Infekcja Cryptowall 3.0

[klapek82]

Witam serdecznie

 

Doszło do infekcji cryptowall 3.0 najprawdopodobniej przez stronę www. Pliki zostały zakodowane, jednakże chciałbym spróbować odzyskać coś testdiskiem. Od czasu wyświetlenia się informacji z żądaniem zapłaty komputer działa w trybie awaryjnym. Przeprowadziłem skany bootdiskiem kasperskiego i Dr. Web Cure it, nic nie znalazło. W trybie awaryjnym z obsługą sieci poszedł skan Malwarebytes anti-malware, to co znalazł przeniosłem do kwarantanny (log w załączniku). Skany z gmer i  FRST przeprowadzałem również w awaryjnym trybie z obsługą sieci, widziałem pod UBUNTU że są tam jeszcze pliki nie zakodowane stąd puszczanie skanów w awaryjnym.

 

Jeszcze jedna prośba o wyjaśnienie, jak mogę sprawdzić czy cryptowall 3.0 nie jest aktywy na innym komputerze tzn. koduje ale jeszcze nie wyświetlił informacji. Wyczytałem na stronie fortinetu. że uwagę należy zwrócić na plik wykonywalny o losowej nazwie wrzucony w autostart losowe klucze w rejestrach Run albo RunOnce w HKLM lub HKCU (w zależności czy system uruchomiony był z poziomu użytkownik czy admin), nie widzę takich wpisów na zainfekowanej maszynie( czy po zakodowaniu plików wpis się usuwa?). Wyłączone usługi Wscsvc | WinDefend | Wuauserv | BITS | ERSvc | WerSvc. Chciałbym mieć pewność że drugi komputer jest bezpieczny.

 

Proszę bardzo o pomoc.

Addition.txt

FRST.txt

gmer.txt

Shortcut.txt

mbam.txt

[picasso]

Pliki zostały zakodowane, jednakże chciałbym spróbować odzyskać coś testdiskiem.

Próbować oczywiście możesz, ale tu są słabe widoki. CryptoWall od wersji 2.0 stosuje "bezpieczne" wymazywanie danych, uniemożliwiając stosowanie programów do odzyskiwania danych: KLIK. Listę już zaszyfrowanych plików możesz sprawdzić stosując program ListCWall.

 

 

Jeszcze jedna prośba o wyjaśnienie, jak mogę sprawdzić czy cryptowall 3.0 nie jest aktywy na innym komputerze tzn. koduje ale jeszcze nie wyświetlił informacji.

Dostarcz raporty z tego systemu.

 

 

Przeprowadziłem skany bootdiskiem kasperskiego i Dr. Web Cure it, nic nie znalazło. W trybie awaryjnym z obsługą sieci poszedł skan Malwarebytes anti-malware, to co znalazł przeniosłem do kwarantanny (log w załączniku).

Widzę też pobrany instalator STOPzilla - odradzam ten program, wcześniej był nawet na czarnej liście. Jeśli chodzi o podane tu raporty, to widzę w starcie podejrzany obiekt "cftmon.exe" oraz masę plików typu HELP_DECRYPT.* (MBAM usunął zaledwie mikro cząstkę). Działania zostaną sprowadzone do usunięcia wspominanych obiektów oraz różnych pustych wpisów. Do przeprowadzenia:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
Startup: C:\Documents and Settings\ppp\Menu Start\Programy\Autostart\ctfmon.exe [2006-06-26] ()
HKU\S-1-5-21-2247778763-4088190255-1608279117-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-2247778763-4088190255-1608279117-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
BHO: Adobe PDF Reader Link Helper -> {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -> C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll Brak pliku
BHO: Brak nazwy -> {BA3295CF-17ED-4F49-9E95-D999A0ADBFDC} -> Brak pliku
Toolbar: HKU\S-1-5-21-2247778763-4088190255-1608279117-1003 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku
U3 TrueSight; C:\WINDOWS\system32\drivers\TrueSight.sys [35064 2015-10-08] ()
S3 APCMp50; System32\Drivers\APCMp50.sys [X]
S1 VClone; system32\DRIVERS\VClone.sys [X]
C:\Documents and Settings\All Users\Menu Start\Programy\Firebird_1_5\Firebird 1.5 Readme.lnk
C:\Documents and Settings\All Users\Menu Start\Programy\Firebird_1_5\Firebird 1.5 Release Notes.lnk
C:\Documents and Settings\ppp\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Winamp.lnk
C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension
C:\WINDOWS\system32\drivers\TrueSight.sys
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
CMD: attrib -h -s C:\HELP_DECRYPT.* /s
CMD: del /q /s C:\HELP_DECRYPT.*

