picasso
-
Postów
36 524 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez picasso
-
-
Zasady działu: KLIK. Tu jest zakaz podpinania się pod cudze wątki. Wydzielone w osobny temat. Dostarcz obowiązkowe logi z FRST, jak wyszczególnione w zasadach.
-
damascus7
Upłynął miesiąc, brak odpowiedzi, więc temat zamykam.
romand
Tę kwestię objaśnia odpowiedź tutaj: KLIK.
Because Truecrypt is transparent On-The-Fly encryption, in an FDE scenario, the attacker would be encrypting the plaintext-data within the container, which Truecrypt would then convert to ciphertext-data, so yes, it can affect you, but no it is not "overwriting" the truecrypt encryption. The OS can't see the Truecrypt layer, just the plaintext that Truecrypt exposes when the encrypted disk is mounted.
So you would in effect be storing encrypted data that someone else (the ransomware) had already encrypted once. Alternately, Ransomware might encrypt a truecrypt volume (non-FDE) upon your filesystem by encrypting the container file. Once you decrypted the files the ransomware messed with, your Truecrypt volume would revert to being exactly as it was before the attack.
The only way to protect your data from Ransomware at a disk level is to prevent your user from writing to that data. If the user can write, then the attacker can encrypt your files and delete the originals.
-
Owszem, to jest miejsce z którego startuje crack i to część zestawu, uruchomienie następuje via Harmonogram zadań:
Task: {767108ED-CD0D-4CBE-B996-C1D4F15C49ED} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2016-05-13] ()
Ale ten katalog prawdopodobnie nie zawiera deinstalatora i powinieneś posłużyć się tym czym wprowadziłeś crack, by go poprawnie odinstalować.
-
Temat przenoszę do działu Windows. Brak jakichkolwiek oznak infekcji.
CytatJak w temacie - system potrafi się przywiesić, zamulić a przy restarcie czasami długo uruchamia. Ciężko to z czymś skojarzyć, zresetowałem Firefoksa i niby troszkę lepiej.
Z raportów nic nie wynika, a przetwarzanie drobnych pustych wpisów na razie pomijam (brak znaczenia). Czy te objawy na pewno nadal występują po deinstalacji AVG?
Jedyne co mi przychodzi teraz do głowy, to deinstalacje zbędnych aplikacji preintegrowanych na Lenovo, tych z których nie korzystasz, co wyeliminowałoby przynajmniej niektóre obiekty startowe. Odrzucając sterowniki, diagnostyk i soft Recovery:
Cisco EAP-FAST Module (HKLM-x32\...\{64BF0187-F3D2-498B-99EA-163AF9AE6EC9}) (Version: 2.2.14 - Cisco Systems, Inc.) Cisco LEAP Module (HKLM-x32\...\{AF312B06-5C5C-468E-89B3-BE6DE2645722}) (Version: 1.0.19 - Cisco Systems, Inc.) Cisco PEAP Module (HKLM-x32\...\{0A4EF0E6-A912-4CDE-A7F3-6E56E7C13A2F}) (Version: 1.1.6 - Cisco Systems, Inc.) CyberLink PowerDirector 10 (HKLM-x32\...\InstallShield_{B0B4F6D2-F2AE-451A-9496-6F2F6A897B32}) (Version: 10.0.0.2810 - CyberLink Corp.) Hightail for Lenovo (HKLM\...\{2F10E937-F6D7-4174-8AB9-B299E8FC5CEC}) (Version: 2.4.97.2857 - Hightail, Inc.) Lenovo FusionEngine (HKLM-x32\...\Lenovo FusionEngine) (Version: 1.0.13.0 - Lenovo, Inc.) Lenovo Mobile Phone Wireless Import (HKLM-x32\...\InstallShield_{DFB2E0D6-8DDE-49A4-B8F7-03C14DACCBA6}) (Version: 1.1.1.9 - Lenovo) Lenovo PhoneCompanion (HKLM-x32\...\InstallShield_{0F82EA83-B0C5-4AB9-9695-DFE92C5FD57B}) (Version: 1.2.0.0 - Lenovo) Lenovo Photo Master (HKLM-x32\...\InstallShield_{BC94C56A-3649-420C-8756-2ADEBE399D33}) (Version: 1.0.1823.01 - CyberLink Corp.) Lenovo PowerDVD10 (HKLM-x32\...