Skocz do zawartości

Wirus 'Your personal files are encrypted'


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

Zestaw obowiązkowych logów niekompletny - brak trzeciego pliku FRST Shortcut.

 

Jest tu kilka poważnych problemów:

- CTB Locker: odszyfrowanie danych jest awykonalne technicznie. Jeśli nie masz kopii zapasowej danych, zostały utracone. Ewentualna droga to próbowanie softu do odzyskiwania danych, ale to raczej nie przyniesie rezultatów - przykład: KLIK.

- Rootkit Necurs blokujący wiele poprawnych sterowników systemowych.

- Adware, elementy innych infekcji oraz szkodliwe polityki oprogramowania blokujące oprogramowanie zabezpieczające.

- Za dużo antywirusów (AVG, Avira, STOPzilla) oraz zainstalowany wątpliwy skaner SpyHunter z czarnej listy.

Na pierwszy problem nie jestem w stanie zaradzić, zajmę się pozostałymi. Na początek musi zostać usunięty rootkit, dopiero potem można przejść dalej.

 

 


Działania wstępne:

 

1. Uruchom Kaspersky TDSSKiller. Powinien wykryć Rootkit.Win32.Necurs.gen (pozycja 9384717eede54217) - dla tego wyniku zostaw domyślną akcję Delete. Natomiast wszystkie wyniki typu LockedFile.Multi.Generic mają mieć przyznane Skip, gdyż to prawidłowe sterowniki zablokowane przez rootkita. Jeśli rootkit zostanie poprawnie usunięty, sterowniki samoczynnie się odblokują. Zresetuj system.

 

2. Zrób nowe logi: FRST z opcji Scan (zaznaczone pola Addition i Shortcut, by powstały trzy pliki) oraz GMER. Dołącz log utworzony przez TDSSKiller.

