Autor02 Opublikowano 10 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 10 Sierpnia 2016 Dzień dobry, Raz otrzymałem tutaj pomoc, mam nadzieję, że i tym razem się uda coś zaradzić. Otóż dzisiaj rano mama powiedziała mi, że podczas przeglądania internetu późne godziny wieczorne/noc w pewnym momencie pojawił się komunikat od Orange. Czytałem kilka tematów nawet na tym forum, że możliwe, że jest to pomyłka i trafiłem na złe IP (neostrada telefoniczna) i żeby zmienić adres resetem routera lecz nic to nie dało. Wygląda to tak jakby było one stałe choć zawsze było zmienne. Sprawa wygląda tak, że Orange zablokowało internet na całe IP i telefon również nie ma dostępu do żadnej strony, ciągle widnieje komunikat odnośnie Ransomsware.Locky. Mam możliwość usunięcia komunikatu Orange ale wolałbym aby ktoś zerknął czy wszystko jest okej bo kto wie, może u mnie jest to prawdziwe zawiadomienie. Jest tu kilka ważnych rzeczy i nie mogę pozwolić sobie na ich utratę. Może coś przeszkadza w tym komputerze? Niepotrzebne śmieci? Byłbym wdzięczny za sprawdzenie i wskazanie co trzeba usunąć. Logi w załącznikach. Pozdrawiam serdecznie. // edit Piszę z internetu mobilnego od innego dostawcy a ten działa, nie ma żadnej blokady. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
picasso Opublikowano 10 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 10 Sierpnia 2016 Podobnie jak w przypadku reszty tematów ze zgłoszeniami tej planszy, nie widać tu żadnych oznak infekcji. W tej sytuacji nie widzę innej drogi, niż próba wymuszenia zmiany IP. Poboczne działania, tzn. usunięcie starych programów, wpisów odpadkowych oraz czyszczenie Tempów. 1. Deinstalacje: - Odinstaluj stare niebezpieczne wersje (ryzyko infekcji szyfrującej dane): Adobe Flash Player 11 Plugin, Adobe Flash Player 14 ActiveX, Adobe Reader X (10.1.11), Adobe Shockwave Player 11.6, Java 6 Update 31. Najnowsze wersje linkowane w przyklejonym, ale przeczytaj wątek o ograniczaniu wsparcia dla XP: KLIK. - Należy wymienić Avast i Firefox najnowszymi wersjami. - Możesz też odinstalować zbędne programy Bonjour, HP Customer Participation Program 9.0, Pando Media Booster. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 avgtp; C:\WINDOWS\system32\drivers\avgtpx86.sys [42272 2014-04-27] (AVG Technologies) S3 USBAAPL; System32\Drivers\usbaapl.sys [X] HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k HKU\S-1-5-21-1644491937-117609710-682003330-1003\...\Run: [Flvto Youtube Downloader] => "D:\Documents and Settings\Górski\Ustawienia lokalne\Dane aplikacji\Flvto Youtube Downloader\FlvtoYoutubeDownloader.exe" /minimize Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - Brak pliku FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff FF HKLM\...\Firefox\Extensions: [quickprint@hp.com] - C:\Program Files\Hewlett-Packard\SmartPrint\QPExtension => nie znaleziono FF ExtraCheck: C:\Program Files\mozilla firefox\defaults\pref\itms.js [2014-05-26] SearchScopes: HKU\S-1-5-21-1644491937-117609710-682003330-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Górski^Menu Start^Programy^Autostart^Rejestracja FIFA 11.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AQQ DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\GG DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesHelper DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesPDLR DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesTrayAgent DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NokiaSuite.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\screenSHU DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Steam C:\Documents and Settings\All Users\Dane aplikacji\Skype C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{F52E62F6-6FF8-409F-A76E-9107918104E4} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{ADEC9BF6-1CAF-44F8-81A8-CA81B9805690} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{92C012C9-23E5-40D6-8982-DF9039022E03} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{852A6264-8428-4F64-9BFC-DD3AE490243A} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{3CD7488D-4A0B-4F10-BC65-6B6818B32C8E} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{3CD7488D-4A0B-4F10-BC65-6B6818B32C8E} C:\Documents and Settings\All Users\Menu Start\Programy\Minecraft PC Gamer Demo C:\Documents and Settings\Górski\Dane aplikacji\PnkBstrK.sys C:\Documents and Settings\Górski\Dane aplikacji\Opera C:\Documents and Settings\Górski\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Documents and Settings\Górski\Menu Start\Programy\YaTQA.lnk C:\Documents and Settings\Górski\Ustawienia lokalne\Dane aplikacji\Opera C:\Program Files\Opera C:\Program Files\Skype C:\Program Files\Common Files\WireHelpSvc.exe C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\pss\Rejestracja FIFA 11.lnkStartup C:\WINDOWS\system32\drivers\avgtpx86.sys Folder: C:\start CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome zresetuj cache wtyczek, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt. I jeszcze pytanie czy można usunąć (martwy już) GG dysk. Jeśli coś w nim jest potrzebnego, przekopiuj gdzieś, a potem dokasuję jego elementy zrejestru i dysku. Odnośnik do komentarza
