Skocz do zawartości

Win32/Filecoder.EA.Gen Kłopot z komputerem i zaszyfrowane dane :(


Rekomendowane odpowiedzi

Witam ponownie na naszym forum wszystkich pomagających i tych co potrzebują pomocy.

Dzisiaj Ja występuję w roli tego drugiego :(

 

Proszę o pomoc w dwóch kwestiach o ile to możliwe komputer kolegi - pomagam jak mogę.
1) Pomoc w odszyfrowaniu plików na dysku.
2) Postawienie na nogi systemu operacyjnego.

Sprawa zaczęła się według mojego kolegi przed sylwestrem, 29-30 grudnia 2014. Wtedy zauważył dziwnie zachowujące się ikony i zmieniające się nazwy rozszerzeń plików nad którymi pracował. Pliki  Worda i Excela a także pliki zdjęć w dokumentach zaczęły mieć po kropce (itgjnld). Minęło kilka  chwil i na ekranie pojawiło się okno którego treść pozwolę sobie przytoczyć:



Your personal files are encrypted by CTB-Locker.
Your dokuments, photos, databases and other important files have been encrypted with strongest encryption and uniqe key, generated for this computer.
Priwate decryption key is stored on a secret internet server and nobody can decrypt your files until you pay and obtain the privat key.

If you see the main locker window, follow the instruction on the locker. Overwise, it s seems that
you or your antyvirus deleted the locker program. Now you have the last chanse to decrypt files.

Open Hxxp://5kiuc45pat3qr6gd.onion.cab or hxxp://5kiuc45pat3qr6gd.tor2web.org in your browser.
They are public gates to the secret server.

1. Download Tor Browser from hxxp://torprojekt.org/
2. In the tor browser open the Hxxp://5kiuc45pat3qr6gd.onion/
   Note that this server is avaible via Tor Browser only. Retry in 1 hour if site is not reachable.

Write in the following public key in the input from on server. Avoid missprints.

UCA4YE-ETZNGJ-HTW3GN-J43KCV-Q6WA60-JR3MIN-OAWFDB-WKL5HG
ODKYTF-2A7HWI-JAEW4G-7SVVTV-2ZCXFK-M32FVF-6C52QN-OYM3XY
M7IHAC-4BQAR4-LXDOY6-5ULLAV-G3ZNKE-ZNIJGJ-EKT6W4-YNQ7CV

Follow the instructions on the serwer.
The instructions are also saved to file named DecryptAllFilles.txt in Dokuments folder. You can open it and use copy paste for adres and key.

 

Znalazłem pliki tekstowei 2KB z takim tekstem oraz pliki bitmapy z obrazem tej treści 3076KB są w kilku miejscach na całym dysku.

Pliki tekstowe są zainfekowane (Win32/Filecoder.EA.Gen) ale bitmapy nie - tak informuje mnie mój nod32 z aktualną bazą - na komputerze.

Co było robione :
Malwarebytes Anti-Malware -1.0.1.711 tym kolega pozbył się komunikatów.
Ja na jednym ze swoich komputerów a mam ich kilka przeskanowałem nodem online dysk za pomocą przystawki Esata wynik plik: Nod online (Win32/Filecoder.EA.Gen)
Jako że mam na tym komputerze antywirusa AVG też zapuściłem. Wynik plik: AVGaswBoot (Win32:Malware-gen)
W czasie pisania tego tekstu - w trybie awaryjnym na komputerze zainfekowanym leci Spyhanter4 z najnowszą bazą. Wyłapuje sporo tych śmieci widzę zeroacces 8 infekcji,
 usuwał też rokity kilka było jeden w MFT.

 Nie namierzyłem  gdzie  SpyHunter zapisuje logi - w jego folderze są jakieś ale to jakiś bełkot nienadający się do dalszej publikacji :( Jakby zaszyfrowany) chyba że się mylę w razie czego mogę dołączyć.

 

Sprzęt zainfekowany:
Komputer kolegi Packard Bell Easynote Tj65 system Win7 Home Premium 64bity 4GB ram Intel 2duo 2,13GHz,

jeden dysk systemowy C Packard Bell 286,27GB, drugi 100MB System Reserved oraz trzeci partycja odzyskiwania 11,72 GB

.
Ogólnie komputer działa, grzeje się. Wentylator mocno pracuje ale jest stabilny.System ma zainstalowany program AWAST wersja premier, wspomniane wcześniej Malwarebytes Anti-Malware oraz SpyHunter4, Wise Disk Cleaner 8.39 oraz WiseRegistry Cleaner 8.31 - tych ostatnich nie używałem. Tyle wyczytałem w programach (dodaj usuń z panelu sterowania)

W komputerze nie można nic zrobić z zaporą. Nie da sie jej załączyć ani modyfikować ustawień. Szukałem możliwości przywrócenia ustawień systemu ale data jest po 1 stycznia - nic wcześniej nie ma. Zastanawiałem się nad recovery - tam też powinna być opcja przywracania systemu lecz tego jeszcze nie próbowałem.

Ogólnie znam się trochę na komputerach i potrafię sobie z nimi radzić ale tu potrzeba mądrzejszych głów od mojej. Mam mocny stacjonarny komputer z Systemem Vista Ultimate wszystkie aktualizacje i płatny program antywirusowy Nod32, przystawkę do wpinania dysku na esata i teoretycznie mógłbym przeskanować nim dysk kolegi ale czytając posty na naszym forum narazie dałem sobie po łapkach, ponieważ Nod może usunąć wszystko co potrzeba do odszyfrowania danych jeżeli jeszcze się da.

Teraz cały czas skanuję Spyhunterem przerywam jak coś znajdzie usuwam i na nowo skanuję.
Kolega nie był w stanie określić dokładnie jak nastąpiła infekcja.

Program antywirusowy z komputera zainfekowanego napisał w informacjach że Explorer.exe infekuje się z URL:
hxxp://dodejsapi.com/opt29f19c39a355a418ed7b3bf1 może to jakaś informacja.

Spy... wywalił już sporo śmieci może teraz da sie coś więcej naprawić.

Jeszcze jedno z dzisiejszego dnia - po jednym ze skanowań zażądał restartu ale  -- się go nie doczekałem - na wiele sposobów próbowałem wyłączyć system ale ostatecznie wyłączyłem
przyciskiem.

Proszę o pomoc może uda sie uratować dane z dysku, czytając na naszym forum wypowiedzi administratora nie mam zbyt wiele nadziei - ale może to inny przypadek i warto sie tym zająć.

Przy komputerze jestem w tym tygodniu wieczorami - praca do 18 jeżeli ktoś ma pomysł jak to ruszyć czekam na propozycję. Chciałbym pomóc koledze może się uda.

