picasso

Infekcja nadal czynna, tylko zmienił się układ. Niestety stan został pogorszony jeszcze bardziej, wykonane podwójne szyfrowanie danych, co jest karkołomną kombinacją nie do rozwiązania. Pojawił się drugi szyfrator danych TeslaCrypt zastępujący poprzednika - widać na dysku zakodowane pliki o rozszerzeniu *.ccc. Tego wariantu też nie da się odszyfrować, ale tu jest skomasowana niemożność dekodowania (Cryptowall > TeslaCrypt). Jedyne co mogę zrobić, to usunąć czynną infekcję, ale po tym sugeruję od razu zrobić kompleksowy format dysku, bo podwójne szyfrowanie to rozległa dewastacja i nie wszystkie uszkodzenia zrobione przez infekcje jestem w stanie naprawić. Poza tym, widać że ten system był w przeszłości poddawany działaniu innych inwazyjnych infekcji (np. ZeroAccess) i mam silne wątpliwości czy szkody po tej infekcji były w owym czasie zlikwidowane. Zaszyfrowanych danych niestety nie da się odzyskać. Doraźne usunięcie czynnej infekcji, by przygotować się do formatu: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: HKLM\...\Run: [aspnet_regsql] => C:\ProgramData\aspnet_regsql.exe [4096 2015-11-06] () HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [qewr2342] => C:\Users\Primol\AppData\Roaming\javcw-a.exe HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKU\S-1-5-21-1571191598-4212959213-3768767430-1000\...\Run: [OpAgent] => "OpAgent.exe" /agent HKU\S-1-5-21-1571191598-4212959213-3768767430-1000\...\Run: [GalaxyClient] => [X] HKU\S-1-5-21-1571191598-4212959213-3768767430-1000\...\Run: [Akdworks] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Primol\AppData\Local\Ahbhworks\cbdqutnw.dll HKU\S-1-5-21-1571191598-4212959213-3768767430-1000\...\Run: [Opfics] => regsvr32.exe C:\Users\Primol\AppData\Local\Opfics\qpmhudvp.dll HKU\S-1-5-21-1571191598-4212959213-3768767430-1000\...\Run: [qewr2342] => C:\Users\Primol\AppData\Roaming\javcw-a.exe HKU\S-1-5-21-1571191598-4212959213-3768767430-1000\...\Policies\Explorer: [] HKU\S-1-5-21-1571191598-4212959213-3768767430-1000\...\Policies\Explorer: [TaskbarNoNotification] 1 HKU\S-1-5-21-1571191598-4212959213-3768767430-1000\...\Policies\Explorer: [HideSCAHealth] 1 GroupPolicyScripts: Ograniczenia GroupPolicyScripts\User: Ograniczenia ShellIconOverlayIdentifiers: [0PerformanceMonitor] -> {3B5B973C-92A4-4855-9D3F-0F3D23332208} => Brak pliku ShellIconOverlayIdentifiers: [1MediaIconsOverlay] -> {1EC23CFF-4C58-458f-924C-8519AEF61B32} => Brak pliku Startup: C:\Users\Primol\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fliptoast.lnk [2011-12-20] CustomCLSID: HKU\S-1-5-21-1571191598-4212959213-3768767430-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Primol\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1571191598-4212959213-3768767430-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Primol\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1571191598-4212959213-3768767430-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Primol\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1571191598-4212959213-3768767430-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Primol\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1571191598-4212959213-3768767430-1000_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\acledit.dll () Task: {09F03BE8-6E4F-4610-A3B9-668AD9EBC1C8} - System32\Tasks\{CEDF1330-0C5A-44E4-AA75-592A848B1745} => pcalua.exe -a C:\Users\Primol\Desktop\Diablo-III-8370-plPL-Installer-downloader.exe -d C:\Users\Primol\Desktop Task: {1E22C2E3-6561-4497-99B3-E00C51AF888B} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe Task: {6CB06F2E-A2E0-420D-935D-BE104A20A03C} - System32\Tasks\{5A9547FB-9643-42E1-B1F5-075256CDFEBC} => pcalua.exe -a D:\Steam\steam.exe -c steam://uninstall/34030 Task: {B3ED0109-542A-43BC-8173-716170065817} - System32\Tasks\{1120A0E6-7B1D-475B-BCF3-331D089C76F1} => pcalua.exe -a "D:\GameJack 5\GameJack.exe" -d "D:\GameJack 5\" S3 ALSysIO; \??\C:\Users\Primol\AppData\Local\Temp\ALSysIO64.sys [X] S3 cpuz135; \??\C:\Windows\TEMP\cpuz135\cpuz135_x64.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] U3 awrdipob; \??\C:\Users\Primol\AppData\Local\Temp\awrdipob.sys [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.aartemis.com/web/?type=ds&ts=1387320947&from=cor&uid=SAMSUNGXHD502HJ_S20BJA0B902971&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.aartemis.com/web/?type=ds&ts=1387320947&from=cor&uid=SAMSUNGXHD502HJ_S20BJA0B902971&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.aartemis.com/web/?type=ds&ts=1387320947&from=cor&uid=SAMSUNGXHD502HJ_S20BJA0B902971&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.aartemis.com/web/?type=ds&ts=1387320947&from=cor&uid=SAMSUNGXHD502HJ_S20BJA0B902971&q={searchTerms} BHO: Hotspot Shield Class -> {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} -> C:\Program Files (x86)\Hotspot Shield\HssIE\HssIE_64.dll => Brak pliku StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF Plugin-x32: @esn/npbattlelog,version=2.3.2 -> C:\Program Files (x86)\Battlelog Web Plugins\2.3.2\npbattlelog.dll [brak pliku] FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] C:\Program Files\Common Files\WireHelpSvc.exe C:\ProgramData\aspnet_regsql.exe C:\ProgramData\RegComSrv.txt.ccc C:\ProgramData\taskeng.dll C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8} C:\Users\Primol\AppData\Local\Ahbhworks C:\Users\Primol\AppData\Local\Mobogenie C:\Users\Primol\AppData\Local\Opfics C:\Users\Primol\AppData\Roaming\Thumbs.db C:\Users\Primol\AppData\Roaming\Mozilla\Firefox\Profiles\m74d7t5z.default\Extensions\{85D5939E-85A9-5C88-43B7-612ABE9DADBA} RemoveDirectory: C:\Users\Primol\AppData\Local\{8c0f2b29-12c2-451d-2f6c-52ae1a624c64} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Poprawiłam formatowanie posta. Wiele podejrzanych: - Owszem, widać w raportach aktywne adware Monarch Find (plus inne niepożądane ingerencje, w tym zainfekowany Firefox) i jest to jedna z możliwych przyczyn problemów. - Aczkolwiek tu zwraca też uwagę modyfikacja Winsock wprowadzona przez świeżo zainstalowane oprogramowanie Winfast. - I niepokoi mnie zakreślony serwer DNS pobierany z routera, mimo że to teoretycznie polski adres: KLIK. Ale on nie odpowiada dostawcy IP pod jakim widać Cię na forum, oraz to szczególne sparowanie z adresem Google budzi podejrzenia, taki układ jest charakterystyczny dla infekcji routera... No i posiadasz router TP-Link (zainstalowane oprogramowanie TL-WN721N/TL-WN722N Driver). Tcpip\Parameters: [DhcpNameServer] 91.189.248.66 8.8.8.8 Operacje do wykonania: 1. Na wszelki wypadek zmień ustawienia DNS routera. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Deinstalacje: ----> Przez Panel sterowania odinstaluj: - Adware: Monarch Find, Picexa. - Stare wersje i zbędniki: Adobe Flash Player 17 NPAPI, Adobe Flash Player 17 PPAPI, Bing Bar, HP Deskjet 1050 J410 series — badanie mające na celu poprawę produktów, Mozilla Firefox 39.0.3 (x86 pl), Mozilla Maintenance Service, Visual Studio 2012 x64 Redistributables, Visual Studio 2012 x86 Redistributables (te dwie instancje Visual Studio to odpadki po odinstalowanym AVG). Przy deinstalacji Firefox potwierdź usuwanie profilu z dysku. ----> Widać też na liście odpadek Norton Internet Security, więc zastosuj narzędzie Norton Removal Tool. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-1687086191-1766106099-2116064288-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = StartMenuInternet: IEXPLORE.EXE - iexplore.exe StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.delta-homes.com/?type=sc&ts=1442922687&z=00cfbeb7cfa4e6b4da75c59g8z2z1o7t6o7o7qabab&from=ient07031&uid=WDCXWD10EZEX-08M2NA0_WD-WMC3F281549915499 R2 IhPul; C:\Users\Mikołaj\AppData\Roaming\TSv\TSvr.exe [396944 2015-09-21] (tsvr.com) S2 AODDriver4.2.0; \??\C:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] HKLM-x32\...\Run: [] => [X] Startup: C:\Users\Mikołaj\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Powiadomienia monitorowania tuszu - HP Deskjet 1050 J410 series.lnk [2015-09-24] Task: {8544BECD-DAC2-4836-87C5-54C5157CE170} - System32\Tasks\{8E6FEE63-0839-4370-BB85-19DB3776E470} => pcalua.exe -a C:\Users\Mikołaj\Desktop\Downloads\ATRAC3\atrac3.exe -d C:\Users\Mikołaj\Desktop\Downloads\ATRAC3 Task: {C6DACE99-4A63-4EF0-B318-EDEDB5EC65DF} - System32\Tasks\{E89BCD4F-D5D9-4AAF-A94E-55FE9FA2ABDE} => pcalua.exe -a C:\Users\Mikołaj\Desktop\Downloads\ASIO4ALL_2_9_English.exe -d C:\Users\Mikołaj\Desktop\Downloads Task: {F3209651-0958-49DD-8652-0DCA7902C4F4} - System32\Tasks\{C2D6D357-69B7-4F4F-AC90-30998891EDEC} => pcalua.exe -a C:\Users\Mikołaj\Desktop\Downloads\Metin2Mod_2013SF_13012015.exe -d C:\Users\Mikołaj\Desktop\Downloads C:\Program Files (x86)\AVG C:\Program Files (x86)\Monarch Find C:\Program Files (x86)\Picexa C:\Program Files (x86)\Vuze C:\Program Files (x86)\Common Files\6b8a269e-46ff-4899-a3e6-0e20ae670c9b C:\ProgramData\6b8a269e-46ff-4899-a3e6-0e20ae670c9b C:\ProgramData\AVG C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Vuze.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\STAR WARS Battlefront Beta C:\Users\Mikołaj\AppData\Local\Avg C:\Users\Mikołaj\AppData\Roaming\appdataFr3.bin C:\Users\Mikołaj\AppData\Roaming\PLZQ C:\Users\Mikołaj\AppData\Roaming\WISZARM C:\Users\Mikołaj\AppData\Roaming\AVG C:\Users\Mikołaj\AppData\Roaming\Azureus C:\Users\Mikołaj\AppData\Roaming\OpenCandy C:\Users\Mikołaj\AppData\Roaming\RPEng C:\Users\Mikołaj\AppData\Roaming\TSv C:\Windows\SysWOW64\pl.html Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Mikołaj\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się jak sprawy wyglądają oraz potwierdź mi, że w Google Chrome i Operze nie występują reklamy "Monarch Find", bo jeśli tak, to jest tu globalna modyfikacja niewidzialna w raporcie i trzeba będzie podjąć inne kroki.

