picasso

Jeśli chodzi o zamulenie, to masz zainstalowany strasznie stary ESET NOD32 Antivirus (komponenty z 2012). Na dodatek używasz uTorrent i w procesach są wystąpienia utorrentie.exe produkujące reklamy. uTorrent nie jest obecnie polecanym klientem torrent, w zamian np. qBittorrent. Przy czym w obliczu Twojego problemu to zabawy w zmiany klientów torrent i drążenie określonych wątków to naprawdę nieistotna sprawa. Tu się szykuje format dysku, to krok zalecany po infekcji szyfrującej dane. Ja sugeruję zrobić to już teraz. Ten system, który tu widzę, był wcześniej poszkodowany także innymi infekcjami oraz ręcznie rozwaliłeś poprawne obiekty systemu. Jest też niezabezpieczony, pomijając stary ESET, nie masz nawet podstawowych aktualizacji, brak SP1 i reszty: Platform: Microsoft Windows 7 Home Basic (X86) Język: Polski (Polska) Internet Explorer Wersja 9 (Domyślna przeglądarka: FF)

W raportach brak oznak infekcji. Zaprezentuj co wykryły 360 Total Security i Kaspersky. Jeśli wyniki z nich okażą się niepowiązane, to przypuszczalnie problemem jest IP. Cybertarcza na tej podstawie ocenia komputer (nie skanuje systemu).