Odnośnik do komentarza

Tak, chodzi o taką formę załączników. Rootkit pomyślnie usunięty, ale kupa roboty przed nami. Kolejna porcja zadań:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\Symantec 
HKLM Group Policy restriction on software: C:\Program Files\Common Files\Symantec Shared 
HKLM Group Policy restriction on software: C:\Program Files\STOPzilla! 
HKLM Group Policy restriction on software: C:\Program Files\AVG 
HKLM Group Policy restriction on software: C:\Documents and Settings\All Users\Application Data\Malwarebytes 
HKLM Group Policy restriction on software: C:\Program Files\Common Files\PC Tools 
HKLM Group Policy restriction on software: C:\Program Files\AVG\ 
HKLM Group Policy restriction on software: C:\Program Files\AVG\AVG2012 
HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1
HKLM\...\Policies\Explorer: [HideSCAHealth] 1
HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore: [DisableSR/DisableConfig] 
HKU\S-1-5-21-3848935919-3367533699-3990728495-1002\...\Policies\system: [EnableLUA] 0
HKU\S-1-5-21-3848935919-3367533699-3990728495-1002\...\Policies\Explorer: [TaskbarNoNotification] 1
HKU\S-1-5-21-3848935919-3367533699-3990728495-1002\...\Policies\Explorer: [HideSCAHealth] 1
HKU\S-1-5-21-3848935919-3367533699-3990728495-1002\...\Winlogon: [shell] explorer.exe,C:\Users\XX\AppData\Roaming\template.xml 
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
GroupPolicy: Group Policy on Chrome detected 
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKU\S-1-5-21-3848935919-3367533699-3990728495-1002\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction 
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com
HKU\S-1-5-21-3848935919-3367533699-3990728495-1002\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1419115159&from=cor&uid=SAMSUNGXHD753LJ_S13UJDWSB02703&q={searchTerms}
HKU\S-1-5-21-3848935919-3367533699-3990728495-1002\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1419115159&from=cor&uid=SAMSUNGXHD753LJ_S13UJDWSB02703&q={searchTerms}
SearchScopes: HKLM -> URL http://search.certified-toolbar.com?si=39033&bs=true&tid=114&q={searchTerms}
SearchScopes: HKLM -> SuggestionsURL_JSON http://api.widdit.com/suggestions/?format=ffplugin&ua=ie&src=addon&si=39033&gid=1&dbCode=1&command={searchTerms}
SearchScopes: HKLM -> TopResultURLFallback http://search.certified-toolbar.com?si=39033&bs=true&tid=114&q={searchTerms}
SearchScopes: HKLM -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://search.certified-toolbar.com?si=41516&bs=true&tid=553&q={searchTerms}
SearchScopes: HKLM -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL =
SearchScopes: HKU\S-1-5-21-3848935919-3367533699-3990728495-1002 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.certified-toolbar.com?si=39033&bs=true&tid=114&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3848935919-3367533699-3990728495-1002 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = http://search.certified-toolbar.com?si=39033&bs=true&tid=114&q={searchTerms}
SearchScopes: HKU\S-1-5-21-3848935919-3367533699-3990728495-1002 -> {06913AD4-1A2E-4074-9212-5F93060F0BA4} URL = http://www.dymasearch.com/search.php?src=tops&q={SearchTerms}
SearchScopes: HKU\S-1-5-21-3848935919-3367533699-3990728495-1002 -> {0FEF2D2C-CDA6-45E4-B2ED-9DF7C50C95FF} URL = http://gb.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp
SearchScopes: HKU\S-1-5-21-3848935919-3367533699-3990728495-1002 -> {C907CFDE-0E1B-428A-9CE8-ABA04F73AFE1} URL = http://search.certified-toolbar.com?si=41516&bs=true&tid=553&q={searchTerms}
BHO: No Name -> {2b80b144-89ad-4b68-a8cc-bb44266c7164} -> No File
BHO: No Name -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> No File
BHO: No Name -> {905676b7-7ac2-24f3-bdb2-0b07e403792d} -> No File
BHO: No Name -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> No File
Toolbar: HKLM - No Name - {2b80b144-89ad-4b68-a8cc-bb44266c7164} - No File
Toolbar: HKU\S-1-5-21-3848935919-3367533699-3990728495-1002 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File
Toolbar: HKU\S-1-5-21-3848935919-3367533699-3990728495-1002 -> No Name - {C55D30C7-3B86-4D70-98D3-CAA716DF0D83} - No File
Toolbar: HKU\S-1-5-21-3848935919-3367533699-3990728495-1002 -> No Name - {0FEF2D2C-CDA6-45E4-B2ED-9DF7C50C95FF} - No File
Toolbar: HKU\S-1-5-21-3848935919-3367533699-3990728495-1002 -> No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - No File
Handler: livecall - {828030A1-22C1-4009-854F-8E305202313F} - No File
Handler: msnim - {828030A1-22C1-4009-854F-8E305202313F} - No File
Handler: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - No File
StartMenuInternet: IEXPLORE.EXE - iexplore.exe
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - No Path
CHR HKLM\...\Chrome\Extension: [ipfhoepcbdngdoljpcgpbdidoknedfmc] - C:\Program Files\CertifiedToolsToolbar\chrome\CertifiedToolsToolbar.crx [Not Found]
CHR HKLM\...\Chrome\Extension: [jfmjfhklogoienhpfnppmbcbjfjnkonk] - C:\ProgramData\Real\RealPlayer\BrowserRecordPlugin\Chrome\Ext\rphtml5video.crx [2011-11-13]
CHR HKLM\...\Chrome\Extension: [nneajnkjbffgblleaoojgaacokifdkhm] - C:\Program Files\DivX\DivX Plus Web Player\chrome\DivXHTML5\DivXHTML5.crx [2011-12-12]
CHR HKLM\...\Chrome\Extension: [oilihjdlfjineennpeeionkmaodanbcj] - C:\Program Files\CertifiedToolbar\chrome\CertifiedToolbar.crx [Not Found]
Task: {06924F4C-784E-4DFC-A78B-55CFD6CF17E2} - System32\Tasks\DLL-files.com Fixer_UPDATES => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe
Task: {12543C65-8A6D-401C-B87F-2D7189D0BFF1} - System32\Tasks\{58D2200F-DDCF-445E-BE0F-7FF74826830C} => pcalua.exe -a D:\Steam\steam.exe -c steam://uninstall/8770
Task: {13477BC6-7495-4923-A0A9-0D3C73496ACF} - System32\Tasks\FRAPS => C:\Fraps\fraps.exe
Task: {1851BD8D-1CD9-4021-9B2D-AFAE68B2552C} - System32\Tasks\{E8315CC3-04B0-426F-8A47-48141DDDAAFD} => pcalua.exe -a C:\Users\XX\Desktop\FrytkiBOT\HS_Blocker.exe -d C:\Users\XX\Desktop\FrytkiBOT
