picasso

Brak oznak czynnej infekcji. Zaś wynikami ESET nie trzeba się przejmować. ESET wykrył martwe obiekty w C:\Qoobox = to jest kwarantanna ComboFix, której nie usunięto po użyciu ComboFix (ComboFix nie został poprawnie odinstalowany). Czyli do usunięcia tylko zablokowane foldery Qoobox + RECYCLER oraz drobne wpisy puste, w tym odpadkowy Dziennik zdarzeń Dr. Web. Wypięcie dziennika Dr. Web będzie wymagało tymczasowego wyłączenia Dziennika zdarzeń, co wymusza dwa skrypty FRST. Akcja: 1. Odinstaluj bardzo stare wersje: Adobe Flash Player 10 ActiveX, ffdshow [rev 3154], Java 7 Update 51, Java™ 6 Update 34, Java™ 6 Update 7, OpenOffice.org 3.3. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\RunOnce: [] => [X] S2 ADILOADER; System32\Drivers\adildr.sys [X] S3 adiusbaw; system32\DRIVERS\adiusbaw.sys [X] S3 catchme; \??\C:\DOCUME~1\WACICI~1\USTAWI~1\Temp\catchme.sys [X] S3 eapihdrv; \??\C:\DOCUME~1\WACICI~1\USTAWI~1\Temp\ehdrv.sys [X] R4 mbamchameleon; \??\C:\WINDOWS\system32\drivers\mbamchameleon.sys [X] U3 TlntSvr; Brak ImagePath HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1935655697-725345543-682003330-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1935655697-725345543-682003330-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKU\S-1-5-21-1935655697-725345543-682003330-1003 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF HKU\S-1-5-21-1935655697-725345543-682003330-1003\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Malwarebytes RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\Malwarebytes' Anti-Malware (portable) RemoveDirectory: C:\Documents and Settings\All Users\Menu Start\Programs\SUPERAntiSpyware RemoveDirectory: C:\Documents and Settings\Właściciel\Doctor Web RemoveDirectory: C:\Documents and Settings\Właściciel\Menu Start\Programy\Hugin RemoveDirectory: C:\Program Files\Malwarebytes Anti-Malware RemoveDirectory: C:\Program Files\Mozilla Firefox\plugins RemoveDirectory: C:\KVRT_Data RemoveDirectory: C:\Qoobox RemoveDirectory: C:\RECYCLER RemoveDirectory: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f CMD: netsh firewall reset CMD: sc config Eventlog start= disabled EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. System może się dłużej uruchamiać ze względu na wyłączenie Dziennika. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Skopiuj go w inne miejsce niż siedzi FRST, bo kolejny punkt nadpisze bieżący log. 3. Otwórz Notatnik i wklej w nim: C:\WINDOWS\system32\config\Doctor Web.evt Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Powstanie kolejny fixlog.txt. 4. Jest zainstalowany najnowszy Firefox, ale widać w nim niekompatybilne stare rozszerzenia i pewne odpadki. Czas na odświeżenie ustawień: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia (Adblock Plus, Greasemonkey, Flashblock, MEGA, Stylish) trzeba będzie przeinstalować. Menu Historia > Wyczyść historię przeglądania 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też oba pliki fixlog.txt.

Brakuje głównego raportu FRST.txt. Proszę dołącz. Czy było coś nietypowego instalowane dla Steam - jakaś modyfikacja?

Jedyne co widzę w raportach, to podejrzane zadanie w Harmonogramie, które powierzchownie wygląda jak komponent Steam (który jest zainstalowany). Zadanie jest bardzo świeże. W żadnym innym raporcie z zainstalowanym Steam nie występowało takie zadanie. Moim zdaniem to jest podróbka. Task: {A94FD013-3AE4-4EAA-9D59-26F193E84DD1} - System32\Tasks\SteamClient => C:\Users\Tomek\AppData\Roaming\Steam\SteamHelper.exe [2015-10-09] (Valve Corporation ) Zacznijmy od usunięcia w/w obiektu i czyszczenia lokalizacji tymczasowych. Akcje do wdrożenia: 1. Odinstaluj stare wersje: Adobe Flash Player 16 ActiveX, Adobe Flash Player 16 NPAPI, Java 8 Update 25, Mozilla Firefox 33.0 + Mozilla Maintenance Service. Przy deinstalacji Firefox zaznacz usuwanie profilu. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {A94FD013-3AE4-4EAA-9D59-26F193E84DD1} - System32\Tasks\SteamClient => C:\Users\Tomek\AppData\Roaming\Steam\SteamHelper.exe [2015-10-09] (Valve Corporation ) HKU\S-1-5-21-3940539798-2983024366-2410409241-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch BHO-x32: RealPlayer Download and Record Plugin for Internet Explorer -> {3049C3E9-B461-4BC5-8870-4C09146192CA} -> C:\Program Files (x86)\Real\RealPlayer\rpbrowserrecordplugin.dll => Brak pliku FF Plugin-x32: @real.com/nppl3260;version=6.0.12.46 -> C:\Program Files (x86)\Real\RealPlayer\Netscape6\nppl3260.dll [brak pliku] FF Plugin-x32: @real.com/nprjplug;version=1.0.3.46 -> C:\Program Files (x86)\Real\RealPlayer\Netscape6\nprjplug.dll [brak pliku] FF Plugin-x32: @real.com/nprpjplug;version=6.0.12.46 -> C:\Program Files (x86)\Real\RealPlayer\Netscape6\nprpjplug.dll [brak pliku] FF HKLM-x32\...\Firefox\Extensions: [{ABDE892B-13A8-4d1b-88E6-365A6E755758}] - C:\Program Files (x86)\Real\RealPlayer\browserrecord => nie znaleziono S3 catchme; \??\C:\ComboFix\catchme.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gameforge Live C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GOG.com\Hotline Miami C:\ProgramData\TEMP Folder: C:\Users\Tomek\AppData\Roaming\Steam File: C:\Users\Tomek\AppData\Roaming\Steam\SteamHelper.exe C:\Users\Tomek\AppData\Roaming\Steam\SteamHelper.exe C:\Users\Tomek\AppData\Roaming\Real\RealPlayer\History\*.lnk Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt. Wypowiedz się czy widzisz poprawę.

Usuwanie przeprowadzone pomyślnie. Zanim przejdziemy do czynności końcowych: To niestety jeden z najnowszych wariantów TeslaCrypt, którego nie może odkodować TeslaDecoder. Choć na wszelki wypadek sprawdź co mówi dekoder. "Kilku miejscach" = szyfrowanie powinno wystąpić w bardzo wielu miejscach na wszystkich dyskach. Jeśli chodzi o dysk C, to przedstaw gdzie konkretnie utworzyły się zaszyfrowane pliki. Uruchom FRST, w polu Szukaj wklej: *.ccc Klik w Szukaj plików. Wynikowy log może być ogromny, więc ponownie wykorzystaj hosting a nie załączniki.