Dołączam pliki z programów OTL, FRST, Gmer, AVG i Nod online

 

 

Witam ponownie chciałbym dodać nowe informacje :

1. Komputer po konserwacji - pasta.... działa lepiej :) to dobrze

2. W trybie normalnego uruchamiania załącza się okno konsoli - w górnej części okna  widnieje wpis : C:\Users\\Wujo\AppData\Roaming\CAD8b9\CAD8B9.exe --- wirusek? w tym trybie nie było dojścia ale w awaryjnym wyciąłem plik i przeniosłem na pulpit i zapakowałem rarem.

3. Podczas skanowania w trybie awaryjnym znalazło narazie 3 infekcje ZeroAccessJP :

HKLM\System\controlset001\services\gupdate

HKLM\System\controlset002\services\gupdate

HKLM\System\controlset\services\gupdate

mam nadzieję usunąć po zakończeniu skanowania.

4. W trybie normalnym pruba uruchomienia zapory kończy się błędem 0x80070424

5. Podczas skanowania SpyHuntera zatrymywał się na długo przy kluczach rejestru :

HKCU\Software\Microsoft\Windows\Curent version\Policies\Eksplorer\Run

HKCU\Software\Microsoft\Windows\Curent version\Policies\Eksplorer\Shell Execute Hooks

Po minięciu tych ostatnich pojawiła się informacja o ZeroAccess.

Jeśli jescze coś ustalę napiszę - pozdrawiam.

21:56

Jeszcze dodatkowo znalazło narazie 5 plików zarażonych ZeroAccess są w : C:\programfiles(x86)\Google Desktop\instal......(dwie linijki bełkotu) na życzenie przedstawię.

Zaglądnąłem do rejestru i zobaczyłem niecodzienny wpis Klucza w : HKEY_Local_Machine\software\wow6432Node\ANZATVK95C -- Jego dane w oknie po prawej stronie też wyglądają jak bezładny bełkot i są to dwu liniowe wpisy, ale może to nic nie znaczy czekam na koniec skanu.

 

Jeszcze jedna ciekawostka - system w trybie awaryjnym ale w usługach systemu brak zapory i centrum zabezpieczeń - porównuję z moją vistą może się mylę ale powinny być.

 

Addition.txt

AVGaswBoot.txt

FRST.txt

Nod online.txt

OTL.Txt

Shortcut.txt

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.
Cytat

Your personal files are encrypted by CTB-Locker.

Na wszelki wypadek potwierdź typ infekcji szyfrującej podając log z ID Tool. Opis infekcji CTB-Locker: KLIK. Deszyfracja plików jest niemożliwa:

 

Cytat

Is it possible to decrypt files encrypted by CTB Locker?

Unfortunately at this time there is no way to retrieve the private key that can be used to decrypt your files without paying the ransom on the CTB Locker Site. Brute forcing the decryption key is not realistic due to the length of time required to break this type of cryptography. Also any decryption tools that have been released by various companies for other malware will not work with this infection. The only methods you have of restoring your files is from a backup, file recovery tools, or if your lucky from Shadow Volume Copies.

W raportach widzę że próbowałeś dostać się do magazynu kopii cieniowych (instalacja ShadowExplorer). Nic z tego. Infekcja wymazała wszystkie punkty Przywracania systemu, jest tylko jeden z instalacji SpyHunter, zbyt nowy:

 

==================== Restore Points =========================

06-01-2015 12:49:20 Installed SpyHunter

 

Z zaszyfrowanymi danymi nie jestem w stanie nic zrobić, mogę za to usunąć czynne infekcje. Ale:

 

 

Cytat

2. W trybie normalnego uruchamiania załącza się okno konsoli - w górnej części okna widnieje wpis : C:\Users\\Wujo\AppData\Roaming\CAD8b9\CAD8B9.exe --- wirusek? w tym trybie nie było dojścia ale w awaryjnym wyciąłem plik i przeniosłem na pulpit i zapakowałem rarem.

To oczywisty wpis infekcji. Nie wiem czy raporty się zmieniły, bo manipulowałeś w międzyczasie, ale wygląda na to, że tu nawet poprawne konto użytkownika się nie ładuje. Logi są zrobione z kontekstu innego konta niż Wujo i na razie muszę się powstrzymać przed zadaniem operacji usuwających, gdyż nie widzę właściwego środowiska. W logu FRST linia "Loaded Profiles" w ogóle nie wykazuje żadnego konta:

 

Loaded Profiles: (Available profiles: Wujo)

 

Konto "Wujo" nie jest załadowane. Konto to ma następujący SID:

 

Wujo (S-1-5-21-3326234350-4050991087-374296464-1000 - Administrator - Enabled) => C:\Users\Wujo

 

FRST skanuje wszystkie profile, w logach brak odniesienia do tego SID. Stoi za to SID konta systemowego:

 

HKU\S-1-5-18\...\Run: [KuhnUmmi] => regsvr32.exe "C:\ProgramData\KuhnUmmi\ZuhjIgtog.yep"

 

To samo OTL widzi jako "current user", co potwierdza niewłaściwy kontekst konta:

 

O4 - HKCU..\Run: [KuhnUmmi] C:\Windows\SysWow64\regsvr32.exe (Microsoft Corporation)

 

Wszystko co opisane powyżej wskazuje na ten problem z logowaniem via tymczasowe konto: KLIK. Dla pewności poproszę o nowe logi FRST zrobione z poziomu Trybu normalnego a nie awaryjnego.

 

 

Cytat

4. W trybie normalnym pruba uruchomienia zapory kończy się błędem 0x80070424

(..)

Jeszcze jedna ciekawostka - system w trybie awaryjnym ale w usługach systemu brak zapory i centrum zabezpieczeń - porównuję z moją vistą może się mylę ale powinny być.

I nie tylko tego brakuje. Infekcja ZeroAccess / Sirefef usuwa masowo z rejestru wszystkie usługi związane z Centrum zabezpieczeń (wscsvc), Zaporą (BFE, MpsSvc, iphlpsvc, SharedAccess), Windows Defender (WinDefend), Windows Update (BITS, wuauserv) i innymi funkcjami (iphlpsvc, PolicyAgent, RemoteAccess). Na razie nic w tym zakresie nie rób, wszystkie procedury rekonstrukcji mam obcykane. Poproszę o raport z Farbar Service Scanner.

 

 

Cytat

W czasie pisania tego tekstu - w trybie awaryjnym na komputerze zainfekowanym leci Spyhanter4 z najnowszą bazą.

SpyHunter to program wątpliwej reputacji, kilka lat temu był oficjalnie na czarnej liście. Z listy usunięty, ale nadal niegodny zaufania, praktyki się nie zmieniły w znacznym stopniu. Program stosuje bezczelne triki reklamodawcze, by namówić do instalacji, po której się okazuje, że należy uiszczać opłaty. Wszędzie na forum zalecam deinstalację tego produktu.