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Gdy Fix ukończy pracę, system zostanie zresetowany, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Dodaj/Usuń programy odinstaluj bardzo stare wersje naruszające bezpieczeństwo: Adobe Flash Player 10 Plugin, Adobe Reader 7.1.0, J2SE Runtime Environment 5.0 Update 9, Java 7 Update 71, Java™ SE Runtime Environment 6 Update 1, OpenOffice.org 2.0.3.

 

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

[klapek82]

Witam

 

Polecenia wykonane, sorry że z takim opóźnieniem, daje logi z FRST.

 

Ps. Jeżeli o chodzi o drugi system to założyć nowy temat czy lepiej w tym. Oczywiście na tamtym systemie skanowałem Malwarebytes (jeszcze przed założeniem wątku, wykryło trochę, log oczywiście z tego skanu posiadam).

Fixlog.txt

FRST.txt

[picasso]

Ps. Jeżeli o chodzi o drugi system to założyć nowy temat czy lepiej w tym. Oczywiście na tamtym systemie skanowałem Malwarebytes (jeszcze przed założeniem wątku, wykryło trochę, log oczywiście z tego skanu posiadam).

Tutaj kontynuujmy. Dostarcz raporty FRST + GMER oraz wyniki skanu MBAM.

 

 

Jeśli chodzi o bieżący system, wszystko co zaplanowane zostało wykonane.

 

1. Drobne poprawki do wdrożenia, tzn. usunięcie odpadkowych folderów i czyszczenie lokalizacji tymczasowych. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
DPF: {CAFEEFAC-0017-0000-0071-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_71-windows-i586.cab
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Kaspersky Rescue Disk 10.0
RemoveDirectory: C:\czerny\c\AdwCleaner
RemoveDirectory: C:\czerny\c\Documents and Settings\Mariano\Dane aplikacji\Sun
RemoveDirectory: C:\czerny\c\Documents and Settings\Mariano\Ustawienia lokalne\Dane aplikacji\Sun
RemoveDirectory: C:\czerny\c\Documents and Settings\Mariano\Moje dokumenty\OpenOffice.org 3.0 (pl) Installation Files
RemoveDirectory: C:\czerny\c\Kaspersky Rescue Disk 10.0
RemoveDirectory: C:\czerny\c\Qoobox
RemoveDirectory: C:\czerny\c\System Volume Information
RemoveDirectory: C:\czerny\D\RECYCLER
RemoveDirectory: C:\Documents and Settings\admin\Dane aplikacji\Sun
RemoveDirectory: C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Sun
RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\RogueKiller
RemoveDirectory: C:\Documents and Settings\ppp\Dane aplikacji\Nowe Gadu-Gadu
RemoveDirectory: C:\Documents and Settings\ppp\Dane aplikacji\OpenFM
RemoveDirectory: C:\Documents and Settings\ppp\Dane aplikacji\OpenOffice.org2
RemoveDirectory: C:\Documents and Settings\ppp\Dane aplikacji\Sun
RemoveDirectory: C:\Documents and Settings\ppp\Gadu-Gadu
RemoveDirectory: C:\Documents and Settings\ppp\Dane aplikacji\Gadu-Gadu
RemoveDirectory: C:\Program Files\Java
RemoveDirectory: C:\Program Files\OpenOffice.org 2.0.3
RemoveDirectory: C:\RECYCLER
CMD: del /q "C:\Documents and Settings\ppp\Menu Start\Programy\Autostart\OpenOffice.org 2.0.3.lnk"
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. Przedstaw wynikowy fixlog.txt.