AdwCleaner wykrył poniższy folder, a ja mam jednak wątpliwości czy to poprawna detekcja: Folder znaleziono : C:\Program Files (x86)\Play Widziałam go wcześniej w wynikach komeny DIR, łączyłam go z jedną z poprawnych instalacji PLAY ONLINE. PLAY ONLINE (HKLM-x32\...\{A9E5EDA7-2E6C-49E7-924B-A32B89C24A04}) (Version: 1.0.0.1 - ZTE Corporation) PLAY ONLINE (HKLM-x32\...\PLAY ONLINE) (Version: 21.005.11.17.264 - Huawei Technologies Co.,Ltd) ========= dir /a "C:\Program Files (x86)" ========= 2012-11-26 18:10 PLAY 2013-06-10 21:13 PLAY ONLINE Zaprezentuj co jest w tym folderze. Otwórz Notatnik i wklej w nim: Folder: C:\Program Files (x86)\PLAY Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Błąd w Dzienniku enigmatyczny: Ale: Z raportów FRST wynika, że program nie został poprawnie zainstalowany. Brak go na liście zainstalowanych, ale są liczne uruchomione obiekty. Nie da się "uwidocznić" na liście deinstalacji, dane instalacyjne Nortona nie istnieją wcale. Należy usunąć zdefektowany NIS za pomocą specjalizowanego narzędzia. Przejdź w Tryb awaryjny i zastosuj Norton Removal Tool. Po tym przejdź w tryb normalny i zrób nowe logi z FRST. PS. Nazwy logów wskazują, że je wyciągasz z folderu C:\FRST\Logs. To jest archiwum logów. Bieżące logi powstają zawsze tam skąd uruchomiono program, czyli w tym przypadku w C:\PROGRAMY\FRST64.

Wszystko zostało wykonane. Drobne poprawki i kończymy: 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine CMD: del /q "C:\Documents and Settings\PRZOD1\Dane aplikacji\Mozilla\Firefox\Profiles\cdsy2tzl.default-1444748903546\user.js" CMD: del /q C:\windows\system32\pl.html Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Po pokazaniu w/w skasuj ręcznie z folderu "antimalware" FRST. Następnie zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zaktualizuj Java KLIK.

Katalog Qoobox jest ograniczony przez uprawnienia (Wszyscy = Odmów). Można ręcznie to zmodyfikować, by umożliwośc odblokowanie katalogu, ale zajmie się nim poniższy Fix FRST. Adobe Reader DC nie jest przeznaczony dla systemu XP. Obsługiwane systemy to Windows 7 i nowsze. Dla XP zostaje tylko stara wersja Adobe Reader XI. Alternatywnie można korzystać z minitury Sumatra PDF. Foxit Reader przestał być lekki i upodobnił się do Adobe Reader, a stosowanie starych wersji naraża na luki. Otwórz Notatnik i wklej w nim: S3 Ser2pl; system32\DRIVERS\ser2pl.sys [X] RemoveDirectory: C:\Documents and Settings\User\Pulpit\Stare dane programu Firefox RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\FRST-OlderVersion RemoveDirectory: C:\Qoobox CMD: del /q C:\tuffjr6s.exe Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Pokaż wynikowy fixlog.txt.

1. Drobna poprawka. Edytor forum wymazał podwójną spację, dlatego Fix nie przetworzył kilku wpisów. Do Notatnika wklej: ShellIconOverlayIdentifiers: [ GoogleDriveBlacklisted] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D42} => Brak pliku ShellIconOverlayIdentifiers: [ GoogleDriveSynced] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D40} => Brak pliku ShellIconOverlayIdentifiers: [ GoogleDriveSyncing] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D41} => Brak pliku Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Jeśli w pliku fixlog.txt te trzy rekordy będą równe "klucz pomyślnie usunięto", nie musisz pliku pokazywać. 2. Skasuj narzędzia z folderu scan na Pulpicie. Podobne kroki końcowe z zastosowaniem DelFix i czyszczeniem folderów Przywracania systemu.

Temat przenoszę do właściwego działu Windows. Są tu silne wątpliwości czy cokolwiek da się zrobić. Widzę, że to stary sprzęt z ograniczeniami. XP został bardzo niedawno zainstalowany (2015-07-06 09:04:01), jest praktycznie "goły" i nie ma czego wyłączać z niedomyślnych elementów. 1. Na początek upewnij się, że transfer dysku nie obniżył się do PIO. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Słabe statystyki ogólne: stary procesor, bardzo mało RAM i wolnego miejsca na dysku. Dołożenie RAM mogłoby pomóc, tylko że nie wiadomo czy jest to możliwe i opłacalne. ==================== Statystyki pamięci =========================== Procesor: AMD Athlon(tm) 64 Processor 3200+ Procent pamięci w użyciu: 34% Całkowita pamięć fizyczna: 511.48 MB Dostępna pamięć fizyczna: 333.83 MB Całkowita pamięć wirtualna: 1246.86 MB Dostępna pamięć wirtualna: 1126.25 MB ==================== Dyski ================================ Drive c: () (Fixed) (Total:9.77 GB) (Free:5.7 GB) NTFS ==>[dysk z komponentami startowymi (Windows XP)] Drive d: (Dysk lokalny) (Fixed) (Total:19.53 GB) (Free:17.68 GB) NTFS Drive e: (Dysk lokalny) (Fixed) (Total:26.6 GB) (Free:26.46 GB) NTFS Wolne miejsce będzie znikać, co pogorszy sprawę. Jest jeden dysk fizyczny, więc można oderwać trochę z partycji D i dołożyć do C. Przykładowy program do tej operacji: EASEUS Partition Master. 3. Można jeszcze spróbować powyłączać niektóre usługi systemowe: KLIK. PS. Do aktualizacji także stary IE6 - instalator IE8 w przyklejonym: KLIK. Platform: Microsoft Windows XP Professional Dodatek Service Pack 3 (X86) Język: Polski Internet Explorer Wersja 6 (Domyślna przeglądarka: FF)

Szkodniki pomyślnie usunięte, obecnie nic już nie jest aktywne. Teraz cyzelowanie: 1. Otwórz Notatnik i wklej w nim: C:\Program Files\NetPanel C:\Program Files\Opera x64 C:\Program Files (x86)\Alcohol Soft C:\Program Files (x86)\AVG SafeGuard toolbar C:\Program Files (x86)\GUM1D40.tmp C:\Program Files (x86)\Onet C:\Program Files (x86)\Temp C:\Program Files (x86)\Common Files\Onet.pl C:\ProgramData\APN C:\ProgramData\DAEMON Tools Lite C:\ProgramData\IHProtectUpDate C:\ProgramData\Kurupira C:\ProgramData\McAfee C:\ProgramData\Norton C:\ProgramData\NortonInstaller C:\ProgramData\pWinManProp C:\ProgramData\Temp C:\ProgramData\tWinManProt C:\Users\Grzesiek\AppData\Roaming\AutoUpdate C:\Users\Grzesiek\AppData\Roaming\DAEMON Tools Lite C:\Users\Grzesiek\AppData\Roaming\dl_0 C:\Users\Grzesiek\AppData\Roaming\EurekaLog C:\Users\Grzesiek\AppData\Roaming\Funmoods C:\Users\Grzesiek\AppData\Roaming\newnext.me C:\Users\Grzesiek\AppData\Roaming\OpenCandy C:\Users\Grzesiek\AppData\Roaming\Opera Reg: reg add HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command /ve /t REG_SZ /d "\"C:\Program Files (x86)\Opera\Launcher.exe"" /f Reg: reg delete HKLM\SOFTWARE\Clients\StartMenuInternet\Opera /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{7ADF667E-E14D-4D2C-827C-B0108F0D93BC} /f CMD: netsh advfirewall reset Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj (nie używaj na razie Usuń). dostarcz wynikowy log z folderu C:\AdwCleaner.