1. FRST zadanie jednak wykrył i częściowo usunął, w międzyczasie zadanie bowiem zmieniło identyfikator rejestru. Nadal widzę je w Harmonogramie, ale już w postaci zupełnie zdewastowanej. Kolejna poprawka. Otwórz Notatnik i wklej w nim: Task: {F8A026DC-D6B7-4FA3-A818-D3E21CB700A2} - \AutoKMS -> Brak pliku CMD: set Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Druga sprawa, czy przypadkiem w Autoruns nie ruszałeś czegoś więcej niż zadane? Widzę nową i to niekorzystną zmianę, otóż nagle z niewiadomych powodów masa sterowników (uprzednio filtrowana) się ujawniła pokazując "brak pliku", co nie jest normalne. Fix FRST w ogóle nie ruszał tego obszaru, więc powstaje pytanie skąd ta usterka. W powyższym fixie zadałam komendę sprawdzania Zmiennych środowiskowych, może tam coś się uszkodziło. R3 1394ohci; \SystemRoot\System32\drivers\1394ohci.sys [X] S3 acpipagr; \SystemRoot\System32\drivers\acpipagr.sys [X] S3 AcpiPmi; \SystemRoot\System32\drivers\acpipmi.sys [X] S3 acpitime; \SystemRoot\System32\drivers\acpitime.sys [X] R1 AFD; \SystemRoot\system32\drivers\afd.sys [X] S3 AmdK8; \SystemRoot\System32\drivers\amdk8.sys [X] S3 AmdPPM; \SystemRoot\System32\drivers\amdppm.sys [X] S3 AppID; \SystemRoot\system32\drivers\appid.sys [X] R1 AVGIDSShim; \SystemRoot\system32\DRIVERS\avgidsshimw8x.sys [X] R1 Avgwfpx; \SystemRoot\system32\DRIVERS\avgwfpx.sys [X] R3 b57nd60x; \SystemRoot\system32\DRIVERS\b57nd60x.sys [X] R1 BasicDisplay; \SystemRoot\System32\drivers\BasicDisplay.sys [X] R1 BasicRender; \SystemRoot\System32\drivers\BasicRender.sys [X] R3 BCM43XX; \SystemRoot\system32\DRIVERS\bcmwl63l.sys [X] S3 bcmfn2; \SystemRoot\System32\drivers\bcmfn2.sys [X] S3 BthAvrcpTg; \SystemRoot\System32\drivers\BthAvrcpTg.sys [X] S3 BthHFEnum; \SystemRoot\System32\drivers\bthhfenum.sys [X] S3 bthhfhid; \SystemRoot\System32\drivers\BthHFHid.sys [X] S3 BTHMODEM; \SystemRoot\System32\drivers\bthmodem.sys [X] R1 cdrom; \SystemRoot\System32\drivers\cdrom.sys [X] S3 circlass; \SystemRoot\System32\drivers\circlass.sys [X] R3 CmBatt; \SystemRoot\System32\drivers\CmBatt.sys [X] R3 CompositeBus; \SystemRoot\System32\drivers\CompositeBus.sys [X] S3 dmvsc; \SystemRoot\System32\drivers\dmvsc.sys [X] S3 drmkaud; \SystemRoot\system32\drivers\drmkaud.sys [X] R3 DXGKrnl; \SystemRoot\System32\drivers\dxgkrnl.sys [X] S3 E1G60; \SystemRoot\system32\DRIVERS\E1G60I32.sys [X] S3 ErrDev; \SystemRoot\System32\drivers\errdev.sys [X] S3 fdc; \SystemRoot\System32\drivers\fdc.sys [X] S3 flpydisk; \SystemRoot\System32\drivers\flpydisk.sys [X] S3 FxPPM; \SystemRoot\System32\drivers\fxppm.sys [X] S3 gencounter; \SystemRoot\System32\drivers\vmgencounter.sys [X] S3 GPIO; \SystemRoot\System32\drivers\iaiogpio.sys [X] S3 HdAudAddService; \SystemRoot\system32\drivers\HdAudio.sys [X] R3 HDAudBus; \SystemRoot\System32\drivers\HDAudBus.sys [X] S3 HidBatt; \SystemRoot\System32\drivers\HidBatt.sys [X] S3 