picasso

Mam dekoder, który jeden z użytkowników otrzymał od cyberprzestępców po uiszczeniu opłaty. Link przesyłam na PW. Nie wiemy czy narzędzie działa na innych komputerach. Daj mi znać jakie są rezultaty jego użycia. Aktualizacja w poście #16.

leliwka, proszę uzupełnij wymagane logi, by było wiadomo jaki jest ogólny bieżący stan systemu. Należy to robić za każdym razem, gdy pojawia się jakiś określony problem, logi z poprzednich tematów nie mogą być brane pod uwagę, bo mogło się coś w systemie zmienić.

Jest tu wariant infekcji ransomware, który modyfikuje systemową usługę Instrumentacji Windows (Winmgmt). Przeprowadź następujące działania: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: Startup: C:\Documents and Settings\Młody\Menu Start\Programy\Autostart\program.lnk ShortcutTarget: program.lnk -> C:\Documents and Settings\All Users\Dane aplikacji\3E5836AE.cpp () S2 winmgmt; C:\DOCUME~1\ALLUSE~1\DANEAP~1\1DDC01E3.cpp [X] S3 gupdate; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [X] SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-2052111302-1935655697-682003330-1003 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre7\bin\ssv.dll No File BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre7\bin\jp2ssv.dll No File FF Plugin: @tools.google.com/Google Update;version=3 -> C:\Program Files\Google\Update\1.3.23.9\npGoogleUpdate3.dll No File FF Plugin: @tools.google.com/Google Update;version=9 -> C:\Program Files\Google\Update\1.3.23.9\npGoogleUpdate3.dll No File Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Blokada zniknie, więc opuść Tryb awaryjny. Uruchom to narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Google Update Helper > Dalej. 3. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Avast i kilka innych zostało zablokowanych w oparciu o restrykcje Safer nałożone poprzez infekcję. Prawdopodobnie winą był exploit Java, choć tu jest bardzo szerokie pole do popisu. Podglebie dla infekcji znakomite, dramatyczny ogólny status aktualizacji systemu (SP2 i IE6!) i niebezpieczne wersje różnych programów zainstalowane, w tym Java (bo też i stary OpenOffice.ux.pl 3.2 nie obsługuje nowych bezpieczniejszych). Dodatkowo, zdaje się że jest tu jakiś problem z dyskiem i strukturą plików na dysku. W raporcie FRST widać nazwy folderów kont z suffiksami charakterystycznymi dla tworzenia nowych, bo do oryginałów brak dostępu (m.in. mogą powodować to błędy dysku) oraz dziwowiska typu listowanie podwójnie tego samego katalogu: 2014-10-31 00:27 - 2014-11-15 00:32 - 00000000 ____D () C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\01e58235-010d-43b1-8340-277d43a75321 2014-10-31 00:27 - 2014-11-15 00:32 - 00000000 ____D () C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\01e58235-010d-43b1-8340-277d43a75321 Wdróż następujące działania: 1. Był uruchamiany GMER, toteż sprawdź transfer dysku w ustępie Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Odinstaluj via Dodaj/Usuń programy stare wersje: Adobe Flash Player 10 ActiveX, Adobe Flash Player 11 Plugin, Adobe Flash Player 9 ActiveX, Adobe Reader 9.1 - Polish, Adobe Shockwave Player 12.1, Java 7 Update 9, Java™ 6 Update 20, OpenOffice.ux.pl 3.2, SUPERAntiSpyware. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe HKLM Group Policy restriction on software: C:\Program Files\Trend Micro HKLM Group Policy restriction on software: C:\Program Files\Common Files\Symantec Shared HKLM Group Policy restriction on software: C:\Program Files\Trend Micro HKLM Group Policy restriction on software: C:\Program Files\AVAST Software HKU\S-1-5-21-1547161642-117609710-725345543-1003\...\Run: [XegdUhfug] => regsvr32.exe "C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\XegdUhfug\XegdUhfug.dat" HKU\S-1-5-21-1547161642-117609710-725345543-1003\...\Winlogon: [shell] C:\WINDOWS\EXPLORER.EXE [1033728 2004-08-03] (Microsoft Corporation) GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction DPF: {166B1BCA-3F9C-11CF-8075-444553540000} http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab DPF: {33564D57-0000-0010-8000-00AA00389B71} http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB DPF: {41564D57-9980-0010-8000-00AA00389B71} http://download.microsoft.com/download/0/A/9/0A9F8B32-9F8C-4D74-A130-E4CAB36EB01F/wmvadvd.cab DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab S3 BlueletAudio; system32\DRIVERS\blueletaudio.sys [X] S3 BlueletSCOAudio; system32\DRIVERS\BlueletSCOAudio.sys [X] S3 BT; system32\DRIVERS\btnetdrv.sys [X] S3 BTHidEnum; system32\DRIVERS\vbtenum.sys [X] S0 BTHidMgr; System32\Drivers\BTHidMgr.sys [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S1 cdrbsvsd; No ImagePath S3 VComm; system32\DRIVERS\VComm.sys [X] S3 VcommMgr; System32\Drivers\VcommMgr.sys [X] C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\01e58235-010d-43b1-8340-277d43a75321 C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\Babylon C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\lI13602NbMlK13602 C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\TEMP C:\Documents and Settings\All Users.WINDOWS\Dane aplikacji\XegdUhfug C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\Ciqapo C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\DSite C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\DVDVideoSoft C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\Ebintu C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\Ekes C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\FaceGen C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\Kiobf C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\mystartsearch C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\NetMedia Providers C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\pdfforge C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\Xirrus C:\Documents and Settings\amx.X-628658B1E9874\Dane aplikacji\Ytixoz C:\Program Files\mozilla firefox\plugins Hosts: Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{B8B0FC8B-E69B-4215-AF1A-4BDFF20D794B} /f CMD: dir /a "C:\Documents and Settings" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Firefox ze śmieci i starych preferencji "przed-aktualizacyjnych": menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. 5. Zrób nowy log FRST z opcji Scan, zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. .