\InstallShield_{DEC235ED-58A4-4517-A278-C41E8DAEAB3B}) (Version: 10.0.5630.52 - CyberLink Corp.) Lenovo SHAREit (HKLM-x32\...\Lenovo SHAREit_is1) (Version: 2.0.5.0 - Lenovo Group Limited) Lenovo Solution Center (HKLM\...\{4386A5EF-BD23-49F4-9DAD-CD76B4F6A8BF}) (Version: 2.8.006.00 - Lenovo Group Limited) Lenovo VeriFace Pro (HKLM\...\Lenovo VeriFace) (Version: 5.0.14.1061 - Lenovo) Metric Collection SDK 35 (x32 Version: 1.2.0001.00 - Lenovo Group Limited) Hidden Power2Go (HKLM-x32\...\{40BF1E83-20EB-11D8-97C5-0009C5020658}) (Version: 5.6.0.10525 - CyberLink Corp.) SHAREit (HKLM-x32\...\SHAREit_is1) (Version: 3.2.0.526 - Lenovo) Visual Studio 2012 x64 Redistributables (HKLM\...\{8C775E70-A791-4DA8-BCC3-6AB7136F4484}) (Version: 14.0.0.1 - AVG Technologies) Visual Studio 2012 x86 Redistributables (HKLM-x32\...\{98EFF19A-30AB-4E4B-B943-F06B1C63EBF8}) (Version: 14.0.0.1 - AVG Technologies CZ, s.r.o.)Wpis "Metric Collection SDK 35" jest ukryty, więc do jego usunięcia Program Install and Uninstall Troubleshooter.
-
Masa uszkodzonych plików i jest do nie do naprawienia automatycznie bez przesłania idealnych wersji komponentów ze sprawnego systemu. Wyników jest jednak tak dużo, a skan nawet niepełny, że ta robota raczej odpada i klaruje się przeinstalowanie Windows. Z tym że niemożność ukończenia skanu SFC brzmi niepokojąco i może być oznaką problemów grubszego kalibru z dyskiem twardym (złe bloki). Toteż przesuwam temat na diagnostykę dysku do działu Hardware. Dostarcz dane wymagane działem: KLIK.
-
Skrypt FRST wykonany. Mała poprawka. Otwórz Notatnik i wklej w nim:
DeleteKey: HKCU\Software\Mozilla\Seamonkey C:\Users\Administrator\AppData\Roaming\c* C:\Windows\system32\java.exe C:\Windows\system32\javaw.exe
Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu.
Czy w programie autoruns w zakładce np. Codecs wpisy zaznaczone na różowo są do usunięcia?
np.wartość: vidc.VSPX Dane wartości: vspxvfw.dll
po kliknięciu w properties pojawia się, że plik nieznaleziony.
Natomiast w kolejnym różowym wpisie:
Haali Video Renderer (Not verified) c:\program files\k-lite codec pack\filters\haali\dxr.dll 2013-04-14 11:59
plik jest dostępny.
Czy to jakieś ostrzeżenia? Stary plik, etc?
Czy na pewno oba wpisy są na różowym tle? Rekordy typu "not found" powinny być na żółtym, natomiast pliki nie podpisane cyfrowo na różowym.
-
1. Jeśli chodzi o błąd ShellExperienceHost, spróbuj przeinstalować tę aplikację. Uruchom menedżer zadań > Plik > Uruchom nowe zadanie > w polu wklep powershell > zaznacz "Utwórz to zadanie z uprawnieniami administracyjnymi". W onie PowerShell wklej poniższe polecenie:
Get-AppxPackage -allusers Microsoft.Windows.ShellExperienceHost | Foreach {Add-AppxPackage -DisableDevelopmentMode -Register "$($_.InstallLocation)\AppXManifest.xml"}
Jeśli komenda się poprawnie wykona, zrestartuj system i podaj czy nadal są problem z Menu Start.
2. Natomiast nie jestem pewna co sądzić o błędzie Cortany. Cortana nie jest aktywna na polskich Windows 10 (niedostępna dla tego regionu): KLIK. Aczkolwiek u mnie diagnostyk MS nie zwraca błędu związanego z Cortaną.
-
DelFix wykonał robotę. Skasuj z dysku plik raportu C:\delfix.txt.
Temat rozwiązany. Zamykam. I wielkie dzięki za ewenualne wsparcie.
-
BSOD, więc brak zmian, nadal te same wpisy w raporcie. Powtarzaj całą operację od początku, tylko w punkcie 1 Fix wywołaj z poziomu Trybu awaryjnego, a ze skryptu wytnij komendę CreateRestorePoint: (nie działa w Trybie awaryjnym).
