-07-06] (Aztec Media Inc)
Task: {070D3B6E-3D73-413B-B575-9AA5600202F4} - System32\Tasks\APSnotifierPP2 => C:\Program Files\AnyProtectEx\AnyProtect.exe 
Task: {1FC8ACD1-A495-48CD-AB74-4172D705EA47} - System32\Tasks\update => c:\Windows\update.exe [2014-06-24] ()
Task: {51C46059-4F18-4CB1-865D-00C51C98D33B} - System32\Tasks\bench-S-1-5-21-3503922415-40461195-2409546329-1000 => C:\Program Files\Bench\Updater\updater.exe [2014-03-27] () 
Task: {70862824-6C14-4C90-BB91-6B854FF0F3BD} - System32\Tasks\e29193b0-b61f-4d86-ada8-6277dd849368-5 => C:\Program Files\PlusHD-V1.9\e29193b0-b61f-4d86-ada8-6277dd849368-5.exe [2014-07-03] (PlusHDv1.9) 
Task: {73F80DE4-D653-44D4-A41D-6CF813D7E10D} - System32\Tasks\e29193b0-b61f-4d86-ada8-6277dd849368-1 => C:\Program Files\PlusHD-V1.9\PlusHD-V1.9-codedownloader.exe [2014-07-03] (PlusHDv1.9) 
Task: {76756C18-03F0-4A1A-B25A-759EF5993E98} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [2014-07-03] (globalUpdate) 
Task: {78D571DD-1B2E-4ABD-8B64-08F9ACE1AA4C} - System32\Tasks\e29193b0-b61f-4d86-ada8-6277dd849368-2 => C:\Program Files\PlusHD-V1.9\e29193b0-b61f-4d86-ada8-6277dd849368-2.exe [2014-07-03] (PlusHDv1.9) 
Task: {87A5A734-BAF2-4E92-89A7-14B1F99AA872} - System32\Tasks\e29193b0-b61f-4d86-ada8-6277dd849368-11 => C:\Program Files\PlusHD-V1.9\e29193b0-b61f-4d86-ada8-6277dd849368-11.exe [2014-07-03] (PlusHDv1.9) 
Task: {89D4DCD7-2D0C-441B-A1C3-5B5F2D6089F2} - System32\Tasks\e29193b0-b61f-4d86-ada8-6277dd849368-3 => C:\Program Files\PlusHD-V1.9\e29193b0-b61f-4d86-ada8-6277dd849368-3.exe [2014-07-03] (PlusHDv1.9) 
Task: {A708B0A6-16F0-4168-B8B6-E0F71053821A} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe [2014-07-03] (globalUpdate) 
Task: {C97E974E-1138-4AF7-94C8-C3DDEF9B90C3} - System32\Tasks\e29193b0-b61f-4d86-ada8-6277dd849368-4 => C:\Program Files\PlusHD-V1.9\e29193b0-b61f-4d86-ada8-6277dd849368-4.exe [2014-07-03] (PlusHDv1.9) 
Task: {CE7D8C9C-1786-4B13-BE75-D75159009748} - System32\Tasks\e29193b0-b61f-4d86-ada8-6277dd849368-5_user => C:\Program Files\PlusHD-V1.9\e29193b0-b61f-4d86-ada8-6277dd849368-5.exe [2014-07-03] (PlusHDv1.9) 
Task: {E088F974-4E5B-4A00-BEC9-1333AC062E15} - System32\Tasks\APSnotifierPP3 => C:\Program Files\AnyProtectEx\AnyProtect.exe 
Task: {E7551CBC-8E39-466E-8AC3-E7C9804AE04E} - System32\Tasks\bench-sys => C:\Program Files\Bench\Updater\updater.exe [2014-03-27] () 
Task: {F93C71B5-70B2-4696-845F-341F3952DD4F} - System32\Tasks\APSnotifierPP1 => C:\Program Files\AnyProtectEx\AnyProtect.exe 
Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files\AnyProtectEx\AnyProtect.exe 
Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files\AnyProtectEx\AnyProtect.exe 
Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files\AnyProtectEx\AnyProtect.exe 
Task: C:\Windows\Tasks\bench-S-1-5-21-3503922415-40461195-2409546329-1000.job => C:\Program Files\Bench\Updater\updater.exe 
Task: C:\Windows\Tasks\bench-sys.job => C:\Program Files\Bench\Updater\updater.exe 
Task: C:\Windows\Tasks\e29193b0-b61f-4d86-ada8-6277dd849368-1.job => C:\Program Files\PlusHD-V1.9\PlusHD-V1.9-codedownloader.exe 
Task: C:\Windows\Tasks\e29193b0-b61f-4d86-ada8-6277dd849368-11.job => C:\Program Files\PlusHD-V1.9\e29193b0-b61f-4d86-ada8-6277dd849368-11.exe 
Task: C:\Windows\Tasks\e29193b0-b61f-4d86-ada8-6277dd849368-2.job => C:\Program Files\PlusHD-V1.9\e29193b0-b61f-4d86-ada8-6277dd849368-2.exe 
Task: C:\Windows\Tasks\e29193b0-b61f-4d86-ada8-6277dd849368-3.job => C:\Program Files\PlusHD-V1.9\e29193b0-b61f-4d86-ada8-6277dd849368-3.exe 