Podałam poprawny link, u mnie się otwiera bez problemu...

Wszystko zrobione. Kończymy: 1. Zapomniałam to dołączyć wcześniej, odinstaluj starą wtyczkę dla Internet Explorer Adobe Flash Player 11 ActiveX. 2. Usuń ręcznie folder C:\Users\Cypisek\Downloads\FRST, następnie zastosuj DelFix. 3. Wyczyść foldery Przywracania systemu: KLIK.

Czy były jakieś problemy / błędy z uruchomieniem skryptu? On został uruchomiony aż trzy razy. Na przyszłość: skrypt jest "jednego podejścia", uruchomienie tylko raz, a w razie problemów zgłaszasz się na forum z opisem i nie powtarzasz. Niemniej zadania zostały pomyślnie wykonane. Poprawki: 1. Otwórz Notatnik i wklej w nim: C:\Program Files\Jotta C:\Program Files (x86)\GUM448E.tmp C:\Program Files (x86)\Temp C:\ProgramData\APN C:\ProgramData\BlueStacksSetup C:\ProgramData\MFAData C:\Users\Cypisek\AppData\Local\MFAData C:\Users\Cypisek\AppData\Roaming\TuneUp Software C:\Users\Cypisek\Downloads\Whats%20App%20PC.exe RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Cypisek\Desktop\Stare dane programu Firefox Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{37476589-E48E-439E-A706-56189E2ED4C4}_is1 /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Przedstaw logi z folderu C:\AdwCleaner. .