Task: {22EC2BE5-E133-48C0-9CC6-BA319860DD79} - System32\Tasks\{DF5B99D9-8E73-4DE4-9159-70B61871B7FC} => pcalua.exe -a E:\setup.exe -d E:\
Task: {25BFAB60-C28A-4350-8C41-A698CA80CB38} - System32\Tasks\ygedzjm => C:\Users\XX\AppData\Local\Temp\ltuohkc.exe 
Task: {295381B2-EB77-4598-B837-9D9C24DA9139} - System32\Tasks\{989EBDBD-62FC-4DB4-8DCB-543EC4D95931} => pcalua.exe -a "C:\Users\XX\Desktop\NAVI GUI 2012\NAVI GUI 2012\NAVI GUI 2012 (800x600).exe" -d "C:\Users\XX\Desktop\NAVI GUI 2012\NAVI GUI 2012"
Task: {2D4F8C61-1477-4FA3-8D8A-27F47B01DEAD} - System32\Tasks\YTAUpdate => C:\PROGRA~1\YOUTUB~1\Updater.exe 
Task: {32029460-E958-44A0-BA80-8221EA9FFD74} - System32\Tasks\{FED27A72-CD48-401E-B52B-A01C84B20AC8} => pcalua.exe -a C:\Users\XX\Desktop\6.86_nforce_win2kxp_international_whql.exe -d C:\Users\XX\Desktop
Task: {3B6D2E55-39E6-48BD-8C8F-551E5E38292A} - System32\Tasks\DLL-files.com Fixer_MONTHLY => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe
Task: {404D011E-2713-44EB-A64B-20A415347285} - System32\Tasks\RDReminder => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe
Task: {4CC0979E-EBF3-42B9-810F-6B61272D915B} - \YourFile Update No Task File 
Task: {4DC82095-010D-460C-825D-92E2B531A548} - System32\Tasks\{54C3F4D1-5A52-4322-BB05-C58ACAE38103} => pcalua.exe -a C:\Users\XX\Desktop\Sims3_2.3.33.003002_from_2.0.86.002002.exe -d C:\Users\XX\Desktop
Task: {523ABEBE-4550-49A1-85B6-05E6C8A53F94} - System32\Tasks\APSnotifierPP1 => C:\Program Files\AnyProtectEx\AnyProtect.exe 
Task: {54483DCB-4108-4760-BE2F-93CA31181498} - System32\Tasks\{E169A21B-87F1-49EC-ABDF-25EF09604D5C} => pcalua.exe -a "C:\Program Files\Common Files\Ahead\Nero Web\SetupX.exe" -d "C:\Program Files\Common Files\Ahead\Nero Web" -c -ScParameter=8 MODE="update"
Task: {570B6FE7-F4A1-48B1-A4BB-ABB7D1E13151} - System32\Tasks\{A2A3B52A-3ABC-4E3B-A91D-4F6DBBCDF0F4} => pcalua.exe -a C:\Windows\IsUn0415.exe -c -f"C:\Program Files\Gimnazjum klasa 1 - Fizyka\Uninst.isu" -c"C:\Program Files\Gimnazjum klasa 1 - Fizyka\UninstallProject.dll"
Task: {575C1BC2-65F3-430A-BAA1-C3B940790CBA} - System32\Tasks\Math Problem Solver GPU => C:\Users\XX\AppData\Local\Math Problem Solver\gpu\dummysleep.exe 
Task: {5BAAF458-EA78-4758-B398-6994CF39200F} - System32\Tasks\{4052535E-4CBB-46CE-88CE-FF3F7F2578E2} => Chrome.exe
Task: {5D46EFF2-93A0-4F02-B23A-209859A96EA4} - System32\Tasks\{C32C989B-439E-4F8B-97BF-12911FE0BF77} => pcalua.exe -a "C:\Users\XX\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\9WKBOPGG\OggDS0995[1].exe" -d C:\Users\XX\Desktop
Task: {68A883B9-7843-4992-9095-486DCC2BD89D} - System32\Tasks\ProtectedSearch\Protected Search => C:\Program Files\Protected Search\ProtectedSearch.exe 
Task: {7284FFD2-64F8-4FEB-AA07-CA9D0022173C} - System32\Tasks\{F4035CFF-BFC2-4D32-9FF5-C4CDFACAF83D} => pcalua.exe -a "D:\Electronic Arts\Game\Bin\Sims3_2.3.33.003002_from_2.0.86.002002.exe" -d "D:\Electronic Arts\Game\Bin"
Task: {75DEB202-D1C3-4C4F-A15F-EB439C1091E0} - System32\Tasks\{CD37BA95-3A2E-4907-BCAE-4B8B6C705602} => c:\program files\opera\opera.exe
Task: {762CB282-0F27-4DAB-A67A-36FF61F21279} - System32\Tasks\Math Problem Solver CPU => C:\Users\XX\AppData\Local\Math Problem Solver\cpu\Solve.exe [2014-02-02] () 
Task: {78808536-ACA4-4E4F-A7C1-1DFD81E158CA} - System32\Tasks\YTAUpdate_logon => C:\PROGRA~1\YOUTUB~1\Updater.exe 
Task: {7E314B7E-8E4E-4A76-AFA5-DB1C64EC1FC0} - System32\Tasks\{2AFC76AB-09AA-472C-A27F-25BD5C7E0BC6} => pcalua.exe -a "C:\Program Files\YouTube Accelerator\YTAUninstall.exe"
Task: {80D5E017-E192-4F38-B011-DC5DB2D8B49F} - System32\Tasks\{1C96B60C-FCFD-419A-BA77-10F9276C98F6} => pcalua.exe -a C:\Users\XX\Downloads\dotNetFx35setup(2).exe -d C:\Users\XX\Downloads
Task: {8697C433-D4DF-49F6-A307-79E271D1CF96} - System32\Tasks\Math Problem Solver Optimize => C:\Users\XX\AppData\Local\Math Problem Solver\Optimize.exe [2014-01-20] () 
Task: {892E0C77-F65F-42DF-B13A-4E44E40AB97C} - System32\Tasks\{88890589-C6E2-4BD2-B74A-DC9F2D89E870} => Chrome.exe
Task: {9811EF5D-B8C1-4858-9FE6-62BF608D5DBD} - System32\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv => C:\Windows\TEMP\{BB5A512D-544A-4A1C-9B5A-B7A4AFC10F39}.exe
Task: {A5134CAE-2604-44BD-BFE2-8DE663F9E3BF} - System32\Tasks\Norton Security Scan for XX => C:\PROGRA~1\NORTON~2\Engine\351~1.8\Nss.exe
Task: {B6B8654D-E32F-4D4D-944F-04B8028AD5A7} - System32\Tasks\APSnotifierPP3 => C:\Program Files\AnyProtectEx\AnyProtect.exe 
Task: {C04E7C3C-5167-418F-B1A2-0ADDB046C330} - System32\Tasks\{CEDCA9A4-CA14-4898-806A-951001CB2696} => pcalua.exe -a D:\CMR5.EXE -d D:\
Task: {CA4EF24A-04C7-4085-99F4-1FAD95043CF9} - System32\Tasks\{9B087F2E-F6D4-419B-B4D7-7354C5C0E970} => pcalua.exe -a "C:\Program Files\Mozilla Firefox\uninstall\helper.exe"
Task: {CEA0A51F-AA11-463C-ADAC-769B8472C608} - System32\Tasks\{826D5F60-B62E-4C03-8A96-36BA93EB15BB} => pcalua.exe -a C:\Users\XX\Desktop\UniSpiker-2.6.exe -d C:\Users\XX\Desktop
Task: {CFC7E1E8-97AE-4A89-A0B0-0DF0EB565419} - System32\Tasks\{6783762C-982D-497A-A37E-84E3E32719B0} => pcalua.exe -a "C:\Program Files\Steam\steam.exe" -c steam://uninstall/10
Task: {D0885CAB-62D1-4F32-8340-B5ACFD91DD1F} - System32\Tasks\{833EB77C-B397-4ABC-98C8-84A879989263} => pcalua.exe -a C:\Users\XX\Downloads\dziennik.exe -d C:\Users\XX\Downloads
Task: {D5CAD9B4-3045-431D-BE45-B77677F838FF} - System32\Tasks\{17E4218E-C7C1-48EB-9827-4E3249531243} => pcalua.exe -a C:\Users\XX\AppData\Local\Temp\Temp1_AdobePhotoshop10pl_PL[www.INSTALKI.pl].zip\pl_PL\20070503.t4ce.089\Retail\Setup.exe
Task: {DE0518D5-868B-4FEA-91C4-615E9AC0483F} - System32\Tasks\LaunchSignup => C:\Program Files\MyPC Backup\Signup Wizard.exe 
Task: {E9B9C72B-2F33-4C06-BBEA-BDFC65D0FA77} - System32\Tasks\{AE041394-CEB8-4195-9334-B0E5CF6E0BCD} => C:\Program Files\Nokia\Ovi Player\NokiaOviPlayer.exe
Task: {F519B37A-5D1B-41DD-9305-FDEAB358736D} - System32\Tasks\APSnotifierPP2 => C:\Program Files\AnyProtectEx\AnyProtect.exe 
Task: {F89302F3-C51D-4FBC-943F-9C567F93ADAC} - System32\Tasks\Launch HTC Sync Loader => C:\Program Files\HTC\HTC Sync 3.0\htcUPCTLoader.exe