Jeśli nadal są problemy, to może to być sprawa po stronie dostawcy. Wszystko co miało zostać wykonane, przeprowadzone pomyślnie. Na zakończenie jeszcze usuwanie odpadków i czyszczenie lokalizacji tymczasowych: Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {3091CA8F-23BC-4093-9756-1FB612852653} - System32\Tasks\{FCFE5460-926B-4C54-8AE2-61450D1FA4F7} => pcalua.exe -a C:\Users\LukeMike\Downloads\epson326526eu.exe -d C:\Users\LukeMike\Downloads Task: {5ACCE210-FF2C-4E27-A237-C76E97812420} - System32\Tasks\GameNet => C:\Program Files (x86)\QGNA\qGNA.exe Task: {EE80457C-6028-479F-824F-2D607A79D30E} - System32\Tasks\{78892DCE-DFFC-469E-A073-A7FFB9D3F12B} => pcalua.exe -a C:\Users\LukeMike\Downloads\epson326457eu.exe -d C:\Users\LukeMike\Downloads C:\Users\LukeMike\Desktop\Documents\Black Desert CMD: netsh ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Problem zamulenia wygląda na osobną sprawą nie wynikającą z infekcji. Jest tu podstawowa ilość RAM ~2GB, a system 64-bit (konsumuje więcej niż 32-bitowy). Wg statystyk użycie pamięci bardzo wysokie. Obawiam się, że będzie problem z usprawnieniem tego laptopa. ==================== Statystyki pamięci =========================== Procesor: Intel® Core™2 Duo CPU T5670 @ 1.80GHz Procent pamięci w użyciu: 95% Całkowita pamięć fizyczna: 1976.06 MB Dostępna pamięć fizyczna: 85.5 MB Całkowita pamięć wirtualna: 4195.37 MB Dostępna pamięć wirtualna: 1482.31 MB Jeśli chodzi o problem reklam, to którą przeglądarkę masz na myśli: Google Chrome czy Firefox? Podejrzewam, że Google Chrome, mimo że Firefox jest ustawiony jako domyślny. Opisywane efekty to definitywna infekcja (wymazałam z posta te hyperlinki zrobione przez adware), w raportach jej nie widać, ale to nic nie oznacza. Malware stosuje specjalne sztuczki w Google Chrome (modyfikacja pliku resources.pak), które są niewykrywalne w żadnych raportach. Jeśli modyfikacji jest w resources.pak, jest konieczna reinstalacja przeglądarki od zera. Przy okazji będą usuwane szczątki nie do końca poprawnie odinstalowanego Wondershare Video Converter Ultimate. Wstępnie te działania do wykonania: 1. Odinstaluj stare wersje: Adobe AIR, Adobe Flash Player 16 ActiveX, Java 8 Update 45. Dodatkowo, mógłbyś odinstalować firmowy Acer eDataSecurity Management, jeśli nigdy nie był używany do szyfrowania danych, co by obcięło kilka procesów ze startu. 2. Skopiuj na Pulpit poniższe foldery: C:\Program Files (x86)\Google\Chrome C:\Users\Krzysztof\AppData\Local\Google\Chrome Spakuj je do ZIP, umieść na jakimś serwisie hostingowym i wyślij mi link na PW do analizy. Następnie odinstaluj Google Chrome: Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Na razie nie instaluj przeglądarki ponownie. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSSE HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSSE HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości BHO-x32: Wondershare Video Converter Ultimate 7.1.0 -> {451C804F-C205-4F03-B48E-537EC94937BF} -> C:\PROGRA~3\WONDER~1\VIDEOC~1\WSBROW~1.DLL => Brak pliku Handler: WSWSVCUchrome - {1CA93FF0-A218-44F1 - Brak pliku FF HKLM-x32\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKLM-x32\...\Firefox\Extensions: [WSVCU@Wondershare.com] - C:\ProgramData\Wondershare\Video Converter Ultimate\WSVCU@Wondershare.com => nie znaleziono HKLM-x32\...\Run: [DelaypluginInstall] => C:\ProgramData\Wondershare\Video Converter Ultimate\DelayPluginI.exe HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe [2086240 2015-04-28] (Wondershare) Task: {1A27DA90-AE2E-4CC4-950D-EB98FA385B7C} - System32\Tasks\{DD909725-8D52-4A80-93D0-A799B7424D8D} => pcalua.exe -a C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_13_0_0_182_Plugin.exe -c -maintain plugin Task: {2D8328D5-DC44-4FAF-96A1-D66CBDA531A4} - System32\Tasks\{15F4D619-C06A-4B08-83F4-712F29BB7525} => pcalua.exe -a D:\Krzysztof\Pulpit\MinecraftZyczu.exe -d D:\Krzysztof\Pulpit Task: {471E903A-86C0-4E0E-B6BB-679B3894BE2C} - System32\Tasks\GoogleUpdateTaskUserS-1-5-18UA => C:\Windows\system32\config\systemprofile\AppData\Local\Google\Update\GoogleUpdate.exe Task: {9166FAF4-3F47-4DE8-B1FA-35C3692E5A3C} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-4186796981-527352600-535301597-1000UA => C:\Users\Krzysztof\AppData\Local\Google\Update\GoogleUpdate.exe Task: {D5FBA11E-FD49-44C9-B1F9-CFDB2A26F5F5} - System32\Tasks\GoogleUpdateTaskUserS-1-5-18Core => C:\Windows\system32\config\systemprofile\AppData\Local\Google\Update\GoogleUpdate.exe Task: {D8B00E05-C4ED-45F1-90B1-408BC5D23C38} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-4186796981-527352600-535301597-1000Core => C:\Users\Krzysztof\AppData\Local\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-18Core.job => C:\Windows\system32\config\systemprofile\AppData\Local\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-18UA.job => C:\Windows\system32\config\systemprofile\AppData\Local\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4186796981-527352600-535301597-1000Core.job => C:\Users\Krzysztof\AppData\Local\Google\Update\GoogleUpdate.exe Task: C:\Windows\Tasks\GoogleUpdateTaskUserS-1-5-21-4186796981-527352600-535301597-1000UA.job => C:\Users\Krzysztof\AppData\Local\Google\Update\GoogleUpdate.exe S4 sptd; System32\Drivers\sptd.sys [X] C:\Program Files (x86)\Google\Chrome C:\Program Files (x86)\Mozilla Firefox\plugins C:\Program Files (x86)\Wondershare C:\Program Files (x86)\Common Files\Wondershare C:\ProgramData\TEMP C:\ProgramData\Wondershare C:\ProgramData\Wondershare Video Converter Ultimate C:\ProgramData\Microsoft\Windows\GameExplorer\{B67EC1ED-E07D-4798-A7B1-EF8DBB7288BC} C:\ProgramData\Microsoft\Windows\GameExplorer\{C4CC218B-7E0A-4616-9ECB-500221826266} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MidpX J2ME Emulators Package C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Wondershare C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZSoft C:\Users\Krzysztof\AppData\Local\{BA1BB828-8F36-4852-90C8-3F4B32E41565} C:\Users\Krzysztof\AppData\Local\69ff07055291669bb2b218.72821112 C:\Users\Krzysztof\AppData\Local\70149b02515b3bb20dd492.47983420 C:\Users\Krzysztof\AppData\Local\Tempdivx* C:\Users\Krzysztof\AppData\Local\Google\Chrome C:\Users\Krzysztof\AppData\Local\Wondershare C:\Users\Krzysztof\AppData\Roaming\{950EB46C-6AC7-4ACC-AB36-9A6A77C08B6A} C:\Users\Krzysztof\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Gadu-Gadu 10.lnk C:\Users\Krzysztof\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome*.lnk C:\Users\Krzysztof\AppData\Roaming\Wondershare Video Converter Ultimate C:\Users\Krzysztof\Desktop\Flash Movie Player.lnk C:\Users\Krzysztof\Desktop\MiPony.lnk C:\Users\Krzysztof\Desktop\ZSoft Uninstaller.lnk C:\Users\Krzysztof\Saved Games\D-Fend Reloaded.lnk C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Programs\Google Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKCU\Software\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKCU\Software\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete HKU\S-1-5-18\Software\Google /f Reg: reg delete HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Uninstall\Google+ Auto Backup" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt.