W systemie został podstawiony fałszywy klon Chrome Legness z wbudowanym adware, który całkowicie zastąpił Chrome. Jest ustawiony jako domyślna przeglądarka, a skróty które uruchamiasz wywołują klon a nie prawdziwe Chrome. Poza tym, mnóstwo innych aplikacji adware oraz szkodliwy skaner YAC(Yet Another Cleaner!). Daty określonych obiektów adware wskazują, że siedziały w systemie od dawna i prawdopodobnie doinstalowały te świeże. Działania do przeprowadzenia: 1. Przez Panel sterowania odinstaluj: Corner Sunshine, Java 8 Update 73 (64-bit), Java 8 Update 73, Java SE Development Kit 8 Update 45 (64-bit), YAC(Yet Another Cleaner!). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs: C:\ProgramData\AppnormanetouQ\Goldentone.dll => C:\ProgramData\AppnormanetouQ\Goldentone.dll [363008 2016-06-30] () S2 AppnormanetouQ; C:\ProgramData\\AppnormanetouQ\\AppnormanetouQ.exe [400896 2016-06-30] () [brak podpisu cyfrowego] R2 DCHP; C:\ProgramData\\DCHP\\DCHP.exe [400384 2016-04-12] () [brak podpisu cyfrowego] R2 Hkhlp; C:\Program Files (x86)\Common Files\Apps\Hkhlp.dll [281600 2016-09-20] () [brak podpisu cyfrowego] R2 IlS; C:\ProgramData\Tencent\QQ\report\Reporter.dll [341504 2016-09-29] () [brak podpisu cyfrowego] R2 Sunshinesvc; C:\Program Files (x86)\Corner Sunshine\sunshinesvc.dll [336896 2016-09-20] () [brak podpisu cyfrowego] R2 UvConverter; C:\ProgramData\UvConverter\UvConverter.exe [419048 2016-09-20] () S2 CornerSunshineSvc; "C:\Program Files (x86)\Corner Sunshine\CornerSunshineSvc.exe" {8A712DBD-E08B-4D5C-839D-1B9C185FE769} [X] S2 LegnessDL; "C:\ProgramData\corss\_@aduck00000000.tmp.dat.exe" [X] HKU\S-1-5-21-1964153532-139224943-451156895-1000\...\Run: [GoogleChromeAutoLaunch_E165A0325D455FD98D706A45699E6FCE] => C:\Program Files (x86)\Legness\Application\chrome.exe [1377280 2016-09-29] (Google Inc.) GroupPolicy: Ograniczenia ShortcutWithArgument: C:\Users\Daniel\Desktop\GTA V.lnk -> D:\gta v brzoza\Grand Theft Auto V\Launcher.exe () -> hxxp://www.istartsurf.com/?type=sc&ts=1444086479&z=6d4256c81f4f637ccc170f4g1z7z4z8e9bcqeo7m4e&from=cor&uid=WDCXWD10EZEX-00BN5A0_WD-WCC3F2JCTARXCTARX HKU\S-1-5-21-1964153532-139224943-451156895-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPYCWbmusIbAE3SqND5176q6SeV3ihdSH51wXxqlxp35k5xXVfwif_H2ld7nlrItjTFdw1RId2fU5ooQpultsLIQo6dCJ9nDUTwu4oPWowJIqjrZEtMyBwSVl7_vEcQwVBJp3KNObMHL0S_n-9p49eEsEgsY8LO&q={searchTerms} HKU\S-1-5-21-1964153532-139224943-451156895-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://%66%65%65%64.%68%65%6C%70%65%72%62%61%72.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPYCWbmusIbAE3SqND5176q6SeV3ihdSH51wXxqlxp35k5xXVfwif_H2ld7nlrItjTJkIEpTiKxyWGNHmCJArdjzTSBG3ZhqEnj_h6hDxK7aQV-roHkh3KtX7026v4fOXUZg_xI4Oth1iUTEEiCKZonYlSRJf2o HKU\S-1-5-21-1964153532-139224943-451156895-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPYCWbmusIbAE3SqND5176q6SeV3ihdSH51wXxqlxp35k5xXVfwif_H2ld7nlrItjTFdw1RId2fU5ooQpultsLIQo6dCJ9nDUTwu4oPWowJIqjrZEtMyBwSVl7_vEcQwVBJp3KNObMHL0S_n-9p49eEsEgsY8LO&q={searchTerms} HKU\S-1-5-21-1964153532-139224943-451156895-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPYCWbmusIbAE3SqND5176q6SeV3ihdSH51wXxqlxp35k5xXVfwif_H2ld7nlrItjTFdw1RId2fU5ooQpultsLIQo6dCJ9nDUTwu4oPWowJIqjrZEtMyBwSVl7_vEcQwVBJp3KNObMHL0S_n-9p49eEsEgsY8LO&q={searchTerms} SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPYCWbmusIbAE3SqND5176q6SeV3ihdSH51wXxqlxp35k5xXVfwif_H2ld7nlrItjTFdw1RId2fU5ooQpultsLIQo6dCJ9nDUTwu4oPWowJIqjrZEtMyBwSVl7_vEcQwVBJp3KNObMHL0S_n-9p49eEsEgsY8LO&q={searchTerms} SearchScopes: HKU\S-1-5-21-1964153532-139224943-451156895-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn5dJ8gs0DGDT3GOWsi_8CTz4dPYCWbmusIbAE3SqND5176q6SeV3ihdSH51wXxqlxp35k5xXVfwif_H2ld7nlrItjTFdw1RId2fU5ooQpultsLIQo6dCJ9nDUTwu4oPWowJIqjrZEtMyBwSVl7_vEcQwVBJp3KNObMHL0S_n-9p49eEsEgsY8LO&q={searchTerms} Task: {5EDE3B68-D177-423F-ABE2-EACB5C3DB48F} - System32\Tasks\{50EB6A16-BEA4-4F4F-84AF-3D852C566858} => pcalua.exe -a C:\Windows\IsUn0415.exe -c -f"C:\Program Files (x86)\SuperMemo UX\Courses\Angielski No Problem 1\Uninst.isu" Task: {DA3B0EA5-7A77-4276-8CEE-3D829165BB57} - System32\Tasks\Microsoft_Hardware_Launch_IPoint_exe => C:\Program Files\Microsoft IntelliPoint\IPoint.exe MSCONFIG\startupreg: SunJavaUpdateSched => "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" IE trusted site: HKU\S-1-5-21-1964153532-139224943-451156895-1000\...\hola.org -> hxxp://hola.org DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Corner Sunshine C:\Program Files (x86)\Legness C:\Program Files (x86)\Mozilla Firefox C:\Program Files (x86)\WinSaber C:\Program Files (x86)\Common Files\Apps C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\AppnormanetouQ C:\ProgramData\corss C:\ProgramData\DCHP C:\ProgramData\MDMA C:\ProgramData\sozy C:\ProgramData\Tencent C:\ProgramData\UvConverter C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MetaTrader 4\MetaEditor.lnk C:\Users\Daniel\AppData\Local\Legness C:\Users\Daniel\AppData\Roaming\*.* C:\Users\Daniel\AppData\Roaming\Booking_helper C:\Users\Daniel\AppData\Roaming\Corner Sunshine C:\Users\Daniel\AppData\Roaming\GoldenGate C:\Users\Daniel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Daniel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk C:\Users\Daniel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\Daniel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\5d696d521de238c3\Google Chrome.lnk C:\Users\Daniel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\Public\Desktop\Google Chrome.lnk C:\Users\Public\Documents\temp.dat C:\Windows\system32\log C:\Windows\SysWOW64\*.tmp CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Usunięte zostały wszystkie skróty "Chrome", utwórz sobie ręcznie skróty do prawdziwego Chrome. Następnie wyczyść go: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj SafeFinder Search. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Ustaw jako domyślną przeglądarkę Internet Explorer. Na razie nie można ustawić Google Chrome, bo klasy klona powodują, że w opcjach pojawia się fałszywe "Chrome". 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt. Uruchom FRST ponownie, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Przedstaw wynikowy SearchReg.txt. Legness