Task: C:\Windows\Tasks\e29193b0-b61f-4d86-ada8-6277dd849368-4.job => C:\Program Files\PlusHD-V1.9\e29193b0-b61f-4d86-ada8-6277dd849368-4.exe 
Task: C:\Windows\Tasks\e29193b0-b61f-4d86-ada8-6277dd849368-5.job => C:\Program Files\PlusHD-V1.9\e29193b0-b61f-4d86-ada8-6277dd849368-5.exe 
Task: C:\Windows\Tasks\e29193b0-b61f-4d86-ada8-6277dd849368-5_user.job => C:\Program Files\PlusHD-V1.9\e29193b0-b61f-4d86-ada8-6277dd849368-5.exe 
Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe 
Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files\globalUpdate\Update\GoogleUpdate.exe 
HKLM\...\Run: [bench Settings Cleaner] => C:\Program Files\Bench\Proxy\cl.exe [55296 2014-07-15] ()
HKLM\...\Run: [fst_pl_107] => [X]
HKLM\...\Run: [bService] => C:\Program Files\Bench\BService\1.1\bservice.exe [52736 2014-07-15] ()
HKLM\...\Run: [Wd] => C:\Program Files\Bench\Wd\wd.exe [92672 2014-07-15] ()
HKLM\...\Run: [bench Communicator Watcher] => C:\Program Files\Bench\Proxy\pwdg.exe [127488 2014-07-15] ()
HKLM\...\RunOnce: [Discount Dragon-repairJob] => wscript.exe "C:\Users\JAREK\AppData\Local\Discount Dragon\repair.js" "Discount Dragon-repairJob"
IFEO\bitguard.exe: [Debugger] tasklist.exe
IFEO\bprotect.exe: [Debugger] tasklist.exe
IFEO\bpsvc.exe: [Debugger] tasklist.exe
IFEO\browserdefender.exe: [Debugger] tasklist.exe
IFEO\browserprotect.exe: [Debugger] tasklist.exe
IFEO\browsersafeguard.exe: [Debugger] tasklist.exe
IFEO\dprotectsvc.exe: [Debugger] tasklist.exe
IFEO\jumpflip: [Debugger] tasklist.exe
IFEO\protectedsearch.exe: [Debugger] tasklist.exe
IFEO\searchinstaller.exe: [Debugger] tasklist.exe
IFEO\searchprotection.exe: [Debugger] tasklist.exe
IFEO\searchprotector.exe: [Debugger] tasklist.exe
IFEO\searchsettings.exe: [Debugger] tasklist.exe
IFEO\searchsettings64.exe: [Debugger] tasklist.exe
IFEO\snapdo.exe: [Debugger] tasklist.exe
IFEO\stinst32.exe: [Debugger] tasklist.exe
IFEO\stinst64.exe: [Debugger] tasklist.exe
IFEO\umbrella.exe: [Debugger] tasklist.exe
IFEO\utiljumpflip.exe: [Debugger] tasklist.exe
IFEO\volaro: [Debugger] tasklist.exe
IFEO\vonteera: [Debugger] tasklist.exe
IFEO\websteroids.exe: [Debugger] tasklist.exe
IFEO\websteroidsservice.exe: [Debugger] tasklist.exe
HKLM\...\AppCertDlls: [x64] -> c:\program files\settings manager\systemk\x64\sysapcrt.dll
HKLM\...\AppCertDlls: [x86] -> C:\Program Files\Settings Manager\systemk\sysapcrt.dll [489488 2014-07-06] ()
HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1398854194&from=amt&uid=ST1000LM024XHN-M101MBB_S2RQJ9ACC11826
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://istart.webssearches.com/web/?type=ds&ts=1398854194&from=amt&uid=ST1000LM024XHN-M101MBB_S2RQJ9ACC11826&q={searchTerms}
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://istart.webssearches.com/?type=hp&ts=1398854194&from=amt&uid=ST1000LM024XHN-M101MBB_S2RQJ9ACC11826
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://istart.webssearches.com/web/?type=ds&ts=1398854194&from=amt&uid=ST1000LM024XHN-M101MBB_S2RQJ9ACC11826&q={searchTerms}
StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://istart.webssearches.com/?type=sc&ts=1398854194&from=amt&uid=ST1000LM024XHN-M101MBB_S2RQJ9ACC11826
SearchScopes: HKLM - DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1398854194&from=amt&uid=ST1000LM024XHN-M101MBB_S2RQJ9ACC11826&q={searchTerms}
SearchScopes: HKLM - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1398854194&from=amt&uid=ST1000LM024XHN-M101MBB_S2RQJ9ACC11826&q={searchTerms}