Zasady działu: KLIK. Tu jest zakaz podpinania się pod cudze wątki. Wydzielone w osobny temat. Zestaw obowiązkowych logów niekompletny, brak FRST Shortcut. Pomijam już, że pada tu też prośba o OTL i GMER. Przeprowadź następujące operacje: 1. Przez Panel sterowania odinstaluj adware Interenet Optimizer. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: BHO: SoftCoup -> {8fde9d68-add0-4f07-b80e-84449d5c6065} -> C:\ProgramData\SoftCoup\6H5kTcsoXQ2fbG.x64.dll () BHO-x32: SoftCoup -> {8fde9d68-add0-4f07-b80e-84449d5c6065} -> C:\ProgramData\SoftCoup\6H5kTcsoXQ2fbG.dll () CHR HKLM\SOFTWARE\Policies\Google: Policy restriction HKU\S-1-5-21-1153665968-2999873662-4185214043-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-1153665968-2999873662-4185214043-1000\...\Run: [Jotta] => "C:\Program Files\Jotta\jotta.exe" AlternateDataStreams: C:\ProgramData\Microsoft:eZcIVVfazFfNxOdD11Qlk2si AlternateDataStreams: C:\ProgramData\Microsoft:iomtxTUNeYqdXa7Pvr39u5xkJ AlternateDataStreams: C:\Users\Cypisek\AppData\Local\Temporary Internet Files:dih43SwfIX6bemIPe1pjhsq5 C:\ProgramData\374311380 C:\ProgramData\c5806f9710da70d3 C:\ProgramData\saveitkeep C:\ProgramData\Interenet Optimizer C:\ProgramData\SoftCoup C:\ProgramData\WildWestCoupon C:\Users\Cypisek\AppData\Local\Google C:\Users\Cypisek\AppData\Roaming\Google RemoveDirectory: C:\Users\Cypisek\Desktop\Stare dane programu Firefox Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google /f CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\Cypisek\AppData\Local CMD: dir /a C:\Users\Cypisek\AppData\LocalLow CMD: dir /a C:\Users\Cypisek\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox (ponownie, już to robiłeś, ale ze słabym skutkiem): menu Pomoc > Informacje dla pomocy technicznej > Zresetuj program Firefox. Zakładki i hasła nie zostaną naruszone, lecz Adblock Plus trzeba będzie przeinstalować. 4. Zrób nowy log FRST z opcji Scan, zaznacz pola Addition i Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt. Wszystkie logi proszę podać w formie załączników forum. .

Możemy kończyć: 1. Usuń używane narzędzie, GMER skasuj ręcznie, a resztę załatwi DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK.

Czy router zabezpieczyłeś wg wskazówek (nowe hasło + blokada panelu od strony Internetu)? Wszystko wygląda na wykonane, z wyjątkiem komendy czyszczenia buforu DNS (zapomniałam, że to nie przejdzie w Trybie awaryjnym). Akcje poprawkowe: 1. Start > w polu szukania wklep cmd > z prawokliku Uruchom jako Administrator > wklep ipconfig /flushdns i ENTER. 2. Uruchom AdwCleaner. Zastosuj Szukaj, a po tym Usuń. Dostarcz wynikowy log z folderu C:\AdwCleaner. .

Gładko poszło. Na wszelki wypadek uruchom jeszcze AdwCleaner, klik w Szukaj i dostarcz wynikowy log z folderu C:\AdwCleaner. Analiza raportów wymaga po prostu sporej wiedzy o systemie i infekcjach. Tu nie da rady podać "szybkiego samouczka": KLIK / KLIK. Natomiast sama obsługa narzędzia FRST jest w tutorialu: KLIK. Należy rozróżnić te dwie rzeczy i położyć stosowny nacisk na nadrzędny element, gdyż bez konkretnej wiedzy o Windows nie pomoże wkucie na blachę tutoriala FRST. To jest tylko narzędzie pomocnicze do szybszego przetwarzania danych, a kto to wie czy za jakiś czas nie zostanie zastąpione innym. .

Możesz wyeksportować do XML, ale w sumie nie jest to potrzebne, na zrzucie wszystko widać. Usuń wszystkie znaleziska. I prawdopodobnie się wyjaśniło dlaczego masz puste okna. Ten ostatni wpis Hijack.Zones pokazuje trefny klucz infekcji wykorzystujący znak Unicode podobny do "L" - ów klucz blokuje wyświetlanie określonych elementów. Omawiałam go np. w tym temacie: KLIK. Po usunięciu wykrytych infekcji za pomocą MBAM zresetuj system i ponów instalację Corel.

Sprawdź czy coś pomoże reset ustawień Internet Explorer: Opcje internetowe > Zaawansowane > Resetuj. Log z MBAM jest całkowicie pusty. Proszę ponownie zapisz wyniki.