Folder nie jest naruszony, zostaje odbudowa usług. Akcje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdNisSvc] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MpAsDesc.dll,-320" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):22,00,25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,\ 69,00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,\ 00,20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,4e,00,69,00,\ 73,00,53,00,72,00,76,00,2e,00,65,00,78,00,65,00,22,00,00,00 "Start"=dword:00000003 "Type"=dword:00000010 "Description"="@%ProgramFiles%\\Windows Defender\\MpAsDesc.dll,-242" "DependOnService"=hex(7):57,00,64,00,4e,00,69,00,73,00,44,00,72,00,76,00,00,00,\ 00,00 "ObjectName"="NT AUTHORITY\\LocalService" "ServiceSidType"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00 "LaunchProtected"=dword:00000003 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdNisSvc\Parameters] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdNisSvc\Security] "Security"=hex:01,00,14,80,f4,00,00,00,00,01,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,c4,00,07,00,00,00,00,00,18,00,9d,01,02,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,21,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 12,00,00,00,00,00,18,00,9d,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,20,\ 02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,00,\ 14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,28,00,ff,01,0f,\ 00,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,\ 57,00,77,6e,c0,02,64,87,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,05,50,\ 00,00,00,bf,55,08,72,3b,e0,28,d0,89,79,4b,f8,91,89,6e,7c,40,25,ec,f4,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend] "DisplayName"="@%ProgramFiles%\\Windows Defender\\MpAsDesc.dll,-310" "ErrorControl"=dword:00000001 "ImagePath"=hex(2):22,00,25,00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,\ 69,00,6c,00,65,00,73,00,25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,\ 00,20,00,44,00,65,00,66,00,65,00,6e,00,64,00,65,00,72,00,5c,00,4d,00,73,00,\ 4d,00,70,00,45,00,6e,00,67,00,2e,00,65,00,78,00,65,00,22,00,00,00 "Start"=dword:00000002 "Type"=dword:00000010 "Description"="@%ProgramFiles%\\Windows Defender\\MpAsDesc.dll,-240" "DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00 "ObjectName"="LocalSystem" "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,4c,00,6f,00,61,00,64,00,44,00,72,00,69,\ 00,76,00,65,00,72,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\ 00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,00,61,00,74,\ 00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,\ 65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,00,76,00,69,00,6c,\ 00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,74,00,6f,00,72,00,\ 65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\ 00,44,00,65,00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,00,6f,\ 00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,00,74,00,79,00,50,\ 00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,53,00,\ 68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,\ 00,65,00,67,00,65,00,00,00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,\ 73,00,65,00,51,00,75,00,6f,00,74,00,61,00,50,00,72,00,69,00,76,00,69,00,6c,\ 00,65,00,67,00,65,00,00,00,53,00,65,00,41,00,73,00,73,00,69,00,67,00,6e,00,\ 50,00,72,00,69,00,6d,00,61,00,72,00,79,00,54,00,6f,00,6b,00,65,00,6e,00,50,\ 00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,\ 63,00,62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,\ 00,65,00,53,00,79,00,73,00,74,00,65,00,6d,00,45,00,6e,00,76,00,69,00,72,00,\ 6f,00,6e,00,6d,00,65,00,6e,00,74,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\ 00,67,00,65,00,00,00,00,00 "FailureActions"=hex:80,51,01,00,00,00,00,00,01,00,00,00,03,00,00,00,14,00,00,\ 00,03,00,00,00,64,00,00,00,00,00,00,00,64,00,00,00,00,00,00,00,64,00,00,00 "LaunchProtected"=dword:00000003 "FailureCommand"="C:\\WINDOWS\\system32\\mrt.exe /EHB /ServiceFailure \"CAMP=4.8.10240.16384;approximate-> Engine=1.1.12101.0;AVSIG=1.207.2896.0;ASSIG=1.207.2896.0\" /StartService /Defender /q" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinDefend\Security] "Security"=hex:01,00,14,80,f4,00,00,00,00,01,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,c4,00,07,00,00,00,00,00,18,00,9d,01,02,00,01,02,00,00,00,00,00,\ 05,20,00,00,00,21,02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,\ 12,00,00,00,00,00,18,00,9d,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,20,\ 02,00,00,00,00,14,00,9d,01,02,00,01,01,00,00,00,00,00,05,04,00,00,00,00,00,\ 14,00,9d,01,02,00,01,01,00,00,00,00,00,05,06,00,00,00,00,00,28,00,ff,01,0f,\ 00,01,06,00,00,00,00,00,05,50,00,00,00,b5,89,fb,38,19,84,c2,cb,5c,6c,23,6d,\ 57,00,77,6e,c0,02,64,87,00,00,28,00,ff,01,0f,00,01,06,00,00,00,00,00,05,50,\ 00,00,00,bf,55,08,72,3b,e0,28,d0,89,79,4b,f8,91,89,6e,7c,40,25,ec,f4,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdBoot] "Start"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdFilter] "Start"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WdNisDrv] "Start"=dword:00000002 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Otwórz Notatnik i wklej w nim: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku GroupPolicyScripts\User: Ograniczenia C:\Program Files (x86)\KMSPico 10.0.6 EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Identyfikacja infekcji szyfrujących IDTool v2 Strona opisowa BleepingComputer.com Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit Program już niedostępny i nie działa (brak kontaktu z bazą online). Należy skorzystać z ID Ransomware. IDTool - Narzędzie dedykowane identyfikacji typu ransomware szyfrującego dane na podstawie śladów pozostawionych przez infekcję w systemie (określone pliki czy wpisy rejestru). Program tylko i wyłącznie para się rozpoznaniem flag infekcji, nic nie usuwa, ani nie dekoduje zaszyfrowanych plików. IDTool v2 to nowsza edycja, którą odróżnia od starej wersji IDTool v1 baza aktualizacji online. Program wystarczy pobrać tylko raz (to wyjątek wśród linkowanych tu narzędzi) - najnowsza wersja bazy jest automatycznie ładowana z serwera przy każdym uruchomieniu, gwarantując dostępność nowych informacji o ransomware. Prócz bazy online, jest też baza lokalna obliczona pod przypadki braku połączenie z internetem.