SearchScopes: HKLM - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=132&itype=a&ver=13277&tm=397&src=ds&p={searchTerms}
SearchScopes: HKCU - {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = http://search.babylon.com/?q={searchTerms}&affID=113348&babsrc=SP_ss&mntrId=9eabdca4000000000000001e101f21c1
SearchScopes: HKCU - {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = http://istart.webssearches.com/web/?type=ds&ts=1398854194&from=amt&uid=ST1000LM024XHN-M101MBB_S2RQJ9ACC11826&q={searchTerms}
SearchScopes: HKCU - {95B7759C-8C7F-4BF1-B163-73684A933233} URL = http://isearch.avg.com/search?cid={AE38E523-F8DD-46DD-8563-464FD2FB814A}&mid=01b5e4fde43447d3a786d15756fbc832-d75f75b540b66ca4692600629a241bc715a0d7af&lang=pl&ds=AVG&pr=fr&d=2013-05-01 09:07:51&v=15.3.0.11&pid=avg&sg=0&sap=dsp&q={searchTerms}
SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=132&itype=a&ver=13277&tm=397&src=ds&p={searchTerms}
BHO: PlusHD-V1.9 -> {11111111-1111-1111-1111-110511951170} -> C:\Program Files\PlusHD-V1.9\PlusHD-V1.9-bho.dll (PlusHDv1.9)
BHO: IETabPage Class -> {3593C8B9-8E18-4B4B-B7D3-CB8BEB1AA42C} -> C:\Program Files\SupTab\SupTab.dll (Thinknice Co. Limited)
BHO: AVG Safe Search -> {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} -> C:\Program Files\AVG\AVG2012\avgssie.dll No File
BHO: Linkey -> {4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47} -> C:\Users\JAREK\AppData\Local\Linkey\IEExtension\iedll.dll (Aztec Media Inc)
BHO: No Name -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> No File
BHO: Discount Dragon BHO -> {EA34C851-D481-49F5-A356-3A8B0A8F3B7E} -> C:\Program Files\Discount Dragon\FrameworkBHO.dll ()
Toolbar: HKCU - No Name - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No File
Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG2012\avgpp.dll No File
FF Plugin: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate)
FF Plugin: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files\globalUpdate\Update\1.3.25.0\npGoogleUpdate4.dll (globalUpdate)
FF HKLM\...\Firefox\Extensions: [quick_start@gmail.com] - C:\Users\JAREK\AppData\Roaming\Mozilla\Firefox\Profiles\q8wugrkr.default\extensions\quick_start@gmail.com
C:\Program Files\globalUpdate
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RelevantKnowledge
C:\Users\Default\AppData\Roaming\TuneUp Software
C:\Users\JAREK\AppData\Roaming\aps.uninstall.scan.results
C:\Users\JAREK\AppData\Roaming\Babylon
C:\Users\JAREK\AppData\Roaming\New Version Available
C:\Users\JAREK\AppData\Roaming\OpenCandy
C:\Users\JAREK\AppData\Roaming\SimilarAddon
C:\Users\JAREK\AppData\Roaming\webssearches
C:\Users\JAREK\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Discount Dragon
C:\Windows\point.dll
C:\Windows\update.exe
C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup
C:\Windows\System32\drivers\{01531192-f7ef-415f-a549-cfdb11836731}w.sys
Hosts:
Folder: C:\Users\JAREK\AppData\Roaming\Opera Software\Opera Stable\Extensions
CMD: type "C:\Users\JAREK\AppData\Roaming\Opera Software\Opera Stable\Preferences"
Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BService" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\fst_pl_107" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vProt" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Wd" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
CMD: netsh advfirewall reset
CMD: sc config "Internet w Cyfrowym Polsacie. RunOuc" start= demand