GMERa sobie darujmy. Wracając do problemów: Komunikat błędu produkuje szczątkowy wpis adware Interenet Optimizer w AppInit_DLLs. W systemie są też szczątki innych obiektów adware (sweet-page i protektor ustawień). Przeprowadź następujące działania: 1. Przez Panel sterowania odinstaluj adware Interenet Optimizer, WindowsMangerProtect20.0.0.1013 oraz zbędny McAfee Security Scan Plus. Ten McAfee to nie jest składnik Twoich głównych instalacji McAfee Internet Security + McAfee SiteAdvisor, lecz aplikacja przeszmuglowana jako sponsor instalacji Adobe Flash: KLIK. W przypadku błędów deinstalacji adware kontynuuj, i tak doczyszczę to poniższymi działaniami. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: AppInit_DLLs: C:\PROGRA~3\INTERE~1\INTERE~2.DLL => C:\PROGRA~3\INTERE~1\INTERE~2.DLL File Not Found Task: {8D4726ED-30CA-4BF3-8B96-9DD9A3BDD55C} - System32\Tasks\Update Service YourFileDownloader => C:\Program Files (x86)\YourFileDownloaderUpdater\YourFileDownloaderUpdater.exe R2 IePluginServices; C:\ProgramData\IePluginServices\PluginService.exe [714208 2014-10-29] (Cherished Technololgy LIMITED) R2 WindowsMangerProtect; C:\ProgramData\WindowsMangerProtect\ProtectWindowsManager.exe [488960 2014-10-29] (Fuyu LIMITED) [File not signed] S3 EagleX64; \??\C:\WINDOWS\system32\drivers\EagleX64.sys [X] ShellIconOverlayIdentifiers: [sugarSyncBackedUp] -> {0C4A258A-3F3B-4FFF-80A7-9B3BEC139472} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll No File ShellIconOverlayIdentifiers: [sugarSyncPending] -> {62CCD8E3-9C21-41E1-B55E-1E26DFC68511} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll No File ShellIconOverlayIdentifiers: [sugarSyncRoot] -> {A759AFF6-5851-457D-A540-F4ECED148351} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll No File ShellIconOverlayIdentifiers: [sugarSyncShared] -> {1574C9EF-7D58-488F-B358-8B78C1538F51} => C:\Program Files (x86)\SugarSync\SugarSyncShellExt_x64.dll No File HKLM\...\Policies\Explorer: [NoFolderOptions] 0 HKLM\...\Policies\Explorer: [NoControlPanel] 0 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1414602882&from=cor&uid=ST1000LM014-1EJ164_W380DWM2XXXXW380DWM2&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1414602882&from=cor&uid=ST1000LM014-1EJ164_W380DWM2XXXXW380DWM2&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.sweet-page.com/web/?type=ds&ts=1414602882&from=cor&uid=ST1000LM014-1EJ164_W380DWM2XXXXW380DWM2&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.sweet-page.com/web/?type=ds&ts=1414602882&from=cor&uid=ST1000LM014-1EJ164_W380DWM2XXXXW380DWM2&q={searchTerms} StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe http://www.sweet-page.com/?type=sc&ts=1414602882&from=cor&uid=ST1000LM014-1EJ164_W380DWM2XXXXW380DWM2 SearchScopes: HKU\S-1-5-21-271407444-1818116929-1288510630-1002 -> {6B1865F2-14B8-4B97-8656-F7533F8989CE} URL = CHR HomePage: Default -> hxxp://www.sweet-page.com/?type=hp&ts=1414602882&from=cor&uid=ST1000LM014-1EJ164_W380DWM2XXXXW380DWM2 CHR StartupUrls: Default -> "hxxp://1337.dev1/" CHR DefaultSearchKeyword: Default -> sweet-page C:\ProgramData\374311380 C:\ProgramData\IePluginServices C:\ProgramData\Interenet Optimizer C:\ProgramData\WindowsMangerProtect C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\user\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{5F189DF5-2D05-472B-9091-84D9848AE48B}{c632643} /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\WindowsMangerProtect /f Reg: reg query "HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable\shell\open\command" /s Folder: C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Extensions CMD: type "C:\Users\user\AppData\Roaming\Opera Software\Opera Stable\Preferences" EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy sweet-page (o ile nadal będzie widoczny). 