-
Temat przenoszę do działu Windows. Brak oznak, by problemy były pochodną infekcji. Podejrzenia za to mogą budzić programy zabezpieczające (Avast i IOBit), z tym że IOBit został co dopiero zainstalowany, więc go wykluczam.
1. Zacznij od testu czy Avast jest powiązany, tzn. go tymczasowo odinstaluj. Przy okazji pozbądź się też IObit Malware Fighter 4 ze względu na reputację ogólną producenta: KLIK. Sugeruję wywalić też pozostałe programy IOBit.
2. W spoilerze dodatkowe poboczne czyszczenie wpisów odpadkowych / pustych oraz Tempów.
Otwórz Notatnik i wklej w nim:
CloseProcesses: CreateRestorePoint: Task: {08DBC7A3-9128-4A31-A0B0-BB855DA40855} - \PCDoctorBackgroundMonitorTask -> Brak pliku Task: {2251C52E-909A-4372-9AF4-6A6877B85DE5} - System32\Tasks\{D2F4330D-B13F-42CB-9C49-38DD3AAE5FCC} => pcalua.exe -a "C:\Program Files (x86)\Gadu-Gadu\gg.exe" -d "C:\Program Files (x86)\Gadu-Gadu" Task: {33F9B619-EBC8-4567-8BB1-CF9AFD6DAEE0} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {4626872F-34AC-4657-974F-B311644027A6} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {5CC4E0A1-6FAB-4D26-87B5-B6FE8AD37310} - \SystemToolsDailyTest -> Brak pliku Task: {8FD19BBA-4D31-4D26-BDE2-EEEEFB1BEEEC} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {932B3FA5-07E7-4E4A-B391-D05705A0197C} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {CDCED053-0814-4182-82B0-BC63C88147AE} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {E51A2A43-7751-4E16-BF0E-B81726DDB9EC} - \PCDEventLauncherTask -> Brak pliku HKLM-x32\...\Run: [FAStartup] => [X] HKU\S-1-5-21-598763898-964273417-681385867-1001\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.) BootExecute: autocheck autochk * sdnclean64.exe S3 dtlitescsibus; C:\Windows\System32\drivers\dtlitescsibus.sys [30264 2016-01-12] (Disc Soft Ltd) S3 dtliteusbbus; C:\Windows\System32\drivers\dtliteusbbus.sys [46392 2016-01-12] (Disc Soft Ltd) S3 BTATH_BUS; \SystemRoot\System32\drivers\btath_bus.sys [X] U3 DfSdkS; Brak ImagePath HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia SearchScopes: HKU\S-1-5-21-598763898-964273417-681385867-1001 -> DefaultScope {D8BC7712-8AB4-4BF4-806F-353FDC4D5EB5} URL = SearchScopes: HKU\S-1-5-21-598763898-964273417-681385867-1001 -> {D8BC7712-8AB4-4BF4-806F-353FDC4D5EB5} URL = Tcpip\..\Interfaces\{b06d7cc4-a9df-4ed9-b3cd-112b93360b05}: [DhcpNameServer] 172.5.1.171 Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "CCleaner Monitoring" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v SpybotPostWindows10UpgradeReInstall /f DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files\Common Files\AV\Spybot - Search and Destroy C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ILLUSION\@Home Mate C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ILLUSION\ILLUSION SchoolMate C:\Users\Public\Desktop\Addon characters MOD.lnk C:\Users\Public\Desktop\Launch SchoolMate.lnk C:\Users\Public\Desktop\My Software Deals.url C:\Windows\System32\drivers\dtlitescsibus.sys C:\Windows\System32\drivers\dtliteusbbus.sys EmptyTemp:Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy po usunięciu Avast jest jakaś zmiana.
PS. Widzę, że niedawno zainstalowałeś trupa Gadu-Gadu 6.1, w którym prawie nic nie działa jak powinno ze względu na ogromne zmiany w protokole GG. Jaki był powód tego działania, skoro posiadasz WTW?
-
Nie wiem skąd pobierałeś FRST, użyta starsza wersja FRST, nowa pochodzi z wczoraj... Temat zostaje przeniesiony pod bardziej dopasowanym do problemu tytułem do działu Windows, żadnych oznak, by problemy były wynikiem infekcji. W Chrome owszem adware APSuggestor, ale to nie jest powiązane. DNS_PROBE_FINISHED_NXDOMAIN to błąd Google Chrome, nic nie wypowiadasz się na temat innych przeglądarek. Kolejna sprawa to kontekst konta z poziomu którego zrobionoi raporty z FRST, pochodzą z konta Piotr, ale w systemie są jeszcze dwa dodatkowe Michal i Pitek, nie wiadomo czy błędy widzisz na wszystkich.
