picasso

W raportach nic nie widać. Skopiuj na Pulpit poniższe foldery: C:\Program Files (x86)\Google\Chrome C:\Users\ryszard\AppData\Local\Google\Chrome Spakuj do ZIP, shostuj gdzieś i prześlij mi na PW link do paczki. Będę ręcznie analizować komponenty Google Chrome.

Jeśli korzystasz z Poczty, to nie ruszaj żadnych komponentów Windows Live. Do zignorowania cały punkt 1 z Zoek, a w punkcie 2 trzeba wykreślić obiekty Windows Live, czyli skrypt do FRST będzie miał taką postać: BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku Task: {11EF51F9-B867-4181-9A5F-F25515AD0C7F} - System32\Tasks\Adobe online update program => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe Task: {55762BC5-A941-411B-BE21-ED2FB2EE28B4} - System32\Tasks\Norton Identity Safe\Norton Error Processor => C:\Program Files (x86)\Norton Identity Safe\Engine\2014.7.0.43\SymErr.exe Task: {67622963-A760-4F6D-BBAA-3A231C63104A} - System32\Tasks\PandaUSBVaccine => C:\Program Files (x86)\Panda USB Vaccine\RunInteractiveWin.exe RemoveDirectory: C:\$360Section RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\360 RemoveDirectory: C:\ProgramData\360Quarant RemoveDirectory: C:\ProgramData\DriverGenius RemoveDirectory: C:\Users\media\Desktop\Stare dane programu Firefox RemoveDirectory: C:\WINDOWS\Tasks\360Disabled

W starcie jest widoczny szkodnik Audio Auto Setup symulujący "komponenty audio". Akcje wstępne do wykonania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-3336899688-2899408113-2250654847-1001\...\Run: [Audio Auto Setup] => C:\Users\ryszard\AppData\Roaming\AudioAutoSetup\wintaskhost.exe [33280 2012-03-07] () C:\Users\ryszard\AppData\Roaming\AudioAutoSetup C:\Users\ryszard\Desktop\dokumety\Acer Backup Manager.lnk C:\Users\ryszard\Desktop\dokumety\WildTangent Games App - acer.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy reklamy w Chrome zniknęły i czy są jeszcze jakieś problemy widoczne.

Coś jest nie w porządku. Spróbuj innej wersji Fix bez rekursywności. CMD: xcacls.vbs C:\ /G Administratorzy:F /E CMD: xcacls.vbs C:\ /G SYSTEM:F /E CMD: xcacls.vbs C:\ /G Użytkownicy:X /E CMD: xcacls.vbs C:\ /P Wszyscy:X /E ListPermissions: C:\ ListPermissions: C:\Config.Msi ListPermissions: C:\Documents and Settings ListPermissions: C:\Program Files ListPermissions: C:\RECYCLER ListPermissions: C:\System Volume Information ListPermissions: C:\WINDOWS ListPermissions: C:\WINDOWS\system32\config\TuneUp.evt Reg: reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders /s Reg: reg query HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders /s Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders /s Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders /s

To zagadnienie teoretyczne: KLIK. W praktyce to oznacza, że zanim zrzucisz dump pamięci, proces szyfrowania posunie się dalej, a nawet może się ukończyć przed zebraniem danych. Czyli pozwolisz zaszyfrować w tle kolejne dane nie mając absolutnie żadnych gwarancji, że w pliku dump cokolwiek zostanie znalezione. Druga sprawa, postęp szyfrowania nie jest tu tak naprawdę znany, wyłączenie komputera mogło i tak nastąpić "za późno". Jeśli chcesz prowadzić te eksperymenty, to nie włączaj na razie komputera tylko w pierwszej kolejności zabezpiecz wszystkie jeszcze niezaszyfrowane dane (o ile takowe są) z wszystkich partycji posługując się zewnętrznym bootowanym nośnikiem CD / USB, wykluczone by dane kopiować z poziomu uruchomionego Windows. Przekopiowane dane muszą być na nośniku, który nie będzie w ogóle dostępny w trakcie ponownego uruchomienia systemu, bo czynna infekcja je i tak zaszyfruje. Dla jasności: infekcja jest definitywnie czynna, widać w raporcie FRST obiekty w starcie. Tylko że jej usunięcie wykluczy powyższe eksperymenty, więc decyduj co robimy "od razu". Zdecydowanie odradzam kontakt z cyberprzestępcami i płacenie im haraczu. Musisz sobie odpowiedzieć na pytanie jak ważne są te dane, by ryzykować taki kontakt. Nie ma gwarancji, że nie zostaniesz oszukany.