 

Odnośnik do komentarza

Witam i dziękuję za zainteresowanie moim tematem.

Więc - mamy 8:33

Koomputer uruchomiony - "normalnie" chyba jednak tak jest jak mówisz mam wrażenie braku kontroli.

Po usunięciu śmieci wspomnianym wcześniej SpyHunterem (poczekałem jeszcze trochę) 24 wpisy w tym 8 ZeroAccess reszta Adavare - Helpers, Saltarmsmart, Win32/Lolipop, Web Sawe, Pup Optimizer pro, i YontoLayers - zrestartowałem system. Okno wspomniane wyżej CAD8B9.exe nie pojawiło się. Jest jeszcze okno o sterowniku cyt. : Sterownik Tages Protection wydawca Tages SA został zablokowany z powodu problemu ze zgodnością - zamknąłem okno.

W tym momencie prubuję uruchomić IDTool ale nie załacza się :(

Myślę że może spy - nie zrobił wszystkiego.

Jest jeszcze jedna kwestia. Po ponownym uruchomieniu w trybie normalnym antyvirus zgłosił że znalazł MBR:\\.\PHYSICAL DRIVE 0\BOOT ---- MBRCidox-E[rtk]. Opcja usunięcie ze scanem, przerabiałem to 3 razy i nic nie dawało.

Obecnie brak dostępu do czegokolwiek w trybie normalnym wyświetla mi okno menagera zadań i widzę że  idtoll uruchomiło 3 razy- nie mogę nic wiecej zrobić wiec wcisnę  guzik i sprubuję raz jeszcze.

Udało się uruchomić instalację IDToll ale- Program Net Ramework4 nie został zainstalowany ponieważ Określona usługa nie istnieje jakko usługa zainstalowana :( faktycznie w systemie jest zainstalowane Net framework 1.1 i Netframework 4 klient. trzeba coś doinstalować. Kończy mi się czas na tę chwilę - po wyłączeniu kilku usług w msconfigu komputer włączył sie i działa narazie do wieczora tak zostawię. Pomyślę nad netframework jak wrócę sprubuję pobrać na innym kompie i zainstalować oraz ponowię instalację idtoll.

Odnośnik do komentarza
Cytat

Jest jeszcze jedna kwestia. Po ponownym uruchomieniu w trybie normalnym antyvirus zgłosił że znalazł MBR:\\.\PHYSICAL DRIVE 0\BOOT ---- MBRCidox-E[rtk]. Opcja usunięcie ze scanem, przerabiałem to 3 razy i nic nie dawało.

To oznacza dodatkową infekcję bootkit i to jest obecnie prawdopodobna przyczyna zablokowania Windows. Wejdź w Tryb awaryjny Windows i podaj raport z Kaspersky TDSSKiller. Jeśli coś wykryje, przyznaj Skip i tylko log dostarcz.

 

Swoją drogą, GMER (orientowany na rootkit-infekcje) wcale nie został podany. Wspomniałeś że go "dołączasz", ale takiego załącznika brak w pierwszym poście.

Odnośnik do komentarza

Witam ponownie zgodnie z  emailem piszę nowy post. Za bardzo poszedłem w regulamin i coś pokręciłem. Przepraszam.

 

Faktyczie nie dołączyłem logu Gmer :( moja wina - instaluję net framework 4.5.2 i Kasperskiego TDSS wieczorem zrobię.

Po instalacji netframework właczyłem IDtoll widzę że główne okno nie zawiera  na razie żadnych wpisów.

 

Już wiem co z tym Logiem Gmer - nie mogłem zaznaczyć wszystkich opcji po prawej stronie i dlatego zrezygnowałem. :(

Wieczorem popracuję nad tym. Co do gmera nie udaje się załaczyć ptaszków po prawej stronie programu i nie generuje raportu - nie wiem czemu - prubowałem kilka razy.

 

Witam ponownie: mam pliki logu  TDSS i FSS

Pliki które przesyłam do analizy wykonane w trybie awaryjnym.

 

Przeglądałem Podgląd zdarzeń systemu i dziwna sprawa od października kolega ma kłopoty z dyskiem  --na czerwono prawie cały dzienik systemu. Poza tym jest jeszcze jeden ciekawy wpis :

Cyt: Na potrzeby każdej aplikacji ładowane są niestandartowe biblioteki dll. Administrator systemu powinien przejżeć listę bibliotek, aby upewnić się że są związane z zaufanymi aplikacjami.

W sumie tyle - czekam na analizę logów i ewentualne sugestie co dalej.

Jeszcze jedna sprawa - w mskonfigu wyłaczyłem kilka usług miedzy innymi taką: usługa szyfrowania dysków usługą Bitlocker, zdalne zarządzanie systemem Windows ws-management, usługi pulpitu zdalnego, usługi podstawowe modułu TPM, Steam client srevice, GReg service.

Jeszcze raz dołaczam pliki

 

FSS 08012015.txt

TDSS 08012015 log.txt

Odnośnik do komentarza

Jest tu definitywnie rootkit w obszarze rozruchowym dysku. Jego usuwanie ma priorytet. Dopiero po usunięciu aktywności rootkit będę mogła się zająć resztą infekcji (o ile otrzymam raporty FRST z poprawnego kontekstu konta) i naprawą masowo zdewastowanych przez ZeroAccess usług systemowych. Działania wstępne:

 

1. Uruchom TDSSKiller ponownie. Tym razem jednak dla wyniku Rootkit.Boot.Cidox pozostaw akcję domyślnie przyznaną przez narzędzie. Zresetuj system, by zatwierdzić leczenie. Po restarcie uruchom ponownie program, by sprawdzić czy już nic nie wykrywa. Dopiero wtedy:

 

2. Zaległy punkt ze świeżymi raportami FRST:

 

Dla pewności poproszę o nowe logi FRST zrobione z poziomu Trybu normalnego a nie awaryjnego.

 

 

PS. Komentując:

 

Co do gmera nie udaje się załaczyć ptaszków po prawej stronie programu i nie generuje raportu - nie wiem czemu - prubowałem kilka razy.

Przypuszczalnie blokuje go bootkit.

 

 

Jeszcze jedna sprawa - w mskonfigu wyłaczyłem kilka usług miedzy innymi taką: usługa szyfrowania dysków usługą Bitlocker, zdalne zarządzanie systemem Windows ws-management, usługi pulpitu zdalnego, usługi podstawowe modułu TPM, Steam client srevice, GReg service.

Dowiem się o tym z nowego raportu FRST Addition.