Proszę nie zapisuj logów FRST do nowych plików, bo te to nie są w oryginalnym kodowaniu (jest ANSI zamiast UTF-8). W systemie widać jeszcze dwa niepożądane programy BackupPCFiles 1.0.0.676 i TV-Plugin. - Wejdź do folderu C:\Program Files (x86)\Tv-Plug-In, wyszukaj deinstalator i z prawokliku Uruchom jako administrator. - Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj BackupPCFiles 1.0.0.67. Odinstaluj również: Bonjour, Google Chrome, Java 7 Update 71, QuickTime 7, Skaner on-line mks_vir. Chrome przekonwertowane przez adware do wersji developerskiej, MKS martwy od lat, a reszta to stare wersje z niebezpiecznymi lukami. Po deinstalacjach zrób nowe raporty z FRST. Potem do czyszczenia będą jeszcze inne szczątki adware, ale nie ma to obecnie znaczenia w kontekście problemów głównych. To normalne. Plik CBS.LOG jest w lokalizacji chronionej i nie można go otwierać ani kopiować bezpośrednio w obrębie tej lokalizacji. I dostarczony plik CBS.LOG jest za duży (zawiera wszystko), zrób wersję przefiltrowaną ograniczoną do akcji narzędzia SFC, zgodnie z wytycznymi: KLIK.

BSOD pochodzący z uruchomienia GMER się nie liczy, chodzi o analizę tego poprzedniego. Narzędzie BlueScreenView jest niestety zbyt ograniczone, nic konkretnego, i to odczyty tylko z folderu Minidump. Na komunikacie błędu był wskazany plik C:\WINDOWS\MEMORY.DMP i to ten należało otworzyć w debugerze Microsoftu. Niestety to raczej już niemożliwe, bo plik został nadpisany BSODem od GMER. Zacinanie przeglądarek jak najbardziej może być powiązane z doinstalowanym zestawem. Dla świętego spokoju po kolei sprawdź co się stanie po deinstalacji tych programów (usuwając po jednym na raz).

Niestety błędy wskazują, że nadal jest jakiś problem z Harmonogramem, gdyż po wyczyszczeniu klucza TaskCache zadania powinny zacząć się odbudowywać, a tu jest "Odmowa dostępu". Być może trzeba opróżnić też cały katalog na dysku. Na razie podaj więcej danych: Otwórz Notatnik i wklej w nim: Folder: C:\Windows\System32\Tasks ListPermissions: C:\Windows\System32\Tasks ListPermissions: C:\Windows\System32\Tasks\Microsoft ListPermissions: C:\Windows\System32\Tasks\Microsoft\Windows ListPermissions: C:\Windows\System32\Tasks\Microsoft\Windows\SystemRestore ListPermissions: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule" /s Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Wprawdzie ta edycja Hosts jest powiązana z rozwiązywaniem problemu aktualizacji w dawniejszych czasach (gdy był inny adres IP aktualizacji) i mogła się znaleźć w pliku w niewinny sposób, ale mam podejrzenia, że tu w robocie był jakiś crack do MBAM... punisher935, u Ciebie w pliku Hosts były także inne ślady, które przemilczałam, czyli rekordy blokowania *.mwbsys.com wskazujące jednoznacznie na próby obejścia aktywacji. maximus600, Ty z kolei przeinstalowałeś system, więc edycja w pliku Hosts jest automatycznie zerowana i musiała zostać zaaplikowana ponownie ręcznie w jakiś sposób. Instalator MBAM nie wprowadza takiego wejścia w Hosts, musiał być użyty inny "element". Temat rozwiązany. Zamykam. PS. Ad "Kolego" = jestem "Koleżanką".

