picasso

Fix pomyślnie wykonany, Hosts zresetowany. Czy po wykonaniu skryptu FRST ustąpił problem z internetem? Natomiast jeśli nadal jest obciążony ten drugi svchost hostujący usługę Windows Update, to już podałam link jakimi łatami należy się zainteresować.

Temat przenoszę do działu Windows, to nie jest problem infekcji, a wręcz przeciwnie - rzekomych zabezpieczeń przed infekcją. W systemie jest HOSTS Anti-Adware_PUPs, który wykonał katastrofalną edycję pliku Hosts. Plik Hosts mieli ponad 100 tysięcy wpisów. U Ciebie jest to obrazowane błędem o długiej odpowiedzi z usługi Klient DNS (Dnscache), co namacalnie ma skutek w postaci "słabego internetu". Przykładowy temat z forum pokazujący jakie skutki uboczne może mieć tak ogromna modyfikacja, a wpisów było dużo mniej: KLIK. Tego programu należy się pozbyć i zresetować plik Hosts. Program został już dawno temu wycofany z użytku, nie jest w ogóle aktualizowany i nie chroni przed bieżącymi zagrożeniami. Zastąpiono go Blockulicious DNS (orientacja na francuskich użytkowników): KLIK. S2 HOSTS Anti-PUPs; C:\Program Files (x86)\Hosts_Anti_Adwares_PUPs\HOSTS_Anti-Adware.exe [285795 2014-04-14] () [Brak podpisu cyfrowego] HKLM-x32\...\Run: [HOSTS Anti-Adware_PUPs] => C:\Program Files (x86)\Hosts_Anti_Adwares_PUPs\HOSTS_Anti-Adware_main.exe [302961 2014-04-14] () ==================== Hosts - zawartość: ========================== 2009-07-14 04:34 - 2016-07-17 08:27 - 07263887 ____A C:\Windows\system32\Drivers\etc\hosts 127.0.0.1 08sr.combineads.info # hosts anti-adware / pups 127.0.0.1 08srvr.combineads.info # hosts anti-adware / pups 127.0.0.1 12srvr.combineads.info # hosts anti-adware / pups 127.0.0.1 2010-fr.com # hosts anti-adware / pups 127.0.0.1 2012-new.biz # hosts anti-adware / pups 127.0.0.1 212link.com # hosts anti-adware / pups 127.0.0.1 2319825.ourtoolbar.com # hosts anti-adware / pups 127.0.0.1 24h00business.com # hosts anti-adware / pups 127.0.0.1 a.adorika.net # hosts anti-adware / pups 127.0.0.1 a.ad-sys.com # hosts anti-adware / pups 127.0.0.1 a.daasafterdusk.com # hosts anti-adware / pups 127.0.0.1 ad.adn360.com # hosts anti-adware / pups 127.0.0.1 adcash.com # hosts anti-adware / pups 127.0.0.1 adeartss.eu # hosts anti-adware / pups 127.0.0.1 adesoeasy.eu # hosts anti-adware / pups 127.0.0.1 adf.girldatesforfree.net # hosts anti-adware / pups 127.0.0.1 adm.soft365.com # hosts anti-adware / pups 127.0.0.1 adomicileavail.googlepages.com # hosts anti-adware / pups 127.0.0.1 ads7.complexadveising.com # hosts anti-adware / pups 127.0.0.1 ads.adplxmd.com # hosts anti-adware / pups 127.0.0.1 ads.aff.co # hosts anti-adware / pups 127.0.0.1 ads.alpha00001.com # hosts anti-adware / pups 127.0.0.1 ads.cloud4ads.com # hosts anti-adware / pups 127.0.0.1 ads.egdating.net # hosts anti-adware / pups 127.0.0.1 ads.eorezo.com # hosts anti-adware / pups 127.0.0.1 ads.hooqy.com # hosts anti-adware / pups 127.0.0.1 ads.pornerbros.com # hosts anti-adware / pups 127.0.0.1 ads.realken.com # hosts anti-adware / pups 127.0.0.1 ads.regiedepub.com # hosts anti-adware / pups 127.0.0.1 ads.sucomspot.com # hosts anti-adware / pups Wykryto więcej niż wyliczono: 101118 linii. Dziennik System: ============= Error: (09/26/2016 02:52:14 PM) (Source: Service Control Manager) (EventID: 7011) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na odpowiedź transakcji z usługi Dnscache. A to może być inny problem. Wprawdzie usługa Klient DNS (Dnscache), która się zawiesza, jest podmontowana na svchost, ale na innym wystąpieniu. To co pokazujesz na obrazku to inna grupa svchost. I tu prawdopodobnym delikwentem może być usługa Windows Update (wuauserv). Ostatnio sporo tematów na forum, a sprawę rozwiązuje instalacja łat: KLIK. Czyli do wykonania usuwanie Hosts_Anti_Adwares_PUPs, a przy okazji innych odpadkowych wpisów i programów: 1. Odinstaluj stare wersje i śmieci: Adobe Flash Player 20 ActiveX, Adobe Shockwave Player 12.0, FileViewPro, Java 7 Update 45 (64-bit), Java 7 Update 67, Java 8 Update 20 (64-bit), Java 8 Update 25, Java SE Development Kit 8 Update 20 (64-bit), McAfee Security Scan Plus, Smart File Advisor 1.1.6, YTD Video Downloader 