 

Cyt: Na potrzeby każdej aplikacji ładowane są niestandartowe biblioteki dll. Administrator systemu powinien przejżeć listę bibliotek, aby upewnić się że są związane z zaufanymi aplikacjami.

To tylko ostrzeżenie. W Windows 7 biblioteki - niezależnie od ich natury, poprawne programy (przykład: COMODO) czy szkodniki - ładowane metodą AppInit_DLLs zawsze są notowane w Dzienniku w ten sposób. I ten błąd jest już nieaktualny. W poprzednim raporcie FRST brak widocznej modyfikacji AppInit_DLLs.

Odnośnik do komentarza

Logi z FRST są nareszcie z kontektu właściwego konta Wujo. To było istotne, bo ujawniły się wpisy ZeroAccess oraz ten do CAD8B9.exe omawiany wcześniej inicjowane z tego konta. Ponadto, adware przekonwertowało przeglądarkę Google Chrome z wersji stabilnej do developerskiej i wymagana kompleksowa reinstalacja.

 

Nie ruszam na razie plików zaszyfrowanych przez infekcję, ale coś trzeba będzie potem z tym zrobić (ale jak mówiłam, dekrypcja awykonalna):

 

2015-01-01 14:56 - 2014-12-09 08:31 - 00049936 _____ () C:\Users\Wujo\Downloads\ZWR_Specyfikacja_faktury_zbiorowej_761-494-4823-7996_14_12_F012_AA.PDF.itqjnld
2015-01-01 14:56 - 2014-11-15 09:27 - 00049408 _____ () C:\Users\Wujo\Downloads\ZWR_Specyfikacja_faktury_zbiorowej_761-494-4823-7996_14_11_F011_AA.PDF.itqjnld
2015-01-01 14:56 - 2014-11-03 16:33 - 00013600 _____ () C:\Users\Wujo\Downloads\J-Wi Jadłospis.DOC.itqjnld
2015-01-01 14:56 - 2014-10-13 10:15 - 00052368 _____ () C:\Users\Wujo\Downloads\ZWR_Specyfikacja_faktury_zbiorowej_761-494-4823-7996_14_10_F010_AA.PDF.itqjnld
2015-01-01 14:56 - 2014-08-31 08:14 - 00054112 _____ () C:\Users\Wujo\Downloads\obsada nr 3 27.08.2014 roda.XLS.itqjnld
2015-01-01 14:56 - 2014-08-31 08:14 - 00054112 _____ () C:\Users\Wujo\Downloads\obsada nr 3 27.08.2014 roda (1).XLS.itqjnld
2015-01-01 14:56 - 2014-08-11 13:56 - 00051824 _____ () C:\Users\Wujo\Downloads\ZWR_Specyfikacja_faktury_zbiorowej_761-494-4823-7996_14_08_F008_AA.PDF.itqjnld
2015-01-01 14:56 - 2014-07-29 07:43 - 00045152 _____ () C:\Users\Wujo\Downloads\ZWR_Specyfikacja_faktury_zbiorowej_761-494-4823-7996_14_07_F007_AA.PDF.itqjnld
2015-01-01 14:56 - 2014-05-23 16:46 - 00018096 _____ () C:\Users\Wujo\Documents\g1 kody.DOC.itqjnld
2015-01-01 14:56 - 2014-05-19 12:14 - 00048704 _____ () C:\Users\Wujo\Downloads\ZWR_Specyfikacja_faktury_zbiorowej_761-494-4823-7996_14_05_F005_Z.PDF.itqjnld
2015-01-01 14:56 - 2014-03-17 14:58 - 00072576 _____ () C:\Users\Wujo\Downloads\tmp1A0.PDF.itqjnld
2015-01-01 14:56 - 2014-02-10 19:04 - 00050960 _____ () C:\Users\Wujo\Downloads\ZWR_Specyfikacja_faktury_zbiorowej_761-494-4823-7996_14_02_F002_Z.PDF.itqjnld
2015-01-01 14:56 - 2013-10-15 10:38 - 00049632 _____ () C:\Users\Wujo\Downloads\ZWR_Specyfikacja_faktury_zbiorowej_761-494-4823-7996_13_10_F010_Y.PDF.itqjnld
2015-01-01 14:56 - 2013-06-01 08:55 - 00044352 _____ () C:\Users\Wujo\Downloads\statement_0245_20130527.PDF.itqjnld
2015-01-01 14:56 - 2013-05-03 16:01 - 00005440 _____ () C:\Users\Wujo\Documents\DATA.DOC.itqjnld
2015-01-01 14:56 - 2013-05-03 15:01 - 00073648 _____ () C:\Users\Wujo\Documents\Dokument1.PDF.itqjnld 

 

Kolejna porcja działań:

 

1. Ustaw adresy DNS w Windows na adresy Google 8.8.8.8 + 8.8.4.4: KLIK.

 

2. Odinstaluj Adobe Flash Player 12 ActiveX, Adobe Flash Player 12 Plugin, Adobe Reader X (10.1.0) - Polish, Google Chrome, Java 6 Update 37. Na razie nie instaluj żadnych nowych wersji.

 

3. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
S4 *etadpug; "C:\Program Files (x86)\Google\Desktop\Install\{ac61f76f-e3bf-090c-101a-0e87fecfa713}\ \...\???\{ac61f76f-e3bf-090c-101a-0e87fecfa713}\GoogleUpdate.exe" < <==== ATTENTION (ZeroAccess)
HKU\S-1-5-21-3326234350-4050991087-374296464-1000\...\Run: [Google Update**.d<*>] => "C:\Users\Wujo\AppData\Local\Google\Desktop\Install\{ac61f76f-e3bf-090c-101a-0e87fecfa713}\❤≸⋙\Ⱒ☠⍨\‮ﯹ๛\{ac61f76f-e3bf-090c-101a-0e87fecfa713}\GoogleUpdate.exe" > <===== ATTENTION (Value Name with invalid characters)
HKU\S-1-5-21-3326234350-4050991087-374296464-1000\...\Policies\Explorer\Run: [Wistron] => C:\Users\Wujo\AppData\Roaming\CAD8B9\CAD8B9.exe
S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X]
S4 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X]
S4 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X]
S3 RtsUIR; system32\DRIVERS\Rts516xIR.sys [X]
S3 USBCCID; system32\DRIVERS\RtsUCcid.sys [X]
U2 wuaserv; No ImagePath
GroupPolicy: Group Policy on Chrome detected <======= ATTENTION
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM-x32 -> DefaultScope {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL =
SearchScopes: HKLM-x32 -> {2F3F70DB-19ED-4AE2-829E-ED7ABDD6D638} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={71AE8812-1669-4581-B398-F540214F14E5}
SearchScopes: HKLM-x32 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = http://search.certified-toolbar.com?si=44393&st=bs&tid=3820&ver=4.9&ts=1369248523355.000003&tguid=44393-3820-1369248523355-DA54B3E4B3DA9B82F6E7C5AAB0157A9E&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3326234350-4050991087-374296464-1000 -> {1DD5C10A-E446-4FEC-8511-6F13CDC8C221} URL = http://startsear.ch/?aff=1&src=sp&cf=52e8ba86-3711-11e1-bd44-001d6073c963&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3326234350-4050991087-374296464-1000 -> {2F3F70DB-19ED-4AE2-829E-ED7ABDD6D638} URL = http://search.sweetim.com/search.asp?src=6&q={searchTerms}&barid={71AE8812-1669-4581-B398-F540214F14E5}
SearchScopes: HKU\S-1-5-21-3326234350-4050991087-374296464-1000 -> {76893B59-8604-4843-9B97-7ECDADBE8CA8} URL = http://start.funmoods.com/results.php?f=4&a=nv1&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3326234350-4050991087-374296464-1000 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = http://www.daemon-search.com/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-3326234350-4050991087-374296464-1000 -> {D55E9BF4-1D7D-4C25-B1FD-C51D19102329} URL = http://mp3tubetoolbar.com/?tmp=toolbar_sb_results&prt=pinballtbfour01ie&Keywords={searchTerms}&clid=40e7c0cae985426988648692520b0dbe
BHO: webSAive -> {2E3EFEDB-1DF5-5E5B-C5D7-630462260742} -> C:\Program Files (x86)\webSAive\nUkS3p.x64.dll No File
BHO-x32: No Name -> {19a395c9-823b-4700-b817-396fc84ffb16} -> No File
BHO-x32: webSAive -> {2E3EFEDB-1DF5-5E5B-C5D7-630462260742} -> C:\Program Files (x86)\webSAive\nUkS3p.dll No File
BHO-x32: HomeTab -> {ca2fbf11-ffbb-49f8-b2fa-345f226e3a74} -> C:\Program Files (x86)\HomeTab\IE\HomeTab.dll No File
Toolbar: HKLM - No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File
Toolbar: HKLM-x32 - HomeTab - {ca2fbf11-ffbb-49f8-b2fa-345f226e3a74} - C:\Program Files (x86)\HomeTab\IE\HomeTab.dll No File
Toolbar: HKLM-x32 - No Name - {19a395c9-823b-4700-b817-396fc84ffb16} - No File
Toolbar: HKU\S-1-5-21-3326234350-4050991087-374296464-1000 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
Toolbar: HKU\S-1-5-21-3326234350-4050991087-374296464-1000 -> No Name - {32099AAC-C132-4136-9E9A-4E364A424E17} - No File
Winsock: Catalog5 01 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5 08 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
Winsock: Catalog5-x64 01 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\system32\NLAapi.dll"
Winsock: Catalog5-x64 08 mswsock.dll File Not found () ATTENTION: The LibraryPath should be "%SystemRoot%\System32\mswsock.dll"
Task: {07770E9D-F3B7-4B25-874D-3D6F3F3CBDC6} - \Funmoods No Task File <==== ATTENTION
Task: {0CF3B116-DA65-430F-9FA1-7EAE2435E3F5} - System32\Tasks\{C26B5E61-26B9-47FD-AFE4-265FA498E912} => pcalua.exe -a "C:\z Rector\_CD\02 dotnet 01 i 02\dotnet2.0_polish_lang_pack.exe" -d "C:\z Rector\_CD\02 dotnet 01 i 02"
Task: {0DAACB83-A04B-49B5-8315-0CD0A3024430} - \WS.Enabler-S-71009536 No Task File <==== ATTENTION
Task: {105353A9-C15A-405A-9D8A-B889A9F5E576} - System32\Tasks\{6B62769A-FB6F-4B36-B81B-10076155899C} => pcalua.exe -a "D:\[PL] Gothic 3 Zmierzch Bogow\g3fg_106_pl.exe" -d "D:\[PL] Gothic 3 Zmierzch Bogow"
Task: {14A661C3-358B-44FF-9415-0BAC9EA4E4B2} - System32\Tasks\{22116563-108C-42c0-A7CE-60161B75E508} => C:\Users\Wujo\AppData\Local\Temp\Ivj.exe <==== ATTENTION
Task: {16A2D09C-C155-4D67-A276-2577E63ABA87} - System32\Tasks\nvbinif => C:\Windows\TEMP\wxsgcum.exe
Task: {811D8666-AB43-4EBB-A3AF-68CBE1987A13} - System32\Tasks\GoforFilesUpdate => C:\Program Files (x86)\GoforFiles\GFFUpdater.exe <==== ATTENTION
Task: {848E651E-3F94-437E-A939-3C5D9D3C3FCE} - System32\Tasks\{948FD25D-A0F4-4257-AE25-56927B4C82F3} => pcalua.exe -a D:\setup.exe -d D:\
Task: {8A50D08D-C7D8-4E89-A512-BA89703FFD7C} - System32\Tasks\YourFile Update => C:\Program Files (x86)\YourFileDownloader\YourFileUpdater.exe <==== ATTENTION
Task: {92B73987-47CF-42AA-B2B0-8AAF466CBFED} - System32\Tasks\{4CE54CF7-CD67-49E1-9ABE-A168E0913C58} => pcalua.exe -a "C:\z Rector\_CD\02 dotnet 01 i 02\dotnetfx2.0.exe" -d "C:\z Rector\_CD\02 dotnet 01 i 02"
Task: {B67CFFE1-7813-46ED-9F33-81F9CF1C3788} - System32\Tasks\{DC334AC1-DE93-43DE-B655-5F406268D5E4} => C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe
Task: {C2A96D23-B831-4880-BB2C-1285BF313F1A} - System32\Tasks\{EBE60C5D-F0A2-4DD7-B8AA-D4CA3A683DE0} => pcalua.exe -a "C:\z Rector\_CD\02 dotnet 01 i 02\dotnetfx1.0.exe" -d "C:\z Rector\_CD\02 dotnet 01 i 02"
Task: {E61AD748-BC3D-4ABD-AF8F-EA28EEB737CA} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: {F0A7FF05-933F-4750-8006-433AAC7661E6} - System32\Tasks\{E4DBABE4-396F-467D-BBB3-8B4B4BC021E8} => C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe
Task: {F474537D-3A24-4C8E-AB4F-78874B488DE2} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: {F98EDEAE-7418-499C-8EC5-4C28DEA6EE65} - System32\Tasks\RunAsStdUser Task => C:\Program Files (x86)\ClickPotatoLite\bin\11.0.19.0\ClickPotatoLiteSA.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe
Task: C:\Windows\Tasks\WS.Enabler-S-71009536.job => c:\programdata\setapp\ws.enabler\WS.Enabler.exe <==== ATTENTION
DeleteJunctionsIndirectory: C:\Program Files\Windows Defender
C:\$AVG
C:\how_decrypt.html
C:\shldr
C:\shldr.mbr
C:\spyhunter.fix
C:\Program Files\Enigma Software Group
C:\Program Files (x86)\Enigma Software Group
C:\Program Files (x86)\Gadu-Gadu 10
C:\Program Files (x86)\Google
C:\Program Files (x86)\Mozilla Firefox
C:\Program Files (x86)\Opera
C:\Program Files (x86)\PokerStars.EU
C:\ProgramData\APN
C:\ProgramData\efywb
C:\ProgramData\Temp
C:\ProgramData\Video Strip Poker Supreme
C:\Users\Wujo\SSYPV
C:\Users\Wujo\AppData\Local\Google
C:\Users\Wujo\AppData\Local\Mozilla
C:\Users\Wujo\AppData\Local\PokerStars.EU
C:\Users\Wujo\AppData\Roaming\41710310.reg
C:\Users\Wujo\AppData\Roaming\DAEMON Tools Lite
C:\Users\Wujo\AppData\Roaming\ipla
C:\Users\Wujo\AppData\Roaming\PhotoScape
C:\Users\Wujo\AppData\Roaming\Mozilla
C:\Users\Wujo\AppData\Roaming\Fosyryg
C:\Users\Wujo\AppData\Roaming\Onbilo
C:\Users\Wujo\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK
C:\Users\Wujo\Desktop\SpyHunter4.exe — skrót.lnk
C:\Users\Wujo\Desktop\programy\DAEMON Tools Lite.lnk
C:\Users\Wujo\Desktop\programy\Packard Bell\Norton Internet Security.lnk
C:\Users\Wujo\Documents\Decrypt All Files itqjnld.bmp
C:\Users\Wujo\Documents\Decrypt All Files itqjnld.txt
C:\Users\Wujo\Downloads\Extras.TXT.itqjnld
C:\Windows\46B04D534E344388B6EE80FAB66AEF9B.TMP
C:\Windows\system32\%LocalAppData%
C:\Windows\system32\log
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\SpyHunter 4 Service" /f
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKCU\Software\Google /f
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Google /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchUrl" /f
CMD: ipconfig /flushdns
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files\Common Files"
CMD: dir /a "C:\Program Files (x86)\Common Files"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Wujo\AppData\Local
CMD: dir /a C:\Users\Wujo\AppData\LocalLow
CMD: dir /a C:\Users\Wujo\AppData\Roaming
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa raporty. Dołącz też plik fixlog.txt.