Wszystko pomyślnie przetworzone. Owszem, w międzyczasie już się instalowały nowe śmieci - wskoczył tu niejaki "globalUpdate" oraz nowe zadania w Harmonogramie. Kolejne poprawki: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 globalUpdate; C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [68608 2015-10-12] (globalUpdate) [brak podpisu cyfrowego] S3 globalUpdatem; C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [68608 2015-10-12] (globalUpdate) [brak podpisu cyfrowego] S1 ppfd_vt_1_10_0_24; system32\drivers\ppfd_vt_1_10_0_24.sys [X] Task: {33A1BC7E-4E6A-44A0-865C-7C611A05834E} - Brak ścieżka Task: {3F3CD29C-853C-4BE9-AD8F-2658462C2DA8} - System32\Tasks\globalUpdateUpdateTaskMachineCore => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [2015-10-12] (globalUpdate) Task: {78D090C5-0717-45E4-AAE8-79F1C2E609E8} - System32\Tasks\wSBL6dZOMiE => C:\Users\Grzesiek\AppData\Roaming\wSBL6dZOMiE.exe [2015-04-20] () Task: {D14DF7FA-89E6-41A2-B6FA-D6FE4E0063C6} - System32\Tasks\globalUpdateUpdateTaskMachineUA => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe [2015-10-12] (globalUpdate) Task: {F79FEC85-EA47-47A1-9A2C-21729CDB5CF5} - System32\Tasks\6139f7AGn => C:\Users\Grzesiek\AppData\Roaming\6139f7AGn.exe [2015-04-20] () Task: C:\Windows\Tasks\6139f7AGn.job => C:\Users\Grzesiek\AppData\Roaming\6139f7AGn.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineCore.job => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe Task: C:\Windows\Tasks\globalUpdateUpdateTaskMachineUA.job => C:\Program Files (x86)\globalUpdate\Update\globalupdate.exe Task: C:\Windows\Tasks\wSBL6dZOMiE.job => C:\Users\Grzesiek\AppData\Roaming\wSBL6dZOMiE.exe FF Plugin-x32: @staging.google.com/globalUpdate Update;version=10 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [2015-10-12] (globalUpdate) FF Plugin-x32: @staging.google.com/globalUpdate Update;version=4 -> C:\Program Files (x86)\globalUpdate\Update\1.3.25.0\npglobalupdateUpdate4.dll [2015-10-12] (globalUpdate) SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-1994262508-4124847217-438547347-1001 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-1994262508-4124847217-438547347-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 HKLM-x32\...\Run: [gmsd_pl_005010109] => [X] HKLM-x32\...\Run: [gmsd_pl_005010107] => [X] HKLM-x32\...\Run: [gmsd_pl_005010106] => [X] BootExecute: autocheck autochk * sdnclean64.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\jogotempo C:\Program Files (x86)\predm C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\ProgramData\Spybot - Search & Destroy C:\Users\Grzesiek\AppData\Roaming\6139f7AGn C:\Users\Grzesiek\AppData\Roaming\6139f7AGn.exe C:\Users\Grzesiek\AppData\Roaming\wSBL6dZOMiE C:\Users\Grzesiek\AppData\Roaming\wSBL6dZOMiE.exe C:\Users\Grzesiek\AppData\Roaming\AnyProtectEx C:\Users\Grzesiek\AppData\Roaming\systweak C:\Users\Grzesiek\Desktop\Continue Games Desktop.lnk C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 Reg: reg query HKLM\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command /s Reg: reg query HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command /s StartMenuInternet: FIREFOX.EXE - \Mozilla Firefox\firefox.exe StartMenuInternet: (HKLM) Opera - \Opera\Opera.exe CMD: sc config BFE start= auto CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a "C:\Program Files\Common Files" CMD: dir /a "C:\Program Files (x86)\Common Files" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Grzesiek\AppData\Local CMD: dir /a C:\Users\Grzesiek\AppData\LocalLow CMD: dir /a C:\Users\Grzesiek\AppData\Roaming EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows. Uruchom FRST i kliknij w Napraw (Fix). Gdy Fix ukończy pracę, nastąpi restart, opuść Tryb awaryjny. Powstanie kolejny fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition, Shortcut już niepotrzebny. Dołącz też plik fixlog.txt.

Nie jest możliwe scalenie tego wydzielonego kawałka, gdyż został on wyodrębniony z końca a nie początku partycji i nie sąsiaduje z C. Potrzebujesz bardziej zaawansowany edytor partycji które umożliwi "przesunięcie". Np. EASEUS Partition Master. Uwaga: zrobić kopię zapasową danych!

Wszystko pomyślnie wykonane. Końcowe poprawki: 1. W Google Chrome: Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń taki dziwny długi adres. 2. Zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zaktualizuj Adobe Reader + Internet Explorer: KLIK. 3. W związku z tym, że został uruchomiony GMER upewnij się, że nie powstał nowy problem. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. Obecnie wszystkie główne antywirusy są bardzo złożone, uruchamiają mnóstwo usług, trudno przewidzieć jak się zachowają na danej konfiguracji. Do końca jest loteria, bo ktoś mówi "lekki", a po instalacji na szczególnym komputerze okazuje się, że nie do końca tak jest. Czy próbowałeś jakieś określone antywirusy i je już wykluczyłeś, jeśli tak to które (bym się nie powtarzała)?