Szczerze mówiąc, nie wiem czy można ufać stanowi systemu, a mechanizm tej infekcji nie jest do końca znany. Przy infekcjach szyfrujących dane jest mimo wszystko zalecany format. Jeśli decydujesz się na doczyszczanie: Na początek uruchom RansomNoteCleaner, wybierz tę infekcję i wskaż do czyszczenia cały dysk / dyski. Narzędzie nagra log z operacji. Przedstaw go. Log ten będzie zapewne ogromny i nie wejdzie w załączniki, więc shostuj na serwisie zewnętrznym i dostarcz link.

Rzeczywiście, zasugerowana komunikatem Avast nie sprawdziłam IP z komunikatu, a to IP Orange. Czyli żadne dane z przedstawionych nie pokazywały elementów infekcji. Jeśli chodzi o samo zjawisko pojawienia się zgłoszenia Cybertarczy, to skan ten jest oparty na IP a nie skanie systemu. Orange przypisuje zmienne adresy IP, nie jest wykluczone, że przyznany Ci był wcześniej w użyciu przez inny zainfekowany komputer. Poboczne działania wykonane. Aczkolwiek widzę, że w Chrome posunąłeś się dalej i usunąłeś rozszerzenie nie wskazywane do deinstalacji, czyli Avast Online Security. Ono i tak się przeinstaluje, bo zostawiłam reinstalator w rejestrze, usuwałam tylko reinstalatory sponsoringowego Avast SafePrice. Na koniec: 1. Przez SHIFT+DEL (omija Kosz) skasuj z dysku te dwa foldery: C:\Users\Olek\AppData\Roaming\.ACEStream C:\Users\Olek\AppData\Roaming\ACEStream 2. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. GMER i jego log dokasuj ręcznie. 3. W Chrome jest AdBlock, obecnie to i tak kopia Adblock Plus. Polecam zamianę na uBlock Origin. Lista programów do wglądu: KLIK.

Adresy Google mogą pozostać, jeśli nie wiesz jakie oryginalnie były adresy DNS od dostawcy sieci. Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To wszystko. PS. Mam prośbę. Czy mógłbyś zrobić zrzuty ekranu z Twojej konfiguracji routera (ustawienia DNS i zamknięcie dostępu do Internetu) i wysłać mi na PW? To do mojego ukrytego tematu o usuwaniu infekcji DNS, którego jeszcze nie opublikowałam. Zrzuty ekranu przydadzą się innym użytkownikom.