 

Pytanie, czy można w całości usunąć poniższą kopię zapasową ze śmieciami?

 

C:\czerny\c\Documents and Settings

 

2. Dodatkowo, zaloguj się na konto admin poprzez pełny restart komputera (a nie Wyloguj czy Przełącz użytkownika) i zrób logi FRST (główny + Addition).

 

3. Pozostaje sprawa zaszyfrowanych plików. Niestety, jak zaznaczałam, sprawa wygląda na przegraną. Szyfrowanie zachodziło także w folderach poprawnych aplikacji i Windows. Obecnie mogą być notowane w określonych programach ubytki obrazków czy linków dokumetacji. Przy zanotowaniu takiego uszczerbku przeinstaluj daną aplikację.

[klapek82]

Ad. 1

Podczas pracy (naprawy) FRST wyrzuciło błąd ("wystąpił problem z aplikacją FRST.exe i zostanie ona zamknięta. Przepraszamy z kłopoty"), nie doszło do samoczynnego restartu systemu. Kopia zapasowa, C:\czerny\c\Documents and Settings, została usunięta. Fixlog chyba nie jest kompletny (zamieszczam).

Ad. 2

Logi z admin w załączniku.

Ad. 3

Niestety trzeba wyciągnąć lekcję na przyszłość.

 

Wiem, że cryptowall 3.0 może przejść na zasoby sieciowe jeżeli są podmapowane w zainfekowanym systemie pod literką dysku, nie mogę znaleźć nigdzie informacji jak wygląda sprawa w przypadku odwoływania się do dysku NAS po adresie ip przez start/uruchom np. \\192.168.0.2, chodzi mi przede wszystkim o zabezpieczenie kopii zapasowych w przyszłości.
 

 

 

Fixlog.txt

Addition.txt

FRST.txt

[picasso]

Raporty z konta admin są w porządku. FRST wyłożył się na usuwaniu jednej ze śmieciowych ścieżek z kopii zapasowej i przeszedł tylko do połowy zadania, stąd Fixlog jest niekompletny. Trzeba przetworzyć brakującą część. Do Notatnika wklej:

 

RemoveDirectory: C:\Documents and Settings\admin\Dane aplikacji\Sun
RemoveDirectory: C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Sun
RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\RogueKiller
RemoveDirectory: C:\Documents and Settings\ppp\Dane aplikacji\Nowe Gadu-Gadu
RemoveDirectory: C:\Documents and Settings\ppp\Dane aplikacji\OpenFM
RemoveDirectory: C:\Documents and Settings\ppp\Dane aplikacji\OpenOffice.org2
RemoveDirectory: C:\Documents and Settings\ppp\Dane aplikacji\Sun
RemoveDirectory: C:\Documents and Settings\ppp\Gadu-Gadu
RemoveDirectory: C:\Documents and Settings\ppp\Dane aplikacji\Gadu-Gadu
RemoveDirectory: C:\Program Files\Java
RemoveDirectory: C:\Program Files\OpenOffice.org 2.0.3
RemoveDirectory: C:\RECYCLER
RemoveDirectory: C:\czerny\D\RECYCLER
CMD: del /q "C:\Documents and Settings\ppp\Menu Start\Programy\Autostart\OpenOffice.org 2.0.3.lnk"
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Ma nastąpić restart. Przedstaw wynikowy fixlog.txt.

 

 

Wiem, że cryptowall 3.0 może przejść na zasoby sieciowe jeżeli są podmapowane w zainfekowanym systemie pod literką dysku, nie mogę znaleźć nigdzie informacji jak wygląda sprawa w przypadku odwoływania się do dysku NAS po adresie ip przez start/uruchom np. \\192.168.0.2, chodzi mi przede wszystkim o zabezpieczenie kopii zapasowych w przyszłości.

