Verdugo Opublikowano 2 Lutego 2015 Zgłoś Udostępnij Opublikowano 2 Lutego 2015 Witam ! Mój problem polega na: http://3.bp.blogspot.com/-6btciPKXHOo/VL_5pv9lbtI/AAAAAAAAIMQ/bI9LCgUXjlc/s1600/ctb-locker.png http://soisk.pl/wp-content/uploads/2011/08/blokowanie_aplikacji_za_pomoca_funkcji_applocker_14.jpg Logi z FRST i GMER w załącznikach. Z góry dzięki za odczyt ! GMER.txt Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 2 Lutego 2015 Zgłoś Udostępnij Opublikowano 2 Lutego 2015 Zestaw obowiązkowych logów niekompletny - brak trzeciego pliku FRST Shortcut. Jest tu kilka poważnych problemów: - CTB Locker: odszyfrowanie danych jest awykonalne technicznie. Jeśli nie masz kopii zapasowej danych, zostały utracone. Ewentualna droga to próbowanie softu do odzyskiwania danych, ale to raczej nie przyniesie rezultatów - przykład: KLIK. - Rootkit Necurs blokujący wiele poprawnych sterowników systemowych. - Adware, elementy innych infekcji oraz szkodliwe polityki oprogramowania blokujące oprogramowanie zabezpieczające. - Za dużo antywirusów (AVG, Avira, STOPzilla) oraz zainstalowany wątpliwy skaner SpyHunter z czarnej listy. Na pierwszy problem nie jestem w stanie zaradzić, zajmę się pozostałymi. Na początek musi zostać usunięty rootkit, dopiero potem można przejść dalej. Działania wstępne: 1. Uruchom Kaspersky TDSSKiller. Powinien wykryć Rootkit.Win32.Necurs.gen (pozycja 9384717eede54217) - dla tego wyniku zostaw domyślną akcję Delete. Natomiast wszystkie wyniki typu LockedFile.Multi.Generic mają mieć przyznane Skip, gdyż to prawidłowe sterowniki zablokowane przez rootkita. Jeśli rootkit zostanie poprawnie usunięty, sterowniki samoczynnie się odblokują. Zresetuj system. 2. Zrób nowe logi: FRST z opcji Scan (zaznaczone pola Addition i Shortcut, by powstały trzy pliki) oraz GMER. Dołącz log utworzony przez TDSSKiller. Odnośnik do komentarza
Verdugo Opublikowano 2 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 2 Lutego 2015 1 pkt wykonany i pomyślnie rozwiązany biorę się za 2 Odp do 2 pkt. Nie wiem czy o taką formę załączników chodziło jeśli nie to zmienię. KasperskyReport.txt Shortcut.txt FRST.txt Addition.txt GMER.txt Odnośnik do komentarza
picasso Opublikowano 2 Lutego 2015 Zgłoś Udostępnij Opublikowano 2 Lutego 2015 Tak, chodzi o taką formę załączników. Rootkit pomyślnie usunięty, ale kupa roboty przed nami. Kolejna porcja zadań: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\Symantec HKLM Group Policy restriction on software: C:\Program Files\Common Files\Symantec Shared HKLM Group Policy restriction on software: C:\Program Files\STOPzilla! HKLM Group Policy restriction on software: C:\Program Files\AVG HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\Malwarebytes HKLM Group Policy restriction on software: C:\Program Files\Common Files\PC Tools HKLM Group Policy restriction on software: C:\Program Files\AVG\ HKLM Group Policy restriction on software: C:\Program Files\AVG\AVG2012 HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] HKU\S-1-5-21-3848935919-3367533699-3990728495-1002\...\Policies\system: [EnableLUA] 0 HKU\S-1-5-21-3848935919-3367533699-3990728495-1002\...\Policies\Explorer: [TaskbarNoNotification] 1 HKU\S-1-5-21-3848935919-3367533699-3990728495-1002\...\Policies\Explorer: [HideSCAHealth] 1 HKU\S-1-5-21-3848935919-3367533699-3990728495-1002\...\Winlogon: [shell] explorer.exe,C:\Users\XX\AppData\Roaming\template.xml ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKU\S-1-5-21-3848935919-3367533699-3990728495-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-3848935919-3367533699-3990728495-1002\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1419115159&from=cor&uid=SAMSUNGXHD753LJ_S13UJDWSB02703&q={searchTerms} HKU\S-1-5-21-3848935919-3367533699-3990728495-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1419115159&from=cor&uid=SAMSUNGXHD753LJ_S13UJDWSB02703&q={searchTerms} SearchScopes: HKLM -> URL http://search.certified-toolbar.com?si=39033&bs=true&tid=114&q={searchTerms} SearchScopes: HKLM -> SuggestionsURL_JSON http://api.widdit.com/suggestions/?format=ffplugin&ua=ie&src=addon&si=39033&gid=1&dbCode=1&command={searchTerms} SearchScopes: HKLM -> TopResultURLFallback http://search.certified-toolbar.com?si=39033&bs=true&tid=114&q={searchTerms} SearchScopes: HKLM -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://search.certified-toolbar.com?si=41516&bs=true&tid=553&q={searchTerms} SearchScopes: HKLM -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = SearchScopes: HKU\S-1-5-21-3848935919-3367533699-3990728495-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.certified-toolbar.com?si=39033&bs=true&tid=114&q={searchTerms} SearchScopes: HKU\S-1-5-21-3848935919-3367533699-3990728495-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.certified-toolbar.com?si=39033&bs=true&tid=114&q={searchTerms} SearchScopes: HKU\S-1-5-21-3848935919-3367533699-3990728495-1002 -> {06913AD4-1A2E-4074-9212-5F93060F0BA4} URL = http://www.dymasearch.com/search.php?src=tops&q={SearchTerms} SearchScopes: HKU\S-1-5-21-3848935919-3367533699-3990728495-1002 -> {0FEF2D2C-CDA6-45E4-B2ED-9DF7C50C95FF} URL = http://gb.