Task: {FF635474-C465-4FFD-B9B1-296C60F5D6EF} - System32\Tasks\{9A5426C8-494B-480C-88CF-13EB3DEE31CE} => pcalua.exe -a "C:\Program Files\4Media\Video Editor 2\Uninstall.exe"
Task: {FFC8B55D-82F4-4FB8-B441-15E23716985B} - System32\Tasks\{A82B4408-EE86-437D-876E-374CE6D7D982} => pcalua.exe -a C:\Users\XX\Desktop\Expressivo_1_2_0_Jacek_Demo.exe -d C:\Users\XX\Desktop
Task: C:\Windows\Tasks\APSnotifierPP1.job => C:\Program Files\AnyProtectEx\AnyProtect.exe 
Task: C:\Windows\Tasks\APSnotifierPP2.job => C:\Program Files\AnyProtectEx\AnyProtect.exe 
Task: C:\Windows\Tasks\APSnotifierPP3.job => C:\Program Files\AnyProtectEx\AnyProtect.exe 
Task: C:\Windows\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\Windows\TEMP\{BB5A512D-544A-4A1C-9B5A-B7A4AFC10F39}.exe
Task: C:\Windows\Tasks\DLL-files.com Fixer_MONTHLY.job => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe
Task: C:\Windows\Tasks\DLL-files.com Fixer_UPDATES.job => C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe
Task: C:\Windows\Tasks\Norton Security Scan for XX.job => C:\PROGRA~1\NORTON~2\Engine\351~1.8\Nss.exe
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\76507945.sys => ""="Driver"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\76507945.sys => ""="Driver"
HKU\S-1-5-21-3848935919-3367533699-3990728495-1002\Software\Classes\.exe: exefile => 
HKU\S-1-5-21-3848935919-3367533699-3990728495-1002\Software\Classes\exefile: 
S3 ServiceLayer; "C:\Program Files\Nokia\PC Connectivity Solution\ServiceLayer.exe" [X]
S4 YouTubeAcceleratorService; C:\PROGRA~1\YOUTUB~1\YouTubeAcceleratorService.exe -start -scm [X]
S3 EagleNT; \??\C:\Windows\system32\drivers\EagleNT.sys [X]
S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [X]
S3 gdrv; \??\C:\Windows\gdrv.sys [X]
S3 gfiark; system32\drivers\gfiark.sys [X]
S3 glynnxxGE; \??\C:\Users\XX\Desktop\[cshacked.pl]Intelligent Aimbot Gold Edition Cracked\Intelligent Aimbot Gold Edition Cracked\glynnharr.sys [X]
S3 IntcAzAudAddService; system32\drivers\RTKVHDA.sys [X]
S2 sbapifs; system32\DRIVERS\sbapifs.sys [X]
S0 szkgfs; system32\drivers\szkgfs.sys [X]
C:\sh-remover.exe
C:\182186e7
C:\Program Files\007
C:\ProgramData\htnsmun.html
C:\ProgramData\LM32X3ViF.dat
C:\ProgramData\avg9
C:\ProgramData\InstallMate
C:\ProgramData\Mozilla
C:\ProgramData\Norton
C:\ProgramData\NortonInstaller
C:\ProgramData\SteelSeries
C:\ProgramData\Symantec
C:\ProgramData\TEMP
C:\ProgramData\VOIPlay
C:\ProgramData\ZugkuKoqut
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gadu-Gadu 10.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autonomiczny składnik AVG LinkScanner
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVD Flick
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP\HP Photosmart Essential 3.5
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Nexon
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\San Andreas Multiplayer
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\World of Tanks
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YouTube Accelerator
C:\Users\XX\BullseyeCoverageError.TXT.kcirdgd
C:\Users\XX\AppData\Local\{*}
C:\Users\XX\AppData\Local\setup.exe
C:\Users\XX\AppData\Local\Temp*.html
C:\Users\XX\AppData\Local\Ares
C:\Users\XX\AppData\Local\BearShare
C:\Users\XX\AppData\Local\Egftion
C:\Users\XX\AppData\Local\Geckofx
C:\Users\XX\AppData\Local\Google\Chrome\User Data\Default\Preferences
C:\Users\XX\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage*
C:\Users\XX\AppData\Local\Google\Picasa2
C:\Users\XX\AppData\Local\Google\Picasa2Albums
C:\Users\XX\AppData\Local\Mozilla
C:\Users\XX\AppData\Local\Nokia
C:\Users\XX\AppData\Local\Opera
C:\Users\XX\AppData\Local\Pokki
C:\Users\XX\AppData\Local\screenSHU
C:\Users\XX\AppData\Local\YfPack
C:\Users\XX\AppData\LocalLow\bearsharemediabartb
C:\Users\XX\AppData\LocalLow\CertifiedToolsToolbar
C:\Users\XX\AppData\LocalLow\Sun
C:\Users\XX\AppData\Roaming\6201c0551d203b.xml
C:\Users\XX\AppData\Roaming\embranchment.ed
C:\Users\XX\AppData\Roaming\LiveSupport.exe_log.TXT.kcirdgd
C:\Users\XX\AppData\Roaming\regsvr32.exe_log.TXT.kcirdgd
C:\Users\XX\AppData\Roaming\template.css
C:\Users\XX\AppData\Roaming\template.log
C:\Users\XX\AppData\Roaming\72C8C5EA
C:\Users\XX\AppData\Roaming\.minecraft
C:\Users\XX\AppData\Roaming\Adetymwu
C:\Users\XX\AppData\Roaming\avidemux
C:\Users\XX\AppData\Roaming\Audacity
C:\Users\XX\AppData\Roaming\Balmora.pl
C:\Users\XX\AppData\Roaming\DVD Flick
C:\Users\XX\AppData\Roaming\FileZilla
C:\Users\XX\AppData\Roaming\com.w3i.FlipToast
C:\Users\XX\AppData\Roaming\Gadu-Gadu 10
C:\Users\XX\AppData\Roaming\GoldenGate
C:\Users\XX\AppData\Roaming\Igosonne
C:\Users\XX\AppData\Roaming\Local Store
C:\Users\XX\AppData\Roaming\Mozilla
C:\Users\XX\AppData\Roaming\OpenFM
C:\Users\XX\AppData\Roaming\Opera
C:\Users\XX\AppData\Roaming\SteelSeries
C:\Users\XX\AppData\Roaming\Ubkafo
C:\Users\XX\AppData\Roaming\wargaming.net
C:\Users\XX\AppData\Roaming\WordToPDF
C:\Users\XX\AppData\Roaming\Ynehcaac
C:\Users\XX\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK
C:\Users\XX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GameSpy Arcade
C:\Users\XX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SteelSeries
C:\Users\XX\Desktop\Malestia.pl client 20.12.2014.RAR.kcirdgd
C:\Users\XX\Documents\Decrypt-All-Files-kcirdgd.bmp
C:\Users\XX\Documents\Decrypt-All-Files-kcirdgd.txt
C:\Windows\system32\Drivers\*.szcpf
C:\Windows\system32\Drivers\1DF1592B.sys
C:\Windows\system32\Drivers\2F6C59A4.sys
C:\Windows\system32\Drivers\5EFA3319.sys
C:\Windows\system32\Drivers\61C35F4E.sys
C:\Windows\system32\Drivers\2F9C5F72.sys
Hosts:
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg query "HKCU\Control Panel\Desktop"
Reg: reg query "HKCU\Software\Microsoft\Internet Explorer\Desktop" /s
Reg: reg query "HKLM\Software\Microsoft\Internet Explorer\Desktop" /s
Reg: reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
CMD: attrib -r -h -s C:\HELP_DECRYPT.* /s
CMD: del /q /s C:\HELP_DECRYPT.*