 

Odnośnik do komentarza

Wszystko gładko poszło, za wyjątkiem jednego wpisu (bug FRST). Kolejna porcja zadań:

 

1. Pobierz najnowszą wersję FRST. Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-3326234350-4050991087-374296464-1000\...\Policies\Explorer\Run: [Wistron] => C:\Users\Wujo\AppData\Roaming\CAD8B9\CAD8B9.exe
C:\Program Files\AdTrustMedia
C:\Program Files\Google
C:\Program Files (x86)\1ClickDownload
C:\Program Files (x86)\AdBlocknWatchu
C:\Program Files (x86)\ExxsTriaSaviungs
C:\Program Files (x86)\Zealot Software
C:\ProgramData\AdBlocknWatchu
C:\ProgramData\Adtrustmedia
C:\ProgramData\c2d6b65770b43203
C:\ProgramData\COMODO
C:\ProgramData\DAEMON Tools Lite
C:\ProgramData\ExxsTriaSaviungs
C:\ProgramData\Gadu-Gadu 10
C:\ProgramData\Google
C:\ProgramData\InstallMate
C:\ProgramData\Kaspersky Lab Setup Files
C:\ProgramData\McAfee
C:\ProgramData\Mozilla
C:\ProgramData\savensshaeRe
C:\ProgramData\SoftSafe
C:\ProgramData\Uniblue
C:\Users\Wujo\AppData\Local\AdTrustMedia
C:\Users\Wujo\AppData\Local\ChomikBox
C:\Users\Wujo\AppData\Local\Chromium
C:\Users\Wujo\AppData\Local\Lollipop
C:\Users\Wujo\AppData\Local\Opera
C:\Users\Wujo\AppData\Local\Opera Software
C:\Users\Wujo\AppData\Local\The Witcher
C:\Users\Wujo\AppData\Local\The Witcher 2
C:\Users\Wujo\AppData\Local\Torch
C:\Users\Wujo\AppData\Local\womble
C:\Users\Wujo\AppData\LocalLow\Google
C:\Users\Wujo\AppData\LocalLow\SimplyTech
C:\Users\Wujo\AppData\LocalLow\Temp
C:\Users\Wujo\AppData\Roaming\*.dat
C:\Users\Wujo\AppData\Roaming\mcp.ico
C:\Users\Wujo\AppData\Roaming\LiveSupport.exe_log.TXT.itqjnld
C:\Users\Wujo\AppData\Roaming\regsvr32.exe_log.TXT.itqjnld
C:\Users\Wujo\AppData\Roaming\EurekaLog
C:\Users\Wujo\AppData\Roaming\Gadu-Gadu 10
C:\Users\Wujo\AppData\Roaming\GoforFiles
C:\Users\Wujo\AppData\Roaming\Google
C:\Users\Wujo\AppData\Roaming\IrfanView
C:\Users\Wujo\AppData\Roaming\Opera
C:\Users\Wujo\AppData\Roaming\Opera Software
C:\Users\Wujo\AppData\Roaming\Softland
C:\Users\Wujo\AppData\Roaming\uTorrent
C:\Users\Wujo\AppData\Roaming\YourFileDownloader
CMD: for /d %f in (C:\Users\Wujo\AppData\Local\{*}) do rd /s /q "%f"
CMD: for /d %f in (C:\Users\Wujo\AppData\LocalLow\{*}) do rd /s /q "%f"

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt.

 

2. Uruchom ServicesRepair. Po operacji zresetuj system i zrób nowy log z Farbar Service Scanner.

 

Odnośnik do komentarza

1. Ten wpis nadal nie przetworzony, ale Farbar właśnie zaaplikował poprawkę. Pobierz ponownie FRST. Otwórz Notatnik i wklej w nim:

 

HKU\S-1-5-21-3326234350-4050991087-374296464-1000\...\Policies\Explorer\Run: [Wistron] => C:\Users\Wujo\AppData\Roaming\CAD8B9\CAD8B9.exe
DeleteQuarantine:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt.