To właśnie mapowanie przy wykorzystaniu liter dysków jest problemem. Rezygnacja z tego mapowania na korzyść dostępu via adres IP lub specjalnych skrótów w formacie UNC powinna działać prewencyjnie.

[klapek82]

To właśnie mapowanie przy wykorzystaniu liter dysków jest problemem. Rezygnacja z tego mapowania na korzyść dostępu via adres IP lub specjalnych skrótów w formacie UNC powinna działać prewencyjnie.

 

Dzięki za wyjaśnienie, teraz wiem w jakim kierunku należy iść.

 

1. Skan FRST poszedł do końca + restart daje log w załączniku.

2. Zamieszczam również wcześniej wspomniane logi z drugiego systemu.

Fixlog.txt

Addition.txt

FRST.txt

gmer.txt

mbam.txt

Shortcut.txt

[picasso]

PIERWSZY SYSTEM:

 

Fix wykonany pomyślnie. Na zakończenie:

 

1. Był uruchamiany GMER, upewnij się że transfer dysku się nie obniżył. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK.

 

2. Usuń używane narzędzia za pomocą DelFix (resztę doczyść samodzielnie) oraz wyczyść foldery Przywracania systemu: KLIK.

 

3. Pomocne programy w zabezpieczaniu przed infekcjami szyfrującymi: KLIK.

 

 

 

DRUGI SYSTEM:

 

MBAM usuwał śmieci innego gatunku = adware. Brak oznak aktywnej infekcji. Możesz wykonać kosmetyczne działania polegające na usunięciu wpisów pustych i czyszczeniu Tempów:

 

1. Stare wersje do deinstalacji: Adobe Reader XI (11.0.12), Java 7 Update 71. Na końcu zastąpisz najnowszymi.

 

2. W Google Chrome jest bardzo podejrzane rozszerzenie o dziwnej nazwie, którego identyfikator nie jest wyszukiwany przez Google. Odinstaluj.

 

CHR Extension: (Chrome - szybkie wybieranie • program...) - C:\Users\Kamil\AppData\Local\Google\Chrome\User Data\Default\Extensions\denbkpdgipkicgmnnladkbedmljiacdj [2015-09-01]

 