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

2. Przez Panel sterowania odinstaluj:

- Adware: Math Problem Solver, OfferBLVDUpdate, saveron, WordToPDF Packages, YouTube Accelerator.

- Zbędniki i nadwyżkę skanerów: Adobe Shockwave Player 12.1, AVG Security Toolbar, Avira, Avira Free Antivirus, SpyHunter 4, STOPzilla.

Wpisy adware są uszkodzone. Jeśli ich nie będzie widać lub zgłosi się błąd, kontynuuj dalej.

 

3. Wyczyść Google Chrome z adware:

  • Ustawienia > karta Rozszerzenia > odinstaluj adware PriceDownloader
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia zostaną wyłączone (aktywuj ręcznie w opcjach).
  • Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
  • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
4. Zrób nowy log FRST z opcji Scan (zaznacz ponownie pola Addition + Shortcut). Dołącz też plik fixlog.txt.
Odnośnik do komentarza

Verdugo, jeśli nikt jeszcze nie odpisał, nie twórz posta pod postem, tylko jeden post i funkcja Edytuj, by go uzupełnić o nowe dane. Skleiłam powyższe.

 

 

napotkałem się na problem , a mianowicie FRST -> ( Fix ) gdy odpalam fixa wyskakuje za każdym razem po chwili brak odpowiedzi i zawiesza się FRST.

Fix jest jednorazowy i w zasadach działu jest napisane, by go nie powtarzać tylko w przypadku problemu od razu zgłosić się na forum. Tu jest prawdopodobne, że wieszają Fix dwie ostatnie komendy CMD rekursywnie ściągające atrybuty i kasujące z całego dysku C pliki o modelu nazwy HELP_DECRYPT.*.

 

Czy w folderze archiwum logów C:\FRST\Logs są jakieś pliki o nazwie Fixlog_data_czas.txt? Jeśli tak, wszytkie dotarcz do wglądu. Nie interesują mnie pliki o nazwie FRST_data_czas.txt, bo to poprzednie skany FRST.

Odnośnik do komentarza

FRST jest programem bezinstalacyjnym. Jeśli usunąłeś folder C:\FRST, to nabroiłeś, bo nie tylko poprzednie logi poszły do piachu, ale i cała kopia zapasowa rejestru!

Proszę nic teraz nie kombinuj już i kontynuuj dyskusję w temacie. Teraz masz podać TYLKO nowe logi FRST (główny, Addition i Shortcut).