Logi nie wskazują, by obecnie Brontok był czynny. Pozostały po nim tylko odpadki (zmodyfikowany plik HOSTS i drobne pliczki). Działania do przeprowadzenia: 1. Odinstaluj stare wersje Adobe Flash Player 18 NPAPI, Adobe Reader X (10.1.0) - Polish oraz zdewastowane przez Hitmana adware WxDownload Expansion, wxDownload Fast 0.6.0. Być może będzie problem z poprawną deinstalacją. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-861567501-1957994488-299502267-1003\...\Policies\system: [DisableCMD] 0 HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-861567501-1957994488-299502267-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-861567501-1957994488-299502267-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch BHO: wxDownload Class -> {51CFC9BF-3A3E-E77B-A55D-BFB4758AFAE5} -> C:\Documents and Settings\All Users\Dane aplikacji\wxDownload\50c0a1d27cc2c.ocx => Brak pliku CHR HKLM\...\Chrome\Extension: [aemkkakmfeejnnaebhpckhhgamnpklie] - C:\Documents and Settings\All Users\Dane aplikacji\wxDownload\aemkkakmfeejnnaebhpckhhgamnpklie.crx FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension BootExecute: autocheck autochk * bootdelete S3 catchme; \??\C:\DOCUME~1\User\USTAWI~1\Temp\catchme.sys [X] S0 mv91xx; Brak ImagePath AlternateDataStreams: C:\WINDOWS:ecde8b8c58b22 AlternateDataStreams: C:\WINDOWS\system32:1464242f5a AlternateDataStreams: C:\Program Files\AcGasSynchro II:60609da9 AlternateDataStreams: C:\Program Files\Common Files:51059ffaeb890 AlternateDataStreams: C:\Documents and Settings\All Users:3cd880a87a8 AlternateDataStreams: C:\Documents and Settings\User:570f7ef5 AlternateDataStreams: C:\Documents and Settings\All Users\Application Data:fe93a19e34e9a AlternateDataStreams: C:\Documents and Settings\All Users\ntuser.dat:alt AlternateDataStreams: C:\Documents and Settings\All Users\Pulpit:$SS_DESCRIPTOR_SBXNV9VVGV1BFLB4RPBKJ28JLXSKY6P1F5DVJNPFSVF7VB4VP4GV AlternateDataStreams: C:\Documents and Settings\All Users\Pulpit:$SS_DESCRIPTOR_SBXNV9VVGV1BFPB4R02XVDWJT0RBYTH406X6JTXFSVF7JBCVPJGF AlternateDataStreams: C:\Documents and Settings\All Users\Pulpit:$SS_DESCRIPTOR_SBXNV9VVGV1BFR8YKX4X4MVYKVPTHK04FBRB3TGFSVF7VBCVPJGF C:\Documents and Settings\All Users\Menu Start\Programy\wxDownload C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\Kosong.Bron.Tok.txt C:\Documents and Settings\User\Ustawienia lokalne\Dane aplikacji\ListHost12.txt C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

