Miszel03

Skoro postawiłaś system od nowa to zaszyfrowane pliki skopiuj na dysk zewnętrzny i spróbuj użyć dekoder, który przytoczyłem wcześniej.

OK, w takim razie będziemy kończyć. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Wszystko pomyślnie wykonane. Infekcja usunięta. Jak oceniasz obecną sytuację?

Jutro podam kosmetykę i jeszcze raz przejrzę raporty.

Jedno zastrzeżenie: nie wykonał się kawałek skryptu, albo po prostu uciąłeś kawek Fixlogu. Nie przerwałeś działania FRST? Proszę wykonać ponownie pkt. 2 z następującym skryptem: CloseProcesses: CreateRestorePoint: BootExecute: autocheck autochk * sdnclean64.exe GroupPolicy: Ograniczenia GroupPolicy\User: Ograniczenia FF Plugin-x32: @videolan.org/vlc,version=2.2.4 -> C:\Program Files (x86)\VideoLAN\VLC\npvlc.dll [brak pliku] 2017-12-28 17:06 - 2017-12-28 17:06 - 000000001 _____ C:\Users\CIAM\AppData\Local\WMI.ini 2017-12-28 17:06 - 2017-03-18 21:59 - 000001077 _____ C:\Users\CIAM\AppData\Local\iwCbVahWuGv 2017-12-28 17:06 - 2017-03-18 21:59 - 000000067 _____ C:\Users\CIAM\AppData\Roaming\OumIIo 2017-12-28 17:06 - 2017-03-18 21:59 - 000001191 _____ C:\Users\CIAM\AppData\Roaming\VVBWugZ C:\Windows\System32\.exe C:\Users\CIAM\Documents\Euro Truck Simulator 2\readme.rtf.lnk VirusTotal: C:\Users\CIAM\AppData\Roaming\RyiewVwyeI.exe VirusTotal: C:\WINDOWS\SysWOW64\OCezVyMEXaEd.exe CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\CIAM\AppData\Local CMD: dir /a C:\Users\CIAM\AppData\LocalLow CMD: dir /a C:\Users\CIAM\AppData\Roaming Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: ...dostarczyć Fixlog i zrobić nowy zestaw raportów FRST (również bez Shortcut).

Dostarcz raporty z tych skanowań. Widoczna jest infekcja uruchamiana z poziomu Harmonogramu zadań. Powinniśmy szybko zaprowadzić porządek w systemie. 1. Przez Panel Sterowania odinstaluj zbędny / przestarzały program: Spybot - Search and Destroy. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Task: {432FFA8F-7CD1-40D1-9BA3-44905563445F} - System32\Tasks\IOrbAiID => C:\Users\CIAM\AppData\Local\cgWGga.bat Task: {9B5661E4-91D9-4603-B75C-9871F6938320} - System32\Tasks\tFizynmEqpsQu => C:\Users\CIAM\AppData\Roaming\OumIIo.bat [2017-03-18] () C:\Users\CIAM\AppData\Local\cgWGga.bat C:\Users\CIAM\AppData\Roaming\OumIIo.bat AlternateDataStreams: C:\Users\CIAM\AppData\Local\Temp:$DATA [16] HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe HKU\S-1-5-21-910666309-267904859-3003788689-1001\Software\Microsoft\Internet Explorer\Main,Start Page = BHO: Easy Photo Print -> {9421DD08-935F-4701-A9CA-22DF90AC4EA6} -> Brak pliku Toolbar: HKLM - Easy Photo Print - {9421DD08-935F-4701-A9CA-22DF90AC4EA6} - Brak pliku Handler: WSWSVCUchrome - {1CA93FF0-A218-44F1 - Brak pliku 2017-12-28 17:06 - 2017-12-28 17:06 - 000000001 _____ C:\Users\CIAM\AppData\Local\WMI.ini 2017-12-28 17:06 - 2017-03-18 21:59 - 000001077 _____ C:\Users\CIAM\AppData\Local\iwCbVahWuGv 2017-12-28 17:06 - 2017-03-18 21:59 - 000000067 _____ C:\Users\CIAM\AppData\Roaming\OumIIo 2017-12-28 17:06 - 2017-03-18 21:59 - 000001191 _____ C:\Users\CIAM\AppData\Roaming\VVBWugZ C:\Windows\System32\.exe C:\Users\CIAM\Documents\Euro Truck Simulator 2\readme.rtf.lnk VirusTotal: C:\Users\CIAM\AppData\Roaming\RyiewVwyeI.exe VirusTotal: C:\WINDOWS\SysWOW64\OCezVyMEXaEd.exe CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\CIAM\AppData\Local CMD: dir /a C:\Users\CIAM\AppData\LocalLow CMD: dir /a C:\Users\CIAM\AppData\Roaming Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