Wszystko pomyślnie wykonane, problem reklam powinien ustąpić. Ale jeszcze drobne poprawki na odpadki po odinstalowanych programach: 1. Paczka "Podstawowe programy Windows Live" nadal zainstalowana i nie ma oznaczenia "Hidden", więc nie wiem dlaczego jej nie widać. Na pewno jej nie przeoczyłeś? Jest też dużo powiązanych komponentów, większość ukryta: Formant ActiveX programu Windows Live Mesh odpowiedzialny za obsługę połączeń zdalnych (HKLM-x32\...\{B04A0E2F-1E4C-4E61-B18E-3B2BD6779CA7}) (Version: 15.4.5722.2 - Microsoft Corporation) Galeria fotografii usługi Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Junk Mail filter update (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Poczta usługi Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Podstawowe programy Windows Live (HKLM-x32\...\WinLiveSuite) (Version: 15.4.3538.0513 - Microsoft Corporation) Podstawowe programy Windows Live (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden Pomocnik Messenger (x32 Version: 15.4.3502.0922 - Microsoft Corporation) Hidden 1. Sprawdź czy w Programy i funkcje widać tę pierwszą pozycję. A jeśli chodzi o usunięcie wszystkich instancji "Windows Live", to uruchom Zoek i w oknie wklej: Formant ActiveX programu Windows Live Mesh odpowiedzialny za obsługę połączeń zdalnych;u Galeria fotografii usługi Windows Live;u Junk Mail filter update;u Poczta usługi Windows Live;u Podstawowe programy Windows Live;u Pomocnik Messenger;u Klik w Run Script. Przedstaw wynikowy log zoek-results.txt (po zmianie nazwy z *.log). 2. Otwórz Notatnik i wklej w nim: BHO-x32: Brak nazwy -> {B69F34DD-F0F9-42DC-9EDD-957187DA688D} -> Brak pliku FF Plugin-x32: @microsoft.com/WLPG,version=15.4.3502.0922 -> C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll [2011-05-13] (Microsoft Corporation) FF Plugin-x32: @microsoft.com/WLPG,version=15.4.3508.1109 -> C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll [2011-05-13] (Microsoft Corporation) FF Plugin-x32: @microsoft.com/WLPG,version=15.4.3538.0513 -> C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll [2011-05-13] (Microsoft Corporation) Task: {11EF51F9-B867-4181-9A5F-F25515AD0C7F} - System32\Tasks\Adobe online update program => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe Task: {55762BC5-A941-411B-BE21-ED2FB2EE28B4} - System32\Tasks\Norton Identity Safe\Norton Error Processor => C:\Program Files (x86)\Norton Identity Safe\Engine\2014.7.0.43\SymErr.exe Task: {67622963-A760-4F6D-BBAA-3A231C63104A} - System32\Tasks\PandaUSBVaccine => C:\Program Files (x86)\Panda USB Vaccine\RunInteractiveWin.exe RemoveDirectory: C:\$360Section RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\360 RemoveDirectory: C:\Program Files (x86)\Windows Live RemoveDirectory: C:\ProgramData\360Quarant RemoveDirectory: C:\ProgramData\DriverGenius RemoveDirectory: C:\Users\media\Desktop\Stare dane programu Firefox RemoveDirectory: C:\WINDOWS\Tasks\360Disabled Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt.

DelFix wykonał co należy. Skasuj z dysku plik C:\delfix.txt. Czy jest pewność, że to była prawdziwa strona Orange a nie jakaś podróbka? A jeśli to prawdziwy komunikat, to być może był konsekwencją aktywności w Twojej sieci (a nie nie na Twoim komputerze), nawet nie wiadomo czy hasło "Sality" to była poprawna klasyfikacja zjawiska. Trudno tu coś doradzić. Przy haśle Sality, próbuje się po prostu SalityKiller. Infekcja Sality jest bardzo stara i coraz rzadziej się pokazuje, nie widziałam tego wirusa tu już od dawna.