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj:

• Adware: Discount Dragon, Installer, Linkey, PlusHD-V1.9, RelevantKnowledge, Settings Manager, WPM18.8.0.212.
• Archaiczny Firefox 10.0.2. Jest mocno zanieczyszczony, nie opłaca się go czyścić i robić nakładki aktualizacyjnej, lepiej zrobić czystą instalację najnowszej wersji. Przed deinstalacją możesz zrobić kopię zapasową zakładek + haseł (i niczego więcej, by nie zanieczyścić nowej instalacji Firefox) za pomocą MozBackup.

3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt.

 

 

 

 

.

[Grillaz]

Czynności wykonane, załączam pliki.

Fixlog.txt

FRST.txt

[picasso]

Poprzednie zadania wykonane. Miałeś tylko Firefox odinstalować i nie instalować nowej wersji, dopóki nie przeczyszczę z adware. Skutki: nowy Firefox jest nadal zaśmiecony. FRST nie skanuje Opery, ręcznie pobierałam dane. W Operze również jest adware:

 

 

 

         },
         "gjemcodhbmopadgellhifcheadcdnbnj": {
            "active_permissions": {
               "api": [ "contextMenus", "cookies", "storage", "tabs", "unlimitedStorage", "webNavigation", "webRequest", "webRequestBlocking" ],
               "explicit_host": [ "http://*/*", "https://*/*" ],
               "manifest_permissions": [  ],
               "scriptable_host": [ "http://*/*", "https://*/*" ]
            },
            "creation_flags": 9,
            "from_webstore": true,
            "granted_permissions": {
               "api": [ "contextMenus", "cookies", "notifications", "storage", "tabs", "unlimitedStorage", "webNavigation", "webRequest", "webRequestBlocking" ],
               "explicit_host": [ "http://*/*", "https://*/*" ],
               "manifest_permissions": [  ],
               "scriptable_host": [ "http://*/*", "https://*/*" ]
            },
            "install_time": "13053175423157690",
            "location": 1,
            "manifest": {
               "background": {
                  "page": "background.html"
               },
               "content_scripts": [ {
                  "all_frames": true,
                  "js": [ "js/platformVersion.js", "js/lib/consts.js", "js/lib/logging.js", "js/lib/reports.js", "js/lib/xhr.js", "js/api/cookie.js", "js/api/message.js", "js/api/pageAction.js", "js/lib/installer.js", "js/lib/app_api.js" ],
                  "matches": [ "http://*/*", "https://*/*" ],
                  "run_at": "document_start"
               } ],
               "content_security_policy": "script-src 'self' 'unsafe-eval'; object-src 'self'",
               "description": "Turn YouTube videos to High Definition by default",
               "icons": {
                  "128": "icons/icon128.png",
                  "16": "icons/icon16.png",
                  "48": "icons/icon48.png"
               },
               "key": "MIGfMA0GCSqGSIb3DQEBAQUAA4GNADCBiQKBgQCyV3bM4KXfbqIbMkRqjDibKEKz2MWad69PMO2iIAKR6y3njYw0lyVa+6fwM2+dbirRCajsyF88gblbKLuX5j+djsPOdKskEcUSH5Wl+7ITZ0ROZncECbF6KQ30kjKjCZQ6t+dVGBwltw4kWwNzgEJoCaHhWyfOz3tWMcgbyPMMVwIDAQAB",
               "manifest_version": 2,
               "name": "PlusHD-V1.9",
               "permissions": [ "http://*/*", "https://*/*", "tabs", "cookies", "notifications", "contextMenus", "webNavigation", "webRequest", "webRequestBlocking", "unlimitedStorage", "storage" ],
               "update_url": "https://clients2.google.com/service/update2/crx",
               "version": "1.26.16",
               "web_accessible_resources": [ "Settings.json" ]
            },
            "path": "gjemcodhbmopadgellhifcheadcdnbnj\\1.26.16_0",
            "state": 1
         },

 

 

Kolejna porcja zadań:

 

1. W Operze CTRL+SHIFT+E i odinstaluj adware PlusHD-V1.9.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKLM\...\AppCertDlls: [x64] -> c:\program files\settings manager\systemk\x64\sysapcrt.dll
SearchScopes: HKCU - {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = http://www.default-search.net/search?sid=476&aid=132&itype=a&ver=13277&tm=397&src=ds&p={searchTerms}
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\default-search.xml
FF SearchPlugin: C:\Program Files\mozilla firefox\browser\searchplugins\webssearches.xml
C:\Program Files\mozilla firefox\searchplugins
C:\Program Files\Bench
Folder: C:\Windows\system32\GroupPolicy
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Przedstaw wynikowy fixlog.txt.