4.8.5. Wszystkie programy z wyjątkiem Adobe i Java to programy z kategorii "PUP", instalacje niepożądane i przemycone w system w innym instalatorze. Deinstalacja Smart File Advisor usunie też Alcohol 52%. Należy Alcohol 52% przeinstalować przy całkowicie odciętym połączeniu sieciowym, by zapobiec instalacji tego śmiecia, instrukcje na spodzie: KLIK. 2. Usuń puste wpisy wtyczek Google Chrome poprzez reset cache wtyczek: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [HOSTS Anti-Adware_PUPs] => C:\Program Files (x86)\Hosts_Anti_Adwares_PUPs\HOSTS_Anti-Adware_main.exe [302961 2014-04-14] () S2 HOSTS Anti-PUPs; C:\Program Files (x86)\Hosts_Anti_Adwares_PUPs\HOSTS_Anti-Adware.exe [285795 2014-04-14] () [Brak podpisu cyfrowego] U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) Task: {0EAC5DA4-171F-4C1B-9674-D3BDC16DEC08} - System32\Tasks\{2A69CA78-34A4-4720-ABF3-FD1202EAE45E} => pcalua.exe -a D:\mateusz\PDFCombiner-Installation.exe -d D:\mateusz Task: {143A9E6B-09D5-48F8-A324-377DE3DA570F} - System32\Tasks\{D353E3AE-5EFC-414F-9B73-52D3E94F350D} => pcalua.exe -a "C:\Program Files (x86)\FTdownloader V4.0\Uninstall.exe" -c /fromcontrolpanel=1 Task: {48892E71-E6DC-4B52-85F6-7843D5D937F2} - System32\Tasks\{EB700679-283B-4BBC-B73D-32E5274B4497} => pcalua.exe -a G:\MU1_04M_Full(Eng).exe -d G:\ Task: {53E01B1D-64E1-4FF5-989F-04C9D8C77B69} - \DealPlyUpdate -> Brak pliku <==== UWAGA Task: {716F1038-BF53-47BE-BE06-21B7C2802454} - \Desk 365 RunAsStdUser -> Brak pliku <==== UWAGA Task: {76FAE829-75EC-4439-8C8A-61F17E0A04D4} - System32\Tasks\{B4D08592-4010-46DB-B412-596B4304B52C} => pcalua.exe -a E:\Setup.exe -d E:\ Task: {80FB23B8-7F62-41C5-9D0B-036112A38250} - System32\Tasks\{1BF4EEE9-DA42-4EC8-82D0-CAFD23A96A83} => pcalua.exe -a "C:\Program Files (x86)\Desk 365\eUninstall.exe" Task: {862DFEC7-AADD-4299-A198-5F1B035D79CE} - \BrowserDefendert -> Brak pliku <==== UWAGA Task: {A4480555-0CF0-4D4A-81E5-C77EBBDF3DAB} - System32\Tasks\{FDBF44D6-19F5-4700-B2AA-65319175E89A} => D:\cs\cstrike.exe Task: {E3C38427-31F3-4B3A-B003-1B4B06030D21} - System32\Tasks\{0BF0F1F6-3E1B-45EB-8ED3-86F5F7C00FA1} => pcalua.exe -a D:\mateusz\pulpit\aktywatory\AntiWPA_3.3.exe -d D:\mateusz\pulpit\aktywatory Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> Brak pliku <==== UWAGA Task: {F9608788-A6A2-44BD-8ECA-B5D5D61F53C4} - \DealPly -> Brak pliku <==== UWAGA MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Kalendarz.lnk => C:\Windows\pss\Kalendarz.lnk.CommonStartup MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk => C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup MSCONFIG\startupreg: ApnTBMon => "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe" MSCONFIG\startupreg: DAEMON Tools Lite => "D:\daemon\DAEMON Tools Lite\DTLite.exe" -autorun HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-21-2288698525-1566227253-1269940816-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA SearchScopes: HKLM -> DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = SearchScopes: HKLM-x32 -> DefaultScope - brak wartości BHO-x32: MSS+ Identifier -> {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} -> C:\Program Files\McAfee Security Scan\3.8.141\McAfeeMSS_IE.dll => Brak pliku BHO-x32: Google Toolbar Helper -> {AA58ED58-01DD-4d91-8333-CF10577473F7} -> C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll => Brak pliku BHO-x32: SimpleAdblock Class -> {FFCB3198-32F3-4E8B-9539-4324694ED664} -> C:\Program Files (x86)\Common Files\Simple Adblock\SimpleAdblock.dll => Brak pliku Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab FF HKLM-x32\...\Firefox\Extensions: [fmconverter@gmail.com] - C:\Program Files (x86)\Freemake\Freemake Video Converter\BrowserPlugin\Firefox FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF DeleteKey: HKCU\Software\Mozilla\SeaMonkey DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main C:\Program Files (x86)\Hosts_Anti_Adwares_PUPs C:\Program Files (x86)\Mozilla Firefox\plugins C:\Users\Dorota\Downloads\13 stycznia 2015.lnk Hosts: CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Potwierdź ustąpienie problemu z internetem.