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp SearchScopes: HKU\S-1-5-21-3848935919-3367533699-3990728495-1002 -> {C907CFDE-0E1B-428A-9CE8-ABA04F73AFE1} URL = http://search.certified-toolbar.com?si=41516&bs=true&tid=553&q={searchTerms} BHO: No Name -> {2b80b144-89ad-4b68-a8cc-bb44266c7164} -> No File BHO: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File BHO: No Name -> {905676b7-7ac2-24f3-bdb2-0b07e403792d} -> No File BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File Toolbar: HKLM - No Name - {2b80b144-89ad-4b68-a8cc-bb44266c7164} - No File Toolbar: HKU\S-1-5-21-3848935919-3367533699-3990728495-1002 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File Toolbar: HKU\S-1-5-21-3848935919-3367533699-3990728495-1002 -> No Name - {C55D30C7-3B86-4D70-98D3-CAA716DF0D83} - No File Toolbar: HKU\S-1-5-21-3848935919-3367533699-3990728495-1002 -> No Name - {0FEF2D2C-CDA6-45E4-B2ED-9DF7C50C95FF} - No File Toolbar: HKU\S-1-5-21-3848935919-3367533699-3990728495-1002 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - No File Handler: livecall - {828030A1-22C1-4009-854F-8E305202313F} - No File Handler: msnim - {828030A1-22C1-4009-854F-8E305202313F} - No File Handler: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - No File StartMenuInternet: IEXPLORE.EXE - iexplore.exe CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - No Path CHR HKLM\...\Chrome\Extension: [ipfhoepcbdngdoljpcgpbdidoknedfmc] - C:\Program Files\CertifiedToolsToolbar\chrome\CertifiedToolsToolbar.crx [Not Found] CHR HKLM\...\Chrome\Extension: [jfmjfhklogoienhpfnppmbcbjfjnkonk] - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Chrome\Ext\rphtml5video.crx [2011-11-13] CHR HKLM\...\Chrome\Extension: [nneajnkjbffgblleaoojgaacokifdkhm] - C:\Program Files\DivX\DivX Plus Web Player\chrome\DivXHTML5\DivXHTML5.crx [2011-12-12] CHR HKLM\...\Chrome\Extension: [oilihjdlfjineennpeeionkmaodanbcj] - C:\Program Files\CertifiedToolbar\chrome\CertifiedToolbar.crx [Not Found] Task: {06924F4C-784E-4DFC-A78B-55CFD6CF17E2} - System32\Tasks\DLL-files.com Fixer_UPDATES => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe Task: {12543C65-8A6D-401C-B87F-2D7189D0BFF1} - System32\Tasks\{58D2200F-DDCF-445E-BE0F-7FF74826830C} => pcalua.exe -a D:\Steam\steam.exe -c steam://uninstall/8770 Task: {13477BC6-7495-4923-A0A9-0D3C73496ACF} - System32\Tasks\FRAPS => C:\Fraps\fraps.exe Task: {1851BD8D-1CD9-4021-9B2D-AFAE68B2552C} - System32\Tasks\{E8315CC3-04B0-426F-8A47-48141DDDAAFD} => pcalua.exe -a C:\Users\XX\Desktop\FrytkiBOT\HS_Blocker.exe -d C:\Users\XX\Desktop\FrytkiBOT Task: {22EC2BE5-E133-48C0-9CC6-BA319860DD79} - System32\Tasks\{DF5B99D9-8E73-4DE4-9159-70B61871B7FC} => pcalua.exe -a E:\setup.exe -d E:\ Task: {25BFAB60-C28A-4350-8C41-A698CA80CB38} - System32\Tasks\ygedzjm => C:\Users\XX\AppData\Local\Temp\ltuohkc.exe Task: {295381B2-EB77-4598-B837-9D9C24DA9139} - System32\Tasks\{989EBDBD-62FC-4DB4-8DCB-543EC4D95931} => pcalua.exe -a "C:\Users\XX\Desktop\NAVI GUI 2012\NAVI GUI 2012\NAVI GUI 2012 (800x600).exe" -d "C:\Users\XX\Desktop\NAVI GUI 2012\NAVI GUI 2012" Task: {2D4F8C61-1477-4FA3-8D8A-27F47B01DEAD} - System32\Tasks\YTAUpdate => C:\PROGRA~1\YOUTUB~1\Updater.exe Task: {32029460-E958-44A0-BA80-8221EA9FFD74} - System32\Tasks\{FED27A72-CD48-401E-B52B-A01C84B20AC8} => pcalua.exe -a C:\Users\XX\Desktop\6.86_nforce_win2kxp_international_whql.exe -d C:\Users\XX\Desktop Task: {3B6D2E55-39E6-48BD-8C8F-551E5E38292A} - System32\Tasks\DLL-files.com Fixer_MONTHLY => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe Task: {404D011E-2713-44EB-A64B-20A415347285} - System32\Tasks\RDReminder => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe Task: {4CC0979E-EBF3-42B9-810F-6B61272D915B} - \YourFile Update No Task File Task: {4DC82095-010D-460C-825D-92E2B531A548} - System32\Tasks\{54C3F4D1-5A52-4322-BB05-C58ACAE38103} => pcalua.exe -a C:\Users\XX\Desktop\Sims3_2.3.33.003002_from_2.0.86.002002.exe -d C:\Users\XX\Desktop Task: {523ABEBE-4550-49A1-85B6-05E6C8A53F94} - System32\Tasks\APSnotifierPP1 => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: {54483DCB-4108-4760-BE2F-93CA31181498} - System32\Tasks\{E169A21B-87F1-49EC-ABDF-25EF09604D5C} => pcalua.exe -a "C:\Program Files\Common Files\Ahead\Nero Web\SetupX.exe" -d "C:\Program Files\Common Files\Ahead\Nero Web" -c -ScParameter=8 MODE="update" Task: {570B6FE7-F4A1-48B1-A4BB-ABB7D1E13151} - System32\Tasks\{A2A3B52A-3ABC-4E3B-A91D-4F6DBBCDF0F4} => pcalua.exe -a C:\Windows\IsUn0415.exe -c -f"C:\Program Files\Gimnazjum klasa 1 - Fizyka\Uninst.isu" -c"C:\Program Files\Gimnazjum klasa 1 - Fizyka\UninstallProject.dll" Task: {575C1BC2-65F3-430A-BAA1-C3B940790CBA} - System32\Tasks\Math Problem Solver GPU => C:\Users\XX\AppData\Local\Math Problem Solver\gpu\dummysleep.exe Task: {5BAAF458-EA78-4758-B398-6994CF39200F} - System32\Tasks\{4052535E-4CBB-46CE-88CE-FF3F7F2578E2} => Chrome.exe Task: {5D46EFF2-93A0-4F02-B23A-209859A96EA4} - System32\Tasks\{C32C989B-439E-4F8B-97BF-12911FE0BF77} => pcalua.exe -a "C:\Users\XX\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\9WKBOPGG\OggDS0995[1].exe" -d C:\Users\XX\Desktop Task: {68A883B9-7843-4992-9095-486DCC2BD89D} - System32\Tasks\ProtectedSearch\Protected Search => C:\Program Files\Protected Search\ProtectedSearch.exe Task: {7284FFD2-64F8-4FEB-AA07-CA9D0022173C} - System32\Tasks\{F4035CFF-BFC2-4D32-9FF5-C4CDFACAF83D} => pcalua.exe -a "D:\Electronic Arts\Game\Bin\Sims3_2.3.33.003002_from_2.0.86.002002.exe" -d "D:\Electronic Arts\Game\Bin" Task: {75DEB202-D1C3-4C4F-A15F-EB439C1091E0} - System32\Tasks\{CD37BA95-3A2E-4907-BCAE-4B8B6C705602} => c:\program files\opera\opera.exe Task: {762CB282-0F27-4DAB-A67A-36FF61F21279} - System32\Tasks\Math Problem Solver CPU => C:\Users\XX\AppData\Local\Math Problem Solver\cpu\Solve.exe [2014-02-02] () Task: {78808536-ACA4-4E4F-A7C1-1DFD81E158CA} - System32\Tasks\YTAUpdate_logon => C:\PROGRA~1\YOUTUB~1\Updater.exe Task: {7E314B7E-8E4E-4A76-AFA5-DB1C64EC1FC0} - System32\Tasks\{2AFC76AB-09AA-472C-A27F-25BD5C7E0BC6} => pcalua.exe -a "C:\Program Files\YouTube Accelerator\YTAUninstall.exe" Task: {80D5E017-E192-4F38-B011-DC5DB2D8B49F} - System32\Tasks\{1C96B60C-FCFD-419A-BA77-10F9276C98F6} => pcalua.exe -a C:\Users\XX\Downloads\dotNetFx35setup(2).exe -d C:\Users\XX\Downloads Task: {8697C433-D4DF-49F6-A307-79E271D1CF96} - System32\Tasks\Math Problem Solver Optimize => C:\Users\XX\AppData\Local\Math Problem Solver\Optimize.exe [2014-01-20] () Task: {892E0C77-F65F-42DF-B13A-4E44E40AB97C} - System32\Tasks\{88890589-C6E2-4BD2-B74A-DC9F2D89E870} => Chrome.exe Task: {9811EF5D-B8C1-4858-9FE6-62BF608D5DBD} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{BB5A512D-544A-4A1C-9B5A-B7A4AFC10F39}.exe Task: {A5134CAE-2604-44BD-BFE2-8DE663F9E3BF} - System32\Tasks\Norton Security Scan for XX => C:\PROGRA~1\NORTON~2\Engine\351~1.8\Nss.exe Task: {B6B8654D-E32F-4D4D-944F-04B8028AD5A7} - System32\Tasks\APSnotifierPP3 => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: {C04E7C3C-5167-418F-B1A2-0ADDB046C330} - System32\Tasks\{CEDCA9A4-CA14-4898-806A-951001CB2696} => pcalua.exe -a D:\CMR5.EXE -d D:\ Task: {CA4EF24A-04C7-4085-99F4-1FAD95043CF9} - System32\Tasks\{9B087F2E-F6D4-419B-B4D7-7354C5C0E970} => pcalua.exe -a "C:\Program Files\Mozilla Firefox\uninstall\helper.exe" Task: {CEA0A51F-AA11-463C-ADAC-769B8472C608} - System32\Tasks\{826D5F60-B62E-4C03-8A96-36BA93EB15BB} => pcalua.exe -a C:\Users\XX\Desktop\UniSpiker-2.6.exe -d C:\Users\XX\Desktop Task: {CFC7E1E8-97AE-4A89-A0B0-0DF0EB565419} - System32\Tasks\{6783762C-982D-497A-A37E-84E3E32719B0} => pcalua.exe -a "C:\Program Files\Steam\steam.exe" -c steam://uninstall/10 Task: {D0885CAB-62D1-4F32-8340-B5ACFD91DD1F} - System32\Tasks\{833EB77C-B397-4ABC-98C8-84A879989263} => pcalua.exe -a C:\Users\XX\Downloads\dziennik.exe -d C:\Users\XX\Downloads Task: {D5CAD9B4-3045-431D-BE45-B77677F838FF} - System32\Tasks\{17E4218E-C7C1-48EB-9827-4E3249531243} => pcalua.exe -a C:\Users\XX\AppData\Local\Temp\Temp1_AdobePhotoshop10pl_PL[www.INSTALKI.pl].zip\pl_PL\20070503.t4ce.089\Retail\Setup.exe Task: {DE0518D5-868B-4FEA-91C4-615E9AC0483F} - System32\Tasks\LaunchSignup => C:\Program Files\MyPC Backup\Signup Wizard.exe Task: {E9B9C72B-2F33-4C06-BBEA-BDFC65D0FA77} - System32\Tasks\{AE041394-CEB8-4195-9334-B0E5CF6E0BCD} => C:\Program Files\Nokia\Ovi Player\NokiaOviPlayer.exe Task: {F519B37A-5D1B-41DD-9305-FDEAB358736D} - System32\Tasks\APSnotifierPP2 => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: {F89302F3-C51D-4FBC-943F-9C567F93ADAC} - System32\Tasks\Launch HTC Sync Loader => C:\Program Files\HTC\HTC Sync 3.0\htcUPCTLoader.exe Task: {FF635474-C465-4FFD-B9B1-296C60F5D6EF} - System32\Tasks\{9A5426C8-494B-480C-88CF-13EB3DEE31CE} => pcalua.exe -a "C:\Program Files\4Media\Video Editor 2\Uninstall.exe" Task: {FFC8B55D-82F4-4FB8-B441-15E23716985B} - System32\Tasks\{A82B4408-EE86-437D-876E-374CE6D7D982} => pcalua.exe -a C:\Users\XX\Desktop\Expressivo_1_2_0_Jacek_Demo.exe -d C:\Users\XX\Desktop Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{BB5A512D-544A-4A1C-9B5A-B7A4AFC10F39}.exe Task: C:\Windows\Tasks\DLL-files.com Fixer_MONTHLY.job => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe Task: C:\Windows\Tasks\DLL-files.com Fixer_UPDATES.job => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe Task: C:\Windows\Tasks\Norton Security Scan for XX.job => C:\PROGRA~1\NORTON~2\Engine\351~1.8\Nss.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\76507945.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\76507945.sys => ""="Driver" HKU\S-1-5-21-3848935919-3367533699-3990728495-1002\Software\Classes\.exe: exefile => HKU\S-1-5-21-3848935919-3367533699-3990728495-1002\Software\Classes\exefile: S3 ServiceLayer; "C:\Program Files\Nokia\PC Connectivity Solution\ServiceLayer.exe" [X] S4 YouTubeAcceleratorService; C:\PROGRA~1\YOUTUB~1\YouTubeAcceleratorService.exe -start -scm [X] S3 EagleNT; \??\C:\Windows\system32\drivers\EagleNT.sys [X] S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [X] S3 gdrv; \??\C:\Windows\gdrv.sys [X] S3 gfiark; system32\drivers\gfiark.sys [X] S3 glynnxxGE; \??\C:\Users\XX\Desktop\[cshacked.pl]Intelligent Aimbot Gold Edition Cracked\Intelligent Aimbot Gold Edition Cracked\glynnharr.sys [X] S3 IntcAzAudAddService; system32\drivers\RTKVHDA.sys [X] S2 sbapifs; system32\DRIVERS\sbapifs.sys [X] S0 szkgfs; system32\drivers\szkgfs.sys [X] C:\sh-remover.exe C:\182186e7 C:\Program Files\007 C:\ProgramData\htnsmun.html C:\ProgramData\LM32X3ViF.dat C:\ProgramData\avg9 C:\ProgramData\InstallMate C:\ProgramData\Mozilla C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\SteelSeries C:\ProgramData\Symantec C:\ProgramData\TEMP C:\ProgramData\VOIPlay C:\ProgramData\ZugkuKoqut C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gadu-Gadu 10.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autonomiczny składnik AVG LinkScanner C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVD Flick C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\HP Photosmart Essential 3.5 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nexon C:\ProgramData\Microsoft\Windows\Start Menu\Programs\San Andreas Multiplayer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YouTube Accelerator C:\Users\XX\BullseyeCoverageError.TXT.kcirdgd C:\Users\XX\AppData\Local\{*} C:\Users\XX\AppData\Local\setup.exe C:\Users\XX\AppData\Local\Temp*.html C:\Users\XX\AppData\Local\Ares C:\Users\XX\AppData\Local\BearShare C:\Users\XX\AppData\Local\Egftion C:\Users\XX\AppData\Local\Geckofx C:\Users\XX\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\XX\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\XX\AppData\Local\Google\Picasa2 C:\Users\XX\AppData\Local\Google\Picasa2Albums C:\Users\XX\AppData\Local\Mozilla C:\Users\XX\AppData\Local\Nokia C:\Users\XX\AppData\Local\Opera C:\Users\XX\AppData\Local\Pokki C:\Users\XX\AppData\Local\screenSHU C:\Users\XX\AppData\Local\YfPack C:\Users\XX\AppData\LocalLow\bearsharemediabartb C:\Users\XX\AppData\LocalLow\CertifiedToolsToolbar C:\Users\XX\AppData\LocalLow\Sun C:\Users\XX\AppData\Roaming\6201c0551d203b.xml C:\Users\XX\AppData\Roaming\embranchment.ed C:\Users\XX\AppData\Roaming\LiveSupport.exe_log.TXT.kcirdgd C:\Users\XX\AppData\Roaming\regsvr32.exe_log.TXT.kcirdgd C:\Users\XX\AppData\Roaming\template.css C:\Users\XX\AppData\Roaming\template.log C:\Users\XX\AppData\Roaming\72C8C5EA C:\Users\XX\AppData\Roaming\.minecraft C:\Users\XX\AppData\Roaming\Adetymwu C:\Users\XX\AppData\Roaming\avidemux C:\Users\XX\AppData\Roaming\Audacity C:\Users\XX\AppData\Roaming\Balmora.pl C:\Users\XX\AppData\Roaming\DVD Flick C:\Users\XX\AppData\Roaming\FileZilla C:\Users\XX\AppData\Roaming\com.w3i.FlipToast C:\Users\XX\AppData\Roaming\Gadu-Gadu 10 C:\Users\XX\AppData\Roaming\GoldenGate C:\Users\XX\AppData\Roaming\Igosonne C:\Users\XX\AppData\Roaming\Local Store C:\Users\XX\AppData\Roaming\Mozilla C:\Users\XX\AppData\Roaming\OpenFM C:\Users\XX\AppData\Roaming\Opera C:\Users\XX\AppData\Roaming\SteelSeries C:\Users\XX\AppData\Roaming\Ubkafo C:\Users\XX\AppData\Roaming\wargaming.net C:\Users\XX\AppData\Roaming\WordToPDF