 

3. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Powstanie folder C:\AdwCleaner z raportem z usuwania. Przedstaw ten log.

 

 

 

 

.

[Grillaz]

Gdy tak robię to w Operze nie pokazuje mi się ten adware

 

1. W Operze CTRL+SHIFT+E i odinstaluj adware PlusHD-V1.9.

 

Reszta kroków wykonana. Niestety zanim przeczytałem wpis na forum to zaktualizowałem i wgrałem poprawki do systemu. Czy to źle?

 

Załączam pliki o które poprosiłaś.

AdwCleanerR0.txt

AdwCleanerS0.txt

Fixlog.txt

[picasso]

Niestety zanim przeczytałem wpis na forum to zaktualizowałem i wgrałem poprawki do systemu. Czy to źle?

Na przyszłość: w trakcie czyszczenia systemu nie podejmuj żadnych działań związanych z instalacjami czy aktualizacjami. To w określonych okolicznościach może doprowadzić do sfałszowania obrazu sytuacji. Poza tym, takie operacje należy wykonywać na w miarę czystym systemie. Tu przed nami jeszcze kawałek drogi, będą skany dodatkowe. Póki co, odbywało się usuwanie elementów widocznych w raportach, ale raporty są po prostu limitowane tylko do określonych miejsc.

 

 

Gdy tak robię to w Operze nie pokazuje mi się ten adware

Wg uprzedniego skanu pliku konfiguracyjnego (Preferences) oraz katalogu rozszerzeń Opery adware było. Albo usunięte czymś już (ale nie robił tego AdwCleaner), albo zostało w takim stopniu stratowane, iż Opera już go nie odczytuje. Na wszelki wypadek zadam usuwanie katalogu rozszerzenia (plik Preferences Opery powinien się "zaktualizować" na pewnym etapie użytkowania).

 

 

1. Otwórz Notatnik i wklej w nim:

 

CMD: del /q C:\Windows\system32\GroupPolicy\gpt.ini
RemoveDirectory: C:\Windows\system32\GroupPolicy\Machine
RemoveDirectory: C:\Windows\system32\GroupPolicy\User
RemoveDirectory: C:\Users\JAREK\AppData\Roaming\Opera Software\Opera Stable\Extensions\gjemcodhbmopadgellhifcheadcdnbnj
RemoveDirectory: C:\AdwCleaner
DeleteQuarantine:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt. Po jego przedstawieniu:

 

2. Usuń pobrane narzędzi z folderu C:\Users\JAREK\Desktop\Nowy folder. Zastosuj też DelFix.

 

 

 

.

[Grillaz]

Przepraszam za długą nieobecność, byłem na weekendowej wycieczce.

 

Powyższe czynności wykonane.

Folder całkowicie usunięty.

 

Zamieszczam obowiązkowe plik.

Fixlog.txt

DelFix.txt

[picasso]

Zadania wykonane, tego katalogu adware w Opera rzeczywiście już nie było. Przechodzimy do ogólnych skanów całego dysku. Dostarcz wyniki z następujących narzędzi:

- ESET Online Scanner

- Hitman Pro

- Malwarebytes Anti-Malware (przy instalacji odznacz trial)

 

 

 

.

[Grillaz]

Skanowanie wykonane. Zamieszczami logi

eset.txt

Malwarebytes Anti-Malware.txt

HitmanPro_20140915_1702.txt

[picasso]

Wszystkie programy raczej zgodne, tzn. nic szczególnego nie wykryte, tylko szczątki delikwentów adware/PUP i ciasteczka. Jak rozumiem wszystko usunięte (piję do raportu MBAM, w którym brak adnotacji usuwania).

[Grillaz]

Tak, zostało usunięte.

 

Czyli konczymy tak? Czy jeszcze jakies kroki bedziemy podejmowac?

[picasso]

Wygląda na to, że kończymy. Wyczyść foldery Przywracania systemu i sprawdź czy produkty Adobe or IE nadal wymagają aktualizacji: KLIK.