Strasznie muli i wyskakują okna po chińsku..

[Madox200]

Witam ! 

 

Chciałem ściągnąć a raczej ściągnąłem program jak to się mówi z nieznanego źródła i zaczęły się problemy , wyskakują przy próbie otwarcia okna z reklamą Bet at home , jakieś strony po chińsku tudzież japońsku , moja wyszukiwarka , którą na co dzień było google też się zmieniła , w panelu sterowania nie ma nic do odinstalowania , proszę o pomoc w zlikwidowaniu tego czegoś.

Addition.txt

FRST.txt

Shortcut.txt

GMER.txt

[picasso]

Masa chińskich instalacji oraz infekcja DNS (podmienione pliki Windows dnsapi.dll) i WMI (reinfekuje skróty przeglądarek w przedefiniowanych odstępach czasu). Działania wstępne do przeprowadzenia:

1. Uruchom RepairDNS. Na Pulpicie powstanie log RepairDNS.txt.

2. Uruchom poniższy skrót deinstalacyjny w Menu Start:

Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师\卸载鲁大师.lnk -> C:\Program Files (x86)\LuDaShi\uninst.exe ()

Dodatkowo, wejdź do poniższych folderów. W każdym sprawdź czy istnieje plik deinstalacyjny (prawdopodobne nazwy: uninst.exe, uninstall.exe, uninstaller.exe), a jeśli tak to z prawokliku na plik "Uruchom jako administrator". Jeśli nie znajdziesz plików deinstalacyjnych lub wystąpią jakieś błędy, nie szkodzi, poniższy skrypt załatwi większość spraw.

C:\Program Files\SpaceSoundPro
C:\Program Files\żěŃą
C:\Program Files (x86)\GreatMaker
C:\Program Files (x86)\KuaiZip
C:\Program Files (x86)\MPC Cleaner
C:\Program Files (x86)\mpck
C:\Program Files (x86)\UCBrowser

3. Przez Panel sterowania odinstaluj stare wersje: Adobe AIR, Adobe Flash Player 17 ActiveX, Adobe Flash Player 22 NPAPI, Adobe Reader XI (11.0.10) - Polish, Java 7 Update 79 (64-bit), Java 8 Update 25, Java SE Development Kit 7 Update 79 (64-bit), Visual Studio 2012 x64 Redistributables, Visual Studio 2012 x86 Redistributables (oba to odpadki po deinstalacji AVG).

4. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
(Microsoft Corporation) C:\Windows\explorer.exe
R2 HpSvc; C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll [239016 2016-07-21] () R2 Kuaizip Update Checker; C:\Program Files (x86)\KuaiZip\X86\kuaizipUpdateChecker.dll [216704 2016-09-07] ()
R2 KuaizipUpdateChecker; C:\Program Files\żěŃą\X86\kuaizipUpdateChecker.dll [219072 2016-09-07] ()
R2 MaohaWifiSvr; C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaohaWifiSvr.exe [170464 2014-12-18] (猫哈网络 版权所有)
R2 MPCProtectService; C:\Program Files (x86)\MPC Cleaner\MPCProtectService.exe [355808 2016-09-07] (DotC United Inc) R2 UCBrowserSvc; C:\Program Files (x86)\UCBrowser\Application\UCService.exe [899984 2016-08-02] ()
R2 ziphost; c:\program files\ziptool\ziphost.dll [114080 2015-11-30] () U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation)
R2 ComputerZLock; C:\Program Files (x86)\LuDaShi\ComputerZLock_x64.sys [44264 2016-05-19] (www.ludashi.com) S3 ComputerZ_x64; C:\Program Files (x86)\LuDaShi\ComputerZ_x64.sys [49152 2016-06-27] (ludashi.com) S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-02-27] ()
R2 KuaiZipDrive; C:\Windows\system32\drivers\KuaiZipDrive.sys [92872 2016-09-07] (WinMount International Inc)
S2 KuaiZipDrive2; C:\Windows\system32\drivers\KuaiZipDrive2.sys [93072 2016-09-07] (WinMount International Inc) R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-02] (Huorong Borui (Beijing) Technology Co., Ltd.) S1 ArcCtrl; system32\drivers\ArcCtrl.sys [X]
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
R1 MaohaWifiNetPro; \??\C:\Program Files (x86)\GreatMaker\MaohaWiFi\MaoHaWiFiNet64.sys [X]
R1 MPCKpt; system32\DRIVERS\MPCKpt.sys [X] NETSVCx32: HpSvc -> C:\Program Files (x86)\LuDaShi\lpi\HpSvc.dll ()
ShellIconOverlayIdentifiers: [JzShlobj] -> {7B286609-DA97-47E1-AC6B-33B8B4732C95} => Brak pliku
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2016-09-07] ()
ShellIconOverlayIdentifiers: [KzShlobj2] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F3} => C:\Program Files (x86)\KuaiZip\X64\KZipShell.dll [2016-09-07] ()
HKU\S-1-5-21-2469171809-464102732-1853336734-1001\...\Run: [msiql] => C:\Users\Stefan\AppData\Local\Temp\msiql.exe /RUNNING HKU\S-1-5-21-2469171809-464102732-1853336734-1001\...\Run: [ComputerZ-Tray] => C:\Program Files (x86)\LuDaShi\ComputerZTray.exe [2976680 2016-08-24] ()
HKU\S-1-5-21-2469171809-464102732-1853336734-1001\...\Policies\Explorer: [RestrictRun] 0
HKLM\...\Policies\Explorer: [RestrictRun] 0
Task: {00083533-60EC-4C15-BA52-EFA455DC414E} - System32\Tasks\{5DC0F6A7-3172-4D09-A1E0-14D850336455} => pcalua.exe -a "C:\Program Files (x86)\mpck\uninstaller.exe"
Task: {3CA2C85C-5810-4CF0-B93B-62DA0ACAA9F5} - System32\Tasks\UnregisterNonABICompliantCodeRange => C:\PROGRA~2\8js1E8B\i0o1E8B.bat Task: {5AF3E7FB-C40A-4373-A8D5-F2CE44FFE6DC} - System32\Tasks\Drogoghtsocerse Helper => C:\Program Files (x86)\Woctioncogesh\DrgHelperKlc.exe
Task: {5F2B5512-FA12-44B2-9EF3-265F22FD5179} - System32\Tasks\{9D940323-563F-4E1C-9180-680B6CF4C100} => pcalua.exe -a "C:\Program Files (x86)\EasyHotspot\uninstaller.exe"
Task: {7E55B478-CC77-4672-BAC1-B1ACD22319D9} - System32\Tasks\KuaiZip_Update => C:\Program Files\żěŃą\X86\Update.exe [2016-09-07] (Shanghai Guangle Network Technology Ltd
) Task: {9074A077-AD81-427D-86E9-7E8CE265A0EE} - \SMW_P -> Brak pliku Task: {BDE61454-24C8-4F7F-B81C-FB2270245133} - System32\Tasks\{42EF222B-6DE4-40BF-9D91-F141719A754B} => pcalua.exe -a "C:\Program Files (x86)\MPC Cleaner\Uninstall.exe" -c /xuninstall
Task: {F266B8A1-FFF9-4640-92BE-5EE2781C175B} - System32\Tasks\{C54ED715-26DF-4DDF-A85E-43143223D61F} => pcalua.exe -a "C:\Program Files\SpaceSoundPro\uninstaller.exe"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"
WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Stefan\Desktop\Skróty\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www%2dsearching.com/?prd=set_epf&s=g97zamobl2140bu,1adabb25-6e16-4bd3-b316-b5c3449df784,
ShortcutWithArgument: C:\Users\Stefan\Desktop\Dysk D\SAMSUNG\sol\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www%2dsearching.com/?prd=set_epf&s=g97zamobl2140bu,1adabb25-6e16-4bd3-b316-b5c3449df784,
ShortcutWithArgument: C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www%2dsearching.com/?prd=set_epf&s=g97zamobl2140bu,1adabb25-6e16-4bd3-b316-b5c3449df784,
ShortcutWithArgument: C:\Users\Stefan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Stefan\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\Stefan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Stefan\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Stefan\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
SearchScopes: HKU\S-1-5-21-2469171809-464102732-1853336734-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
DeleteKey: HKCU\Software\Google\Chrome\Extensions
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
CMD: regsvr32 /u /s "C:\Program Files\żěŃą\X64\KZipShell.dll"
CMD: regsvr32 /u /s "C:\Program Files (x86)\KuaiZip\X64\KZipShell.dll"
CMD: regsvr32 /u /s "C:\Program Files (x86)\LuDaShi\ComputerZ7_x64.dll"
C:\Program Files\SpaceSoundPro
C:\Program Files\ZipTool
C:\Program Files\żěŃą
D:\Program Files\MS.Default
C:\Program Files (x86)\30393644-1473274685-3043-3041-363831314531
C:\Program Files (x86)\GreatMaker
C:\Program Files (x86)\KuaiZip
C:\Program Files (x86)\LDSGameCenter
C:\Program Files (x86)\LuDaShi
C:\Program Files (x86)\Mozilla Firefox
C:\Program Files (x86)\MPC Cleaner
C:\Program Files (x86)\mpck
C:\Program Files (x86)\SOEasy.3
C:\Program Files (x86)\SOEasy.4
C:\Program Files (x86)\SOEasy.5
C:\Program Files (x86)\SOEasy.6
C:\Program Files (x86)\UCBrowser
C:\Program Files (x86)\WeatherChickn
C:\Program Files (x86)\Woctioncogesh
C:\ProgramData\ArcSoft
C:\ProgramData\AVG
C:\ProgramData\Avira
C:\ProgramData\AVAST Software
C:\ProgramData\cosun
C:\ProgramData\Mozilla
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Compress
C:\uninst
C:\Users\Stefan\AppData\Local\30393644-1473281992-3043-3041-363831314531
C:\Users\Stefan\AppData\Local\app
C:\Users\Stefan\AppData\Local\Apps\2.0\abril.exe
C:\Users\Stefan\AppData\Local\ArcSoft
C:\Users\Stefan\AppData\Local\jervitheranaqientviriied
C:\Users\Stefan\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk
C:\Users\Stefan\AppData\Local\Mozilla
C:\Users\Stefan\AppData\Local\Poker at bet365
C:\Users\Stefan\AppData\Local\Tempfolder
C:\Users\Stefan\AppData\Local\UCBrowser
C:\Users\Stefan\AppData\Roaming\*.*
C:\Users\Stefan\AppData\Roaming\ArcSoft
C:\Users\Stefan\AppData\Roaming\Geunfy
C:\Users\Stefan\AppData\Roaming\KuaiZip
C:\Users\Stefan\AppData\Roaming\Ludashi
C:\Users\Stefan\AppData\Roaming\Mozilla
C:\Users\Stefan\AppData\Roaming\Profiles
C:\Users\Stefan\AppData\Roaming\Softlink
C:\Users\Stefan\AppData\Roaming\VDI
C:\Users\Stefan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\MaohaWiFi.lnk
C:\Users\Stefan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk
C:\Users\Stefan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器.lnk
C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\KuaiZip.lnk
C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk
C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk
C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome
C:\Users\Stefan\Desktop\żěŃą.lnk
C:\Users\Stefan\Desktop\Arcsoft TotalMedia 3.5.7.359   keygen.zip
C:\Windows\system32\bi3.exe
C:\Windows\system32\Drivers\EsgScanner.sys
C:\Windows\system32\Drivers\KuaiZipDrive.sys
C:\Windows\system32\Drivers\KuaiZipDrive2.sys
C:\Windows\system32\Drivers\ucguard.sys
C:\Windows\system32\Drivers\VirtualizerDDK.sys
C:\Windows\system32\sik
C:\Windows\SysWOW64\Drivers\afc.sys
Hosts:
EmptyTemp:

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8

Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

5. Wyczyść Google Chrome z adware:

Jest tu ustawiony jako domyślny profil zaciphmuqshdreceward, wprowadzony przez adware. Proponuję przeinstalować Google Chrome od zera, przy deinstalacji zaznacz opcję Usuń także dane przeglądarki. Przy ponownej instalacji ustaw Chrome jako domyślną przeglądarkę. Obecnie w raportach niepożądany UCBrowser.

6. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też pliki fixlog.txt i RepairDNS.txt.

[Madox200]

Miałem trochę problem z tym programem repairdns , dopiero za 3 razem mi się raport zrobił , dodatkowo np zdjęcia są opisane jakimś numerem a rozszerzenie ich to cerber3

RepairDNS.txt

Fixlog.txt

Addition.txt

FRST.txt

[picasso]

Niestety Fix FRST nie wykonał się, przetworzone ledwie kilka początkowych linii. Nadal nie wyleczona 32-bitowa kopia pliku C:\Windows\SysWOW64\dnsapi.dll. Ponadto, postępująca tragedia, doinstalowało się nowe malware (trojan Ropest i infekcja Cerber szyfrująca dane). Cerber w najnowszym wariancie (rozszerzenie *.cerber3). Wygląda na to, że to skutek kolejnych prób z pirackimi programami, niektóre obiekty infekcji powstały zaraz po pojawieniu się "Arcsoft_totalmedia_3_serial_key_downloader.exe" + "ArcSoft TotalMedia.torrent".

Plików cerber niestety nie da się odkodować. Jedyne co jestem w stanie zrobić, to wyczyścić infekcje. Na dalszą metę i tak będzie zalecany format dysku, ze względów bezpieczeństwa. Kolejne działania:

1. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
(Microsoft Corporation) C:\Windows\explorer.exe
ShellIconOverlayIdentifiers: [0PerformanceMonitor] -> {3B5B973C-92A4-4855-9D3F-0F3D23332208} => C:\ProgramData\Microsoft\Performance\Monitor\PerformanceMonitor.dll [2016-09-08] ()
ShellIconOverlayIdentifiers: [JzShlobj] -> {7B286609-DA97-47E1-AC6B-33B8B4732C95} => Brak pliku
ShellIconOverlayIdentifiers: [KzShlobj] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F2} => C:\Program Files\żěŃą\X64\KZipShell.dll [2016-09-07] ()
ShellIconOverlayIdentifiers: [KzShlobj2] -> {AAA0C5B8-933F-4200-93AD-B143D7FFF9F3} => C:\Program Files (x86)\KuaiZip\X64\KZipShell.dll [2016-09-07] ()
Winlogon\Notify\txtpass: C:\Users\Stefan\AppData\Local\txtpass.dll [2016-09-08] ()
HKU\S-1-5-21-2469171809-464102732-1853336734-1001\...\Run: [msiql] => C:\Users\Stefan\AppData\Local\Temp\msiql.exe /RUNNING HKU\S-1-5-21-2469171809-464102732-1853336734-1001\...\Run: [iwfbsoft] => C:\Users\Stefan\AppData\Local\Iwfbsoft\tmp548B.exe [155309 2016-09-08] ()
HKU\S-1-5-21-2469171809-464102732-1853336734-1001\...\Run: [uwwlmedia] => regsvr32.exe C:\Users\Stefan\AppData\Local\Uwwlmedia\trkgyqww.dll HKU\S-1-5-21-2469171809-464102732-1853336734-1001\...\Run: [igklsoft] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Stefan\AppData\Local\Iwfbsoft\lpjjiqtv.dll
HKU\S-1-5-21-2469171809-464102732-1853336734-1001\...\Run: [txtpass] => C:\Users\Stefan\AppData\Local\txtpass.dll [41472 2016-09-08] () HKU\S-1-5-21-2469171809-464102732-1853336734-1001\...\Policies\Explorer: [RestrictRun] 0
HKLM\...\Policies\Explorer: [RestrictRun] 0
R2 jinyvymuzbt; C:\Program Files (x86)\30393644-1473274685-3043-3041-363831314531\kns9024.tmp [439296 2016-09-08] () [brak podpisu cyfrowego]
R2 bebomiquzbt; C:\Program Files (x86)\30393644-1473333862-3043-3041-363831314531\knsjED95.tmpfs [X]
R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-02] (Huorong Borui (Beijing) Technology Co., Ltd.) S1 ArcCtrl; system32\drivers\ArcCtrl.sys [X]
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
NETSVCx32: HpSvc -> Brak ścieżki do pliku.
Task: {00083533-60EC-4C15-BA52-EFA455DC414E} - System32\Tasks\{5DC0F6A7-3172-4D09-A1E0-14D850336455} => pcalua.exe -a "C:\Program Files (x86)\mpck\uninstaller.exe"
Task: {3CA2C85C-5810-4CF0-B93B-62DA0ACAA9F5} - System32\Tasks\UnregisterNonABICompliantCodeRange => C:\PROGRA~2\8js1E8B\i0o1E8B.bat Task: {5AF3E7FB-C40A-4373-A8D5-F2CE44FFE6DC} - System32\Tasks\Drogoghtsocerse Helper => C:\Program Files (x86)\Woctioncogesh\DrgHelperKlc.exe
Task: {5F2B5512-FA12-44B2-9EF3-265F22FD5179} - System32\Tasks\{9D940323-563F-4E1C-9180-680B6CF4C100} => pcalua.exe -a "C:\Program Files (x86)\EasyHotspot\uninstaller.exe"
Task: {7E55B478-CC77-4672-BAC1-B1ACD22319D9} - System32\Tasks\KuaiZip_Update => C:\Program Files\żěŃą\X86\Update.exe [2016-09-07] (Shanghai Guangle Network Technology Ltd
) Task: {BDE61454-24C8-4F7F-B81C-FB2270245133} - System32\Tasks\{42EF222B-6DE4-40BF-9D91-F141719A754B} => pcalua.exe -a "C:\Program Files (x86)\MPC Cleaner\Uninstall.exe" -c /xuninstall
Task: {F266B8A1-FFF9-4640-92BE-5EE2781C175B} - System32\Tasks\{C54ED715-26DF-4DDF-A85E-43143223D61F} => pcalua.exe -a "C:\Program Files\SpaceSoundPro\uninstaller.exe"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"
WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Stefan\Desktop\Skróty\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www%2dsearching.com/?prd=set_epf&s=g97zamobl2140bu,1adabb25-6e16-4bd3-b316-b5c3449df784,
ShortcutWithArgument: C:\Users\Stefan\Desktop\Dysk D\SAMSUNG\sol\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> hxxp://www%2dsearching.com/?prd=set_epf&s=g97zamobl2140bu,1adabb25-6e16-4bd3-b316-b5c3449df784,
ShortcutWithArgument: C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www%2dsearching.com/?prd=set_epf&s=g97zamobl2140bu,1adabb25-6e16-4bd3-b316-b5c3449df784,
ShortcutWithArgument: C:\Users\Stefan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Stefan\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\Stefan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Stefan\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) -> --load-extension="C:\Users\Stefan\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk" hxxp://yeabests.cc
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
SearchScopes: HKU\S-1-5-21-2469171809-464102732-1853336734-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
DeleteKey: HKCU\Software\Google\Chrome\Extensions
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
CMD: regsvr32 /u /s "C:\Program Files\żěŃą\X64\KZipShell.dll"
CMD: regsvr32 /u /s "C:\Program Files (x86)\KuaiZip\X64\KZipShell.dll"
CMD: regsvr32 /u /s "C:\Program Files (x86)\LuDaShi\ComputerZ7_x64.dll"
C:\Program Files\SpaceSoundPro
C:\Program Files\ZipTool
C:\Program Files\żěŃą
D:\Program Files\MS.Default
C:\Program Files (x86)\30393644-1473274685-3043-3041-363831314531
C:\Program Files (x86)\30393644-1473333862-3043-3041-363831314531
C:\Program Files (x86)\GreatMaker
C:\Program Files (x86)\KuaiZip
C:\Program Files (x86)\LDSGameCenter
C:\Program Files (x86)\LuDaShi
C:\Program Files (x86)\Mozilla Firefox
C:\Program Files (x86)\MPC Cleaner
C:\Program Files (x86)\mpck
C:\Program Files (x86)\SOEasy.3
C:\Program Files (x86)\SOEasy.4
C:\Program Files (x86)\SOEasy.5
C:\Program Files (x86)\SOEasy.6
C:\Program Files (x86)\UCBrowser
C:\Program Files (x86)\WeatherChickn
C:\Program Files (x86)\Woctioncogesh
C:\ProgramData\ArcSoft
C:\ProgramData\AVG
C:\ProgramData\Avira
C:\ProgramData\AVAST Software
C:\ProgramData\cosun
C:\ProgramData\Mozilla
C:\ProgramData\Microsoft\Performance
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Compress
C:\uninst
C:\Users\Stefan\AppData\Local\txtpass.dll
C:\Users\Stefan\AppData\Local\30393644-1473281992-3043-3041-363831314531
C:\Users\Stefan\AppData\Local\app
C:\Users\Stefan\AppData\Local\Apps\2.0\abril.exe
C:\Users\Stefan\AppData\Local\ArcSoft
C:\Users\Stefan\AppData\Local\Iwfbsoft
C:\Users\Stefan\AppData\Local\jervitheranaqientviriied
C:\Users\Stefan\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk
C:\Users\Stefan\AppData\Local\Mozilla
C:\Users\Stefan\AppData\Local\Poker at bet365
C:\Users\Stefan\AppData\Local\Tempfolder
C:\Users\Stefan\AppData\Local\UCBrowser
C:\Users\Stefan\AppData\Local\Uwwlmedia
C:\Users\Stefan\AppData\Roaming\*.*
C:\Users\Stefan\AppData\Roaming\ArcSoft
C:\Users\Stefan\AppData\Roaming\Geunfy
C:\Users\Stefan\AppData\Roaming\KuaiZip
C:\Users\Stefan\AppData\Roaming\KZMount
C:\Users\Stefan\AppData\Roaming\Ludashi
C:\Users\Stefan\AppData\Roaming\Mozilla
C:\Users\Stefan\AppData\Roaming\Profiles
C:\Users\Stefan\AppData\Roaming\Softlink
C:\Users\Stefan\AppData\Roaming\VDI
C:\Users\Stefan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\MaohaWiFi.lnk
C:\Users\Stefan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk
C:\Users\Stefan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器.lnk
C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\KuaiZip.lnk
C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk
C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk
C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome
C:\Users\Stefan\Desktop\żěŃą.lnk
C:\Users\Stefan\Desktop\Arcsoft TotalMedia 3.5.7.359   keygen.zip
C:\Users\Stefan\Desktop\ArcSoft TotalMedia
C:\Users\Stefan\Downloads\Arcsoft_totalmedia_3_serial_key_downloader.exe
C:\Users\Stefan\Downloads\ArcSoft TotalMedia.torrent
C:\Users\Stefan\Downloads\TotalMedia Extreme3.gz
C:\Windows\system32\bi3.exe
C:\Windows\system32\Drivers\EsgScanner.sys
C:\Windows\system32\Drivers\KuaiZipDrive.sys
C:\Windows\system32\Drivers\KuaiZipDrive2.sys
C:\Windows\system32\Drivers\ucguard.sys
C:\Windows\system32\Drivers\VirtualizerDDK.sys
C:\Windows\system32\sik
C:\Windows\SysWOW64\Drivers\afc.sys
Hosts:
EmptyTemp:

Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8

Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie kolejny fixlog.txt.

2. Ponownie uruchom RepairDNS i po jego użyciu zresetuj system.

3. Uruchom RansomNoteCleaner (sekcja "Ransom - zaszyfrowane pliki").

4. Wszystkie operacje z Google Chrome podane wcześniej nadal aktualne, zero zmian w dostarczonych raportach.

5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też pliki fixlog.txt i RepairDNS.txt.

[Madox200]

 A czy RansomNoteCleaner to pousuwa zakodowane pliki z mojego komputera ??

 

I czy na 100% nie ma żadnej możliwości aby odkodować pliki ?

 

Co do chroma to odinstalowałem w panelu sterowania a ikonka na pasku dalej jest i sie odpala więc pewnie też ju zawirusowany.

[picasso]

A czy RansomNoteCleaner to pousuwa zakodowane pliki z mojego komputera ??

Nie, ta aplikacja usuwa tylko pliki dodatkowe wyświetlające żądanie okupu.

 

 

I czy na 100% nie ma żadnej możliwości aby odkodować pliki ?

Niestety nie ma.

 

 

Co do chroma to odinstalowałem w panelu sterowania a ikonka na pasku dalej jest i sie odpala więc pewnie też ju zawirusowany.

Pomiń ten krok, Chrome usunę na siłę na podstawie nowych raportów FRST.

[Madox200]

Ok , czekam na dalsze instrukcje

Addition.txt

FRST.txt

RepairDNS.txt

Fixlog.txt

[picasso]

Zabrakło pliku fixlog.txt z wynikami usuwania. Dostarcz go przed przejściem do poniższych działań (doczepiając w poście powyżej), bo już widać po logu FRST że niestety nie wszystko usunięte... I mam pytanie, czy Ty przerywasz pracę FRST podczas opcji Fix (niecierpliwiąc się ze względu na długie przetwarzanie) czy występuje jakiś błąd? To już drugi raz, gdy Fix nie kończy roboty...

I w międzyczasie doinstalowałeś lewy skaner SpyHunter! To program którego należy unikać, reklamowany na stronach rzekomych instrukcji usuwania, a chodzi tylko o to by go zainstalować i płacić za pełną wersję (która na dodatek w ogóle nie rozwiąże problemu np. zaszyfrowanych plików). Nie podejmuj działań na własną rękę.

 

 

 

---

 

Kolejne podejście:

 

1. Odinstaluj SpyHunter 4. Następnie, niezależnie od tego czy deinstalacja się powiedzie czy wręcz przeciwnie, zastosuj SpyHunterCleaner.