Zresetuj też cache wtyczek, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
Winlogon\Notify\ScCertProp: wlnotify.dll [X]
HKU\S-1-5-19\...\Winlogon: [shell] C:\Windows\explorer.exe [2616320 2011-09-01] (Microsoft Corporation) 
HKU\S-1-5-20\...\Winlogon: [shell] C:\Windows\explorer.exe [2616320 2011-09-01] (Microsoft Corporation) 
HKU\S-1-5-21-1100579147-315741855-2830510848-1000\...\Winlogon: [shell] C:\Windows\explorer.exe [2616320 2011-09-01] (Microsoft Corporation) 
HKU\S-1-5-18\...\Winlogon: [shell] C:\Windows\explorer.exe [2616320 2011-09-01] (Microsoft Corporation) 
ShellIconOverlayIdentifiers: [ GoogleDriveBlacklisted] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D42} => Brak pliku
ShellIconOverlayIdentifiers: [ GoogleDriveSynced] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D40} => Brak pliku
ShellIconOverlayIdentifiers: [ GoogleDriveSyncing] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D41} => Brak pliku
ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => Brak pliku
CustomCLSID: HKU\S-1-5-21-1100579147-315741855-2830510848-1000_Classes\CLSID\{010833F3-751A-402F-9FCC-C365B6A12E41}\localserver32 -> E:\PROGRA~1\JDOWNL~1\DOWNLO~1\BESTPL~1.EXE => Brak pliku
CustomCLSID: HKU\S-1-5-21-1100579147-315741855-2830510848-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Kamil\AppData\Local\Google\Update\1.3.28.1\psuser.dll => Brak pliku
CustomCLSID: HKU\S-1-5-21-1100579147-315741855-2830510848-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Kamil\AppData\Local\Google\Update\1.3.28.13\psuser.dll => Brak pliku
GroupPolicyUsers\S-1-5-21-1100579147-315741855-2830510848-1006\User: Ograniczenia 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-1100579147-315741855-2830510848-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
Toolbar: HKLM - Brak nazwy - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - Brak pliku
CHR HKLM\...\Chrome\Extension: [fkmkpnjoioaielnmocemighdcejngela] - C:\Users\Kamil\AppData\Local\Google\Chrome\User Data\Default\Extensions\EpuapSign.crx 
CHR HKU\S-1-5-21-1100579147-315741855-2830510848-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\Kamil\AppData\Local\Google\Drive\user_default\apdfllckaahabafndbhieahigkjlhalf_live.crx 
CHR HKU\S-1-5-21-1100579147-315741855-2830510848-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx
Task: {2C59ECAF-3A27-4640-9F4B-519B05BDD70F} - \Microsoft\Windows\MUI\LPRemove -> Brak pliku 
Task: {44974E99-9629-4ABE-8CFE-7F28C9594E7D} - System32\Tasks\{8C97ECE7-EEB5-481A-96AF-010EE83D9556} => pcalua.exe -a C:\Users\Kamil\Downloads\winproductkey.exe -d C:\Users\Kamil\Downloads
Task: {45E06F09-2FFB-4A69-AB78-9CD8873631C2} - System32\Tasks\{BB847279-B874-473C-BFBC-63092031658E} => pcalua.exe -a "C:\Program Files\Windows Installer Clean Up\msicuu.exe" -d C:\Windows\system32
Task: {8D3AF4A9-202F-4250-B6FD-93E6D8DF1FFC} - System32\Tasks\{2D6307E9-B40B-44F0-B41F-D52A4536320C} => pcalua.exe -a C:\Users\Kamil\Downloads\IL.2.Sturmovik.1946-FLT\flt-il2s\setup.exe -d C:\Users\Kamil\Downloads\IL.2.Sturmovik.1946-FLT\flt-il2s
Task: {97A64250-F7D9-4FA3-8EC0-93323D992596} - System32\Tasks\{A1264BA5-625D-45B7-9DFA-7018C37C2848} => pcalua.exe -a C:\Users\Kamil\AppData\Local\temp\Temp1_Ur-Smart_V1003180(180).zip\Ur-Smart.exe
Task: {AEED38E9-D35C-43A1-9304-4C84288DE31E} - System32\Tasks\{556285C1-33A3-4091-B796-9833E0018084} => pcalua.exe -a C:\Users\Kamil\Downloads\setup.exe -d F:\
Task: {C293072D-B548-4388-9EE0-0EF034DC0E41} - System32\Tasks\{B19C7604-C1B2-4FF4-8652-E427C377AD55} => pcalua.exe -a C:\Users\Kamil\Downloads\irfanview_plugins_430_setup.exe -d "C:\Program Files\Mozilla Firefox"
Task: {C85D0098-5E61-452B-BD13-DBC83031ECCC} - System32\Tasks\{6626C419-BB82-4868-AA2F-527EFC368893} => pcalua.exe -a "F:\IPCamSetup—for Windows OS\IPCamSetup.exe" -d "F:\IPCamSetup—for Windows OS"
Task: {CECE4621-101F-471C-A588-DEE3120BBDC4} - System32\Tasks\{DE185E3A-8853-4512-BF41-C38B6D423A33} => pcalua.exe -a F:\Programy\Narzedzia\Uszczelnienie_50_luk_w_Windows\InstallPad\InstallPad.exe -d F:\Programy\Narzedzia\Uszczelnienie_50_luk_w_Windows\InstallPad
Task: {D4CB8EA4-BBE5-4F29-B091-D7D130AFB115} - System32\Tasks\{65F45829-42E7-4EEF-9AFC-0336060206B4} => pcalua.exe -a C:\Users\Kamil\Downloads\Swf2Avi_Setup.exe -d "C:\Program Files\Mozilla Firefox"
Task: {DB3CDB97-427B-42F6-B4AB-BD50EC941D91} - System32\Tasks\{B32A8AB1-CA05-4009-B7C0-DB5362AD787C} => pcalua.exe -a "C:\Users\Kamil\Downloads\Dr. UFD_v1.0.0.18(18) (1)\Dr. UFD_v1.0.0.18.exe" -d "C:\Users\Kamil\Downloads\Dr. UFD_v1.0.0.18(18) (1)"
Task: {F802B1C2-EC3C-44B8-9BEE-484819A72CD1} - System32\Tasks\{49BB372C-E641-4762-AAA2-2B128A1EBB23} => pcalua.exe -a "C:\Users\Kamil\Downloads\dysk hdd\Victoria 4.46b\VCR446Free\vcr446f.exe" -d "C:\Users\Kamil\Downloads\dysk hdd\Victoria 4.46b\VCR446Free"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"
S3 catchme; \??\C:\Users\Kamil\AppData\Local\Temp\catchme.sys [X]
S3 IFCoEMP; \SystemRoot\system32\drivers\ifM52x32.sys [X]
S3 IFCoEVB; \SystemRoot\system32\drivers\ifP52X32.sys [X]
C:\Program Files\Mozilla Firefox\extensions
C:\Program Files\mozilla firefox\plugins
C:\ProgramData\TEMP
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java
C:\Users\Kamil\AppData\Local\Microsoft\Windows\GameExplorer\{66CF3079-5010-4E64-A121-94BAF0BC86CA}
C:\Users\Kamil\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\QuickStores.url
C:\Users\Kamil\AppData\Roaming\Thinstall
C:\Users\user\Desktop\eGazety Reader.lnk
RemoveDirectory: C:\Kaspersky Rescue Disk 10.0
CMD: for /d %f in (C:\Users\Kamil\AppData\Local\{*}) do rd /s /q "%f"
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie fixlog.txt.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