DelFix dokasował drobne szczątki. Możesz usunąć plik C:\delfix.txt. Temat rozwiązany. Zamykam.

Na koniec: Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Kończymy: 1. Do likwidacji drobne błędy w Dzienniku zdarzeń: Dziennik Aplikacja: ================== Error: (11/08/2015 08:54:17 PM) (Source: WinMgmt) (EventID: 10) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Dziennik System: ============= Error: (11/08/2015 08:52:42 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi lirsgt z powodu następującego błędu: %%577 Error: (11/08/2015 08:52:41 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi atksgt z powodu następującego błędu: %%577 - Błąd WMI usuniesz za pomocą narzędzia Fix-it: KLIK. - Sterowniki Tages (instalowane z określonymi grami czy programami) odinstalujesz posługując się paczką instalacyjną ze strony Tages: KLIK. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Wszystko zrobione. Kończymy: Skasuj folder C:\Users\user\Downloads\frst. Następnie popraw jeszcze za pomocą DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

AdwCleaner znalazł jescze dużo śmieci. Teraz: 1. Uruchom AdwCleaner ponownie, tym razem wybierz sekwencję opcji Skanuj + Usuń. Gdy program ukończy czyszczenie: 2. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Skoro Kaspersky teraz obrabia pliki z dysku D, to poczekajmy na ukończenie tego. Jeśli akcja się skończy powodzeniem i wszystko z D będzie odszyfrowane i w pełni sprawne, poprzednio podany skrypt FRST zostanie rozszerzony o usuwanie szyfrowanych wersji również z D. Czyli zamiast poprzednio podanej ta wersja do uruchomienia: CloseProcesses: CreateRestorePoint: BootExecute: autocheck autochk * sh4native Sh4Removal Task: C:\WINDOWS\Tasks\avast! Emergency Update.job => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe S3 AsrCDDrv; \??\C:\WINDOWS\system32\Drivers\AsrCDDrv.sys [X] HKU\S-1-5-21-1801674531-823518204-725345543-1003\...\Run: [RocketDock] => "C:\Program Files\RocketDock\RocketDock.exe" HKU\S-1-5-21-1801674531-823518204-725345543-1003\...\Run: [Asrsetup] => H:\ASRSetup.exe CustomCLSID: HKU\S-1-5-21-1801674531-823518204-725345543-1003_Classes\CLSID\{0B4AA204-AB61-47E3-B5B4-27DCF375EBAC}\localserver32 -> "CDStart.exe" => Brak pliku HKU\S-1-5-21-1801674531-823518204-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-1801674531-823518204-725345543-1003\Software\Microsoft\Internet Explorer\Main,Strona wyszukiwania = hxxp://www.msn.com/access/allinone.asp HKU\S-1-5-21-1801674531-823518204-725345543-1003\Software\Microsoft\Internet Explorer\Main,Strona początkowa = hxxp://www.microsoft.com/msoffice/ DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab C:\spyhunter.fix C:\Documents and Settings\Betty\Dane aplikacji\sversion.ini C:\Documents and Settings\Betty\Dane aplikacji\recovery.bmp C:\Documents and Settings\Betty\Pulpit\Skrót do SpyHunter4.lnk C:\Documents and Settings\Betty\Ustawienia lokalne\Dane aplikacji\housecall.guid.cache C:\WINDOWS\system32\sh4native.exe C:\WINDOWS\system32\Drivers\tmcomm.sys RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Documents and Settings\Betty\Moje dokumenty\Downloads\SpyHunter 4.20.9.4533 Portable - AppzDam RemoveDirectory: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Clients\StartMenuInternet\chrome.exe /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f CMD: for /d %f in (C:\FOUND.*) do rd /s /q "%f" CMD: attrib -r -h -s C:\*_helpme@freespeechmail.org /s CMD: attrib -r -h -s D:\*_helpme@freespeechmail.org /s CMD: attrib -r -h -s E:\*_helpme@freespeechmail.org /s CMD: attrib -r -h -s F:\*_helpme@freespeechmail.org /s CMD: attrib -r -h -s G:\*_helpme@freespeechmail.org /s CMD: del /q /s C:\*_helpme@freespeechmail.org CMD: del /q /s D:\*_helpme@freespeechmail.org CMD: del /q /s E:\*_helpme@freespeechmail.org CMD: del /q /s F:\*_helpme@freespeechmail.org CMD: del /q /s G:\*_helpme@freespeechmail.org EmptyTemp: Oczywiście to można użyć już tylko po pełnym odzyskaniu wszystkich danych z wszystkich partycji, w przeciwnym wypadku zostanie na zawsze odcięta droga do repety.