Autor02 Opublikowano 10 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 10 Sierpnia 2016 Dziękuję za pomoc! Wszystko wykonałem, firefox'a nie aktualizowałem a usunąłem go (można więc usunąć foldery jeśli jakieś zostały). Folder i wszystko inne związane z GG można usunąć, myślałem, że zrobiłem to rano z poziomu panelu sterowania. Udało się zmienić IP, komunikat zniknął. W załącznikach dodaje nowe logi. Pozdrawiam. FRST.txt Addition.txt Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 10 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 10 Sierpnia 2016 Wszystko wykonane, czyli teraz do usunięcia kolejne szczątki, w tym Firefox i GG Dysk. 1. Uruchom Program Install and Uninstall Troubleshooter. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis po deinstalacji Adobe swMSM > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: BHO: Brak nazwy -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Brak pliku BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll [2012-06-05] (GG Network S.A.) ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll [2012-06-05] (GG Network S.A.) ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll [2012-06-05] (GG Network S.A.) ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll [2012-06-05] (GG Network S.A.) CustomCLSID: HKU\S-1-5-21-1644491937-117609710-682003330-1003_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Documents and Settings\Górski\Dane aplikacji\GG\ggdrive\ggdrive-menu.dll (GG Network S.A.) CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\mozilla.org DeleteKey: HKLM\SOFTWARE\MozillaPlugins C:\Documents and Settings\All Users\Dane aplikacji\Adobe C:\Documents and Settings\All Users\Dane aplikacji\GG C:\Documents and Settings\Górski\Dane aplikacji\GG C:\Documents and Settings\Górski\Dane aplikacji\Mozilla C:\Documents and Settings\Górski\Ulubione\GG dysk*.lnk C:\Documents and Settings\Górski\Ustawienia lokalne\Dane aplikacji\GG C:\Program Files\Mozilla Firefox C:\Program Files\Common Files\Adobe Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Powinien nastąpić restart. Przedstaw wynikowy fixlog.txt. Nowe skany FRST nie są już potrzebne. Foldery GG Dysku z C:\Documents and Settings\Górski dokasuj już ręcznie (po sprawdzeniu czy nie ma w nich nic do zachowania). Odnośnik do komentarza
Autor02 Opublikowano 10 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 10 Sierpnia 2016 Dziękuję za odpowiedź. Pobrałem program z 1. punktu lecz po "zaakceptowaniu" program chce pobrać składniki i po chwili wyskoczył błąd: "Wystąpił błąd podczas pobierania co najmniej jednego składnika. Nie można uruchomić narzędzia do rozwiązywania problemów. Spróbuj ponownie później. Aby pobrać narzędzie do rozwiązywania tego problemu, kliknij tutaj". @picasso niestety w kroku 2. coś poszło nie tak, wkleiłem fixlist i uruchomiłem FRST (naprawianie) i nagle wyskoczył blue screen o sterownikach. Troszkę się przestraszyłem ale uruchomiłem ponownie komputer i wszystko jest jak wcześniej. Z drugiej strony jakiś fixlog mam (załącznik). Czy jest to wina kolejności działań? Fixlog.txt Odnośnik do komentarza
picasso Opublikowano 10 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 10 Sierpnia 2016 Wg Fixlog wykonała się tylko pierwsza komenda zabijania procesów i nic poza tym. Spróbuj wykonać skrypt ograniczony do: swMSM (Version: 12.0.0.1 - Adobe Systems, Inc) Hidden BHO: Brak nazwy -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Brak pliku BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll [2012-06-05] (GG Network S.A.) ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll [2012-06-05] (GG Network S.A.) ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll [2012-06-05] (GG Network S.A.) ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\Documents and Settings\All Users\Dane aplikacji\GG\ggdrive\ggdrive-overlay.dll [2012-06-05] (GG Network S.A.) CustomCLSID: HKU\S-1-5-21-1644491937-117609710-682003330-1003_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Documents and Settings\Górski\Dane aplikacji\GG\ggdrive\ggdrive-menu.dll (GG Network S.A.) CHR HKLM\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx CHR HKLM\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\mozilla.org DeleteKey: HKLM\SOFTWARE\MozillaPlugins C:\Documents and Settings\All Users\Dane aplikacji\Adobe C:\Documents and Settings\All Users\Dane aplikacji\GG C:\Documents and Settings\Górski\Dane aplikacji\GG C:\Documents and Settings\Górski\Dane aplikacji\Mozilla C:\Documents and Settings\Górski\Ulubione\GG dysk*.lnk C:\Documents and Settings\Górski\Ustawienia lokalne\Dane aplikacji\GG C:\Program Files\Mozilla Firefox C:\Program Files\Common Files\Adobe Skrypt ten odkryje też wejście swMSM na liście zainstalowanych. Spróbuj normalnie odinstalować ten odpadek. Odnośnik do komentarza
Autor02 Opublikowano 11 Sierpnia 2016 Autor Zgłoś Udostępnij Opublikowano 11 Sierpnia 2016 Wykonałem wszystko z poprzedniego posta. Wszystko powinno być okej? Addition.txt FRST.txt Odnośnik do komentarza
picasso Opublikowano 11 Sierpnia 2016 Zgłoś Udostępnij Opublikowano 11 Sierpnia 2016 Tak, wszystko wykonane. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Odnośnik do komentarza
Rekomendowane odpowiedzi