FRST - Tutorial obsługi Farbar Recovery Scan Tool Pomijając wszelkie inne aspekty: do skasowania całego klucza służy dyrektywa DeleteKey:. W skrypcie będzie to wyglądało następująco: DeleteKey: HKCU\Control Panel\Desktop LUB DeleteKey: HKEY_CURRENT_USER\Control Panel\Desktop do skasowania wartości klucza służy dyrektywa DeleteValue:. W skrypcie będzie to wyglądało następująco: DeleteValue: HKCU\Control Panel\Desktop|MenuShowDelay LUB DeleteValue: HKEY_CURRENT_USER\Control Panel\Desktop|MenuShowDelay

Martwe wpisy / skróty, resztki po wcześniej odinstalowanym oprogramowaniu itd. Dyski wyglądają w porządku, powiadomiłem moderatora działu Hardware, by rzucił okiem na temat.

No właśnie. Skonsultuje się z picasso (nie wykluczone, że przejmie temat).

W Harmonogramie zadań widoczne są podejrzane wpisy (prawdopodobnie infekcje adware), które będę kasowane. Oprócz tego jest crack aktywacyjni lewego Office - AutoKMS, go również będę usuwać. P.S: Pisałeś, że AdwCleaner wykrył jakieś pozycje, poprosiłem o raport z tego, ale go nie widzę. On się znajduje w C:\AdwCleaner. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [###MegaShellExtPending] -> {056D528D-CE28-4194-9BA3-BA2E9197FF8C} => -> Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSynced] -> {05B38830-F4E9-4329-978B-1DD28605D202} => -> Brak pliku ShellIconOverlayIdentifiers: [###MegaShellExtSyncing] -> {0596C850-7BDD-4C9D-AFDF-873BE6890637} => -> Brak pliku ContextMenuHandlers1: [###MegaContextMenuExt] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => -> Brak pliku ContextMenuHandlers4: [###MegaContextMenuExt] -> {0229E5E7-09E9-45CF-9228-0228EC7D5F17} => -> Brak pliku ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku Task: {0D8A891D-890C-4808-84D8-2F436AB14653} - \Microsoft\Windows\Application Experience\AitAgent -> Brak pliku Task: {1274336E-AB06-46B6-A48C-0671C5557CC6} - \Microsoft\Windows\TaskScheduler\Maintenance Configurator -> Brak pliku Task: {1687544D-7247-4F5A-965A-A6E920E55278} - \Microsoft\Windows\TaskScheduler\Manual Maintenance -> Brak pliku Task: {6F02587F-8A2B-4552-97F6-DEEF229E335B} - \Microsoft\Windows\TaskScheduler\Idle Maintenance -> Brak pliku Task: {B7992938-01F1-4F40-A0EC-0D23D2F0F152} - \Microsoft\Windows\TaskScheduler\Regular Maintenance -> Brak pliku Task: {CFD7C21A-808B-487B-A6EC-8A10E44E8360} - \Microsoft\Windows\SettingSync\BackupTask -> Brak pliku Task: {13121896-BB29-4710-89F2-E24B6FF15385} - System32\Tasks\{7DD6FF9E-93F9-ABC2-BDF2-3A2558B5AC47} => C:\Users\MAGDAL~1\AppData\Roaming\{7DD6F~1\SYNHEL~1 [Argument = /Check] Task: C:\Windows\Tasks\{7DD6FF9E-93F9-ABC2-BDF2-3A2558B5AC47}.job => C:\Users\MAGDAL~1\AppData\Roaming\{7DD6F~1\SYNHEL~1/CheckMadzia\Magdalena0֠ Task: {89505FB3-D403-4D9B-9141-37BAF572E843} - System32\Tasks\MagdalenaParsleyNoncombatantsV2 => rundll32.exe EroticizeBrooked.dll,main 7 1 Task: {8F4A782E-6C9E-49E5-90C0-3819C6D30371} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2017-12-28] () C:\Windows\AutoKMS C:\Users\MAGDAL~1\AppData\Roaming\{7DD6F~1 HKLM\...