PIERWSZY SYSTEM: Fix wykonany pomyślnie. Na zakończenie: 1. Był uruchamiany GMER, upewnij się że transfer dysku się nie obniżył. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Usuń używane narzędzia za pomocą DelFix (resztę doczyść samodzielnie) oraz wyczyść foldery Przywracania systemu: KLIK. 3. Pomocne programy w zabezpieczaniu przed infekcjami szyfrującymi: KLIK. DRUGI SYSTEM: MBAM usuwał śmieci innego gatunku = adware. Brak oznak aktywnej infekcji. Możesz wykonać kosmetyczne działania polegające na usunięciu wpisów pustych i czyszczeniu Tempów: 1. Stare wersje do deinstalacji: Adobe Reader XI (11.0.12), Java 7 Update 71. Na końcu zastąpisz najnowszymi. 2. W Google Chrome jest bardzo podejrzane rozszerzenie o dziwnej nazwie, którego identyfikator nie jest wyszukiwany przez Google. Odinstaluj. CHR Extension: (Chrome - szybkie wybieranie • program...) - C:\Users\Kamil\AppData\Local\Google\Chrome\User Data\Default\Extensions\denbkpdgipkicgmnnladkbedmljiacdj [2015-09-01] Zresetuj też cache wtyczek, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Winlogon\Notify\ScCertProp: wlnotify.dll [X] HKU\S-1-5-19\...\Winlogon: [shell] C:\Windows\explorer.exe [2616320 2011-09-01] (Microsoft Corporation) HKU\S-1-5-20\...\Winlogon: [shell] C:\Windows\explorer.exe [2616320 2011-09-01] (Microsoft Corporation) HKU\S-1-5-21-1100579147-315741855-2830510848-1000\...\Winlogon: [shell] C:\Windows\explorer.exe [2616320 2011-09-01] (Microsoft Corporation) HKU\S-1-5-18\...\Winlogon: [shell] C:\Windows\explorer.exe [2616320 2011-09-01] (Microsoft Corporation) ShellIconOverlayIdentifiers: [ GoogleDriveBlacklisted] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D42} => Brak pliku ShellIconOverlayIdentifiers: [ GoogleDriveSynced] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D40} => Brak pliku ShellIconOverlayIdentifiers: [ GoogleDriveSyncing] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D41} => Brak pliku ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => Brak pliku CustomCLSID: HKU\S-1-5-21-1100579147-315741855-2830510848-1000_Classes\CLSID\{010833F3-751A-402F-9FCC-C365B6A12E41}\localserver32 -> E:\PROGRA~1\JDOWNL~1\DOWNLO~1\BESTPL~1.EXE => Brak pliku CustomCLSID: HKU\S-1-5-21-1100579147-315741855-2830510848-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Kamil\AppData\Local\Google\Update\1.3.28.1\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1100579147-315741855-2830510848-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Kamil\AppData\Local\Google\Update\1.3.28.13\psuser.dll => Brak pliku GroupPolicyUsers\S-1-5-21-1100579147-315741855-2830510848-1006\User: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1100579147-315741855-2830510848-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Toolbar: HKLM - Brak nazwy - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - Brak pliku CHR HKLM\...\Chrome\Extension: [fkmkpnjoioaielnmocemighdcejngela] - C:\Users\Kamil\AppData\Local\Google\Chrome\User Data\Default\Extensions\EpuapSign.crx CHR HKU\S-1-5-21-1100579147-315741855-2830510848-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\Kamil\AppData\Local\Google\Drive\user_default\apdfllckaahabafndbhieahigkjlhalf_live.crx CHR HKU\S-1-5-21-1100579147-315741855-2830510848-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh] - hxxps://clients2.google.com/service/update2/crx Task: {2C59ECAF-3A27-4640-9F4B-519B05BDD70F} - \Microsoft\Windows\MUI\LPRemove -> Brak pliku Task: {44974E99-9629-4ABE-8CFE-7F28C9594E7D} - System32\Tasks\{8C97ECE7-EEB5-481A-96AF-010EE83D9556} => pcalua.exe -a C:\Users\Kamil\Downloads\winproductkey.exe -d C:\Users\Kamil\Downloads Task: {45E06F09-2FFB-4A69-AB78-9CD8873631C2} - System32\Tasks\{BB847279-B874-473C-BFBC-63092031658E} => pcalua.exe -a "C:\Program Files\Windows Installer Clean Up\msicuu.exe" -d C:\Windows\system32 Task: {8D3AF4A9-202F-4250-B6FD-93E6D8DF1FFC} - System32\Tasks\{2D6307E9-B40B-44F0-B41F-D52A4536320C} => pcalua.exe -a C:\Users\Kamil\Downloads\IL.2.Sturmovik.1946-FLT\flt-il2s\setup.exe -d C:\Users\Kamil\Downloads\IL.2.Sturmovik.1946-FLT\flt-il2s Task: {97A64250-F7D9-4FA3-8EC0-93323D992596} - System32\Tasks\{A1264BA5-625D-45B7-9DFA-7018C37C2848} => pcalua.exe -a C:\Users\Kamil\AppData\Local\temp\Temp1_Ur-Smart_V1003180(180).zip\Ur-Smart.exe Task: {AEED38E9-D35C-43A1-9304-4C84288DE31E} - System32\Tasks\{556285C1-33A3-4091-B796-9833E0018084} => pcalua.exe -a C:\Users\Kamil\Downloads\setup.exe -d F:\ Task: {C293072D-B548-4388-9EE0-0EF034DC0E41} - System32\Tasks\{B19C7604-C1B2-4FF4-8652-E427C377AD55} => pcalua.exe -a C:\Users\Kamil\Downloads\irfanview_plugins_430_setup.exe -d "C:\Program Files\Mozilla Firefox" Task: {C85D0098-5E61-452B-BD13-DBC83031ECCC} - System32\Tasks\{6626C419-BB82-4868-AA2F-527EFC368893} => pcalua.exe -a "F:\IPCamSetup—for Windows OS\IPCamSetup.exe" -d "F:\IPCamSetup—for Windows OS" Task: {CECE4621-101F-471C-A588-DEE3120BBDC4} - System32\Tasks\{DE185E3A-8853-4512-BF41-C38B6D423A33} => pcalua.exe -a F:\Programy\Narzedzia\Uszczelnienie_50_luk_w_Windows\InstallPad\InstallPad.exe -d F:\Programy\Narzedzia\Uszczelnienie_50_luk_w_Windows\InstallPad Task: {D4CB8EA4-BBE5-4F29-B091-D7D130AFB115} - System32\Tasks\{65F45829-42E7-4EEF-9AFC-0336060206B4} => pcalua.exe -a C:\Users\Kamil\Downloads\Swf2Avi_Setup.exe -d "C:\Program Files\Mozilla Firefox" Task: {DB3CDB97-427B-42F6-B4AB-BD50EC941D91} - System32\Tasks\{B32A8AB1-CA05-4009-B7C0-DB5362AD787C} => pcalua.exe -a "C:\Users\Kamil\Downloads\Dr. UFD_v1.0.0.18(18) (1)\Dr. UFD_v1.0.0.18.exe" -d "C:\Users\Kamil\Downloads\Dr. UFD_v1.0.0.18(18) (1)" Task: {F802B1C2-EC3C-44B8-9BEE-484819A72CD1} - System32\Tasks\{49BB372C-E641-4762-AAA2-2B128A1EBB23} => pcalua.exe -a "C:\Users\Kamil\Downloads\dysk hdd\Victoria 4.46b\VCR446Free\vcr446f.exe" -d "C:\Users\Kamil\Downloads\dysk hdd\Victoria 4.46b\VCR446Free" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" S3 catchme; \??\C:\Users\Kamil\AppData\Local\Temp\catchme.sys [X] S3 IFCoEMP; \SystemRoot\system32\drivers\ifM52x32.sys [X] S3 IFCoEVB; \SystemRoot\system32\drivers\ifP52X32.sys [X] C:\Program Files\Mozilla Firefox\extensions C:\Program Files\mozilla firefox\plugins C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Java C:\Users\Kamil\AppData\Local\Microsoft\Windows\GameExplorer\{66CF3079-5010-4E64-A121-94BAF0BC86CA} C:\Users\Kamil\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\QuickStores.url C:\Users\Kamil\AppData\Roaming\Thinstall C:\Users\user\Desktop\eGazety Reader.lnk RemoveDirectory: C:\Kaspersky Rescue Disk 10.0 CMD: for /d %f in (C:\Users\Kamil\AppData\Local\{*}) do rd /s /q "%f" Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Opis infekcji CryptoWall: KLIK. Niestety zaszyfrowane dane zostały utracone. Odkodowanie plików awykonalne, stąd też brak dekodera. Dane są wymazywane w "bezpieczny sposób", co powoduje, że programy do odzyskiwania danych nie pomogą. Infekcja kasuje także wszystkie punkty Przywracania systemu - obecnie masz tylko jeden (pewnie utworzony już po ataku), więc ShadowExplorer którym się zresztą już posługiwałeś, nie wykryje żadnej niezaszyfrowanej kopii. Raport GMER wskazuje, że infekcja jest nadal czynna - załadowane ukryte moduły C:\Users\Primol\AppData\Local\Opfics\qpmhudvp.dll. Upłynęło bardzo dużo czasu, dostarczone logi nie mogą być brane za punkt odniesienia. Jeśli problem nadal aktualny, proszę zrób nowe raporty z FRST i GMER.

Temat przenoszę do działu Windows. Brak oznak infekcji. Ta faza startowa wskazuje, że problem może leżeć w ładowanych sterownikach, a najbardziej podejrzany jest soft związany z zabezpieczeniami. Mamy tu Avast w starszej wersji 9.0.2018 oraz odpadkowe sterowniki ArcaBit filtrujące połączenia sieciowe: S3 ABndis; C:\Windows\System32\DRIVERS\abndis.sys [34384 2009-12-01] (ArcaBit) R3 ABndisMP; C:\Windows\System32\DRIVERS\abndis.sys [34384 2009-12-01] (ArcaBit) Wstępne działania do przeprowadzenia; 1. Wypięcie sterowników ArcaBit z kart sieciowych: Niezbędny krok to rozwiązanie zależności. Panel sterowania > Sieć i Internet > Centrum sieci i udostępniania > po lewej Zarządzaj połączeniami sieciowymi. W oknie połączeń z prawokliku na każde pobierasz Właściwości. W karcie Ogólne wyszukaj komponent ArcaBit - prawdopodobnie będzie pod nazwą ABndis Driver. Znaleziony podświetl i odinstaluj. Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator. W menu Widok włącz pokazywanie ukrytych urządzeń. Na liście "Sterowników niezgodnych z Plug and Play" wyszukaj dopasowaną pozycję, prawdopodobnie będzie to ArcaBit Network Driver. Znaleziony podświetl i odinstaluj. 2. Odinstaluj Avast via Panel sterowania *. Następnie wejdź w Tryb awaryjny i popraw dla pewności narzędziem Avast Uninstall Utility. * Przy okazji, pozbądź się też starych wersji naruszających bezpieczeństwo i zbędników: Adobe AIR, Adobe Flash Player 11 ActiveX, Adobe Flash Player 11 Plugin, Adobe Reader 9.5.5 - Polish, Adobe Shockwave Player 12.0, Java 7 Update 60, Pando Media Booster. 3. Wyłącz zbędne wpisy ze startu za pomocą Autoruns: - W karcie Logon odznacz następujące wpisy: Adobe Gamma, Adobe Gamma Loader, APSDaemon, DellSystemDetect, QuickTime Task, PPort11reminder, SSBkgdUpdate, WMPNSCFG. - W karcie Services odznacz pozycję ACDaemon, natomiast całkowicie skasuj Bonjour Service. 4. Na koniec "kosmetyczne" działania, usunięcie wpisów odpadkowych i czyszczenie lokalizacji tymczasowych. Patrz do spoileera: 5. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt ze spoilera. Wypowiedz się czy jest poprawa.