C:\Users\XX\AppData\Roaming\Ynehcaac C:\Users\XX\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\XX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GameSpy Arcade C:\Users\XX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SteelSeries C:\Users\XX\Desktop\Malestia.pl client 20.12.2014.RAR.kcirdgd C:\Users\XX\Documents\Decrypt-All-Files-kcirdgd.bmp C:\Users\XX\Documents\Decrypt-All-Files-kcirdgd.txt C:\Windows\system32\Drivers\*.szcpf C:\Windows\system32\Drivers\1DF1592B.sys C:\Windows\system32\Drivers\2F6C59A4.sys C:\Windows\system32\Drivers\5EFA3319.sys C:\Windows\system32\Drivers\61C35F4E.sys C:\Windows\system32\Drivers\2F9C5F72.sys Hosts: Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query "HKCU\Control Panel\Desktop" Reg: reg query "HKCU\Software\Microsoft\Internet Explorer\Desktop" /s Reg: reg query "HKLM\Software\Microsoft\Internet Explorer\Desktop" /s Reg: reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System CMD: attrib -r -h -s C:\HELP_DECRYPT.* /s CMD: del /q /s C:\HELP_DECRYPT.* Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Przez Panel sterowania odinstaluj: - Adware: Math Problem Solver, OfferBLVDUpdate, saveron, WordToPDF Packages, YouTube Accelerator. - Zbędniki i nadwyżkę skanerów: Adobe Shockwave Player 12.1, AVG Security Toolbar, Avira, Avira Free Antivirus, SpyHunter 4, STOPzilla. Wpisy adware są uszkodzone. Jeśli ich nie będzie widać lub zgłosi się błąd, kontynuuj dalej. 3. Wyczyść Google Chrome z adware: Ustawienia > karta Rozszerzenia > odinstaluj adware PriceDownloader Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia zostaną wyłączone (aktywuj ręcznie w opcjach). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (zaznacz ponownie pola Addition + Shortcut). Dołącz też plik fixlog.txt. Odnośnik do komentarza
Verdugo Opublikowano 2 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 2 Lutego 2015 Ok już jestem i biorę się za przydzielone mi zadania Z góry wielkie dzięki za pomoc ! napotkałem się na problem , a mianowicie FRST -> ( Fix ) gdy odpalam fixa wyskakuje za każdym razem po chwili brak odpowiedzi i zawiesza się FRST. Odnośnik do komentarza
picasso Opublikowano 3 Lutego 2015 Zgłoś Udostępnij Opublikowano 3 Lutego 2015 Verdugo, jeśli nikt jeszcze nie odpisał, nie twórz posta pod postem, tylko jeden post i funkcja Edytuj, by go uzupełnić o nowe dane. Skleiłam powyższe. napotkałem się na problem , a mianowicie FRST -> ( Fix ) gdy odpalam fixa wyskakuje za każdym razem po chwili brak odpowiedzi i zawiesza się FRST. Fix jest jednorazowy i w zasadach działu jest napisane, by go nie powtarzać tylko w przypadku problemu od razu zgłosić się na forum. Tu jest prawdopodobne, że wieszają Fix dwie ostatnie komendy CMD rekursywnie ściągające atrybuty i kasujące z całego dysku C pliki o modelu nazwy HELP_DECRYPT.*. Czy w folderze archiwum logów C:\FRST\Logs są jakieś pliki o nazwie Fixlog_data_czas.txt? Jeśli tak, wszytkie dotarcz do wglądu. Nie interesują mnie pliki o nazwie FRST_data_czas.txt, bo to poprzednie skany FRST. Odnośnik do komentarza
Verdugo Opublikowano 3 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 3 Lutego 2015 FRST jest programem bezinstalacyjnym. Jeśli usunąłeś folder C:\FRST, to nabroiłeś, bo nie tylko poprzednie logi poszły do piachu, ale i cała kopia zapasowa rejestru! Proszę nic teraz nie kombinuj już i kontynuuj dyskusję w temacie. Teraz masz podać TYLKO nowe logi FRST (główny, Addition i Shortcut). Tylko jak tu podać logi skoro usunąłem FRST Odnośnik do komentarza
picasso Opublikowano 3 Lutego 2015 Zgłoś Udostępnij Opublikowano 3 Lutego 2015 Verdugo, myśl logicznie. Pobierasz ponownie program i robisz skan wg wytycznych w przyklejonym. Odnośnik do komentarza
Verdugo Opublikowano 3 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 3 Lutego 2015 I też tak chciałem zrobić tylko , że podczas zainstalowania i uruchomienia frst.exe program umiera i nic nie da się z nim zrobić jedynie zakończyć proces . Odnośnik do komentarza
picasso Opublikowano 3 Lutego 2015 Zgłoś Udostępnij Opublikowano 3 Lutego 2015 Jak mówię: FRST jest bezinstalacyjny. Skoro jest problem z uruchomieniem, wejdź w Tryb awaryjny Windows i ponów próbę. I na wszelki wypadek podkreślę: mówimy o opcji Scan a nie Fix. Odnośnik do komentarza