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Są tu dwa typy infekcji: - Infekcja systemu - nadal czynne procesy adware, a w Google Chrome jest zainstalowane rozszerzenie PodoWeb. - Infekcja routera - poniższy adres wg Whois jest ukraiński: KLIK. Tcpip\Parameters: [DhcpNameServer] 91.207.7.105 8.8.8.8 Przeprowadź następujące działania: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Otwórz Notatnik i wklej w nim: CloseProcesses: R2 MaintainerSvc6.89.573444; C:\ProgramData\01e58235-010d-43b1-8340-277d43a75321\maintainer.exe [123632 2014-11-19] () R1 {9642e31c-2703-4a31-ba45-9e8dfb693e38}Gw64; C:\Windows\System32\drivers\{9642e31c-2703-4a31-ba45-9e8dfb693e38}Gw64.sys [48776 2014-11-15] (StdLib) R3 ALSysIO; \??\C:\Users\luq92\AppData\Local\Temp\ALSysIO64.sys [X] Task: {73FCDE78-655E-4C52-80B0-0982A8AB3877} - System32\Tasks\OZWDNTC => C:\Users\luq92\AppData\Roaming\OZWDNTC.exe Task: {B149163F-07D2-4555-8BD9-71F58B6821E8} - System32\Tasks\ZDBEDRP => C:\Users\luq92\AppData\Roaming\ZDBEDRP.exe [2014-11-15] (Object Browser) Task: C:\Windows\Tasks\OZWDNTC.job => C:\Users\luq92\AppData\Roaming\OZWDNTC.exe Task: C:\Windows\Tasks\ZDBEDRP.job => C:\Users\luq92\AppData\Roaming\ZDBEDRP.exe GroupPolicy: Group Policy on Chrome detected CHR HKLM\SOFTWARE\Policies\Google: Policy restriction StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe C:\Program Files (x86)\924d6389-cd3d-47c2-ad41-b00b91c76a09 C:\Program Files (x86)\globalUpdate C:\Program Files (x86)\YouTube Accelerator C:\ProgramData\01e58235-010d-43b1-8340-277d43a75321 C:\ProgramData\APN C:\ProgramData\TEMP C:\Users\luq92\AppData\Local\CrashRpt C:\Users\luq92\AppData\Local\globalUpdate C:\Users\luq92\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\luq92\AppData\Local\Google\Chrome\User Data\Default\Local Storage\*localstorage* C:\Users\luq92\AppData\Roaming\*.exe C:\Users\luq92\AppData\Roaming\OZWDNTC C:\Users\luq92\AppData\Roaming\ZDBEDRP C:\Windows\System32\drivers\{9642e31c-2703-4a31-ba45-9e8dfb693e38}Gw64.sys CMD: ipconfig /flushdns CMD: dir /a "C:\Program Files" CMD: dir /a "C:\Program Files (x86)" CMD: dir /a C:\ProgramData CMD: dir /a C:\Users\luq92\AppData\Local CMD: dir /a C:\Users\luq92\AppData\LocalLow CMD: dir /a C:\Users\luq92\AppData\Roaming EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows, gdyż COMODO przeszkodzi pracy FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany, opuść Tryb awaryjny. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. W Google Chrome: Ustawienia > karta Rozszerzenia > odinstaluj adware PodoWeb Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Zresetuj ustawienia przeglądarki. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia zostaną wyłączone (aktywuj ręcznie). Ustawienia > karta Ustawienia > sekcja Wyszukiwanie > klik w Zarządzanie wyszukiwarkami > skasuj z listy niedomyślne śmieci (o ile będą). Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Zrób nowy log FRST z opcji Scan (bez Addition i Shortcut). Dołącz też plik fixlog.txt. .