1. Jeśli chodzi o ten odczyt z pliku Secure Preferences, to wg Chrome szczątkowa wyszukiwarka adware jest ustawiona jako domyślny dostawca wyszukiwania: "default_search_provider":{"enabled":true,"encodings":"UTF-8","favicon_url":"http://www.mylucky123.com/searchfavicon.ico","id":3276848,"prepopulate_id":0}Wróć do opcji Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > ustaw jako domyślną wyszukiwarkę dowolną inną niż wybrana obecnie, następnie z powrotem ustaw Google. Ta operacja powinna samodzielnie zresetować dane w pliku Secure Preferences i AdwCleaner nie powinien nic wykrywać w Secure Preferences. Jeśli jednak to się nie wydarzy, ręcznie zedytuję plik. 2. W rejestrze ostał się jednak jeden wadliwy klucz utworzony przez Redjane, to bug instalatora Redjane. Klawisz z flagą Windows + R > regedit > z prawokliku skasuj klucz który ma w nazwie znaczek: HKEY_CURRENT_USER\"SOFTWARE

Skasuj FRST/GMER i ich logi oraz folder C:\FRST z dysku. Temat zostawiam otwarty na bliżej nieokreślony czas. Gdyby się coś podejrzanego działo, zgłoś się tu ponownie.

Potrzebne są obowiązkowe raporty z FRST i GMER, by się upewnić że infekcja nie jest aktywna. Natomiast zaszyfrowane dane to odrębny wątek. Opis z hasłem "nielegalne pliki" wskazuje, że to nowa infekcja Unblockupc Ransomware atakująca głównie polskich użytkowników. Podobny temat z forum: KLIK. Odkodowanie plików jest awykonalne.

Nic z tego dla mnie nie wynika. Urządzenie zostało zablokowane, hasło logowania zmieniłeś, więc na razie nie widzę innych działań do podjęcia.

Sprawa certyfikatów jest tu nieaktualna. Odinstalowałeś program, certyfikat Y2Go nie jest widoczny w przystawce, więc został tym procesem usunięty. Log z FRST nie wykazuje także żadnych innych niepożądanych modyfikacji, poza tymi wpisami które właśnie zostały przetworzone. Robiłeś także liczne skany. Moim zdaniem nie ma tu czego szukać więcej, infekcje usunięte. Jaki widzisz błąd? Pobranie ręczne definicji też nie jest możliwe? Czy to na pewno problem powiązany z instalacją adware? W tym temacie użytkownicy raportują, że też nie mogą wykonać aktualizacji.