Verdugo Opublikowano 3 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 3 Lutego 2015 Mam nadzieję , że się udało : Shortcut.txt Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 3 Lutego 2015 Zgłoś Udostępnij Opublikowano 3 Lutego 2015 Logi wskazują, że duża część skryptu FRST się jednak wykonała. Czyli teraz trzeba nanieść poprawki na zastaną sytuację i dokończyć to co się nie wykonało. Na początek zrób tylko to z poziomu Trybu normalnego: 2. Przez Panel sterowania odinstaluj: - Adware: Math Problem Solver, OfferBLVDUpdate, saveron, WordToPDF Packages, YouTube Accelerator. - Zbędniki i nadwyżkę skanerów: Adobe Shockwave Player 12.1, AVG Security Toolbar, SpyHunter 4, STOPzilla. Wpisy adware są uszkodzone. Jeśli ich nie będzie widać lub zgłosi się błąd, kontynuuj dalej. Tylko tyle i zawiadom czy się to udało. Odnośnik do komentarza
Verdugo Opublikowano 3 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 3 Lutego 2015 Gotowe chociaż były małe problemy z StopZilla i SpyHunter . Czekam na dalsze wskazówki Odnośnik do komentarza
picasso Opublikowano 3 Lutego 2015 Zgłoś Udostępnij Opublikowano 3 Lutego 2015 Kolejna porcja czynności: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: C:\Windows\Tasks\1014avUpdateInfo.job => C:\ProgramData\Avg_Update_1014av\1014av_AVG-Secure-Search-Update.exe Hosts: C:\ProgramData\Avg_Update_1014av C:\Users\XX\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\XX\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\XX\AppData\LocalLow\CertifiedToolbar C:\Users\XX\AppData\Roaming\.minecraft C:\Users\XX\AppData\Roaming\Adetymwu C:\Users\XX\AppData\Roaming\avidemux C:\Users\XX\AppData\Roaming\Audacity C:\Users\XX\AppData\Roaming\Balmora.pl C:\Users\XX\AppData\Roaming\DVD Flick C:\Users\XX\AppData\Roaming\FileZilla C:\Users\XX\AppData\Roaming\com.w3i.FlipToast C:\Users\XX\AppData\Roaming\Gadu-Gadu 10 C:\Users\XX\AppData\Roaming\GoldenGate C:\Users\XX\AppData\Roaming\Igosonne C:\Users\XX\AppData\Roaming\Local Store C:\Users\XX\AppData\Roaming\Mozilla C:\Users\XX\AppData\Roaming\OpenFM C:\Users\XX\AppData\Roaming\Opera C:\Users\XX\AppData\Roaming\SteelSeries C:\Users\XX\AppData\Roaming\Ubkafo C:\Users\XX\AppData\Roaming\wargaming.net C:\Users\XX\AppData\Roaming\WordToPDF C:\Users\XX\AppData\Roaming\Ynehcaac C:\Users\XX\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\XX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GameSpy Arcade C:\Users\XX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SteelSeries C:\Users\XX\Documents\Decrypt-All-Files-kcirdgd.bmp C:\Users\XX\Documents\Decrypt-All-Files-kcirdgd.txt C:\Windows\system32\Drivers\1DF1592B.sys C:\Windows\system32\Drivers\2F6C59A4.sys C:\Windows\system32\Drivers\5EFA3319.sys C:\Windows\system32\Drivers\61C35F4E.sys C:\Windows\system32\Drivers\2F9C5F72.sys CMD: sc config WinDefend start= demand Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query "HKCU\Control Panel\Desktop" Reg: reg query "HKCU\Software\Microsoft\Internet Explorer\Desktop" /s Reg: reg query "HKLM\Software\Microsoft\Internet Explorer\Desktop" /s Reg: reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\XX\AppData\Local CMD: dir /a C:\Users\XX\AppData\LocalLow CMD: dir /a C:\Users\XX\AppData\Roaming EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Jeśli wystąpi jakikolwiek błąd, stop, nie ponawiaj opcji Fix tylko od razu na forum z opisem problemu oraz plikiem fixlog.txt (o ile zostanie nagrany). Jeśli błąd nie wystąpi, kontynuuj do punktów 2 i 3: 2. Do wykonania zaległy punkt z Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware PriceDownloader, upewnij się też czy po Avirze nie pozostał obiekt Avira Browser Safety. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia zostaną wyłączone (aktywuj ręcznie w opcjach). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, na razie Shortcut zbędny. Dołącz też plik fixlog.txt. Odnośnik do komentarza
Verdugo Opublikowano 3 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 3 Lutego 2015 Udało się wszystko pomyślnie wykonać ale o mało przy fixowaniu nie zasnąłem Chciałbym też dodać , że po powrocie do Trybu normalnego tapeta pulpitu zostało przywrócona do normy Addition.txt FRST.txt Fixlog_03-02-2015_12-56-08.txt Odnośnik do komentarza