1. Jeden wpis nieprzetworzony (moja literówka), więc załaduj taki mały skrypt do FRST: Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID /v {EA34C851-D481-49F5-A356-3A8B0A8F3B7E} /f 2. Usuń folder C:\Farbar. Następnie zapraw jeszcze DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Fix pomyślnie wykonany. Tak, te odczyty "Brak pliku" przy wpisach Autodesk są fałszywym alarmem i nie należy ruszać tych wpisów. Zostały nam poprawki: 1. Wpis McAfee nie ma oznaczenia, że jest ukryty, ale skoro go nie widać, to sprawdź czy da radę za pomocą tego narzędzia: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > jeśli widać, zaznacz Shared C Run-time for x64 > Dalej. 2. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => "c:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" HKU\S-1-5-21-3391024131-566000767-83427015-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\Natalka\AppData\Local\Akamai\netsession_win.exe" RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Natalka\Desktop\Old Firefox Data Reg: reg query "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment" CMD: set Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Ostatni skrypt do FRST. Do Notatnika wklej: DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0E12F736682067FDE4D1158D5940A82E DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\1A24B5BB8521B03E0C8D908F5ABC0AE6 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\2B0D56C4F4C46D844A57FFED6F0D2852 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\49D4375FE41653242AEA4C969E4E65E0 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6AA0923513360135B272E8289C5F13FA DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\6F7467AF8F29C134CBBAB394ECCFDE96 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\922525DCC5199162F8935747CA3D8E59 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\BCDA179D619B91648538E3394CAC94CC DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\D677B1A9671D4D4004F6F2A4469E86EA DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\DD1402A9DD4215A43ABDE169A41AFA0E DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\E36E114A0EAD2AD46B381D23AD69CDDF DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\EF8E618DB3AEDFBB384561B5C548F65E DeleteKey: HKLM\SOFTWARE\Wow6432Node\AdvertisingSupport DeleteKey: HKLM\SOFTWARE\Wow6432Node\Discount Dragon DeleteKey: HKU\S-1-5-18\Software\AskPartnerNetwork Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Policies\Ext\CLSID / {EA34C851-D481-49F5-A356-3A8B0A8F3B7E} /f RemoveDirectory: C:\ProgramData\{2892869b-89d7-3c78-2892-2869b89d1a6e} RemoveDirectory: C:\Users\Sigon\AppData\Local\VideoConverter RemoveDirectory: C:\Users\Sigon\music\qtrax media library Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Pokaż wynikowy fixlog.txt.