W podanych raportach nie widzę jawnych szkodliwych obiektów. Avast definitywnie raportował dostęp do proxy, którego nie ma w skanie FRST, więc być może Avast w pełni zapobiegł osadzeniu się tego, lub proxy usunięto w inny sposób. Na wszelki wypadek zadam szukanie rejestru na ten element, który jest na komunikacie Avast, oraz dodam RemoveProxy:. Do wykonania będą też drobne poboczne działania. 1. Uruchom FRST ponownie, w polu Szukaj (Search) wklej co poniżej i klik w Szukaj w rejestrze (Search Registry). Powstanie plik SearchReg.txt. wpad.dat 2. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj Ace Stream Media 3.1.7 (wbudowany moduł adware preaktywowany po pewnym czasie) oraz Trojan Remover (program przestarzały i mało zdatny). 3. W Google Chrome: - Ustawienia > karta Rozszerzenia > odinstaluj dwa wystąpienia sponsoringowego rozszerzenia Avast SafePrice. - Zresetuj cache wtyczek, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 4. Otwórz Notatnik i wklej w nim: CloseProcesses: Reg: reg query "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" /s CMD: netsh advfirewall reset CHR HKU\S-1-5-21-2610406226-1649471089-3384511987-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [mjbepbhonbojpoaenhckjocchgfiaofo] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [daanglpcpkjjlkhcbladppjphglbigam] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [fcoadmpfijfcmokecmkgolhbaeclfage] - hxxps://clients2.google.com/service/update2/crx Task: {1BE959AD-6F31-46D9-8B8F-8DE7CD654FE4} - System32\Tasks\{41244147-A78A-49AA-93C2-DE741E1482CC} => Chrome.exe hxxp://ui.skype.com/ui/0/7.26.0.101/pl/abandoninstall?source=lightinstaller&page=tsInstall Task: {8A1BB01F-69C6-45ED-9CA1-CFA1EEF5D2E5} - System32\Tasks\{189B942F-3183-4FEE-A252-CF7516CB997D} => pcalua.exe -a "E:\Downloads\Zoo Tycoon 2 with 3 ADDONS +save+Extras FULLY WORKING [slavian_ru]\Setup.Exe" -d "E:\Downloads\Zoo Tycoon 2 with 3 ADDONS +save+Extras FULLY WORKING [slavian_ru]" HKU\S-1-5-21-2610406226-1649471089-3384511987-1001\...\StartupApproved\Run: => "AceStream" DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\END C:\ProgramData\TEMP RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 5. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt oraz SearchReg.txt (o ile coś zostanie znalezione, pusty log zbędny).

Raporty z FRST niewiarygodne, użyłeś okropnie starą wersję pozbawioną nowych skanów (m.in. ustawień proxy które pokazuje Avast) i poprawek: Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 02-05-2015 (ATTENTION: ====> FRST version is 516 days old and could be outdated) Najnowsza wersja jest z wczoraj. Pobierz najnowszą wersję z przyklejonego i zrób nowe raporty: KLIK.

Router został pomyślnie skonfigurowany, obecnie są z niego pobierane adresy Google: Tcpip\Parameters: [DhcpNameServer] 8.8.8.8 8.8.4.4 Tcpip\..\Interfaces\{92617932-a21b-4b06-bb91-85e742c7bd0a}: [DhcpNameServer] 8.8.8.8 8.8.4.4 Sprawdź jeszcze czy masz najnowsze firmware zainstalowane. Na stronie pobierania najnowsza dostępna wersja to 2.0.0.37: KLIK.

To najnowsza infekcja Unblockupc Ransomware. Nie ma ratunku dla zakodowanych plików. Podobny temat z tą infekcją: KLIK. Przywracanie systemu miałeś wyłączone, więc odpada szukanie kopii zapasowej na dysku C. Poza tym, są tu niestety aż trzy dyski, dane są szyfrowane na wszystkich. W raportach widzę tylko elementy związane z notatkami ransom (te pliki same w sobie nie są szkodliwe) oraz chyba zablokowany katalog minecraft. Jedyne czym jestem w stanie się zająć, to doczyścić to co widać i nic więcej... Decyduj co robimy, czy kopiujesz zaszyfrowane dane na nośnik zewnętrzny (na przyszłość, gdyby pojawiło się jakieś rozwiązanie) i format, czy doczyszczanie tego co widać.

Z opisów mi wynika, że prawdopodobnie 23 wrzesień to nie była data infekcji, w rozumieniu że infekcja nastąpiła dużo wcześniej i opóźniła objawy, by zamaskować źródło infekcji. Tak więc strony odwiedzone tego dnia przypuszczalnie nie są związane z problemem. Narzędzie utworzyło log, dostarcz go.

Wymagane są raporty, by móc podać instrukcje usuwania: KLIK.