picasso Opublikowano 3 Lutego 2015 Zgłoś Udostępnij Opublikowano 3 Lutego 2015 Proszę nie wyciągaj bieżącego pliku Fixlog z katalogu C:\FRST\Logs - tam jest archiwum. Prosiłam wcześniej o to, bo uruchomiłeś Fix więcej niż raz. Obecnie masz dostarczać tylko plik bieżący, a ten jest zawsze tam skąd uruchamiasz FRST. Chciałbym też dodać , że po powrocie do Trybu normalnego tapeta pulpitu zostało przywrócona do normy Tapeta została podmieniona przez CTB-Locker. Usuwałam powiązany plik Decrypt-All-Files-kcirdgd.bmp. Mówisz, że wróciła do normy. Swoją drogą nie dało się wcześniej tego zmienić w Panel sterowania > Wygląd i personalizacja > Zmień tło Pulpitu? Fix wykonany, ale tu nie koniec działań. Jeszcze dużo przed nami: 1. W Google Chrome nadal jest rozszerzenie adware PriceDownloader. Czy jest jakiś problem z deinstalacją? 2. Pozostałe poprawki pod kątem odinstalowanych aplikacji oraz masowych plików HELP_DECRYPT.*. Otwórz Notatnik i wklej w nim: S3 MBAMSwissArmy; C:\Windows\system32\drivers\5BE5457A.sys [114904 2015-02-03] (Malwarebytes Corporation) C:\Program Files\AVG Security Toolbar C:\Program Files\Common Files\Aimersoft C:\Program Files\Common Files\GeoVid C:\Program Files\Common Files\Grupa Image C:\Program Files\Common Files\PC Tools C:\Program Files\Common Files\Symantec Shared C:\Program Files\Common Files\Ulead Systems C:\Program Files\Common Files\xara C:\Program Files\dumps C:\Program Files\Grupa IMAGE C:\Program Files\HEX C:\Program Files\Malwarebytes Anti-Malware C:\Program Files\screenSHU C:\Program Files\Temp C:\Program Files\Total Video Converter C:\ProgramData\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F} C:\ProgramData\25ebdc4eb7321999 C:\ProgramData\APN C:\ProgramData\Apple C:\ProgramData\Ashampoo C:\ProgramData\AVAST Software C:\ProgramData\Avg_Update_0814tb C:\ProgramData\CouponFactory C:\ProgramData\DAEMON Tools Lite C:\ProgramData\EA Core C:\ProgramData\Electronic Arts C:\ProgramData\Easy Driver Pro C:\ProgramData\Firefly Studios C:\ProgramData\Gadu-Gadu 10 C:\ProgramData\GoldWave C:\ProgramData\House Of Soft C:\ProgramData\mufin C:\ProgramData\NokiaMusic C:\ProgramData\OpenFM C:\ProgramData\PC Suite C:\ProgramData\Pinnacle C:\ProgramData\RoboForm C:\ProgramData\saveron C:\ProgramData\STOIK C:\ProgramData\Sun C:\ProgramData\TuneUp Software C:\ProgramData\Web Installer C:\ProgramData\WEBREG C:\Users\XX\AppData\Local\.# C:\Users\XX\AppData\Local\Apple C:\Users\XX\AppData\Local\Apple Computer C:\Users\XX\AppData\Local\Aimersoft C:\Users\XX\AppData\Local\Ashampoo Movie Studio C:\Users\XX\AppData\Local\cache C:\Users\XX\AppData\Local\CrashRpt C:\Users\XX\AppData\Local\DayZ C:\Users\XX\AppData\Local\DDMSettings C:\Users\XX\AppData\Local\Electronic Arts C:\Users\XX\AppData\Local\GamersFirst C:\Users\XX\AppData\Local\GGEmpire C:\Users\XX\AppData\Local\GHISLER C:\Users\XX\AppData\Local\globalUpdate C:\Users\XX\AppData\Local\ICSharpCode.net C:\Users\XX\AppData\Local\Installer C:\Users\XX\AppData\Local\IVONA_INST C:\Users\XX\AppData\Local\Seven Zip C:\Users\XX\AppData\Local\SteelSeries_ApS C:\Users\XX\AppData\Local\WMTools Downloaded Files C:\Users\XX\AppData\Local\Xara C:\Users\XX\AppData\LocalLow\SkwConfig.bin C:\Users\XX\AppData\LocalLow\72C8C5EA C:\Users\XX\AppData\LocalLow\Apple Computer C:\Users\XX\AppData\LocalLow\Goobzo C:\Users\XX\AppData\LocalLow\Siber Systems C:\Users\XX\AppData\LocalLow\SimplyTech C:\Users\XX\AppData\LocalLow\Temp C:\Users\XX\AppData\LocalLow\TheTorntv V10 C:\Users\XX\AppData\Roaming\.# C:\Users\XX\AppData\Roaming\app C:\Users\XX\AppData\Roaming\Apple Computer C:\Users\XX\AppData\Roaming\CertifiedToolsToolbar C:\Users\XX\AppData\Roaming\Cream Software C:\Users\XX\AppData\Roaming\D2Info0 C:\Users\XX\AppData\Roaming\DAEMON Tools Lite C:\Users\XX\AppData\Roaming\DeepBurner C:\Users\XX\AppData\Roaming\dll-files.com C:\Users\XX\AppData\Roaming\DMCache C:\Users\XX\AppData\Roaming\Dofus-2.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1 C:\Users\XX\AppData\Roaming\Dofus.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1 C:\Users\XX\AppData\Roaming\Dofus2 C:\Users\XX\AppData\Roaming\DofusAppId0_1 C:\Users\XX\AppData\Roaming\DofusAppId0_2 C:\Users\XX\AppData\Roaming\Firefly Studios C:\Users\XX\AppData\Roaming\FreeAudioPack C:\Users\XX\AppData\Roaming\GameCenter C:\Users\XX\AppData\Roaming\GeoVid C:\Users\XX\AppData\Roaming\GetRightToGo C:\Users\XX\AppData\Roaming\GHISLER C:\Users\XX\AppData\Roaming\Grupa IMAGE C:\Users\XX\AppData\Roaming\gtk-2.0 C:\Users\XX\AppData\Roaming\IDM C:\Users\XX\AppData\Roaming\Iduqofen C:\Users\XX\AppData\Roaming\iFree C:\Users\XX\AppData\Roaming\MegaCloud C:\Users\XX\AppData\Roaming\mIRC C:\Users\XX\AppData\Roaming\mplayer C:\Users\XX\AppData\Roaming\Nokia C:\Users\XX\AppData\Roaming\PC Suite C:\Users\XX\AppData\Roaming\proDAD C:\Users\XX\AppData\Roaming\RoboForm C:\Users\XX\AppData\Roaming\skypePM C:\Users\XX\AppData\Roaming\SumatraPDF C:\Users\XX\AppData\Roaming\Tibia C:\Users\XX\AppData\Roaming\TuneUp Software C:\Users\XX\AppData\Roaming\Ulead Systems C:\Users\XX\AppData\Roaming\Ventrilo C:\Users\XX\AppData\Roaming\vlc C:\Users\XX\AppData\Roaming\VOIPlay C:\Windows\system32\Drivers\5BE5457A.sys Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Desktop\components" /f Reg: reg query "HKCU\Control Panel\Desktop" CMD: type "C:\Program Files\plugins.ini" CMD: dir /a C:\Users\XX\AppData\Local\Programs CMD: attrib -r -h -s C:\HELP_DECRYPT.* /s CMD: del /q /s C:\HELP_DECRYPT.* Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, ostatnie dwie komendy jadące po dysku rekursywnie mogą spowodować długi czas oczekiwania. Przedstaw wynikowy fixlog.txt. Plik może być bardzo duży. Odnośnik do komentarza