Wróć do posta #2. Mała ilość wolnego miejsca na dysku to jedna z podstawowych przyczyn opisywanych objawów. Twoje statystyki: Na początku był notowany następujący próg: ==================== Dyski ================================ Drive c: () (Fixed) (Total:47.75 GB) (Free:9.06 GB) NTFS Drive d: () (Fixed) (Total:101.2 GB) (Free:71.11 GB) NTFS Sprawa nie została w pełni zaadresowana. Drobne czyszczenie w mięczyczasie dodało tylko ~1GB: ==================== Dyski ================================ Drive c: () (Fixed) (Total:47.75 GB) (Free:10.28 GB) NTFS Drive d: () (Fixed) (Total:101.2 GB) (Free:71.14 GB) NTFS Obecnie jest jeszcze gorzej niż na początku tematu, spadło do ~5, a nic takiego nie było robione w systemie: ==================== Dyski ================================ Drive c: () (Fixed) (Total:47.75 GB) (Free:5.65 GB) NTFS Drive d: () (Fixed) (Total:101.2 GB) (Free:71.14 GB) NTFS Masz tylko jeden dysk fizyczny podzielony na dwie partycje. Partycja na Windows zdaje się być po prostu za mała na system, tu będą notoryczne problemy z brakiem miejsca, zwłaszcza gdy nadejdą jakieś grubsze aktualizacje Windows. Jak sugerowane, "urwij" więcej miejsca z partycji D i dołóż do partycji C. Po rozszerzeniu miejsca na dysku należałoby ponowić optymalizację.

Raporty z konta admin są w porządku. FRST wyłożył się na usuwaniu jednej ze śmieciowych ścieżek z kopii zapasowej i przeszedł tylko do połowy zadania, stąd Fixlog jest niekompletny. Trzeba przetworzyć brakującą część. Do Notatnika wklej: RemoveDirectory: C:\Documents and Settings\admin\Dane aplikacji\Sun RemoveDirectory: C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Sun RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\RogueKiller RemoveDirectory: C:\Documents and Settings\ppp\Dane aplikacji\Nowe Gadu-Gadu RemoveDirectory: C:\Documents and Settings\ppp\Dane aplikacji\OpenFM RemoveDirectory: C:\Documents and Settings\ppp\Dane aplikacji\OpenOffice.org2 RemoveDirectory: C:\Documents and Settings\ppp\Dane aplikacji\Sun RemoveDirectory: C:\Documents and Settings\ppp\Gadu-Gadu RemoveDirectory: C:\Documents and Settings\ppp\Dane aplikacji\Gadu-Gadu RemoveDirectory: C:\Program Files\Java RemoveDirectory: C:\Program Files\OpenOffice.org 2.0.3 RemoveDirectory: C:\RECYCLER RemoveDirectory: C:\czerny\D\RECYCLER CMD: del /q "C:\Documents and Settings\ppp\Menu Start\Programy\Autostart\OpenOffice.org 2.0.3.lnk" EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Ma nastąpić restart. Przedstaw wynikowy fixlog.txt. To właśnie mapowanie przy wykorzystaniu liter dysków jest problemem. Rezygnacja z tego mapowania na korzyść dostępu via adres IP lub specjalnych skrótów w formacie UNC powinna działać prewencyjnie.

Temat porządkuję zostawiając tylko meritum. W raportach nie było widać żadnych oznak infekcji i bardzo wątpię, by to w tym było dzieło. Ten komunikat o niczym nie świadczy. Nawet z poziomu tego samego komputera identyfikowanego tym samym IP otwarcie Gmail więcej niż raz, ale na różne sposoby, może być traktowane jako "inna lokalizacja". Przykładowo, otworzona strona Gmail w przeglądarce oraz równocześnie czynny jakiś program mający tam dostęp (np. pocztowy, popatrz też niżej na Intel Smart Connect) to już dwie różne lokalizacje. Szerszy opis tutaj: KLIK. Żadnych konkretów w raportach. Choć w takich przypadkach podejrzane są najbardziej inwazyjne programy (oprogramowanie zabezpieczające), tu Kaspersky PURE 3.0. Wersja sprzed 2 lat. Przy okazji, w Dzienniku zdarzeń widzę takie błędy: Application errors: ================== Error: (05/30/2015 10:07:04 AM) (Source: ISCT Agent) (EventID: 1003) (User: ) Description: CAgentState::DoPeriodicSuspendResume ****Error in initialize NetDetect, status = 0x2 Produkuje je Intel Smart Connect Technology. Posiadasz następującą wersję z roku 2012: Intel® Smart Connect Technology 2.0 x64 (HKLM\...\{12ABC13D-6540-483D-92B9-30CE1667B002}) (Version: 2.0.1083.0 - Intel) R2 ISCTAgent; F:\Program Files\Intel\Intel® Smart Connect Technology Agent\iSCTAgent.exe [133632 2012-02-09] () Może trzeba przeinstalować / zaktualizować tę paczkę. Sama nazwa pliku nie wskazuje na nic szkodliwego. Spójrz jaki jest kontekst tej paczki, przy założeniu że serwer z którego plik chciał się pobierać odpowiadał podanej informacji: KLIK. Jeśli zaś chodzi o samoczynne pobieranie, to podejrzewam, że to właśnie robota Internet Download Manager. Teorię można sprawdzić wyłączając testowo integrację IDM z przeglądarką Firefox. FF HKU\S-1-5-21-4209662531-3502238934-3140455397-1000\...\Firefox\Extensions: [mozilla_cc@internetdownloadmanager.com] - F:\Users\ADEX\AppData\Roaming\IDM\idmmzcc5 FF Extension: IDM CC - F:\Users\ADEX\AppData\Roaming\IDM\idmmzcc5 [2015-05-30] FF HKU\S-1-5-21-4209662531-3502238934-3140455397-1000\...\SeaMonkey\Extensions: [mozilla_cc@internetdownloadmanager.com] - F:\Users\ADEX\AppData\Roaming\IDM\idmmzcc5 Nie widzę w FRST Addition jaka wersja IDM jest zainstalowana. Być może nie jest najnowsza i kolejna aktualizacja na widoku. To są dostawcy związani z uzyskiwaniem dostępu do zasobów sieciowych (np. zmapowany dysk sieciowy) lub łączeniem domenowym. Sieć Microsoft Windows Network = połączenia typu SMB. Web Client Network = połączenia typu WebDav.