Tak, rozumiem, że to paskudny przypadek i chwytasz się wszystkiego, ale jedyny wiarygodny temat to ten na Bleeping (tam są prawdziwi eksperci od szyfratorów danych) i obecnie nie znajdziesz nigdzie indziej żadnego wiarygodnego opisu. Jedyne co możesz zrobić, to zachować zaszyfrowane dane i sprawdzać regularnie podany temat na forum Bleeping. Na razie jest wiadome, że: przypuszczalna bomba czasowa odpalona z opóźnieniem 23 września (rzeczywista data infekcji prawdopodobnie zupełnie inna, by zaciemnić prawdziwe źródło i czas infekcji), nie wiadomo w jaki sposób uruchamia się infekcja (plik einfo.exe w starcie którego notabene już u Ciebie nie było, to tylko wyświetlanie planszy z okupem na Pulpicie po starcie, poza tym infekcje szyfrujące dane samoczynnie się kasują po wykonaniu zadania), zastosowane szyfrowanie AES-128 jest nie do złamania. Jest poszukiwany dropper infekcji, by zanalizować budowę infekcji.

Dane przesunięte do spoilera, by nie wprowadzać w błąd. Popatrz na datę posta i opis. To w ogóle nie ta infekcja. To co linkujesz to opis starej infekcji w MBR blokującej całkowicie dostęp do systemu (wyświetla się plansza z kodem do wpisania zamiast ekranu startu Windows). Jest masa infekcji szyfrujących, już chyba z kilkaset różnych wariantów. Nie można się odnosić do danych innych infekcji. U Ciebie był Unblockupc Ransomware. Podany przeze mnie na początku link do forum Bleeping to obecnie jedyny wiarygodny link.

vito777, gdyby były widoczne infekcje, to bym to od razu wskazała. Problemy w ogóle nie są pochodną infekcji, to błędny tok myślenia. Potem będą do usunięcia drobne szczątki odinstalowanych programów, akcja poziomu kosmetycznego bez wpływu na zachowanie systemu, dlatego w pierwszej kolejności wykonaj opisywane akcje.

Przez SHIFT+DEL (omija Kosz) skasuj z dysku folder C:\FRST oraz folder FRST64 z dokumentów. Wyczyść też foldery Przywracania systemu, by usunąć punkty mające nagraną poprzednią wersję danych Harmonogramu: KLIK. To wszystko.

Widzę tu dwie rzeczy, które potencjalnie mogą kolidować: 1. Poniższy wpis w pliku Hosts: 54.230.89.168 data-cdn.mbamupdates.com Czy ta edycja została wprowadzona właśnie, by rozwiązać problem, czy była też wcześniej? To był trik stosowany ponad rok temu i to nie wygląda w ogóle na aktualne. Wg ping i tracert obecnie serwer aktualizacji ma inny adres IP: C:\WINDOWS\system32>ping data-cdn.mbamupdates.com Pinging vip0x062.ssl.hwcdn.net [205.185.208.98] with 32 bytes of data: Reply from 205.185.208.98: bytes=32 time=10ms TTL=57 Reply from 205.185.208.98: bytes=32 time=28ms TTL=57 Reply from 205.185.208.98: bytes=32 time=37ms TTL=57 Reply from 205.185.208.98: bytes=32 time=46ms TTL=57 Ping statistics for 205.185.208.98: Packets: Sent = 4, Received = 4, Lost = 0 (0% loss), Approximate round trip times in milli-seconds: Minimum = 10ms, Maximum = 46ms, Average = 30ms C:\WINDOWS\system32>tracert data-cdn.mbamupdates.com Tracing route to vip0x062.ssl.hwcdn.net [205.185.208.98] over a maximum of 30 hops: 1 4 ms 8 ms 2 11 ms 6 ms 8 ms 10.240.192.1 3 7 ms 6 ms 7 ms tb-rc0001-cr101-xe-0-0-1-0.core.as9143.net [213.51.186.16] 4 11 ms 16 ms 10 ms asd-tr0042-cr101-ae5-0.core.as9143.net [213.51.158.18] 5 10 ms 12 ms 12 ms 213.51.156.242 6 19 ms 10 ms 39 ms 1-1.r2.am.hwng.net [69.16.191.101] 7 22 ms 23 ms 22 ms ve1004.ar1.am4.hwng.net [69.16.189.22] 8 12 ms 10 ms 10 ms vip098.ssl.hwcdn.net [205.185.208.98] Trace complete. Start > w polu szukania wpisz notepad > z prawokliku Uruchom jako administrator > otwórz do edycji plik C:\Windows\system32\Drivers\etc\hosts i wymaż z niego tę linię Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako administrator > wklep ipconfig /flushdns i ENTER Dla pewności zresetuj system. 2. Instalacja 360 Total Security.