W Firefox nadal jest widoczne rozszerzenie Treasure Track. Dodatkowo, na wielu folderach jest podpięty podejrzany strumień Win32App. Przy okazji będzie usuwanie odpadków po aktualizacji Windows 7 > Windows 10 oraz redukcja nadmiaru zainstalowanych programów zabezpieczających, tu działają równolegle 360 i Norton (!), co powinno być obrazowane conajmniej degradacją wydajności. Akcje do wykonania: 1. Odinstaluj stare wersje i zbędniki: Adobe Reader X (10.1.9) - Polish, Applian Director (uszkodził go AdwCleaner), Bing Bar, Norton Online Backup, Panda USB Vaccine 1.0.1.4, Podstawowe programy Windows Live, Windows Live Sync oraz albo 360 Total Security, albo Norton Security. Jeśli padnie na Nortona, to jeszcze po deinstalacji popraw narzędziem Norton Removal Tool. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {00D1D7F9-E6F2-4ABD-AA3B-C94D10144304} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {021A74AF-D2E0-41CD-ABA6-360AD543BB36} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {18D40BF5-9E2F-48FB-82FC-5069BA56E20F} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {1BB6C405-C71E-4A6D-9AD9-EAFA048BC49D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {383D4AE9-0DB5-4E2A-892B-BCA902D43374} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {394E61B2-939C-4517-9C19-83AB10ADB0AF} - System32\Tasks\{1E09D96F-E272-4A59-9D20-65DF279BAF8C} => pcalua.exe -a "C:\Program Files (x86)\HP Games\HP Game Console\install_flash_player_active_x.exe" Task: {3EF726E8-827E-4401-919D-EEDEF9E31229} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {42E6D946-E9A3-424C-B45D-2C17B3A29D06} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {44D6F1C6-E98B-4542-8B9E-265E21A2719C} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {45EF8B74-D2AA-47D8-9F53-B1C47251AD41} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {4CCD2CC8-6723-40E4-A180-57AB11DEAF7A} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {4FCCDD64-85E8-4454-B8EE-E145378B5B07} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {51675C08-A108-40B9-B8BF-94E5C331BDDB} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {53F2CAF9-23E5-4350-893A-91CDD51FED0B} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {5C7D224C-C79F-4656-B7DF-BF1CEE6AEC90} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {6F208B1A-D702-4827-99B8-209BE1E47AEB} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {6F7FCA77-4A56-4A0D-B33A-1553EF370BD7} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {749664F8-1EB4-4D82-8A56-40B0E5678199} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {7AC9C472-6A65-4B1B-B239-9B3CD411BFB7} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {8D01C8EF-E546-4A4E-9FBF-37A660512F76} - System32\Tasks\{512F78D7-ED24-44B1-A1F3-BB2265F5A229} => pcalua.exe -a "C:\Program Files\Applian Technologies\Replay Media Catcher 4\auninstall.exe" -d "C:\Program Files\Applian Technologies\Replay Media Catcher 4" Task: {9306CCE1-C2DB-499F-9E9F-4407C922D909} - System32\Tasks\{28B535B1-654A-4790-A9D8-BA13F4890AA9} => pcalua.exe -a "C:\Pliki progr nie instalowanych\DOWNLOAD\irfanview_plugins_435_setup(1).exe" -d "C:\Pliki progr nie instalowanych\DOWNLOAD" Task: {98030AC1-2640-422B-B262-03CEF01AB5EA} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {996C520F-7BD1-4E80-BC1D-1260F3B15DFC} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {A3EBC388-1E48-4239-BCBD-5AEFF33D0469} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => C:\Program Files (x86)\Norton Identity Safe\Engine\2014.7.0.43\SymErr.exe Task: {A7848DDD-1C04-4A55-97E5-6A7C69A2AB76} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {B57CCE03-19A0-40D9-AB70-555FF06D97C0} - System32\Tasks\{B4446E3F-4BDA-42D3-B54C-61177300E25B} => pcalua.exe -a "C:\Program Files (x86)\1ClickMovie-Download V9.0\Uninstall.exe" -c /fromcontrolpanel=1 Task: {B7B79604-808D-4141-BB42-56DE71BA58A3} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {B862ED1B-9E25-4D18-AFE9-15A32AB195E9} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {C023CD42-5A2D-4779-A2A5-05D1DA5D2D1C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {C03971D1-DCD2-4DB5-90F4-6E227E708622} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {C0FCD90C-A290-4F44-8670-FB2B618875D7} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {C28213E2-43DD-4433-8641-E43968276500} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {C750A9AB-2BF0-4B3A-8D50-CC9CCFF967D6} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {CAC781A6-940D-4772-8EAA-D7A3F990CB0F} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {D611962F-DF1C-4D0B-B7F1-336FB2CF0F91} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {DB68BBE5-99EB-4D54-960F-785EC7556517} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {ED039404-CEA5-4755-8741-895074C7FBB7} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {F2D4A99C-8423-41BF-9C91-3A5E6AC4250E} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {FD3667FE-C42B-442E-B237-D26DE0E59DE0} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center HKU\S-1-5-21-3550354000-425692153-1505289350-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.symantec.com/redirects/security_response/fix_homepage/index.jsp?lg=pl&pid=NS&pvid=22.5.4.24 SearchScopes: HKLM-x32 -> DefaultScope - brak wartości BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku Toolbar: HKLM - Brak nazwy - {A13C2648-91D4-4bf3-BC6D-0079707C4389} - Brak pliku Toolbar: HKU\S-1-5-21-3550354000-425692153-1505289350-1000 -> Brak nazwy - {A13C2648-91D4-4BF3-BC6D-0079707C4389} - Brak pliku DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab DPF: HKLM-x32 {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab FF HKLM-x32\...