 

2. Żadnych zmian w usługach. Co się działo podczas uruchamiania ServicesRepair? Ponów próbę > restart systemu > nowy log z Farbar Service Scanner.

Odnośnik do komentarza

Usługi się nie zmieniają - jakby nie były zainstalowane.

Co do ServicesRepair- włączyłem jako administrator- pojawiło sie okno : This ultility will reinstall Services commonly removed by exploits.

Do you want to proceed? klikam yes kopjuje jakieś pliki - pojawiło sie też okno Services Repair is running.... a w nim napis  Services Repair Complete.

Kolejne okienko : Multiple Services have been reinstalled. You will need to reboot your computer.

Rebot now? - klikam  tak.

Komputer się restartuje normalnie loguję się i uruchamiam FSS. Działa normalnie a oto wynik:

Sprawdzam zaporę Kod 0x80070424

Windows Update - Usługa Windows Update nie może obecnie wyszukać aktualizacji, ponieważ usługa nie jest uruchomiona. Konieczne może być ponowne uruchomienie komputera.

Windows Defender -Określona usługa nie istnieje jako usługa zainstalowana Kod błędu 0x80070424.

Mam nadzieję że teraz wiecej informacji o które prosisz.

Czekam co dalej :)

 

Fixlog.txt

FSS.txt

Odnośnik do komentarza

Oczywiście, że usługi nie są "zainstalowane" - one są całkowicie wycięte z systemu. I po to jest ServiceRepair, który ma je zrekonstruować. Problem w tym, że to się w ogóle nie wykonuje z niewiadomych przyczyn. Log z Farbar Service Scanner nie przedstawia żadnych zmian. Jak usług nie było, tak ich nadal nie ma. Wystąpił też problem z usunięciem kwarantanny FRST, w której są liczne zablokowane obiekty. Kolejne podejście:

 

1. Tym razem wszystkie operacje z poziomu Trybu awaryjnego Windows. Uruchom Services Repair i zresetuj system. W FRST przepuść skrypt o postaci:

 

RemoveDirectory: C:\FRST\Quarantine

 

2. Przejdź w Tryb normalny i zrób nowy log z Farbar Service Scanner, dołącz też fixlog.txt z operaji FRST. Jeśli nadal log FSS nie wykaże zmian, niestety zadam żmudną rekonstrukcję ręczną.

Odnośnik do komentarza

Post innego użytkownika nie wiadamo co mający oznaczać (tylko cytat mojego posta) usuwam. W kwestii PW: odpisuję w temacie, gdy jestem w stanie (jestem obecna i mam czas). Przypominanie się na PW nie jest potrzebne, nie przeskoczę własnych ograniczeń.

Skrypty są jednorazowe i niepowtarzalne. Ponowne użycie skryptu FRST było bez sensu (i tak zresztą z błędem to zrobiłeś przeklejajc tagi BBCode z posta). FRST już zrobił zadanie w poprzednim podejściu, tzn. usunął kwarantannę FRST. Skrypt ten nie ma związku ze sprawą rozwalonych usług. To jest osobny wątek.

 

 

W związku z tym, że ServicesRepair nie umie zrekonstruować usług, trzeba to zrobić ręcznie:

 

1. Odbudowa BITS, WinDefend, wscsvc, wuauserv. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS]
"DisplayName"="@%SystemRoot%\\system32\\qmgr.dll,-1000"
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"Description"="@%SystemRoot%\\system32\\qmgr.dll,-1001"
"ObjectName"="LocalSystem"
"ErrorControl"=dword:00000001
"Start"=dword:00000002
"DelayedAutoStart"=dword:00000001
"Type"=dword:00000020
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,45,00,76,00,65,00,\
6e,00,74,00,53,00,79,00,73,00,74,00,65,00,6d,00,00,00,00,00
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,\
00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\
67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\
00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\
00,00,53,00,65,00,54,00,63,00,62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\
00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,\
72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,\
00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,\
63,00,72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,\
00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
00,01,00,00,00,60,ea,00,00,01,00,00,00,c0,d4,01,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Parameters]
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
71,00,6d,00,67,00,72,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Performance]
"Library"="bitsperf.dll"
"Open"="PerfMon_Open"
"Collect"="PerfMon_Collect"
"Close"="PerfMon_Close"
"InstallType"=dword:00000001
"PerfIniFile"="bitsctrs.ini"
"First Counter"=dword:000007d2
"Last Counter"=dword:000007e2
"First Help"=dword:000007d3
"Last Help"=dword:000007e3
"Object List"="2002"
"PerfMMFileName"="Global\\MMF_BITS_s"
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\BITS\Security]
"Security"=hex:01,00,14,80,90,00,00,00,a0,00,00,00,14,00,00,00,34,00,00,00,02,\
00,20,00,01,00,00,00,02,c0,18,00,00,00,0c,00,01,02,00,00,00,00,00,05,20,00,\
00,00,20,02,00,00,02,00,5c,00,04,00,00,00,00,02,14,00,ff,01,0f,00,01,01,00,\
00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,\
20,00,00,00,20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,04,\
00,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,02,\
00,00,00,00,00,05,20,00,00,00,20,02,00,00,01,02,00,00,00,00,00,05,20,00,00,\
00,20,02,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc]
"DisplayName"="@%SystemRoot%\\System32\\wscsvc.dll,-200"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\
00,65,00,4e,00,65,00,74,00,77,00,6f,00,72,00,6b,00,52,00,65,00,73,00,74,00,\
72,00,69,00,63,00,74,00,65,00,64,00,00,00
"Start"=dword:00000002
"Type"=dword:00000020
"Description"="@%SystemRoot%\\System32\\wscsvc.dll,-201"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,57,00,69,00,6e,00,\
4d,00,67,00,6d,00,74,00,00,00,00,00
"ObjectName"="NT AUTHORITY\\LocalService"
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\
00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\
67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,\
00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\
00,00,00,00
"DelayedAutoStart"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\
00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
77,00,73,00,63,00,73,00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wscsvc\Security]
"Security"=hex:01,00,14,80,c8,00,00,00,d4,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,98,00,06,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\
05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,\
00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,14,00,00,01,\
00,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,28,00,15,00,00,00,01,06,00,\
00,00,00,00,05,50,00,00,00,49,59,9d,77,91,56,e5,55,dc,f4,e2,0e,a7,8b,eb,ca,\
7b,42,13,56,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,\
00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend]
"DisplayName"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-103"
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,73,00,65,00,63,00,73,00,76,00,63,00,73,00,00,00
"Start"=dword:00000002
"Type"=dword:00000020
"Description"="@%ProgramFiles%\\Windows Defender\\MsMpRes.dll,-1176"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00
"ObjectName"="LocalSystem"
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,\
00,6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\
65,00,00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,\
00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,\
74,00,6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
00,00,00,53,00,65,00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,\
69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,\
00,65,00,4e,00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,\
6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,\
00,74,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,\
00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,\
72,00,65,00,61,00,73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,\
00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,\
69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,\
00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\
00,00
"DelayedAutoStart"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Parameters]
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceDll"=hex(2):25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,\
00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,\
20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,6d,00,70,00,73,\
00,76,00,63,00,2e,00,64,00,6c,00,6c,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\Security]
"Security"=hex:01,00,14,80,dc,00,00,00,e8,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,ac,00,06,00,00,00,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,\
05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,\
00,0b,28,00,00,00,00,10,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,\
84,c2,cb,5c,6c,23,6d,57,00,77,6e,c0,02,64,87,00,00,14,00,fd,01,02,00,01,01,\
00,00,00,00,00,05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,\
05,20,00,00,00,20,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\
04,00,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,01,\
01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo]
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\WinDefend\TriggerInfo\0]
"Type"=dword:00000005
"Action"=dword:00000001
"GUID"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv]
"PreshutdownTimeout"=dword:036ee800
"DisplayName"="Windows Update"
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00
"Description"="@%systemroot%\\system32\\wuaueng.dll,-106"
"ObjectName"="LocalSystem"
"ErrorControl"=dword:00000001
"Start"=dword:00000002
"DelayedAutoStart"=dword:00000001
"Type"=dword:00000020
"DependOnService"=hex(7):72,00,70,00,63,00,73,00,73,00,00,00,00,00
"ServiceSidType"=dword:00000001
"RequiredPrivileges"=hex(7):53,00,65,00,41,00,75,00,64,00,69,00,74,00,50,00,72,\
00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,\
65,00,61,00,74,00,65,00,47,00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,\
00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,00,\
61,00,74,00,65,00,50,00,61,00,67,00,65,00,46,00,69,00,6c,00,65,00,50,00,72,\
00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,63,00,\
62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\
00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,\
79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\
00,67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,\
6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
00,00,00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,00,65,00,51,00,\
75,00,6f,00,74,00,61,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
00,00,00,53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,\
72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,00,00
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Parameters]
"ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\
00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
77,00,75,00,61,00,75,00,65,00,6e,00,67,00,2e,00,64,00,6c,00,6c,00,00,00
"ServiceMain"="WUServiceMain"
"ServiceDllUnloadOnStop"=dword:00000001
 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv\Security]
"Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\
00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\
00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\
05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\
01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