Proszę przeczytaj zasady działu w kwestii obowiązujących raportów: KLIK. OTL to przestarzałe narzędzie sprawdzane tylko pobocznie. Dostarcz obowiązkowe logi z FRST i GMER. Był też używany AdwCleaner, więc proszę o logi z folderu C:\AdwCleaner.

Klucz został poprawnie odtworzony. Skoro nadal są błędy Corela, to czy na pewno tego nie było wcześniej? I w takiej sytuacji zostaje już reinstalacja programu. Kolejne działania: 1. Reinstalalacja CorelDRAW: W pierwszej kolejności odinstaluj program normalnie poprzez Panel sterowania. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > sprawdź czy na liście widać pozycje CorelDRAW, jeśli tak to podświetl i Dalej. Zainstaluj CorelDRAW. 2. W AdwCleaner zastosuj opcję Odinstaluj. 3. Zainstaluj Malwarebytes Anti-Malware (przy instalacji odznacz trial). Wykonaj pełny skan systemu, a jeśli coś zostanie wykryte, dostarcz raport. .

Te błędy DCOM nadal są w Dzienniku nagrywane, nie jest to jednak problem krytyczny i potem będę analizować sprawę. Jeśli chodzi o uszkodzenia wywołane AdwCleaner, otwórz Notatnik i wklej w nim: Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /f Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /v 9A3215C78A0344C498AC8A8CA7F1CC19 /t REG_SZ /d C?\Windows\SysWOW64\msvcr71.dll /f Reg: reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /v 21F1DBD139DE0C947ACC65BCED841885 /t REG_SZ /d "C:\Program Files (x86)\ASUS\ASUS LifeFrame3\msvcr71.dll" /f Reg: reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094 /s Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. Pokaż wynikowy fixlog.txt, a także podaj czy nadal się uruchamia to okno CorelDRAW.

mispuchatek, proszę przeczytaj zasady działu co tu się podaje i jak się zachowuje: KLIK. Po pierwsze: jeśli nikt nie odpisał, a chcesz uzupełnić post, stosuj opcję Edytuj a nie post pod postem (skleiłam). Po drugie: zestaw obowiązkowych logów jest inny, OTL to przestarzałe narzędzie sprawdzane tylko pobocznie (i za jakiś czas w ogóle na forum już nie będzie analizowany). Dostarcz obowiązkowe raporty z FRST i GMER.

To Ty tego nie zrobiłeś wcześniej? Jeśli nie, to wdróż opcję, ale jeśli było to już wykonywane, powtarzanie jest bez sensu. I pokaż wynikowy plik C:\DelFix.txt.

Tak, zadania miały być podzielone. Skoro pośpieszyłeś się i w DelFix zaznaczyłeś dodatkową opcję, nic się oczywiście nie stało. Na wszelki wypadek sprawdź jednak w oryginalnym interfejsie konfiguracji Przywracania czy program poprawnie usunął punkty.

Spodziewałam się tego. I nie zapomnij dostarczyć raportów ze skanera, by dało się ocenić zakres infekcji. Jeśli chodzi o wyniki skryptu: reset Zapory czyszczący autoryzacje Sality wykonany, większość folderów też usunięta, z wyjątkiem folderu Kosza F:\RECYCLER, co odpowiada komunikatowi ze zrzutu ekranu mówiącego o uszkodzonym Koszu. Pod kątem tego lewego folderu: 1. Start > w polu szukania wklep cmd > z prawokliku Uruchom jako Administrator > wklep komendę sprawdzania dysku: chkdsk F: /f /r 2. Gdy checkdisk ukończy pracę, kolejny skrypt do FRST. Otwórz Notatnik i wklej w nim: RemoveDirectory: F:\RECYCLER Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Przedstaw wynikowy fixlog.txt oraz nowy log USBFix z opcji Listing. Tak, komenda EmptyTemp: czyści historię i cookies przeglądarki. Na przyszłość (choć mam nadzieję to nigdy nie nastąpi), SalityKiller uruchomiony z linii komend cmd z przełącznikami -v i -l: "ścieżka dostępu do salitykiller.exe" -v -l C:\log.txt Deinstalacja DAEMON Tools oraz Alcohol nie usuwa sterownika SPTD, on musi być potraktowany z osobna narzędziem SPTDinst. W momencie gdy robiłeś skan GMER sterownik SPTD był definitywnie czynny (w logu GMER czynności tego sterownika), notował go także FRST: ==================== Drivers (Whitelisted) ==================== R0 sptd; C:\Windows\System32\Drivers\sptd.sys [386680 2014-09-24] (Duplex Secure Ltd.) U3 a7yas93o; C:\Windows\System32\Drivers\a7yas93o.sys [0 ] (Advanced Micro Devices) Ale jak mówiłam, to już sobie darujmy. Możesz przywrócić instalację DAEMON. .