\Firefox\Extensions: [otis@digitalpersona.com] - C:\Program Files (x86)\DigitalPersona\Bin\FirefoxExt U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath AlternateDataStreams: C:\FR90PE_VOL:Win32App AlternateDataStreams: C:\Program Files\CCleaner:Win32App AlternateDataStreams: C:\Program Files\ConvertHelper3:Win32App AlternateDataStreams: C:\Program Files\DigitalPersona:Win32App AlternateDataStreams: C:\Program Files\Hewlett-Packard:Win32App AlternateDataStreams: C:\Program Files\IDT:Win32App AlternateDataStreams: C:\Program Files\LockHunter:Win32App AlternateDataStreams: C:\Program Files\Microsoft Silverlight:Win32App AlternateDataStreams: C:\Program Files\My Lockbox:Win32App AlternateDataStreams: C:\Program Files\Validity Sensors:Win32App AlternateDataStreams: C:\Program Files (x86)\ABBYY FineReader 9.0:Win32App AlternateDataStreams: C:\Program Files (x86)\ATI Technologies:Win32App AlternateDataStreams: C:\Program Files (x86)\DigitalPersona:Win32App AlternateDataStreams: C:\Program Files (x86)\EasyBits For Kids:Win32App AlternateDataStreams: C:\Program Files (x86)\Free HD Converter:Win32App AlternateDataStreams: C:\Program Files (x86)\Free PDF Solutions:Win32App AlternateDataStreams: C:\Program Files (x86)\Freemake:Win32App AlternateDataStreams: C:\Program Files (x86)\Hewlett-Packard:Win32App AlternateDataStreams: C:\Program Files (x86)\HP Games:Win32App AlternateDataStreams: C:\Program Files (x86)\Intel iPOS v6:Win32App AlternateDataStreams: C:\Program Files (x86)\Microsoft Application Virtualization Client:Win32App AlternateDataStreams: C:\Program Files (x86)\Microsoft SQL Server Compact Edition:Win32App AlternateDataStreams: C:\Program Files (x86)\Norton Security:Win32App AlternateDataStreams: C:\Program Files (x86)\Panda USB Vaccine:Win32App AlternateDataStreams: C:\Program Files (x86)\PlayReady:Win32App AlternateDataStreams: C:\Program Files (x86)\The KMPlayer:Win32App AlternateDataStreams: C:\Program Files (x86)\TuneUp Utilities 2012:Win32App AlternateDataStreams: C:\Program Files (x86)\uTorrent:Win32App AlternateDataStreams: C:\Program Files (x86)\Verbatim GREEN BUTTON:Win32App AlternateDataStreams: C:\Program Files (x86)\Windows Live:Win32App AlternateDataStreams: C:\Program Files (x86)\WinRAR:Win32App AlternateDataStreams: C:\Program Files (x86)\WinX Free VOB to MP4 Converter:Win32App AlternateDataStreams: C:\Program Files\Common Files\microsoft shared:Win32App AlternateDataStreams: C:\ProgramData\{18165758-115C-4DC0-9EC2-FF89F725767F}:Win32App AlternateDataStreams: C:\ProgramData\{32364CEA-7855-4A3C-B674-53D8E9B97936}:Win32App AlternateDataStreams: C:\Users\media\AppData\Local\Temp:Win32App AlternateDataStreams: C:\Users\media\Documents\Readon Player:Win32App C:\Program Files\adwcleaner.exe C:\Program Files (x86)\Common Files\AMD C:\ProgramData\*.log C:\ProgramData\1446216504_00000000_base C:\ProgramData\ipla C:\ProgramData\Temp C:\Users\media\everest.exe C:\Users\media\AppData\Local\Sparta C:\Users\media\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\ms word 97.exe — skrót.lnk C:\Users\media\AppData\Roaming\Microsoft\Windows\SendTo\Transfer plików Bluetooth.LNK C:\Users\media\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ms word 97.lnk C:\Users\media\Desktop\adwcleaner.exe — skrót.lnk C:\Windows\ehome C:\Windows\System32\Tasks\Microsoft\Windows\Media Center Folder: C:\SpecProgram CMD: for /d %f in (C:\Users\media\AppData\Local\{*}) do rd /s /q "%f" Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia (Adblock Plus, FlashGot, Video DownloadHelper) trzeba będzie przeinstalować. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Temat przenoszę do działu Windows. Nie ma żadnych oznak jawnej infekcji, poza dwoma przekierowaniami na duba.com (strona startowa IE + zmodyfikowany skrót IE). Ale to nie ma związku. 1. Przyczyną problemów z explorer.exe jest moduł programu Autodesk. Z Dziennika zdarzeń: Error: (11/11/2015 02:59:30 AM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: Explorer.EXE, wersja: 6.1.7601.17567, sygnatura czasowa: 0x4d6727a7 Nazwa modułu powodującego błąd: AdSyncNamespace.dll, wersja: 4.0.27.1, sygnatura czasowa: 0x5110cb36 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x0001c356 Identyfikator procesu powodującego błąd: 0x9d4 Godzina uruchomienia aplikacji powodującej błąd: 0xExplorer.EXE0 Ścieżka aplikacji powodującej błąd: Explorer.EXE1 Ścieżka modułu powodującego błąd: Explorer.EXE2 Identyfikator raportu: Explorer.EXE3 Podobny temat tylko z innym modułem: KLIK. Rozpocznij od deinstalacji Autodesk 360. Przy okazji od razu odinstaluj stare wersje i zbędniki: Adobe AIR, Adobe Flash Player 11 ActiveX, Akamai NetSession Interface, AVG Web TuneUp, Google Talk Plugin (już nie działa), HP Deskjet 1050 J410 series — badanie mające na celu poprawę produktów, Java 8 Update 51. 2. W Dzienniku jest też błąd sugerujący aktualizację sterowników graficznych AMD: Dziennik System: ============= Error: (11/11/2015 08:11:30 PM) (Source: atikmdag) (EventID: 10261) (User: ) Description: Display is not active PS. Po deinstalacjach kosmetyczne działania (usunięcie wpisów pustych i czyszczenie Tempów), nie powiązane w ogóle z problemami zasadniczymi:

Fix pomyślnie wykonany. Zastosuj DelFix, następnie wyczyść foldery Przywrcania systemu: KLIK.

Fix wykonany. Skasuj folder C:\Users\Jakub\Downloads\FRTS i pobrany GMER. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To tyle z mojej strony.

Fix "stoi" na drugiej komendzie rekursywnego przynawania Administratorom dostępu, czyli nawet połowa się nie wykonała. Czy on nadal pracuje? Jeśli tak, zostaw go w tle.

Czyli mam rozumieć, że nie wykonałaś Fixa FRST? On nadal jest aktualny. Fix FRST miał zrobić rzeczy spoza zakresu tej infekcji oraz usunąć zaszyfrowane pliki także z tych miejsc których "nie widzisz". Nie tylko Twoje osobiste pliki zostały zaszyfrowane, ale pliki Windows i programów również.

Fix pomyślnie wykonany. Skasuj E:\Pobrane\frst. Następnie dla pewności jeszcze DelFix oraz czyszczenie folderów Przywracania systemu: KLIK. To tyle.

Wolniejsze uruchamianie mogło wynikać z czyszczenia Tempów przez FRST. I jeszcze drobne poprawki. Otwórz Notatnik i wklej w nim: FF HKLM-x32\...\Firefox\Extensions: [{ABDE892B-13A8-4d1b-88E6-365A6E755758}] - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\Firefox\Ext => nie znaleziono Task: {1BB68C06-50EC-42E6-A2F5-6C0F2EEF92EC} - System32\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-2053194998-3405878221-685674103-1002 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe Task: {722D7488-46ED-4AEB-9622-46C3FF05EC95} - System32\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-2053194998-3405878221-685674103-1002 => C:\Program Files (x86)\Real\RealUpgrade\RealUpgrade.exe Reg: reg delete "HKU\S-1-5-21-2053194998-3405878221-685674103-1001\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-21-2053194998-3405878221-685674103-1001\Software\Microsoft\Windows\CurrentVersion\Run" /f Reg: reg delete HKU\S-1-5-21-2053194998-3405878221-685674103-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v "McAfee Parental Controls.lnk" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v HotKeysCmds /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IgfxTray /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Persistence /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v TkBellExe /f CMD: type "C:\Program Files (x86)\Mozilla Firefox\B47960E2D889DD55984943B04E3AA048B479" C:\Program Files (x86)\Mozilla Firefox\B47960E2D889DD55984943B04E3AA048B479 C:\Program Files (x86)\Real C:\ProgramData\Real C:\Users\Jakub\AppData\Roaming\Real Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Zaprezentuj wynikowy fixlog.txt. I podaj czy tym razem reset też trwał dłużej.