 

Tylko jak tu podać logi skoro usunąłem FRST  :(

Odnośnik do komentarza

Logi wskazują, że duża część skryptu FRST się jednak wykonała. Czyli teraz trzeba nanieść poprawki na zastaną sytuację i dokończyć to co się nie wykonało. Na początek zrób tylko to z poziomu Trybu normalnego:

 

2. Przez Panel sterowania odinstaluj:

- Adware: Math Problem Solver, OfferBLVDUpdate, saveron, WordToPDF Packages, YouTube Accelerator.

- Zbędniki i nadwyżkę skanerów: Adobe Shockwave Player 12.1, AVG Security Toolbar, SpyHunter 4, STOPzilla.

Wpisy adware są uszkodzone. Jeśli ich nie będzie widać lub zgłosi się błąd, kontynuuj dalej.

Tylko tyle i zawiadom czy się to udało.

Odnośnik do komentarza

Kolejna porcja czynności:

 

1. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
Task: C:\Windows\Tasks\1014avUpdateInfo.job => C:\ProgramData\Avg_Update_1014av\1014av_AVG-Secure-Search-Update.exe
Hosts:
C:\ProgramData\Avg_Update_1014av
C:\Users\XX\AppData\Local\Google\Chrome\User Data\Default\Preferences
C:\Users\XX\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage*
C:\Users\XX\AppData\LocalLow\CertifiedToolbar
C:\Users\XX\AppData\Roaming\.minecraft
C:\Users\XX\AppData\Roaming\Adetymwu
C:\Users\XX\AppData\Roaming\avidemux
C:\Users\XX\AppData\Roaming\Audacity
C:\Users\XX\AppData\Roaming\Balmora.pl
C:\Users\XX\AppData\Roaming\DVD Flick
C:\Users\XX\AppData\Roaming\FileZilla
C:\Users\XX\AppData\Roaming\com.w3i.FlipToast
C:\Users\XX\AppData\Roaming\Gadu-Gadu 10
C:\Users\XX\AppData\Roaming\GoldenGate
C:\Users\XX\AppData\Roaming\Igosonne
C:\Users\XX\AppData\Roaming\Local Store
C:\Users\XX\AppData\Roaming\Mozilla
C:\Users\XX\AppData\Roaming\OpenFM
C:\Users\XX\AppData\Roaming\Opera
C:\Users\XX\AppData\Roaming\SteelSeries
C:\Users\XX\AppData\Roaming\Ubkafo
C:\Users\XX\AppData\Roaming\wargaming.net
C:\Users\XX\AppData\Roaming\WordToPDF
C:\Users\XX\AppData\Roaming\Ynehcaac
C:\Users\XX\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK
C:\Users\XX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GameSpy Arcade
C:\Users\XX\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\SteelSeries
C:\Users\XX\Documents\Decrypt-All-Files-kcirdgd.bmp
C:\Users\XX\Documents\Decrypt-All-Files-kcirdgd.txt
C:\Windows\system32\Drivers\1DF1592B.sys
C:\Windows\system32\Drivers\2F6C59A4.sys
C:\Windows\system32\Drivers\5EFA3319.sys
C:\Windows\system32\Drivers\61C35F4E.sys
C:\Windows\system32\Drivers\2F9C5F72.sys
CMD: sc config WinDefend start= demand
Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f
Reg: reg delete HKCU\Software\Mozilla /f
Reg: reg delete HKCU\Software\MozillaPlugins /f
Reg: reg delete HKLM\SOFTWARE\Mozilla /f
Reg: reg delete HKLM\SOFTWARE\mozilla.org /f
Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\AboutURLs" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchUrl" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\AboutURLs" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchURI" /f
Reg: reg delete "HKLM\SOFTWARE\Classes\SOFTWARE\Microsoft\Internet Explorer\SearchUrl" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder" /f
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg query "HKCU\Control Panel\Desktop"
Reg: reg query "HKCU\Software\Microsoft\Internet Explorer\Desktop" /s
Reg: reg query "HKLM\Software\Microsoft\Internet Explorer\Desktop" /s
Reg: reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files\Common Files"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\XX\AppData\Local
CMD: dir /a C:\Users\XX\AppData\LocalLow
CMD: dir /a C:\Users\XX\AppData\Roaming
EmptyTemp:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie. Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

 

Jeśli wystąpi jakikolwiek błąd, stop, nie ponawiaj opcji Fix tylko od razu na forum z opisem problemu oraz plikiem fixlog.txt (o ile zostanie nagrany). Jeśli błąd nie wystąpi, kontynuuj do punktów 2 i 3:

 

2. Do wykonania zaległy punkt z Google Chrome:

  • Ustawienia > karta Rozszerzenia > odinstaluj adware PriceDownloader, upewnij się też czy po Avirze nie pozostał obiekt Avira Browser Safety.
  • Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale rozszerzenia zostaną wyłączone (aktywuj ręcznie w opcjach).
  • Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą).
  • Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.
4. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, na razie Shortcut zbędny. Dołącz też plik fixlog.txt.
Odnośnik do komentarza

Proszę nie wyciągaj bieżącego pliku Fixlog z katalogu C:\FRST\Logs - tam jest archiwum. Prosiłam wcześniej o to, bo uruchomiłeś Fix więcej niż raz. Obecnie masz dostarczać tylko plik bieżący, a ten jest zawsze tam skąd uruchamiasz FRST.

 

 

Chciałbym też dodać , że po powrocie do Trybu normalnego tapeta pulpitu zostało przywrócona do normy

Tapeta została podmieniona przez CTB-Locker. Usuwałam powiązany plik Decrypt-All-Files-kcirdgd.bmp. Mówisz, że wróciła do normy. Swoją drogą nie dało się wcześniej tego zmienić w Panel sterowania > Wygląd i personalizacja > Zmień tło Pulpitu?