W raportach brak oznak infekcji. Odczyty "rootkit" w GMER to fałszywe alarmy na komponentach Windows 10. Co widzisz na stronie aktywności? Czy widnieje tam atypowe nierozpoznane urządzenie?

Windows 8.1 Nie widzę nic nowego w raportach, nie widzę też by powstały jakieś nowe elementy na dysku. Hmmm... twierdzisz, że z poziomu tego systemu zaglądasz do katalogu który nigdy nie był odwiedzany i pliki działają > restart i pliki już nie działają. Czy tak? To by oznaczało, że infekcja jest aktywna, tylko nie wiem w jaki sposób, bo w logach nic nie widać... Spakuj folder C:\FRST\Hives do ZIP, shostuj gdzieś i wyślij mi link do pliku na PW. Windows XP W tym systemie jest infekcja, ale wygląda na infekcję innego typu (nie od szyfratora danych), która siedzi bardzo długo (od zeszłego roku)... W starcie fałszywy "Windows Updater". Usuwanie: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicyScripts: Ograniczenia <======= UWAGA Startup: C:\Documents and Settings\All Users\Menu Start\Programy\Autostart\Windows Updater.lnk [2015-01-10] C:\Program Files\Windows Updater C:\Documents and Settings\Administrator\Menu Start\Programy\The Bat!.LNK C:\Documents and Settings\Administrator\Pulpit\The Bat!.LNK C:\Documents and Settings\Administrator\SendTo\The Bat!.LNK DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox\Extensions EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Nie wiem do czego zmierzasz z "Ablock", to wyciąg z FRST jakie rozszerzenie były zainstalowane: Chrome: ======= CHR HomePage: Default -> hxxps://www.google.de/ CHR StartupUrls: Default -> "hxxp://google.de/" CHR Profile: C:\Users\Patrycja\AppData\Local\Google\Chrome\User Data\Default CHR Extension: (ProxFlow) - C:\Users\Patrycja\AppData\Local\Google\Chrome\User Data\Default\Extensions\aakchaleigkohafkfjfjbblobjifikek [2016-08-15] CHR Extension: (Google Docs) - C:\Users\Patrycja\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2015-02-06] CHR Extension: (Google Drive) - C:\Users\Patrycja\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-11-02] CHR Extension: (SoundCloud Downloader) - C:\Users\Patrycja\AppData\Local\Google\Chrome\User Data\Default\Extensions\baignpanbngjdimbgmannbolcbplmofl [2016-04-23] CHR Extension: (YouTube) - C:\Users\Patrycja\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-09-30] CHR Extension: (Adblock Plus) - C:\Users\Patrycja\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2016-08-26] CHR Extension: (Google-Suche) - C:\Users\Patrycja\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-11-02] CHR Extension: (Google Docs Offline) - C:\Users\Patrycja\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-03-16] CHR Extension: (360 Internet Protection) - C:\Users\Patrycja\AppData\Local\Google\Chrome\User Data\Default\Extensions\glcimepnljoholdmjchkloafkggfoijh [2016-07-22] CHR Extension: (Chrome Web Store-Zahlungen) - C:\Users\Patrycja\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2016-04-05] CHR Extension: (Google Mail) - C:\Users\Patrycja\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-03-31] CHR Extension: (Chrome Media Router) - C:\Users\Patrycja\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2016-09-20] CHR HKLM-x32\...\Chrome\Extension: [kpdmjodecdegfglgaapafjleomjjlpnh] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [lifbcibllhkdhoafpjfnlhfpfgnpldfl] - C:\Program Files (x86)\Skype\Toolbars\ChromeExtension\skype_chrome_extension.crx [2016-05-25] Opera: ======= OPR Extension: (ProxFlow) - C:\Users\Patrycja\AppData\Roaming\Opera Software\Opera Stable\Extensions\pfhgklkklombiikjckbfpkadmlodekgo [2016-07-15] Reklamy zgłaszałeś w obu przeglądarkach. Jedyny element wspólny to ProxFlow. Przywróciłeś to rozszerzenie. Ono bedzie produkować i tak reklamy, to licencja "darmowej" wersji.