Możemy zrobić następującą operację: usunąć wszystkie zaszyfrowane pliki z partycji C, E, F, G - to zwolni nieco miejsca na nich. I wtedy można spróbować przekopiować część zaszyfrowanych plików z D na wybrane partycje i zapuścić dekoder ponownie. Zakładam, że na pewno wszystko odszyfrowane na tych partycjach, gdyż akcja usunięcia szyfrowanych wersji jest nieodwracalna. Przy okazji będą adresowane drobnostki widoczne w pierwszych raportach FRST. Czyli: 1. Przez Dodaj/Usuń programy odinstaluj stare wersje: Adobe AIR, Adobe Reader 9.5.1, OpenOfficePL 2.2. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: BootExecute: autocheck autochk * sh4native Sh4Removal Task: C:\WINDOWS\Tasks\avast! Emergency Update.job => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe S3 AsrCDDrv; \??\C:\WINDOWS\system32\Drivers\AsrCDDrv.sys [X] HKU\S-1-5-21-1801674531-823518204-725345543-1003\...\Run: [RocketDock] => "C:\Program Files\RocketDock\RocketDock.exe" HKU\S-1-5-21-1801674531-823518204-725345543-1003\...\Run: [Asrsetup] => H:\ASRSetup.exe CustomCLSID: HKU\S-1-5-21-1801674531-823518204-725345543-1003_Classes\CLSID\{0B4AA204-AB61-47E3-B5B4-27DCF375EBAC}\localserver32 -> "CDStart.exe" => Brak pliku HKU\S-1-5-21-1801674531-823518204-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-1801674531-823518204-725345543-1003\Software\Microsoft\Internet Explorer\Main,Strona wyszukiwania = hxxp://www.msn.com/access/allinone.asp HKU\S-1-5-21-1801674531-823518204-725345543-1003\Software\Microsoft\Internet Explorer\Main,Strona początkowa = hxxp://www.microsoft.com/msoffice/ DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab C:\spyhunter.fix C:\Documents and Settings\Betty\Dane aplikacji\sversion.ini C:\Documents and Settings\Betty\Dane aplikacji\recovery.bmp C:\Documents and Settings\Betty\Pulpit\Skrót do SpyHunter4.lnk C:\Documents and Settings\Betty\Ustawienia lokalne\Dane aplikacji\housecall.guid.cache C:\WINDOWS\system32\sh4native.exe C:\WINDOWS\system32\Drivers\tmcomm.sys RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Documents and Settings\Betty\Moje dokumenty\Downloads\SpyHunter 4.20.9.4533 Portable - AppzDam RemoveDirectory: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Clients\StartMenuInternet\chrome.exe /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f CMD: for /d %f in (C:\FOUND.*) do rd /s /q "%f" CMD: attrib -r -h -s C:\*_helpme@freespeechmail.org /s CMD: attrib -r -h -s E:\*_helpme@freespeechmail.org /s CMD: attrib -r -h -s F:\*_helpme@freespeechmail.org /s CMD: attrib -r -h -s G:\*_helpme@freespeechmail.org /s CMD: del /q /s C:\*_helpme@freespeechmail.org CMD: del /q /s E:\*_helpme@freespeechmail.org CMD: del /q /s F:\*_helpme@freespeechmail.org CMD: del /q /s G:\*_helpme@freespeechmail.org EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przetwarzanie Fix może długo trwać, załączone rekursywne usuwanie wszystkich zaszyfrowanych plików z wszystkich partycji z wyjątkiem D. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Plik fixlog.txt też dołącz, ale on będzie makabrycznie wielki, więc spakuj go do ZIP, shostuj gdzieś i podaj link do paczki.