\StartupApproved\StartupFolder: => "McAfee Security Scan Plus.lnk" C:\Users\Administrator\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Calendar.lnk C:\Users\Administrator\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.Mail.lnk C:\Users\Administrator\AppData\Local\Microsoft\Windows\Application Shortcuts\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\Microsoft.WindowsLive.People.lnk C:\Users\Magdalena\AppData\Roaming\Microsoft\Word\Notatki%20na%20kolokwium%202305694770191935699\Notatki%20na%20kolokwium%202.docx.lnk C:\Users\Magdalena\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Users\Magdalena\AppData\Roaming\Microsoft\PowerPoint\Moje-Hobby-Paznokcie-hybrydowe305689102831473957\Moje-Hobby-Paznokcie-hybrydowe.pptx.lnk C:\Users\Magdalena.Madzia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Luxmed DICOM Viewer\Odinstaluj.lnk C:\Users\Magdalena.Madzia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Luxmed DICOM Viewer\RTG-zdjecia.lnk C:\Users\Magdalena.Madzia\AppData\Local\Adobe Photoshop CS6\local\modified\@DESKTOP@\Adobe Photoshop CS6.lnk Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Wszystko pisz w temacie, trudno mi odpowiadać na Twoje PW tutaj. Ja nie wróże z fusów, to nie jest tak, że piszę sobie, że to konkretnie ta infekcja bez żadnych wątpliwości. Użyłem przecież formatu przypuszczalnie. W większości przypadków infekcje na forum powtarzają się i ja zapamiętuje wygląd wpisów (lokalizacja, losowe nazwy, charakterystyczne nazwy, trudności z usunięciem, przyczyny, objawy). Przykład z naszego forum KLIK i z forum pclab KLIK. Porównaj Twoje wpisy z tamtymi wpisami i detekcjami. Właśnie na takiej podstawie można stwierdzić z wyglądu co to za infekcja. Wróć do odpowiedzi na temat tego wpisu. Dropper mógł zostać przecież wykonany później. Ransom.Locky, C:\USERS\ADMIN\DOWNLOADS\BCC39C54539E1CA03148C13021AE366F.ZIP, Brak akcji, [118], [426720],1.0.0 Ktoś miał dużo szczęścia, że to się nie wykonało, bo pożegnał by się ze sowimi danymi (infekcja szyfrująca). Wszystko pomyślnie wykonane, infekcja usunięta. Teraz wykonamy doczyszczenia + powtórzymy akcje z listowaniem zawartości pewnych katalogów, bo teraz się coś nie wykonało. 1. Zagrożenia wykryte przez Malwarebytes daj do kasacji. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: 2017-12-29 09:34 - 2016-03-24 19:46 - 000000000 ____D C:\Users\admin\AppData\Roaming\ycbcr-17 CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files\System" CMD: dir /a "C:\Program Files (x86)\Common Files\System" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\admin\AppData\Local CMD: dir /a C:\Users\admin\AppData\LocalLow CMD: dir /a C:\Users\admin\AppData\Roaming Reboot: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Jak oceniasz obecną sytuację?

Jak się mają sprawy po ponownym uruchomieniu systemu?

Pomyliłem się. Dokładnie tak.

Raporty nie wykazują oznak infekcji. Temat jedzie do działu Windows 10, gdzie będzie prowadzona dalsza pomoc. Problematyka Windows Update na systemie Windows 10 jest bardzo częstym problem, a szukanie przyczyny jest bardzo mozolnym procesem. Sugeruję, więc zacząć od automatycznego resetu komponentów Windows Update (najpierw opcja domyślną, a gdy ta nie zadziała to proszę użyć opcji aggressive). Następnie poproszę o przefiltrowany raport SFC z opcji sfc /scannow w celu sprawdzenia integralności Windows. Dział pomocy doraźnej przeznaczony jest do leczenie zainfekowanych platform Microsoft, wszelkie inne problemy związane z systemem Windows powinny lądować w sekcji Platformy kliencie Microsoft (w zależności od wersji systemu).