HidBth; \SystemRoot\System32\drivers\hidbth.sys [X] S3 hidi2c; \SystemRoot\System32\drivers\hidi2c.sys [X] S3 HidIr; \SystemRoot\System32\drivers\hidir.sys [X] R3 HidUsb; \SystemRoot\System32\drivers\hidusb.sys [X] S3 hyperkbd; \SystemRoot\System32\drivers\hyperkbd.sys [X] S3 HyperVideo; \SystemRoot\system32\DRIVERS\HyperVideo.sys [X] R3 i8042prt; \SystemRoot\System32\drivers\i8042prt.sys [X] S3 iaioi2c; \SystemRoot\System32\drivers\iaioi2c.sys [X] R3 igfx; \SystemRoot\system32\DRIVERS\igdkmd32.sys [X] R3 IntcAzAudAddService; \SystemRoot\system32\drivers\RTKVHDA.sys [X] R3 intelppm; \SystemRoot\System32\drivers\intelppm.sys [X] S3 IPMIDRV; \SystemRoot\System32\drivers\IPMIDrv.sys [X] R2 irda; \SystemRoot\system32\DRIVERS\irda.sys [X] S3 iScsiPrt; \SystemRoot\System32\drivers\msiscsi.sys [X] R3 kbdclass; \SystemRoot\System32\drivers\kbdclass.sys [X] S3 kbdhid; \SystemRoot\System32\drivers\kbdhid.sys [X] R3 kdnic; \SystemRoot\system32\DRIVERS\kdnic.sys [X] R2 lltdio; \SystemRoot\system32\DRIVERS\lltdio.sys [X] R2 luafv; \SystemRoot\system32\drivers\luafv.sys [X] R3 monitor; \SystemRoot\System32\drivers\monitor.sys [X] R3 mouclass; \SystemRoot\System32\drivers\mouclass.sys [X] R3 mouhid; \SystemRoot\System32\drivers\mouhid.sys [X] S3 MRxDAV; \SystemRoot\system32\drivers\mrxdav.sys [X] S3 MsBridge; \SystemRoot\system32\DRIVERS\bridge.sys [X] S3 msgpiowin32; \SystemRoot\System32\drivers\msgpiowin32.sys [X] S3 mshidkmdf; \SystemRoot\System32\drivers\mshidkmdf.sys [X] S3 mshidumdf; \SystemRoot\System32\drivers\mshidumdf.sys [X] S3 MSKSSRV; \SystemRoot\system32\drivers\MSKSSRV.sys [X] S3 MsLldp; \SystemRoot\system32\DRIVERS\mslldp.sys [X] S3 MSPCLOCK; \SystemRoot\system32\drivers\MSPCLOCK.sys [X] S3 MSPQM; \SystemRoot\system32\drivers\MSPQM.sys [X] R1 mssmbios; \SystemRoot\System32\drivers\mssmbios.sys [X] S3 MSTEE; \SystemRoot\system32\drivers\MSTEE.sys [X] S3 MTConfig; \SystemRoot\System32\drivers\MTConfig.sys [X] R2 NativeWifiP; \SystemRoot\system32\DRIVERS\nwifi.sys [X] S3 NdisCap; \SystemRoot\system32\DRIVERS\ndiscap.sys [X] S3 NdisImPlatform; \SystemRoot\system32\DRIVERS\NdisImPlatform.sys [X] S3 NdisTapi; \SystemRoot\system32\DRIVERS\ndistapi.sys [X] R3 Ndisuio; \SystemRoot\system32\DRIVERS\ndisuio.sys [X] R3 NdisVirtualBus; \SystemRoot\System32\drivers\NdisVirtualBus.sys [X] S3 NdisWan; \SystemRoot\system32\DRIVERS\ndiswan.sys [X] S3 NdisWanLegacy; \SystemRoot\system32\DRIVERS\ndiswan.sys [X] S3 netvsc; \SystemRoot\System32\drivers\netvsc63.sys [X] R1 npsvctrig; \SystemRoot\System32\drivers\npsvctrig.sys [X] R3 NSCIRDA; \SystemRoot\system32\DRIVERS\nscirda.sys [X] S3 Parport; \SystemRoot\System32\drivers\parport.sys [X] S2 Parvdm; \SystemRoot\System32\drivers\parvdm.sys [X] S3 Processor; \SystemRoot\System32\drivers\processr.sys [X] R1 Psched; \SystemRoot\system32\DRIVERS\pacer.sys [X] S3 QWAVEdrv; \SystemRoot\system32\drivers\qwavedrv.sys [X] S3 RasPppoe; \SystemRoot\system32\DRIVERS\raspppoe.sys [X] R3 rdpbus; \SystemRoot\System32\drivers\rdpbus.sys [X] R2 rspndr; \SystemRoot\system32\DRIVERS\rspndr.sys [X] S3 s3cap; \SystemRoot\System32\drivers\vms3cap.sys [X] R3 sdbus; \SystemRoot\System32\drivers\sdbus.sys [X] S3 sdstor; \SystemRoot\System32\drivers\sdstor.sys [X] S3 Serenum; \SystemRoot\System32\drivers\serenum.sys [X] S3 Serial; \SystemRoot\System32\drivers\serial.sys [X] S3 sermouse; \SystemRoot\System32\drivers\sermouse.sys [X] S3 sfloppy; \SystemRoot\System32\drivers\sfloppy.sys [X] R3 SrvHsfHDA; \SystemRoot\system32\DRIVERS\VSTAZL3.SYS [X] R3 SrvHsfV92; \SystemRoot\system32\DRIVERS\VSTDPV3.SYS [X] R3 SrvHsfWinac; \SystemRoot\system32\DRIVERS\VSTCNXT3.SYS [X] R3 swenum; \SystemRoot\System32\drivers\swenum.sys [X] S3 TCPIP6; \SystemRoot\system32\DRIVERS\tcpip.sys [X] R1 tdx; \SystemRoot\system32\DRIVERS\tdx.sys [X] S3 terminpt; \SystemRoot\System32\drivers\terminpt.sys [X] R3 tifm21; \SystemRoot\system32\drivers\tifm21.sys [X] S3 TPM; \SystemRoot\system32\drivers\tpm.sys [X] S3 TsUsbGD; \SystemRoot\System32\drivers\TsUsbGD.sys [X] R3 tunnel; \SystemRoot\system32\DRIVERS\tunnel.sys [X] S3 UASPStor; \SystemRoot\System32\drivers\uaspstor.sys [X] S3 UCX01000; \SystemRoot\System32\drivers\ucx01000.sys [X] S3 UEFI; \SystemRoot\System32\drivers\UEFI.sys [X] R3 umbus; \SystemRoot\System32\drivers\umbus.sys [X] S3 UmPass; \SystemRoot\System32\drivers\umpass.sys [X] R3 usbaudio; \SystemRoot\system32\drivers\usbaudio.sys [X] R3 usbccgp; \SystemRoot\System32\drivers\usbccgp.sys [X] S3 usbcir; \SystemRoot\System32\drivers\usbcir.sys [X] R3 usbehci; \SystemRoot\System32\drivers\usbehci.sys [X] R3 usbhub; \SystemRoot\System32\drivers\usbhub.sys [X] S3 USBHUB3; \SystemRoot\System32\drivers\UsbHub3.sys [X] S3 usbohci; \SystemRoot\System32\drivers\usbohci.sys [X] S3 usbprint; \SystemRoot\System32\drivers\usbprint.sys [X] S3 USBSTOR; \SystemRoot\System32\drivers\USBSTOR.SYS [X] R3 usbuhci; \SystemRoot\System32\drivers\usbuhci.sys [X] S3 USBXHCI; \SystemRoot\System32\drivers\USBXHCI.SYS [X] S3 vhdmp; \SystemRoot\System32\drivers\vhdmp.sys [X] S3 ViaC7; \SystemRoot\System32\drivers\viac7.sys [X] S3 VMBusHID; \SystemRoot\System32\drivers\VMBusHID.sys [X] R3 vwifibus; \SystemRoot\System32\drivers\vwifibus.sys [X] R1 vwififlt; \SystemRoot\system32\DRIVERS\vwififlt.sys [X] S3 WacomPen; \SystemRoot\System32\drivers\wacompen.sys [X] S3 WdBoot; \SystemRoot\system32\drivers\WdBoot.sys [X] S3 WdFilter; \SystemRoot\system32\drivers\WdFilter.sys [X] S3 WinUsb; \SystemRoot\system32\DRIVERS\WinUsb.sys [X] R3 WmiAcpi; \SystemRoot\System32\drivers\wmiacpi.sys [X] S4 ws2ifsl; \SystemRoot\system32\drivers\ws2ifsl.sys [X] S3 WUDFRd; \SystemRoot\System32\drivers\WUDFRd.sys [X] S3 WUDFWpdFs; \SystemRoot\system32\DRIVERS\WUDFRd.sys [X] S3 WUDFWpdMtp; \SystemRoot\system32\DRIVERS\WUDFRd.sys [X]