Ale ja nie podawałam, by go szukać (skoro widoczny jest w logu FRST), tylko by wykonać podane instrukcje. Usuwanie tego pliku miał zaplanowany skrypt FRST...

Czy na pewno na błędach są te same zadania co poprzednio? Zadania Adobe i Google zostały usunięte całkowicie za pomocą skryptu FRST. Skoro nadal jest masa błędów, przebuduj cały Harmonogram poprzez usunięcie wszystkich obiektów z niego, Windows zacznie uzupełniać zadania od zera. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule Reg: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule" /f Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. Podaj czy nadal widzisz błędy Harmonogramu.

Kontaktowałeś się via forum MBAM czy e-mail? Na wszelki wypadek podaj raporty z FRST.

Zgłoszenie jest wynikiem oceny IP. Nie ma oznak infekcji szyfrującej dane, więc prawdopodobnie obecnie przyznany Twojemu komputerowi mógł być wcześniej w użyciu przez inny zainfekowany komputer. Rozwiązaniem jest wymuszenie zmiany IP. Natomiast w systemie są inne nie powiązane z w/w problemem obiekty, tzn. niedokładnie czyszczone wcześniej elementy adware. Skan Panda wykrył szczątki adware w Tymczasowych plikach internetowych, ale nie te które widać w raportach FRST, a detekcja FRST64.exe jako "W32/Exploit.gen" to fałszywy alarm. Działania do przeprowadzenia: 1. Odinstaluj starą wersję Java 8 Update 31 (64-bit). Zaktualizuj Firefox (posiadasz wersję 35.0, aktualna to 49). Ponadto Ad Muncher to właściwie martwy program, nierozwijany od dawna. Do wglądu lista jakie są alternatywy: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {39A3F939-4673-48FF-9F61-4ABA3865975C} - \Price Fountain -> Brak pliku Task: {86C87B50-8E23-4E28-A2BA-BC73A8CE1D60} - \Trojan Killer -> Brak pliku S2 IhPul; C:\Users\Sebastian\AppData\Roaming\TSv\TSvr.exe [X] S2 SSFK; C:\Program Files (x86)\SFK\SSFK.exe -s [X] S2 WdMan; C:\ProgramData\nWdMn\WdMan.exe -svr [X] S3 AsrCDDrv; \??\C:\Windows\SysWOW64\Drivers\AsrCDDrv.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia ShortcutWithArgument: C:\Users\Sebastian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer (64-bit).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B ShortcutWithArgument: C:\Users\Sebastian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B ShortcutWithArgument: C:\Users\Sebastian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B ShortcutWithArgument: C:\Users\Sebastian\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files (x86)\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B ShortcutWithArgument: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mozilla Firefox.lnk -> C:\Program Files (x86)\Mozilla Firefox\firefox.exe (Mozilla Corporation) -> hxxp://www.omniboxes.com/?type=sc&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.omniboxes.com/?type=hp&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.omniboxes.com/?type=hp&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.omniboxes.com/?type=hp&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.omniboxes.com/?type=hp&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B&q={searchTerms} HKU\S-1-5-21-3580256871-2974044544-3284647674-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.omniboxes.com/web/?type=ds&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B&q={searchTerms} HKU\S-1-5-21-3580256871-2974044544-3284647674-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.omniboxes.com/?type=hp&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B HKU\S-1-5-21-3580256871-2974044544-3284647674-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.omniboxes.com/?type=hp&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B HKU\S-1-5-21-3580256871-2974044544-3284647674-1000\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.omniboxes.com/web/?type=ds&ts=1449062956&z=74774820d9c9ee9063bbb36g8z5zdt6efq7o2t8q0e&from=ient07021&uid=395049983_6295314_F4B0D09B&q={searchTerms} SearchScopes: HKU\S-1-5-21-3580256871-2974044544-3284647674-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = StartMenuInternet: IEXPLORE.EXE - iexplore.exe StartMenuInternet: FIREFOX.EXE - firefox.exe DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Users\Sebastian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\GameRanger.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.