Dharma to wariant Crysis. Myślę, że opis wszystko wyjaśnił, aczkolwiek ja na koniec dezynfekcji spróbował bym użyć dekodera od Kaspersky, który działa, na niektóre warianty Dharmy (może Ci się poszczęści). Zaczniemy inaczej niż zwykle, bo od automatu - to taki mój nawyk w tego typu infekcjach. 1. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 2. Zrób nowy zestaw raportów FRST.

Raport nie wykazują oznak infekcji (drobną kosmetykę systemową pomijam, bo jest ona teraz nieistotna), temat przenoszę do działu Hardware. Wykonaj diagnostykę dysku za pomocą CrystalDiskInfo i dostarcz wynikowy log.

Brak dat jest potwierdzeniem, że nieistnieją nowsze raporty. W takim razie dostarcz raporty z oby dwóch narzędzi i wykonaj nowy zestaw raportów FRST, bo zaszły duże zmiany.

Póki co wycofamy wszystko co było usuwane w Fix. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: RestoreQuarantine: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Dostarcz go.

Poniekąd Norton wskazał konkretną infekcję, ale i tak poproszę o weryfikacje (i od razu dowiemy się, czy istnieje dekoder). W tym celu wyślij do analizy jeden z zaszyfrowanych plików lub notatkę żądają okup na serwis usługi ID Ransomware. P.S: Widzę tutaj crack Windows Loader, w przeszłości ten twór był odpowiedzialny za różne infekcje. Będzie on usuwany.

Startup: C:\Users\admin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ycbcr-9.lnk [2017-09-13] Data zaznaczona na kolorowo jest datą utworzenia, ale zauważ, że to jest skrót i on może mieć inną datę niż plik, do którego prowadzi. To przypuszczalny dropper tej infekcji. Data wykrycia tych fałszywych faktur prawie idealnie nakrywa się z datą wzmożonej liczby infekcji Nymaim. P.S: Wykonaj działania, bo ja tutaj leczę systemy.

Tak, ale pliki tymczasowo są odnawialne przez programy. To wygląda na problem z uprawnieniami. Pojutrze rozpisze zadania.

Monit o zapisanie zmian w szablonie globalnym Normal.dot lub Normal.dotm jest wyświetlany zawsze podczas zamykania programu Word. Przeinstaluj Adobe Acrobat Reader. Jakie to programy? Przeinstaluj je. Bardzo dziwny efekt, nigdy coś takiego się nie zdażyło. Z tego co widzę, to w raporcie wszystkie znalezione naruszenia zostały naprawione. Jeśli zaś chodzi o główny problem to, chyba wiem co jest nie tak. Strona fili.tv ma po prostu bardzo nachalne reklamy, wręcz niebezpieczne. Wszystkie poniższe hosty to hosty malware. hxxp://62.138.16.85/dlLfE7mcMsV hxxps://tidafors.xyz/list.jQuery.plugin.min.js hxxps://coinhive.com/lib/coinhive.min.js hxxp://176.57.220.131/ hxxps://channel1vids.com/ hxxp://chi-photography.com/Ivana-Baquero-nude hxxp://pl.newtabtv.com/lp2?pub_id=3013&sub_id=384153516891&srcid=1438329 Albo zrezygnuj z odwiedzanie tego serwisu, albo spróbuj zainstalować rozszerzenie uBlock Origin (najlepszy bloker przekierowywań na tego typu stronach). Myślę, że osobne blokowanie tych stron jest poprostu bezsensowne, bo strona i tak wytworzy kolejne reklamy.

W imieniu całego zespołu Fixitpc.pl dziękuję za pomoc w utrzymaniu serwisu!

Załączniki z logami kasuję. Raporty mają być z miejsca, z którego został uruchomiony FRST (czyli bez dat w nazwie), a nie z archiwalnego C:\FRST.

OK, w takim razie będziemy kończyć. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. Malwarebytes możesz odinstalować.