Co Ty opowiadasz. Temat jest w dziale Sieci (wyraźnie mówiłam że go tam przenoszę!): https://www.fixitpc.pl/topic/28473-problem-z-traceniem-pakietów-i-wolnym-internetem/ Tu jest dział diagnostyki infekcji, a tematy nie pasujące do tego działu (brak infekcji) są przenoszone do bardziej pasujących działów.

1. Jakoś pominęłam odpadkowy DAEMON Tools Toolbar nadal widoczny na liście. Ostatnia poprawka do FRST: DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DAEMON Tools Toolbar 2. Skasuj FRST i jego logi z folderu C:\Pobieranie. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 3. Zaktualizuj systemowy IE8 do wersji IE11, nawet jeśli z niego nie korzystasz. 4. Nie jestem pewna co "łowiła" infekcja. Na wszelki wypadek zmień hasła w ważnych serwisach (bank, poczta, etc).

Jest tu więc jakaś rozbieżność detekcji, albo coś się zmieniło w międzyczasie, bo FRST widzi AutoKMS w Harmonogramie. W związku z tym po prostu zadam do usuwania ten element, wraz z innymi wspominanymi poprawkami. Akcje do przeprowadzenia: 1. Odinstaluj SlimDrivers. Instalacja wygląda na naruszoną (może AdwCleaner coś tam grzebał). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {91FF2CF2-A6AE-4288-A58E-D56F388AAF3A} - System32\Tasks\SlimDrivers Startup => C:\Program Files\SlimDrivers\SlimDrivers.exe Task: {9FA58E07-9EA9-446E-BB99-70AD30F0051E} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentLogOn => C:\Program Files\Microsoft Office\Office15\msoia.exe Task: {AFBEFB4B-F65A-4845-A836-A7A324203D16} - System32\Tasks\Microsoft\Office\OfficeTelemetryAgentFallBack => C:\Program Files\Microsoft Office\Office15\msoia.exe Task: {B7FE9452-F3C4-4B82-B961-419F0A30898E} - System32\Tasks\JetCleanLoginCheckUpdate => E:\Program Files\BlueSprig\JetClean\AutoUpdate.exe Task: {BE07A5E2-D4A7-4966-A73A-008B31232C0F} - System32\Tasks\JetBoost_AutoUpdate => E:\Program Files\BlueSprig\JetBoost\AutoUpdate.exe Task: {CFFA4BC0-FFC0-465E-ACE9-E6AE7584A19A} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2015-07-27] () Task: C:\Windows\Tasks\SlimDrivers Startup.job => C:\Program Files\SlimDrivers\SlimDrivers.exe CustomCLSID: HKU\S-1-5-21-988280708-379344645-3364513464-1001_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-988280708-379344645-3364513464-1001_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-988280708-379344645-3364513464-1001_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> Brak ścieżki do pliku CustomCLSID: HKU\S-1-5-21-988280708-379344645-3364513464-1001_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> Brak ścieżki do pliku HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\AutoKMS Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy po przeprowadzonej operacji AVG nadal coś wykrywa.

Pytanie: czy "puste" pole nazwy użytkownika oznacza celową manipulację wyglądu raportu? Stan systemu jest następujący: owszem, to infekcja CryptoWall 3.0 szyfrująca dane na wszystkich dyskach (tu C i D), plików zaszyfrowanych nie da się odkodować. Co więcej, infekcja jest nadal aktywna, w starcie uruchamiają się szkodliwe moduły. Jestem w stanie usunąć wszystkie wtórnie dodane elementy infekcji, z wyjątkiem odkodowania plików osobistych zaszyfrowanych przez infekcję, tylko jest tu ten problem: Rozumiem, że rodzice słabo się znają na komputerze. Przez telefon nie da się podać instrukcji które mam na myśli, musieliby mieć wgląd do tego tematu i wykonać akcję rozpisaną w poście. Oczywiście format załatwiłby wszystko od ręki. Informatyk nie zdziała więcej niż ja i prawdopodobnie po prostu od razu wykona format, tylko za opłatą. Czy rodzice są w stanie wykonać instrukcje podane w poście lub samodzielnie wykonać format dysku?

Operacja ukończona pomyślnie. Na zakończenie: Zastosuj DelFix, następnie wyczyść foldery Przywracania systemu, oraz zaktualizuj systemowy IE: KLIK.

Wszystko pomyślnie wykonane. Drobne poprawki na szczątki po odinstalowanym Spybocie. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-227159230-626954009-1044769965-1000\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) HKU\S-1-5-18\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) Task: {5D9E9CBB-5556-4E79-BA73-FFE754F40E40} - System32\Tasks\Spybot - Search & Destroy - Scheduled Task => C:\Spybot - Search & Destroy\SpybotSD.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files\Common Files\AV\Spybot - Search and Destroy Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tymrazem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

W raportach nie widać jawnych oznak infekcji. Oceniając po zgłoszeniach AVG kierujących na plik C:\Windows\Temp\SppExtComObjHook.dll, wygląda na to że AVG wykrywa aktywność cracka aktywacji Office. Masz go w Zaplanowanych zadaniach: Task: {CFFA4BC0-FFC0-465E-ACE9-E6AE7584A19A} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2015-07-27] () Ten crack będzie wykrywany przez rozmaite skanery. Na początek przeprowadź test, czy wyłączenie tego obiektu spowoduje ustanie zgłoszeń. Uruchom Autoruns, w karcie Scheduled Tasks wyłącz AutoKMS, zresetuj system i podaj czy AVG nadal zgłasza coś. Gdy mi potwierdzisz stan rzeczy, zajmę się innymi rzeczami, tzn. usunięcie odpadkowymch wpisów.