Verdugo Opublikowano 3 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 3 Lutego 2015 @@ EDIT 17:26 Odp 1. W Google Chrome -> Ustawienia -> Rozszerzenia nie znajduje się adware PriceDownloader (chyba , że jest jakoś ukryty albo nie wiem )Odp 2 . Mam nadzieje , że to jest to o co prosiłaś : Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 3 Lutego 2015 Zgłoś Udostępnij Opublikowano 3 Lutego 2015 1. Nadal jest ustawiona tapeta malware, choć się nie wyświetla. Panel sterowania > Wygląd i personalizacja > Zmień tło Pulpitu i ustaw cokolwiek. 2. Kolejne poprawki. Otwórz Notatnik i wklej w nim: CHR Extension: (PriceDownloader) - C:\Users\XX\AppData\Local\Google\Chrome\User Data\Default\Extensions\fiegkapaipiohdadhdlhokfbjlemifdd [2014-11-03] Reg: reg query "HKCU\Control Panel\Desktop" Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner. Odnośnik do komentarza
Verdugo Opublikowano 3 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 3 Lutego 2015 1. Tapetka zmieniona 2. Wykonano 3. Wykonano Fixlog.txt AdwCleanerR1.txt Odnośnik do komentarza
picasso Opublikowano 3 Lutego 2015 Zgłoś Udostępnij Opublikowano 3 Lutego 2015 Kolejna porcja czynności: 1. Uruchom AdwCleaner ponownie, lecz tym razem zastosuj kombinację Szukaj + Usuń. Gdy AdwCleaner ukończy czyszczenie: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\TDSSKiller_Quarantine Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls" /v Tabs /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. 3. Z zaszyfrowanymi danymi nie jestem w stanie nic zrobić, ale podaj spis takich plików z dysku C. Uruchom FRST, w polu Search wklej: *kcirdgd*;*wxeezfd* Klik w Search Files i przedstaw wynikowy log./ Może być ogromny. Jeśli nie wejdzie do załącznika, skorzystaj z wklej.org lub innego serwisu hostingowego. Akcje prowadzę dla dysku C, ale jest tu też dysk D i tam też powinna być miazga szyfracyjna. Jaki rodzaj danych trzymasz na tym dysku? Odnośnik do komentarza
Verdugo Opublikowano 3 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 3 Lutego 2015 EDIT @@ 18:35 1. wykonane 2. wykonane ( Załącznik ) 3. wykonane ( Załącznik ) W dysku D mam generalnie gry i zdjęcia i foldery typu : Logs , Rads , Mark znajdują się w nich (png,txt,html,skórty) -> HELP_DECRYPT to jest chyba coś z tych wirusów nie wiem właśnie co to jest . Ale jestem w stanie podjąć się zadania by sformatować cały ten dysk jeśli będzie taka potrzeba . Fixlog.txt Search.txt Odnośnik do komentarza
picasso Opublikowano 3 Lutego 2015 Zgłoś Udostępnij Opublikowano 3 Lutego 2015 Z dysku C usunę wszystkie zaszyfrowane pliki, one głównie siedzą w różnych folderach aplikacji i to nie są istotne rzeczy (braki obrazków czy dokumentów łatwo uzupełnić reinstalując dany program). Z dysku D usunę tylko pliki typu HELP_DECRYPT.*, pozostawiam zaszyfrowane dane z suffiksami kcirdgd i wxeezfd. Kolejna akcja - do Notatnika wklej: CMD: del /q /s C:\*kcirdgd* CMD: del /q /s C:\*wxeezfd* CMD: del /q /s D:\HELP_DECRYPT.* Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt. Odnośnik do komentarza
Verdugo Opublikowano 3 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 3 Lutego 2015 Proszę Drogi Informatyku Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 3 Lutego 2015 Zgłoś Udostępnij Opublikowano 3 Lutego 2015 Wszystko zrobione. Jak mówię, gdy się ujawnią na dysku C jakieś defekty w programach, trzeba przeinstalować, by uzupełnić określone dane. Np. niektóre rozszerzenia Google Chrome (Adblock Plus, Enhance Sream, Google Wallet) są uszkodzone obecnie. Możemy przejść do kolejnego zestawu czynności: 1. Na wszelki wypadek zrób log z Farbar Service Scanner. 2. Poprzednio skanery były blokowane przy udziale polityk oprogramowania. Obecnie grunt czysty. Uruchom Malwarebytes Anti-Malware i zrób pełny skan komputera. Jeśli coś znajdzie, przedstaw wynikowy raport. Odnośnik do komentarza
Verdugo Opublikowano 3 Lutego 2015 Autor Zgłoś Udostępnij Opublikowano 3 Lutego 2015 1. wykonane 2. Po całym pełnym skanowaniu Malware nic nie znalazł Odnośnik do komentarza
Rekomendowane odpowiedzi