Temat przenoszę do odpowiedniego działu. W raportach nie widać klasycznych objaw infekcji, ale w Google Chrome i Opera masz zainstalowane rozszerzenie ProxFlow obchodzące limity geo-lokalizacji. ProxFlow jest wpierany przez reklamy: KLIK. Pozbądź się tego rozszerzenia z obu przeglądarek i podaj czy reklamy ustąpiły.

Opcje Lista BCD, MD5 sterowników, Pliki z 90-dni nie miały być zaznaczone. To skany pod określone zjawiska od dawna tu nie występujące (skan MD5 to w zasadzie martwa funkcja), produkujące zbyt obszerne logi. O te skany prosi prowadzący pomoc, gdy widzi podstawy do tego kroku. Logi poświadczają, że infekcja nie jest już aktywana, zostały tylko odpadki Y2Go w Harmonogramie zadań. Przy okazji usunę inne drobne szczątkowe wpisy (wliczając puste skróty). 1. Odinstaluj YTD Video Downloader 4.8.9 - instalator sponsorowany przez adware. Program zresztą jest już uszkodzony, naruszył go AdwCleaner. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {116E20E9-9FB6-4EF5-AF52-FAB16203C84D} - System32\Tasks\Y2Go\Updater\Y2GoUpdater => C:\Program Files (x86)\Y2GoUpdater\updater.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Y2Go C:\Windows\System32\Tasks\Y2Go Task: {22C7C0E8-17E7-43E1-A739-1BF30A17E358} - System32\Tasks\{176DA0D2-23FE-4B39-B2D2-917992A24166} => pcalua.exe -a "C:\Program Files (x86)\Electronic Arts\Need for Speed Carbon\EAUninstall.exe" Task: {5202F340-55C5-4835-912E-656B5CD23F8E} - System32\Tasks\{D78354CA-A9FD-4EBE-A490-488C4F3DCF7D} => pcalua.exe -a "C:\Program Files (x86)\Need for Speed Carbon\setup.exe" -d "C:\Program Files (x86)\Need for Speed Carbon" Task: {73C3D8E0-6355-4F04-BCAB-736A9E64313B} - System32\Tasks\{1F7CA4C6-1AEF-4370-B89B-844C4C20FB53} => Firefox.exe hxxp://ui.skype.com/ui/0/6.18.0.106/pl/abandoninstall?page=tsMain Task: {EA5F8ECE-5D71-451B-9F32-A4C4EF872FF1} - System32\Tasks\{70482A84-F927-432C-AE09-6365473F5C0B} => C:\Program Files (x86)\Electronic Arts\Need for Speed Carbon\NFSC.exe Task: {ECFD28C8-BE2A-4485-9AFD-50464D19F9AB} - System32\Tasks\{732CA07C-0ECD-4A10-90CC-6B882C9F4441} => pcalua.exe -a E:\RGSC\setup.exe -d E:\RGSC Task: {F1DF37AA-1C33-46B7-AE8F-A873AD948BA8} - System32\Tasks\{817020AA-4EE2-4C5B-8DB2-7CF01CA3E092} => pcalua.exe -a "C:\Program Files (x86)\Electronic Arts\Need for Speed Carbon\EAUninstall.exe" CustomCLSID: HKU\S-1-5-21-1031442287-3116140015-3841804844-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\Uzytkownik\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku S2 AODDriver4.2.0; \??\C:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 GDPkIcpt; \??\C:\Windows\system32\drivers\PktIcpt.sys [X] MSCONFIG\startupreg: RGSC => C:\Program Files (x86)\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\08498119.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\08498119.sys => ""="Driver" C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Electronic Arts C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gadu-Gadu C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YTD Video Downloader C:\Users\Uzytkownik\AppData\Local\Microsoft\Windows\GameExplorer\{1AA01F43-62F5-4CF8-958C-1C67E3340EAF} C:\Users\Uzytkownik\AppData\Roaming\gdscan.log C:\Users\Uzytkownik\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Steam C:\Users\Uzytkownik\Desktop\Nieuzywane skroty pulpitu\Adobe Reader XI.lnk C:\Users\Uzytkownik\Desktop\Nieuzywane skroty pulpitu\Grand Theft Auto IV-fullscreen.lnk C:\Users\Uzytkownik\Desktop\Nieuzywane skroty pulpitu\Need for *.lnk C:\Users\Uzytkownik\Desktop\Nieuzywane skroty pulpitu\Safe Money.lnk C:\Users\Uzytkownik\Desktop\Nieuzywane skroty pulpitu\YTD Video Downloader.lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.