Uprawnienioa są już OK w root dysku. Folder RECYLER został odblokowany, więc czy Kosz działa już jak powinien? Ale z pośpiechu bezmyślnie powielałam własny błąd w komendach Reg (brak zamknięcia cudzysłowiem), więc powtórz to: Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" /s Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders" /s

Pliki *.ccc to infekcja szyfrująca dane - TeslaCrypt. Niestety nie ma żadnego ratunku dla zaszyfrowanych plików. Dla porównania temat z tą samą infekcją: KLIK. Ale podaj obowiązkowe raporty z FRST i GMER, by można było ocenić czy ta infekcja jest nadal aktywna oraz czy nie ma innych aktywnych zagrożeń.

Proszę dostarcz raporty wymagane działem, czyli FRST i GMER. Logi z przestarzałego OTL nie są tu już brane pod uwagę.

Kończymy: 1. Usuń narzędzia i logi z folderu C:\Users\Dybek\Desktop\fixxx\fix oraz log GMER z Pobranych. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Wszystko wykonane zgodnie z planem, log końcowy wygląda w porządku. Jeszcze poprawki na odpadki po odinstalowanych programach: Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\Sun RemoveDirectory: C:\Users\Dybek\AppData\Local\Mozilla RemoveDirectory: C:\Users\Dybek\AppData\Roaming\Mozilla Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Post nadal jest na swoim miejscu: KLIK.

Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Jak najbardziej. Wolny internet: może ESET Smart Security ma jakiś wpływ. Czarny ekran: w którym miejscu się pojawia, przed logo z Windows, przed ekranem logowania? W Dzienniku zdarzeń widzę takie oto błędy: Dziennik System: ============= Error: (11/12/2015 07:47:23 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Windows Phone IP over USB Transport (IpOverUsbSvc). Error: (11/12/2015 07:47:21 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Usługa Szybka instalacja pakietu Microsoft Office z powodu następującego błędu: %%1053 Error: (11/12/2015 07:47:21 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Usługa Szybka instalacja pakietu Microsoft Office. Czyli te dwie usługi się zawieszają: R2 ClickToRunSvc; C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeClickToRun.exe [2856632 2015-10-15] (Microsoft Corporation) S2 IpOverUsbSvc; C:\Program Files (x86)\Common Files\Microsoft Shared\Phone Tools\CoreCon\11.0\bin\IpOverUsbSvc.exe [21744 2015-07-09] (Microsoft Corporation) Sprawdź czy będzie poprawa w procesie uruchamiania systemu, gdy je tymczasowo wyłączysz. Klawisz z flagą Windows + X > Zarządzanie komputerem > Usługi i aplikacje > Usługi > wyszukaj Usługa Szybka instalacja pakietu Microsoft Office i Windows Phone IP over USB Transport > z dwukliku pobierz Właściwości i Typ uruchomienia przestaw na Wyłączony. Zresetuj system.

W raportach widzę: zadanie Harmonogramu wstawione przez adware DNS Unlocker, polityki blokujące coś w Google Chrome, zainfekowane pliki DLL Google Chrome (wymagana reinstalacja przeglądarki od zera) oraz inne śmieci. Operacje do wykonania: 1. Odinstaluj stare wersje: Adobe Reader XI (11.0.12) - Polish, Java 8 Update 11 (64-bit), Java SE Development Kit 8 Update 11 (64-bit), Mozilla Firefox 39.0 (x86 pl). Operacje tyczące Google Chrome: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Na razie nie instaluj przeglądarki ponownie, gdyż w punkcie 2 będzie doczyszczanie obiektów Google. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia Task: {12D19E6B-C5B3-4D5D-B321-E8BCF83736A3} - System32\Tasks\{BC955C43-B254-43C0-946C-702BA06CDBC7} => pcalua.exe -a C:\Users\Dybek\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=smt Task: {39EC624D-DDE5-4E61-8248-E10C6C6BC1C5} - System32\Tasks\Superclean => c:\programdata\{b50b6641-0a1b-d891-b50b-b66410a19904}\hqghumeaylnlf.exe [2014-08-24] (Super PC Tools Ltd) Task: {D0DAAA2A-F738-4E41-9319-23C658A0E17B} - System32\Tasks\DNSKINGSTON => dnskingston.exe Task: C:\Windows\Tasks\Superclean.job => c:\programdata\{b50b6641-0a1b-d891-b50b-b66410a19904}\hqghumeaylnlf.exe S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S0 mv91xx; system32\DRIVERS\mv91xx.sys [X] CustomCLSID: HKU\S-1-5-21-2760842731-4289578809-4065000478-1000_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\Dybek\AppData\Roaming\Dropbox\bin\Dropbox.exe /autoplay => Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=56626&homepage=hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=56626&homepage=hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-2760842731-4289578809-4065000478-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=56626&homepage=hxxp://www.google.com C:\Program Files (x86)\prefs.js C:\Program Files (x86)\Google C:\ProgramData\{b50b6641-0a1b-d891-b50b-b66410a19904} C:\ProgramData\khlkjigicenalebajemnlmpbclndbpfl C:\Users\Dybek\AppData\Local\{7C95BC24-7AAC-4843-920D-93CB50E1C4E5} C:\Users\Dybek\AppData\Local\setup.txt C:\Users\Dybek\AppData\Local\Temp-log.txt C:\Users\Dybek\AppData\Local\Google C:\Users\Dybek\AppData\Roaming\appdataFr3.bin C:\Users\Dybek\AppData\Roaming\appdataFr25.bin Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Dybek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy nadal występują.