 

 

Fix wykonany, ale tu nie koniec działań. Jeszcze dużo przed nami:

 

1. W Google Chrome nadal jest rozszerzenie adware PriceDownloader. Czy jest jakiś problem z deinstalacją?

 

2. Pozostałe poprawki pod kątem odinstalowanych aplikacji oraz masowych plików HELP_DECRYPT.*. Otwórz Notatnik i wklej w nim:

 

S3 MBAMSwissArmy; C:\Windows\system32\drivers\5BE5457A.sys [114904 2015-02-03] (Malwarebytes Corporation)
C:\Program Files\AVG Security Toolbar
C:\Program Files\Common Files\Aimersoft
C:\Program Files\Common Files\GeoVid
C:\Program Files\Common Files\Grupa Image
C:\Program Files\Common Files\PC Tools
C:\Program Files\Common Files\Symantec Shared
C:\Program Files\Common Files\Ulead Systems
C:\Program Files\Common Files\xara
C:\Program Files\dumps
C:\Program Files\Grupa IMAGE
C:\Program Files\HEX
C:\Program Files\Malwarebytes Anti-Malware
C:\Program Files\screenSHU
C:\Program Files\Temp
C:\Program Files\Total Video Converter
C:\ProgramData\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F}
C:\ProgramData\25ebdc4eb7321999
C:\ProgramData\APN
C:\ProgramData\Apple
C:\ProgramData\Ashampoo
C:\ProgramData\AVAST Software
C:\ProgramData\Avg_Update_0814tb
C:\ProgramData\CouponFactory
C:\ProgramData\DAEMON Tools Lite
C:\ProgramData\EA Core
C:\ProgramData\Electronic Arts
C:\ProgramData\Easy Driver Pro
C:\ProgramData\Firefly Studios
C:\ProgramData\Gadu-Gadu 10
C:\ProgramData\GoldWave
C:\ProgramData\House Of Soft
C:\ProgramData\mufin
C:\ProgramData\NokiaMusic
C:\ProgramData\OpenFM
C:\ProgramData\PC Suite
C:\ProgramData\Pinnacle
C:\ProgramData\RoboForm
C:\ProgramData\saveron
C:\ProgramData\STOIK
C:\ProgramData\Sun
C:\ProgramData\TuneUp Software
C:\ProgramData\Web Installer
C:\ProgramData\WEBREG
C:\Users\XX\AppData\Local\.#
C:\Users\XX\AppData\Local\Apple
C:\Users\XX\AppData\Local\Apple Computer
C:\Users\XX\AppData\Local\Aimersoft
C:\Users\XX\AppData\Local\Ashampoo Movie Studio
C:\Users\XX\AppData\Local\cache
C:\Users\XX\AppData\Local\CrashRpt
C:\Users\XX\AppData\Local\DayZ
C:\Users\XX\AppData\Local\DDMSettings
C:\Users\XX\AppData\Local\Electronic Arts
C:\Users\XX\AppData\Local\GamersFirst
C:\Users\XX\AppData\Local\GGEmpire
C:\Users\XX\AppData\Local\GHISLER
C:\Users\XX\AppData\Local\globalUpdate
C:\Users\XX\AppData\Local\ICSharpCode.net
C:\Users\XX\AppData\Local\Installer
C:\Users\XX\AppData\Local\IVONA_INST
C:\Users\XX\AppData\Local\Seven Zip
C:\Users\XX\AppData\Local\SteelSeries_ApS
C:\Users\XX\AppData\Local\WMTools Downloaded Files
C:\Users\XX\AppData\Local\Xara
C:\Users\XX\AppData\LocalLow\SkwConfig.bin
C:\Users\XX\AppData\LocalLow\72C8C5EA
C:\Users\XX\AppData\LocalLow\Apple Computer
C:\Users\XX\AppData\LocalLow\Goobzo
C:\Users\XX\AppData\LocalLow\Siber Systems
C:\Users\XX\AppData\LocalLow\SimplyTech
C:\Users\XX\AppData\LocalLow\Temp
C:\Users\XX\AppData\LocalLow\TheTorntv V10
C:\Users\XX\AppData\Roaming\.#
C:\Users\XX\AppData\Roaming\app
C:\Users\XX\AppData\Roaming\Apple Computer
C:\Users\XX\AppData\Roaming\CertifiedToolsToolbar
C:\Users\XX\AppData\Roaming\Cream Software
C:\Users\XX\AppData\Roaming\D2Info0
C:\Users\XX\AppData\Roaming\DAEMON Tools Lite
C:\Users\XX\AppData\Roaming\DeepBurner
C:\Users\XX\AppData\Roaming\dll-files.com
C:\Users\XX\AppData\Roaming\DMCache
C:\Users\XX\AppData\Roaming\Dofus-2.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1
C:\Users\XX\AppData\Roaming\Dofus.C9ECCBDBA4E09304DEEFB106465BC17F6D6749B9.1
C:\Users\XX\AppData\Roaming\Dofus2
C:\Users\XX\AppData\Roaming\DofusAppId0_1
C:\Users\XX\AppData\Roaming\DofusAppId0_2
C:\Users\XX\AppData\Roaming\Firefly Studios
C:\Users\XX\AppData\Roaming\FreeAudioPack
C:\Users\XX\AppData\Roaming\GameCenter
C:\Users\XX\AppData\Roaming\GeoVid
C:\Users\XX\AppData\Roaming\GetRightToGo
C:\Users\XX\AppData\Roaming\GHISLER
C:\Users\XX\AppData\Roaming\Grupa IMAGE
C:\Users\XX\AppData\Roaming\gtk-2.0
C:\Users\XX\AppData\Roaming\IDM
C:\Users\XX\AppData\Roaming\Iduqofen
C:\Users\XX\AppData\Roaming\iFree
C:\Users\XX\AppData\Roaming\MegaCloud
C:\Users\XX\AppData\Roaming\mIRC
C:\Users\XX\AppData\Roaming\mplayer
C:\Users\XX\AppData\Roaming\Nokia
C:\Users\XX\AppData\Roaming\PC Suite
C:\Users\XX\AppData\Roaming\proDAD
C:\Users\XX\AppData\Roaming\RoboForm
C:\Users\XX\AppData\Roaming\skypePM
C:\Users\XX\AppData\Roaming\SumatraPDF
C:\Users\XX\AppData\Roaming\Tibia
C:\Users\XX\AppData\Roaming\TuneUp Software
C:\Users\XX\AppData\Roaming\Ulead Systems
C:\Users\XX\AppData\Roaming\Ventrilo
C:\Users\XX\AppData\Roaming\vlc
C:\Users\XX\AppData\Roaming\VOIPlay
C:\Windows\system32\Drivers\5BE5457A.sys
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Desktop\components" /f
Reg: reg query "HKCU\Control Panel\Desktop"
CMD: type "C:\Program Files\plugins.ini"
CMD: dir /a C:\Users\XX\AppData\Local\Programs
CMD: attrib -r -h -s C:\HELP_DECRYPT.* /s
CMD: del /q /s C:\HELP_DECRYPT.*