Chodzi o uruchomienie skanów FRST i GMER z poziomu każdego systemu po kolei będąc zalogowanym w danym systemie. FRST nie skanuje innych dysków niż bieżący systemu.

Nie poddajemy się. Poza tym, jeszcze będą czynności końcowe do wykonania. Ale na razie: Dodatkowo, w wynikach wyszukiwania rejestru był dziwny odczyt z cudzysłowiem. Założyłam że to może być błąd skanu, ale po konsultacji z autorem nabrałam wątpliwości. Poproszę o odczyt z rejestru. Otwórz Notatnik i wklej w nim: Reg: reg query HKU\S-1-5-21-978019282-1476024836-731519584-1000 Zip: C:\Users\Tom\AppData\Local\Google\Chrome\User Data\Default\Secure Preferences Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Dostarcz wynikowy fixlog.txt. Poza tym, na Pulpicie powstanie Upload.zip - shostuj go gdzieś i wyślij link na PW.

Czyli twierdzisz, że dane są cały czas szyfrowane? Poproszę o nowe raporty FRST i GMER - raporty zrób z obu systemów, z Windows 8.1 i Windows XP.

Skrypt FRST uruchomiłeś dwa razy (to skrypt jednorazowego użytku i nie zrobi ponownie tego samego) i było to niepożądane (nadpisałeś plik Upload.zip i skopiował się tylko jeden plik). W każdym razie wygląda na to, że plik C:\ProgramData\encfiles.log trzyma listę wszystkich plików, które podlegały szyfrowaniu. Jest tam ogromna ilość ścieżek z innych dysków, np. I: czy K:... Otwórz ten plik i sprawdź wszystkie ścieżki tam wyliczane czy w tych miejscach są zaszyfrowane dane. Jeśli tak, zakres szkód jest obszerniejszy niż to raportowałeś. Jeśli chodzi o sam fakt przestawiania który system startuje, to nie widzę problemu. Co masz na myśli? Jakie zmiany? PS. I proszę już odpowiadaj w nowym poście.

Usuwanie FRST i GMER podałam powyżej.

Brakuje obowiązkowych raportów z FRST. A tematami innych użytkowników nie należy się sugerować, w każdym przypadku instrukcje są inne, dostosowane do tego co widać w systemie. Program Y2Go deinstalowałeś, więc ten proces mógł skasować automatycznie certyfikat. W temacie innego użytkownika ta instalacja była naruszona w inny sposób.

Brak oznak infekcji. HackTool.AutoKMS to detekcja cracka aktywacji Windows i Office. W raportach nie widzę oznak tej instalacji, więc to wygląda na odpadek po cracku który kiedyś był używany i niedoczyszczono po nim. Przez SHIFT+DEL (omija Kosz) skasuj z dysku cały folder C:\Program Files\KMSpico, folder C:\FRST oraz FRST/GMER i ich logi. To wszystko. PS. A GMER nie mogłeś dołączyć, bo zapisałeś go opcją w programie do pliku *.log (zabroniony w załącznikach), a nie jak w instrukcji opcją Kopiuj do ręcznego zapisu pliku *.txt.