Tak, to wszystko.

Przeanalizowałam foldery. Nic oczywistego nie widzę, ale już od początku mnie zastanawiało "mało popularne" rozszerzenie Internet traffic economizer, mimo że oficjalnie hostowane w Chrome Web Store. CHR Extension: (Internet traffic economizer) - C:\Users\ryszard\AppData\Local\Google\Chrome\User Data\Default\Extensions\mdhmbfholeopafngkafjdljlogobfgmd [2015-11-04] Odinstaluj je i podaj rezultaty czy są pożądane zmiany.

Widać log na dysku, tzn. plik C:\ComboFix.txt. W spoilerze doczyszczanie wpisów odpadkowych, co nie ma związku ze zgłaszanymi problemami. To nie jest problem infekcji. Sugestie wstępne: - Jedyne co w logach widzę, to że Zapora systemu Windows jest wyłączona. Włącz ponownie: Uruchom msconfig, wyszukaj na liście Usługę Zapory systemu Windows (MpsSvc), zaznacz i zresetuj system. - Odinstaluj świeżo doinstalowany cFosSpeed v9.64. Temat przenoszę do działu Sieci. Zasady działu Sieci: KLIK. Jeśli nic z powyższych sugestii nie pomoże, dostarcz te dane. Niestety nie wiem czy ktoś pociągnie temat.

1. AdwCleaner czepia się zadania DriverEasy 4.7.2. Na wszelki wypadek odinstaluj ten program. Takie automaty do aktualizacji sterowników nie są tu zresztą polecane, sterowniki należy precyzyjnie aktualizować ręcznie. 2. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\InstallCore DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{5A4E3A41-FA55-4BDA-AED7-CEBE6E7BCB52} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{A2D733A7-73B0-4C6B-B0C7-06A432950B66} DeleteKey: HKLM\SOFTWARE\istartsurfSoftware DeleteKey: HKLM\SOFTWARE\FFPluginHp DeleteKey: HKLM\SOFTWARE\WdsManPro DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\apn RemoveDirectory: C:\Users\Trojanus\AppData\Roaming\OpenCandy RemoveDirectory: C:\Users\Trojanus\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\Trojanus\Desktop\3yjnyeix.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Temat przenoszę do działu Windows. Log z GMER robiłeś w złych warunkach, co zaciemniło raport, nie wykonany ten punkt: KLIK. A w spoilerze doczyszczanie szczątkowych wpisów, co nie ma znaczenia w kontekście zgłaszanych problemów. Brak tu konkretów, ale nie wykluczony problem sprzętowy. Te obrazki z Blue Screen View mało mówią. Widzę, że masz zainstalowany Debugger Microsoftu, on podaje bardziej szczegółowe dane. Niemniej od razu sugeruję sprawdzić testową deinstalację 360 Total Security - to bardzo inwazyjny soft ładowany przy udziale masy sterowników, może mieć wpływ conajmniej na aspekty zacinania.

Wszystko pomyślnie wykonane. Problem powinien ustąpić. Ale jeszcze poprawki: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

semiconductor, zasady działu: KLIK. Zakaz podpinania się pod cudze tematy (post zostanie wydzielony w osobny) i brak obowiązkowych logów. 1. Po to są obowiązkowe raporty, które dokładnie pokażą czy są jakieś elementy aktywne i gdzie. 2. Jeśli infekcja nie jest aktywna (a to właśnie nie jest wiadome), nie musisz, najgorsze się bowiem już stało. 3. Nie wiem czy Dysk Google także jest atakowany. Na pewno Dropbox. 4. Instrukcja usuwania / doboru odpowiednich działań zależy od tego jaki jest stan konkretnego systemu. Na razie nie mam żadnych wyobrażeń o tym jaki jest stan Twojego Windowsa. Z pewnością to są te serie fałszywych blogów o usuwaniu malware, których celem głównym jest nakierowanie użytkownika na pobranie reklamowanego tam narzędzia.