[klapek82]

PIERWSZY SYSTEM

 

ad. 1 Poprawione.

ad. 2 Zrobione log z DelFix w załączniku.

ad. 3 Dzięki na pewno wykorzystam.

 

DRUGI SYSTEM

 

ad. 1 Wykonano.

ad. 2 Również.

ad. 3 i ad. 4 Zamieszczam logi.

DelFix.txt

Fixlog.txt

FRST.txt

[picasso]

1. Drobna poprawka. Edytor forum wymazał podwójną spację, dlatego Fix nie przetworzył kilku wpisów. Do Notatnika wklej:

 

ShellIconOverlayIdentifiers: [  GoogleDriveBlacklisted] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D42} =>  Brak pliku
ShellIconOverlayIdentifiers: [  GoogleDriveSynced] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D40} =>  Brak pliku
ShellIconOverlayIdentifiers: [  GoogleDriveSyncing] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D41} =>  Brak pliku

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Jeśli w pliku fixlog.txt  te trzy rekordy będą równe "klucz pomyślnie usunięto", nie musisz pliku pokazywać.

 

2. Skasuj narzędzia z folderu scan na Pulpicie. Podobne kroki końcowe z zastosowaniem DelFix i czyszczeniem folderów Przywracania systemu.

[klapek82]

ad. 1 Klucz pomyślnie usunięto.

ad. 2 Wszystko wykonano log w załączeniu.

 

Jeżeli to już koniec, to chciałem Ci Picasso podziękować za pomoc. Od odnalezienia tego forum w internecie, prześledziłem z racji ciekawości poruszanych tu zagadnień kilkadziesiąt wątków, widzę ogrom Twojej pracy (aż zacząłem się zastanawiać czy kiedykolwiek sypiasz). Nie to żebym Ci kadził ale wielki szacun. Jeszcze raz dzięki i dużo zdrowia życzę.

 

Pozdrawiam

 

DelFix.txt

[picasso]

Tak, wszystko wykonane. Pliki C:\delfix.txt na obu systemach oczywiście możesz usunąć z dysku.

 

Temat rozwiązany. Zamykam.