Wg raportów FRST i GMER nie ma wpisów startowych i procesów infekcji, robiłeś zresztą Przywracanie systemu które cofnęło zmiany (lub infekcja ukończyła zadanie i samoczynnie się skasowała). Notatki ransom powinny być na wszystkich dyskach w większości folderów i dokładnie tego się spodziewałam mówiąc o obecności wielu dysków, a dziwić tu może że masz tylko częściowo zaszyfrowane dane w obrębie jednego folderu a nie wszędzie. To standardowe zachowanie takich infekcji - wstawiają komunikaty o opłatach za odkodowanie plików w ogromnej ilości miejsc, tam gdzie próbowały szyfrować dane. Po to powstał program RansomNoteCleaner, by masowo je usunąć. Co masz na myśli? Ten rodzaj infekcji próbuje szyfrować dane na każdym dostępnym dysku lokalnym i sieciowym, więc może być coś tam namieszane. Czy na pewno dane na innych dyskach są nienaruszone? 1. Doraźnie możesz doczyścić te śmieci o których mówiłam (odpadki adware, wpisy puste i lokalizacje tymczasowe). Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Zip: C:\ProgramData\encfiles.log;C:\Users\sm\Documents\uid.txt;C:\Users\sm\Downloads\Files encrypted.txt GroupPolicyScripts-x32: Ograniczenia <======= UWAGA CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA HKLM\...\Winlogon: [Userinit] C:\Windows\SysWOW64\userinit.exe, U3 TrueSight; C:\Windows\System32\drivers\TrueSight.sys [28272 2016-09-25] () S3 AndNetDiag; \SystemRoot\system32\DRIVERS\lgandnetdiag64.sys [X] S3 ANDNetModem; \SystemRoot\system32\DRIVERS\lgandnetmodem64.sys [X] MSCONFIG\Services: HitmanProScheduler => 2 MSCONFIG\Services: Nimzap => 2 ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku Handler: WSWSVCUchrome - {1CA93FF0-A218-44F1 - Brak pliku Task: {056795F2-CF65-4221-B486-5221608A113D} - System32\Tasks\Informacje o aplikacji 1.56.4 => C:\Users\sm\AppData\Local\Informacjeo\cscapi.exe Task: {3F9F910B-A3CA-4608-B9CE-AFD127823FE9} - System32\Tasks\{B2CB4621-D84A-4218-B576-8814C159E8B8} => pcalua.exe -a E:\PROGRAMY\Sterowniki\Sterowniki-klawiatura+mysz\g9\setpoint510_g9.exe -d E:\PROGRAMY\Sterowniki\Sterowniki-klawiatura+mysz\g9 Task: {7F3C904B-B841-4A04-AFD3-548B414F335E} - System32\Tasks\{C7CA1648-059C-46E7-BC6C-5320B3FC5030} => pcalua.exe -a "K:\Program files\cod4\pb\pbsetup.exe" -d "K:\Program files\cod4\pb" Task: C:\Windows\Tasks\DailyJive.job => c:\programdata\{2292c750-c4bc-3ec0-2292-2c750c4b1d43}\setup.exe <==== UWAGA Task: C:\Windows\Tasks\EasyDrag.job => c:\programdata\{62300322-db80-0674-6230-00322db80c8b}\frank 2014 movie soundtrack 320kbps.exe <==== UWAGA Task: C:\Windows\Tasks\TruFilters.job => c:\programdata\{8b86d72e-7d33-680b-8b86-6d72e7d35cb9}\sevensetup.exe <==== UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-3889843123-173433419-3160748714-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://search.msn.com/spbasic.htm HKU\S-1-5-21-3889843123-173433419-3160748714-1001\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://www.bing.com/search?q={searchTerms} URLSearchHook: HKLM-x32 -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1 SearchScopes: HKU\S-1-5-21-3889843123-173433419-3160748714-1001 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1 SearchScopes: HKU\S-1-5-21-3889843123-173433419-3160748714-1001 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSERBM&pc=MSERT1 SearchScopes: HKU\S-1-5-21-3889843123-173433419-3160748714-1001 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox\Extensions C:\Program Files\Reimage C:\ProgramData\uid.txt C:\ProgramData\Kaspersky Lab Setup Files C:\ProgramData\RogueKiller C:\ProgramData\Norton C:\Users\sm\AppData\Local\Temp.dat C:\Users\sm\AppData\Local\NPE C:\Users\sm\AppData\Roaming\fvVDTAjCtH C:\Users\sm\AppData\Roaming\uid.txt C:\Users\sm\AppData\Roaming\Opera Software C:\Users\sm\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WorldofTanks.lnk C:\Users\sm\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\sm\AppData\Roaming\Microsoft\Windows\SendTo\The Bat!.LNK C:\Users\sm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\The Bat!.LNK C:\Users\sm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\uTorrent.lnk C:\Users\sm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\sub2divx332 C:\Users\sm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\sub2divx332_videoaudio.pl C:\Users\sm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WorldofTanks C:\Users\sm\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\xln-online-installer-win C:\Users\sm\Desktop\RogueKiller-39028-dp.exe C:\Users\sm\Downloads\Files encrypted.txt C:\Users\sm\Documents\uid.txt C:\Windows\Reimage.ini C:\Windows\system32\Drivers\TrueSight.sys CMD: ipconfig /flushdns CMD: netsh advfirewwall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Na Pulpicie powstał też plik Upload.zip. Shostuj gdzieś i wyślij mi na PW link. 2. Nabite notatki ransom możesz spróbować usunąć za pomocą RansomNoteCleaner (należy wybrać typ infekcji i wskazać, by czyszczenie odbyło się z całości dysku).