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, ostatnie dwie komendy jadące po dysku rekursywnie mogą spowodować długi czas oczekiwania. Przedstaw wynikowy fixlog.txt. Plik może być bardzo duży.

Odnośnik do komentarza

1. Nadal jest ustawiona tapeta malware, choć się nie wyświetla. Panel sterowania > Wygląd i personalizacja > Zmień tło Pulpitu i ustaw cokolwiek.

 

2. Kolejne poprawki. Otwórz Notatnik i wklej w nim:

 

CHR Extension: (PriceDownloader) - C:\Users\XX\AppData\Local\Google\Chrome\User Data\Default\Extensions\fiegkapaipiohdadhdlhokfbjlemifdd [2014-11-03]
Reg: reg query "HKCU\Control Panel\Desktop"

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

 

3. Uruchom AdwCleaner. Na razie wybierz tylko opcję Szukaj (nie stosuj jeszcze Usuń) i dostarcz wynikowy log z folderu C:\AdwCleaner.

Odnośnik do komentarza

Kolejna porcja czynności:

 

1. Uruchom AdwCleaner ponownie, lecz tym razem zastosuj kombinację Szukaj + Usuń. Gdy AdwCleaner ukończy czyszczenie:

 

2. Otwórz Notatnik i wklej w nim:

 

RemoveDirectory: C:\AdwCleaner
RemoveDirectory: C:\FRST\Quarantine
RemoveDirectory: C:\TDSSKiller_Quarantine
Reg: reg delete "HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls" /v Tabs /f
Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f
Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

 

3. Z zaszyfrowanymi danymi nie jestem w stanie nic zrobić, ale podaj spis takich plików z dysku C. Uruchom FRST, w polu Search wklej:

 

*kcirdgd*;*wxeezfd*

 

Klik w Search Files i przedstaw wynikowy log./ Może być ogromny. Jeśli nie wejdzie do załącznika, skorzystaj z wklej.org lub innego serwisu hostingowego.

 

Akcje prowadzę dla dysku C, ale jest tu też dysk D i tam też powinna być miazga szyfracyjna. Jaki rodzaj danych trzymasz na tym dysku?

Odnośnik do komentarza

EDIT @@ 18:35

1. wykonane 

2. wykonane ( Załącznik ) 

3. wykonane ( Załącznik )  W dysku D mam generalnie gry i zdjęcia i foldery typu : Logs , Rads , Mark znajdują się w nich (png,txt,html,skórty) -> HELP_DECRYPT to jest chyba coś z tych wirusów nie wiem właśnie co to jest . Ale jestem w stanie podjąć się zadania by sformatować cały ten dysk jeśli będzie taka potrzeba . 

 

Fixlog.txt

Search.txt

Odnośnik do komentarza

Z dysku C usunę wszystkie zaszyfrowane pliki, one głównie siedzą w różnych folderach aplikacji i to nie są istotne rzeczy (braki obrazków czy dokumentów łatwo uzupełnić reinstalując dany program). Z dysku D usunę tylko pliki typu HELP_DECRYPT.*, pozostawiam zaszyfrowane dane z suffiksami kcirdgd i wxeezfd. Kolejna akcja - do Notatnika wklej:

 

CMD: del /q /s C:\*kcirdgd*
CMD: del /q /s C:\*wxeezfd*
CMD: del /q /s D:\HELP_DECRYPT.*

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Pokaż wynikowy fixlog.txt.

Odnośnik do komentarza

Wszystko zrobione. Jak mówię, gdy się ujawnią na dysku C jakieś defekty w programach, trzeba przeinstalować, by uzupełnić określone dane. Np. niektóre rozszerzenia Google Chrome (Adblock Plus, Enhance Sream, Google Wallet) są uszkodzone obecnie. Możemy przejść do kolejnego zestawu czynności:

 

1. Na wszelki wypadek zrób log z Farbar Service Scanner.

 

2. Poprzednio skanery były blokowane przy udziale polityk oprogramowania. Obecnie grunt czysty. Uruchom Malwarebytes Anti-Malware i zrób pełny skan komputera. Jeśli coś znajdzie, przedstaw wynikowy raport.

Odnośnik do komentarza
Gość
Ten temat został zamknięty. Brak możliwości dodania odpowiedzi.
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...