2. Otwórz Notatnik i wklej w nim:

CloseProcesses:
Winlogon\Notify\txtpass: C:\Users\Stefan\AppData\Local\txtpass.dll [2016-09-08] ()
Task: {00083533-60EC-4C15-BA52-EFA455DC414E} - System32\Tasks\{5DC0F6A7-3172-4D09-A1E0-14D850336455} => pcalua.exe -a "C:\Program Files (x86)\mpck\uninstaller.exe"
Task: {3CA2C85C-5810-4CF0-B93B-62DA0ACAA9F5} - System32\Tasks\UnregisterNonABICompliantCodeRange => C:\PROGRA~2\8js1E8B\i0o1E8B.bat Task: {5AF3E7FB-C40A-4373-A8D5-F2CE44FFE6DC} - System32\Tasks\Drogoghtsocerse Helper => C:\Program Files (x86)\Woctioncogesh\DrgHelperKlc.exe
Task: {5F2B5512-FA12-44B2-9EF3-265F22FD5179} - System32\Tasks\{9D940323-563F-4E1C-9180-680B6CF4C100} => pcalua.exe -a "C:\Program Files (x86)\EasyHotspot\uninstaller.exe"
Task: {7E55B478-CC77-4672-BAC1-B1ACD22319D9} - System32\Tasks\KuaiZip_Update => C:\Program Files\żěŃą\X86\Update.exe [2016-09-07] (Shanghai Guangle Network Technology Ltd
) Task: {BDE61454-24C8-4F7F-B81C-FB2270245133} - System32\Tasks\{42EF222B-6DE4-40BF-9D91-F141719A754B} => pcalua.exe -a "C:\Program Files (x86)\MPC Cleaner\Uninstall.exe" -c /xuninstall
Task: {F266B8A1-FFF9-4640-92BE-5EE2781C175B} - System32\Tasks\{C54ED715-26DF-4DDF-A85E-43143223D61F} => pcalua.exe -a "C:\Program Files\SpaceSoundPro\uninstaller.exe"
R1 UCGuard; C:\Windows\System32\DRIVERS\ucguard.sys [81792 2016-08-02] (Huorong Borui (Beijing) Technology Co., Ltd.) S1 ArcCtrl; system32\drivers\ArcCtrl.sys [X]
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
NETSVCx32: HpSvc -> Brak ścieżki do pliku.
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver"
WMI_ActiveScriptEventConsumer_ASEC: ShortcutWithArgument: C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://yeabests.cc
ShortcutWithArgument: C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www%2dsearching.com/?prd=set_epf&s=g97zamobl2140bu,1adabb25-6e16-4bd3-b316-b5c3449df784,
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page =
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
SearchScopes: HKU\S-1-5-21-2469171809-464102732-1853336734-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
DeleteKey: HKCU\Software\Google\Chrome
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
CMD: regsvr32 /u /s "C:\Program Files\żěŃą\X64\KZipShell.dll"
CMD: regsvr32 /u /s "C:\Program Files (x86)\KuaiZip\X64\KZipShell.dll"
CMD: regsvr32 /u /s "C:\Program Files (x86)\LuDaShi\ComputerZ7_x64.dll"
C:\Program Files\SpaceSoundPro
C:\Program Files\ZipTool
C:\Program Files\żěŃą
D:\Program Files\MS.Default
C:\Program Files (x86)\30393644-1473274685-3043-3041-363831314531
C:\Program Files (x86)\30393644-1473333862-3043-3041-363831314531
C:\Program Files (x86)\Google\Chrome
C:\Program Files (x86)\GreatMaker
C:\Program Files (x86)\KuaiZip
C:\Program Files (x86)\LDSGameCenter
C:\Program Files (x86)\LuDaShi
C:\Program Files (x86)\Mozilla Firefox
C:\Program Files (x86)\MPC Cleaner
C:\Program Files (x86)\mpck
C:\Program Files (x86)\SOEasy.3
C:\Program Files (x86)\SOEasy.4
C:\Program Files (x86)\SOEasy.5
C:\Program Files (x86)\SOEasy.6
C:\Program Files (x86)\UCBrowser
C:\Program Files (x86)\WeatherChickn
C:\Program Files (x86)\Woctioncogesh
C:\ProgramData\ArcSoft
C:\ProgramData\AVG
C:\ProgramData\Avira
C:\ProgramData\AVAST Software
C:\ProgramData\cosun
C:\ProgramData\Mozilla
C:\ProgramData\Microsoft\Performance
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\鲁大师
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Compress
C:\uninst
C:\Users\Stefan\AppData\Local\txtpass.dll
C:\Users\Stefan\AppData\Local\30393644-1473281992-3043-3041-363831314531
C:\Users\Stefan\AppData\Local\app
C:\Users\Stefan\AppData\Local\Apps\2.0\abril.exe
C:\Users\Stefan\AppData\Local\ArcSoft
C:\Users\Stefan\AppData\Local\Google\Chrome
C:\Users\Stefan\AppData\Local\Iwfbsoft
C:\Users\Stefan\AppData\Local\jervitheranaqientviriied
C:\Users\Stefan\AppData\Local\kemgadeojglibflomicgnfeopkdfflnk
C:\Users\Stefan\AppData\Local\Mozilla
C:\Users\Stefan\AppData\Local\Poker at bet365
C:\Users\Stefan\AppData\Local\Tempfolder
C:\Users\Stefan\AppData\Local\UCBrowser
C:\Users\Stefan\AppData\Local\Uwwlmedia
C:\Users\Stefan\AppData\Roaming\*.*
C:\Users\Stefan\AppData\Roaming\ArcSoft
C:\Users\Stefan\AppData\Roaming\Corner Sunshine
C:\Users\Stefan\AppData\Roaming\Geunfy
C:\Users\Stefan\AppData\Roaming\KuaiZip
C:\Users\Stefan\AppData\Roaming\KZMount
C:\Users\Stefan\AppData\Roaming\Ludashi
C:\Users\Stefan\AppData\Roaming\Mozilla
C:\Users\Stefan\AppData\Roaming\Profiles
C:\Users\Stefan\AppData\Roaming\Softlink
C:\Users\Stefan\AppData\Roaming\VDI
C:\Users\Stefan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk
C:\Users\Stefan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\MaohaWiFi.lnk
C:\Users\Stefan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\UC浏览器.lnk
C:\Users\Stefan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk
C:\Users\Stefan\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\UC浏览器.lnk
C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\KuaiZip.lnk
C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\żěŃą.lnk
C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome
C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器
C:\Users\Stefan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\UC浏览器.lnk
C:\Users\Stefan\Desktop\żěŃą.lnk
C:\Users\Stefan\Desktop\Arcsoft TotalMedia 3.5.7.359   keygen.zip
C:\Users\Stefan\Desktop\ArcSoft TotalMedia
C:\Users\Stefan\Desktop\Dysk D\SAMSUNG\sol\Google Chrome.lnk
C:\Users\Stefan\Desktop\Skróty\Google Chrome.lnk
C:\Users\Stefan\Downloads\Arcsoft_totalmedia_3_serial_key_downloader.exe
C:\Users\Stefan\Downloads\ArcSoft TotalMedia.torrent
C:\Users\Stefan\Downloads\ReimageRepair.exe
C:\Users\Stefan\Downloads\TotalMedia Extreme3.gz
C:\Windows\Reimage.ini
C:\Windows\system32\bi3.exe
C:\Windows\system32\Drivers\EsgScanner.sys
C:\Windows\system32\Drivers\KuaiZipDrive.sys
C:\Windows\system32\Drivers\KuaiZipDrive2.sys
C:\Windows\system32\Drivers\ucguard.sys
C:\Windows\system32\Drivers\VirtualizerDDK.sys
C:\Windows\system32\sik
C:\Windows\SysWOW64\Drivers\afc.sys
Hosts:
EmptyTemp:

Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8

Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, ma nastąpić automatyczny restart Windows, opuść Tryb awaryjny. Powstanie kolejny fixlog.txt (nadpisze poprzedni).

 

3. Co właściwie zrobiłeś w programie RansomNoteCleaner? Czy program wykrywa pliki Cerber? Czy coś usuwałeś? W raporcie nadal notatki ransom. Powtórz operację z programem, wykryte pliki dodane przez Cerber powinny zostać usunięte. W tym samym folderze skąd uruchamiasz narzędzie powstanie plik RansomNoteCleaner.log, zmień ręcznie rozszerzenie na txt.

 

4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, bez Shortcut. Dołącz też pliki fixlog.txt (chodzi o plik z tego podejścia) oraz RansomNoteCleaner.txt.

[Madox200]

Ani razu nie przerwałem , tzn. na programie wyskakuje ze brak odpowiedzi wiesza się i po pewnym czasie staram się zamnkąć , czy jednak czekać nawet jak jest brak odpowiedzi ??

RansomNoteCleaner.txt

[picasso]

Próba zamknięcia, gdy program coś robi, jest tożsama z przerwaniem jego działania i wykonywania skryptu. Tak, czekać nawet jeśli jest "brak odpowiedzi", to nie jest jednoznaczne z tym że FRST całkowicie się zawiesił. Określone operacje mogą trwać. Oczywiście program nie może wisieć z tym komunikatem godzinami, wtedy trzeba go zamknąć. Wg logów FRST zacina się na przetwarzaniu sterownika UCGuard. Toteż powyżej podałam, by tym razem skrypt uruchomić z poziomu Trybu awaryjnego Windows.

 

PS. A podany powyżej Fixlog to nie jest ten właściwy, uruchomiłeś ponownie ten sam skrypt, który nie jest już aktualny. Miałeś dostarczyć Fixlog z poprzedniego uruchomienia.

[Madox200]

Czyli moge działać dalej , teraz na awaryjnym ?

[picasso]

Podałam powyżej instrukcje, tylko punkt 2 z (nowym) skryptem w trybie awaryjnym.

[Madox200]

Zrobione

 

Proszę Cię odrazu o informację jaki antywirus czy też inny program zainstalować po formacie strasznie dziękuję że mi pomagasz

Fixlog.txt

Addition.txt

FRST.txt

RansomNoteCleaner.txt

[picasso]

Nareszcie, skrypt FRST wykonał się do końca. Infekcja nie jest już czynna, teraz już tylko poprawki. Log RansomNoteCleaner wygląda jakby narzędzie zajmowało się tylko folderem Pulpitu i jego podfolderami, a w logu FRST nadal widać notki ransom w innych lokalizacjach.

 

Kolejna porcja działań:

 

1. Ustaw tymczasowo Internet Explorer jako domyślną przeglądarkę, gdyż nadal widać przypisany UCBrowser.

 

2. Otwórz Notatnik i wklej w nim:

 

Winlogon\Notify\txtpass-x32: C:\Users\Stefan\AppData\Local\txtpass.dll [X]
SearchScopes: HKU\S-1-5-21-2469171809-464102732-1853336734-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
S3 Afc; SysWOW64\drivers\Afc.sys [X]
S3 EsgScanner; system32\DRIVERS\EsgScanner.sys [X]
RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\Program Files (x86)\Adobe
RemoveDirectory: C:\ProgramData\Adobe
RemoveDirectory: C:\ProgramData\MFAData
RemoveDirectory: C:\Qoobox
RemoveDirectory: C:\Users\Stefan\AppData\Local\30393644-1473352024-3043-3041-363831314531
StartBatch:
ipconfig /flushdns
netsh advfirewall reset
attrib -h -s "C:\# HELP DECRYPT #.*" /s
attrib -h -s "D:\# HELP DECRYPT #.*" /s
del /q C:\Users\Stefan\AppData\Roaming\changelog
del /q C:\Users\Stefan\Downloads\hzoc3cog.exe
del /q C:\Users\Stefan\Downloads\jhnmqgsg.exe
del /q /s "C:\# HELP DECRYPT #.*"
del /q /s "D:\# HELP DECRYPT #.*"
EndBatch:

 

Tym razem nie musisz zapisywać pliku w UTF-8, ani wykonywać skryptu z poziomu trybu awaryjnego. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nie powinno być restartu. Przedstaw wynikowy fixlog.txt.