Skoro wcześniej był jednak starszy punkt Przywracania, a nie pomógł, nie jest wykluczone że zaszyfrowane dane po prostu nie były w nim uwzględnione lub infekcja wykonała jakąś manipulację uniemożliwiającą ten rodzaj operacji. Nic więcej tu nie da się obecnie wymyślić, jedynie próba z programem do odzyskiwania danych. Jeśli to zawiedzie, zachować zaszyfrowane pliki w nadziei, że w przyszłości pojawi się dekoder. Na razie zero szans na dekoder, ta infekcja jest świeża i nawet jej mechanizm nie jest obecnie w pełni znany. Tak, wiem co Ci się pokazuje. Te notatki ransom nie są szkodliwe same w sobie i można je usunąć. W linku który podałam autor serwisu Ransomware ID już wstawił do niego dane o tej infekcji, czyli przypuszczalnie RansomNoteCleaner obsługuje już usuwanie notatek tej infekcji.

Wg FRST nie ma takiego punktu Przywracania w systemie, najstarszy punkt jest datowany na 24: ==================== Punkty Przywracania systemu ========================= 24-09-2016 04:00:13 Operacja przywracania 24-09-2016 20:09:56 Norton_Power_Eraser_20160924200956449 24-09-2016 20:14:10 Operacja przywracania 25-09-2016 12:51:52 Norton_Power_Eraser_20160925125151644 Jak mówię, nie ma sposobu na odkodowanie plików. Jedyne co Ci zostaje, to próba użycia programu do odzyskiwania danych. Szanse są marne, bo dysk podlegał zapisom. A czyszczenie systemu ze śmieci to sprawa podrzędna.

Dodałeś logi. W logu następujące elementy: 2016-09-24 04:04 - 2016-09-24 10:20 - 00000328 _____ C:\Users\sm\Downloads\Files encrypted.txt 2016-09-24 02:25 - 2016-09-24 04:03 - 00000020 _____ C:\Users\sm\Documents\uid.txt 2016-09-24 02:25 - 2016-09-24 04:03 - 00000020 _____ C:\Users\sm\AppData\Roaming\uid.txt 2016-09-24 02:25 - 2016-09-24 04:03 - 00000020 _____ C:\ProgramData\uid.txt To Unblockupc Ransomware i obecnie nie ma szans na odkodowanie plików: KLIK. Punkty Przywracania odpadają, używałeś najstarszy dostępny, który najwyraźniej został utworzony już po ataku infekcji. Poza tym, jest tu masa dysków / partycji i zapewne każdy z nich podlegał szyfrowaniu, a Przywracanie systemu domyślnie chroni tylko dysk systemowy, więc ta metoda i tak nie ma tu zastosowania. Jedyne więc co możesz zrobić, to skorzystać z programów do odzyskiwania danych, ale czarno to widzę. Dysk cały czas był na chodzie, liczne zapisy (w tym Przywracanie systemu), co sukcesywnie obniża zdolność odzysku poprzednich wersji. Poza tym, nie jest do końca znana natura infekcji, jeśli wymazuje dane w tzw. "bezpieczny sposób", to nawet odzysk tą metodą odpada. Jedyne czym jestem się w stanie zająć, to doczyszczenie śmieci w logu i nic więcej. Decyduj co robimy.

Jeśli porządki w aplikacjach są jeszcze w toku, to narazie się wstrzymam z doczyszczaniem drobnostek. Po wszystkich deinstalacjach zrób nowe raporty FRST.txt + Addition.txt i podmień załączniki w poście powyżej.

Opis wskazuje, że doszło do infekcji szyfrującej dane. I prawdopodobnie odszyfrowanie plików awykonalne (czyli utrata danych), skanery nie pomogą odszyfrować plików (mogą jedynie usunąć infekcję która do tego doprowadziła). Jest tu za mało danych, jest multum takich infekcji i muszę wiedzieć o którą chodzi. Proszę o raporty z FRST i GMER. PS. Tak, ComboFix nie działa na nowszych systemach niż pierwsza wersja Windows 8. I tak nic by tu nie wskórał.