Końcowe kroki pod kątem czyszczenia: 1. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. 2. Odinstaluj stare wersje Adobe i Java, zastąp najnowszymi, zaktualizuj też Google Chrome: KLIK. Wtyczka Adobe Flash całkowicie zbędna, używasz Google Chrome, które ma wbudowany własny wewnętrzny Flash. ==================== Installed Programs ====================== Adobe Flash Player 10 Plugin (HKLM-x32\...\Adobe Flash Player Plugin) (Version: 10.0.42.34 - Adobe Systems Incorporated) Adobe Reader X (10.1.12) MUI (HKLM-x32\...\{AC76BA86-7AD7-FFFF-7B44-AA0000000001}) (Version: 10.1.12 - Adobe Systems Incorporated) Google Chrome (HKLM-x32\...\Google Chrome) (Version: 30.0.1599.101 - Google Inc.) Java 7 Update 67 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217045FF}) (Version: 7.0.670 - Oracle) Skan FRST nie wykazuje żadnych dodatkowych elementów na tej partycji. Są tam tylko serwisowe narzędzia Lenovo i pliki rozruchowe Windows oraz plik pamięci wirtualnej i folder Przywracania systemu (System Volume Information), a 99% elementów jest datowana na rok 2013. vs. Sprawdzenie tej teorii poprzez tymczasową deinstalację programu, proste wyłączanie w opcjach nie znosi określonych aktywności pakietu. Jeśli po deinstalacji nic się nie zmieni, program po prostu przywrócisz. Oraz jeszcze zostaje sprawa tego błędu, który sugeruje aktualizację BIOS i/lub sterowników sprzętowych: System errors: ============= Error: (11/17/2014 01:15:34 AM) (Source: ACPI) (EventID: 13) (User: ) Description: : Kontroler osadzony nie odpowiedział przed upływem limitu czasu. Może to wskazywać, że wystąpił błąd w sprzęcie lub oprogramowaniu układowym kontrolera osadzonego albo że system BIOS uzyskuje dostęp do kontrolera osadzonego w niepoprawny sposób. Należy skontaktować się z producentem komputera w sprawie uaktualnionego systemu BIOS. W niektórych sytuacjach ten błąd może spowodować niepoprawne funkcjonowanie komputera. .

Wszystko wykonane. Kończymy: 1. Usuń ręcznie pobrany GMER oraz folder C:\Users\strona ogolna\Desktop\FRST. Następnie zastosuj DelFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Zainstaluj najnowsze wersje Adobe Flash i Java: KLIK.

Na tamtym forum nawet nie zdefiniowali, że jest to Sality, a było to oczywiste po typie autoryzacji Zapory systemu (charakterystyczne pliki w Temp). GMER robiłeś w niewłaściwych warunkach - przy czynnym sterowniku SPTD. Ale to już pomiń. Dodatkowy aspekt tu się objawił, masz system 64-bit: Platform: Windows 7 Ultimate (X64) OS Language: Polski (Polska) Internet Explorer Version 8 Sality nie jest natywnie 64-bitową infekcją i na takim systemie może atakować tylko 32-bitowe pliki, czyli połowa systemu i niektóre programy bezpieczne. Jednakże problem z plikami 32-bit jest tu trudny do odgadnięcia. Wiem tylko tyle, że był uruchamiany SalityKiller i coś robił, ale co i gdzie to nie wiadomo (brak raportu z działań, gdyż SalityKiller był uruchamiany bez parametru nagrywającego log), również nie wiadomo czy na dysku systemowym są nadal jakieś trefne pliki. Z tym, że pliki systemowe i tak będą zamieniane nowszymi wersjami, gdyż system nie posiada żadnych aktualizacji i szykuje się gruba aktualizacja z Windows Update (SP1, IE11 i reszta łat). EDIT: Dostawiłeś OTL Extras i tam nadal widać nie wyczyszczone autoryzacje Zapory wytapetowane Sality. Poza tym nie widać innych oznak Sality, ale stan plików na dysku nie może być tym sposobem sprawdzony. Zalecenia na teraz: 1. Czyszczenie autoryzacji w Zaporze. Dodatkowo jeszcze do wyrzucenia są wielokrotne Kosze z dysków zewnętrznych oraz dorobione sztucznie katalogi autorun.inf (to ma skutki uboczne w postaci blokady etykiet). Zakładam, że mapowanie dysków jest identyczne jak w momencie zrobienia raportu USBFix. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: netsh advfirewall reset Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f RemoveDirectory: C:\Autorun.inf RemoveDirectory: D:\Autorun.inf RemoveDirectory: D:\msdownld.tmp RemoveDirectory: F:\Autorun.inf RemoveDirectory: F:\msdownld.tmp RemoveDirectory: F:\$RECYCLE.BIN RemoveDirectory: F:\Recycled RemoveDirectory: F:\RECYCLER RemoveDirectory: I:\Autorun.inf RemoveDirectory: I:\msdownld.tmp RemoveDirectory: I:\$RECYCLE.BIN RemoveDirectory: I:\RECYCLER EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 2. Uruchom Kaspersky Virus Removal Tool - domyślnie program prowadzi skan ekspresowy, należy to zmienić w konfiguracji na pełny skan wszystkich elementów. Za jego pomocą wykonaj po kolei pełny skan każdej partycji z osobna - zadania podziel, najpierw jedna partycja i zapisujesz wyniki, potem następna. Zgłoś się tu z raportami skanu. .