2. Odbudowa MpsSvc, SharedAccess. Wykonujesz ręczną odbudowę: KLIK. To znaczy import plików REG dla MpsSvc i SharedAccess oraz nałożenie dla tych dwóch usług oryginalnych uprawnień za pomocą SetACL.

 

3. Restart systemu. Zrób nowy log z Farbar Service Scanner.

 

Odnośnik do komentarza

Witam ponownie.

Dotarło do mie że może nie potrzebnie ale wykonałem za instrukcą z rekonstrukcji zapory:

Wyniki : BFE - Nie można zaimportować F:\Naprawa BFEreg:nie wszystkie dane zostały pomyślnie zapisane w rejestrze. Niektóre klucze otwarte są przez system lub inne procesy. -- napęd usb sprawny

Mpsdrv.reg - ok

MpsSvc - ok

SharedAccess - ok

Skrypty wykonane.

Odbudowa ręczna MpsSvc oraz SharedAccess - succesfully.

Log FSS- załącznik :

Czekam na dalsze instrukcje.

Zapora załaczyła się, windows defender załaczył się i pobrał aktualizacje skanuje, windows update załaczyło się pobiera aktualizacje i instaluje. Zapora dostępna i można ją ustawiać również zaawansowane ustawienia.

 

FSS.txt

Odnośnik do komentarza

Podałam konkretny zakres usług z zestawy Zapory do naprawy, tzn. tylko MpsSvc i SharedAccess. Naprawa Mpsdrv była zbędna, podobnie jak BFE. BFE nie możesz "naprawić", bo usługi nie brakuje i jej stan wyklucza import danych (uruchomiona + uprawnienia). To co zaleciłam do wykonania zostało już wykonane. Z usługami skończyliśmy. Teraz:

 

1. Uruchom AdwCleaner. Wybierz opcję Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner.

 

2. Podaj orientacyjną listę zakresu szyfrowania danych (tylko na dysku C), czyli pliki z doklejonym ciągiem itqjnld. Uruchom SystemLook x64 i w oknie wklej:

 

:filefind
*itqjnld*

 

Klik w Look i podaj wynikowy log. Uwaga: log może być potwornie duży i nie wejść w załączniki. W takiej sytuacji shostuj go gdzieś (np. wklej.org, a jeśli i dla tego serwisu za duża wklejka, to spakuj do ZIP i użyj inny hosting).

 

Mam też pytanie: czy obecnie tapeta systemowa jest poprawnie ustawiona? Piję do tego, że infekcja szyfrująca manipuluje w ustawieniach tapety.

Odnośnik do komentarza

Witam ponownie - plik log za duży wiec : http://kurierplikow.pl/pub/tekstowe/4an6887d03t6

dodatkowo AdwCleaner

Aktualizacje działają ale wszystkich nie aktualizuje - czasem tak bywa, pewnie trzeba ręcznie  kilka pobrac.

Odinstalowałem tego antyvirusa premier (zkrakowany albo coś) wycioł mi z pena AdwCleanera.

Czekam na dalsze instrukcje.

Tapeta jest normalnie usytuowana i daje sie zmieniać itp.

 

AdwCleanerR0.txt

Odnośnik do komentarza

Przejrzenie listy zaszyfrowanych plików zajmie mi sporo czasu. Na razie to pomijam i adresuję inne wątki:

 

1. Uruchom AdwCleaner ponownie i tym razem zastosuj sekwencję Szukaj + Usuń. Po czyszczeniu:

 

2. Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\found.000
RemoveDirectory: C:\TDSSKiller_Quarantine
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż fixlog.txt.

 

3. Skoro zmienił się układ konfiguracyjny, to na wszelki wypadek zrób nowy log FRST z opcji Scan (z Addition), by sprawdzić czy po Avast coś się nie ostało.

Odnośnik do komentarza

Witam ponownie w między czasie instaluję aktualizacje i zauważyłem coś.

Denerwowały mnie malutkie ikony na pulpicie - zmieniłem rozmiar  opcjami widoku ikon ale ku mojemu zaskoczeniu po restarcie komputera ikony zaś były malutkie.

Zrestartuję jeszcze raz może to nic nie oznacza.

Ale piszę gdyż to też elementy wizualne.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...