 

3. Uruchom AdwCleaner (był wcześniej używany, ale nie wiadomo co robił). Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

 

 

 

Proszę Cię odrazu o informację jaki antywirus czy też inny program zainstalować po formacie

To podam na końcu. Jeszcze czyszczenie w toku.

[Madox200]

Oto pliki

AdwCleanerS0.txt

Fixlog.txt

[picasso]

1. Pomyliłeś się przy wklejaniu Fixlist do Notatnika, skleiłeś jedną z końcowych linii i się nie wykonało usuwanie plików z C. Poprawka - do Notatnika wklej:

 

CMD: del /q /s "C:\# HELP DECRYPT #.*"

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

 

2. AdwCleaner wykrył tylko szczątki adware w rejestrze. Uruchom go ponownie i tym razem wybierz po kolei opcje Skanuj + Usuń. Przedstaw log wynikowy z usuwania.

[Madox200]

Proszę

AdwCleanerC0.txt

Fixlog.txt

[picasso]

Wszystko zrobione. Teraz jeszcze:

 

1. Uruchom DelFix, który ma skasować użyte narzędzia.

 

2. Przeprowadź skan za pomocą Hitman Pro. Jeśli coś wykryje, dostarcz log.

[Madox200]

proszę

DelFix.txt

HitmanPro_20160908_2231.txt

[picasso]

1. Jeśli chodzi o wyniki Hitman: Ręcznie skasuj z Pulpitu cały folder Arcsoft TotalMedia Theatre 6.0.1.123 Final [Multi Rus], jest w nim keygen, który nie wygląda na nic dobrego. Pozostałe wyniki potraktuj za pomocą programu. Po usuwaniu wyczyść foldery Przywracania systemu: KLIK.

 

2. Możesz zająć się kopiowaniem ważnych plików zakodowanych do postaci *.cerber3 na nośnik zewnętrzny, na wszelki wypadek gdyby w przyszłości pojawiło się jakieś rozwiązanie. W dogodnym dla siebie czasie wykonaj format dysku systemowego. Po formacie zmień hasła do serwisów (bank, poczta, serwisy społecznościowe, etc.)

 

3. Lista programów zabezpieczających tutaj: KLIK. Dowolny antywirus z listy będzie OK. Natomiast jeśli chodzi o dodatkowe zabezpieczenia przed infekcjami szyfrującymi dane, następujące pomoce do wyboru:

 

Darmowe:

 

Anti-Exploit, Anti-Ransomware / Zabezpieczenia przed infekcjami szyfrującymi dane

• Bitdefender Anti-Ransomware
• CryptoPrevent Free Edition
• EMET (Enhanced Mitigation Experience Toolkit)
• Malwarebytes Anti-Exploit Free [Przez 14-dni można testować wszystkie funkcje, potem następuje przełączenie na limitowaną wersję freeware]

Inne monitory / Anti-exe, śledzenie zachowań, HIPS

• NoVirusThanks EXE Radar Pro [beta] [starsza wersja stabilna jest płatna]
• VoodooShield Free

Komercyjne:

 

Anti-Exploit, Anti-Ransomware / Zabezpieczenia przed infekcjami szyfrującymi dane

• CryptoPrevent Premium
• HitmanPro.Alert
• Malwarebytes Anti-Exploit (MBAE) Premium
• Malwarebytes Anti-Ransomware [beta. Produkt przejściowy, jego funkcjonalność zostanie scalona z Malwarebytes Anti-Malware.]
• WinAntiRansom PLUS

Inne monitory / Anti-exe, śledzenie zachowań, HIPS

• AppGuard
• VoodooShield Pro

Niezbędne też wykonywanie kopii zapasowych cennych danych.

[Madox200]

Miałem zająć się tym wszystkim dziś wieczorem ale postanowiłem że przywracanie systemu usunę teraz a tutaj kolejny problem...

[picasso]

W konfiguracji Przywracania systemu sprawdź czy na liście dysków widnieje pozycja opisana jako BRAK. Jeśli coś takiego tam widnieje, wyłącz Ochronę dla tego elementu, za to włącz ją dla właściwego woluminu z Windows.

[Madox200]

Postawiłem nowy system win 7 (oryginalny) , zainstalowałem tylko chrome , zrobiłem logi i proszę o informację czy mogę instalować oprogramowanie z postu wcześniejszego którego napisałaś ? 

Addition.txt

FRST.txt

Shortcut.txt

gmer.txt

[picasso]

Log wskazuje, że nie masz zainstalowanych wszystkich aktualizacji z Windows Update (widać bardzo starą niewspieraną wersję IE8). Uzupełnij wszystkie aktualizacje, powtarzając rundy z wyszukiwaniem aktualizacji aż do zwrotu, że nie wykryto już nic do instalacji. To ważny krok również mający znaczenie w zabezpieczeniach.