Jeśli chodzi o użycie ComboFix (brak raportu), to prawdopodobnie uszkodził te skróty deinstalacyjne wywalając powiązane pliki z dysku (o ile pamięć mnie nie myli, usuwa tego rodzaju pliki):
G:\Documents and Settings\All Users\Menu Start\Programy\WYSIWYG Web Builder 8\Uninstall WYSIWYG Web Builder 8.lnk -> G:\WINDOWS\iun6002.exe (Brak pliku) G:\Documents and Settings\All Users\Menu Start\Programy\Sabrina - Nastoletnia czarownica\Magiczna czapka\Odinstaluj grę Sabrina.lnk -> G:\WINDOWS\IsUn0415.exe (Brak pliku) G:\Documents and Settings\All Users\Menu Start\Programy\Gry\Invictus\Usunięcie gry Invictus.lnk -> G:\WINDOWS\IsUn0415.exe (Brak pliku)
Wstępnie rozwiąż problemy widziane w raportach:
1. Masowe oznaczenia Brak podpisu cyfrowego dla usług i sterowników Microsoftu, co oznacza uszkodzenie bazy Usług kryptograficznych. Uruchom narzędzie Fix It 50202 (działa na XP): KLIK. Zaznacz tryb agresywny, który m.in. zawiera reset bazy catroot2.
2. Przez Dodaj/Usuń programy odinstaluj stare niebezpieczne wersje z lukami: Adobe Flash Player 11 ActiveX, Adobe Flash Player 21 NPAPI, Bonjour, Gadu-Gadu 7.6, Google Talk Plugin (nie działa już), Java 7 Update 21, Java 7 Update 6, Opera 12.17, QuickTime, Real Alternative 1.32, Safari, Visual C++ Runtime for Dragon NaturallySpeaking (odpadek).
3. Usunięcie odpadkowych i pustych wpisów (w tym skrótów):
Otwórz Notatnik i wklej w nim:
CloseProcesses: CreateRestorePoint: HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-57989841-261478967-725345543-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-57989841-261478967-725345543-1003\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch BHO: Brak nazwy -> {00C6482D-C502-44C8-8409-FCE54AD9C208} -> Brak pliku BHO: Brak nazwy -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> Brak pliku BHO: Brak nazwy -> {85F685C3-20D9-4943-95E4-EB4224056C3F} -> Brak pliku BHO: Brak nazwy -> {8664889D-ED18-4713-918F-E2BB69D8452B} -> Brak pliku BHO: Brak nazwy -> {95D9ECF5-2A4D-4550-BE49-70D42F71296E} -> Brak pliku BHO: Brak nazwy -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> Brak pliku Toolbar: HKLM - Brak nazwy - {85F685C3-20D9-4943-95E4-EB4224056C3F} - Brak pliku Toolbar: HKLM - Brak nazwy - {8664889D-ED18-4713-918F-E2BB69D8452B} - Brak pliku Toolbar: HKLM - Brak nazwy - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - Brak pliku Toolbar: HKLM - Brak nazwy - {9f6b5cc3-5c7b-4b5c-97af-19dec1e380e5} - Brak pliku FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - G:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension HKU\S-1-5-21-57989841-261478967-725345543-1003\Software\Classes\exefile: <===== UWAGA S3 EsgScanner; G:\WINDOWS\System32\DRIVERS\EsgScanner.sys [19984 2015-02-02] () S0 BTHidEnum; System32\Drivers\vbtenum.sys [X] S0 BTHidMgr; System32\Drivers\BTHidMgr.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 MSICDSetup; \??\K:\CDriver.sys [X] U5 phunter; G:\WINDOWS\system32\unikey.sys [13816 2015-05-07] () S1 sbaphd; system32\drivers\sbaphd.sys [X] S2 sbapifs; system32\drivers\sbapifs.sys [X] S3 SFilter; system32\DRIVERS\pctfw.sys [X] S3 sony_ssm.sys; \??\G:\DOCUME~1\Piotr\USTAWI~1\Temp\sony_ssm.sys [X] DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\G:^Documents and Settings^Piotr^Menu Start^Programy^Autostart^Dragon NaturallySpeaking.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\G:^Documents and Settings^Piotr^Menu Start^Programy^Autostart^HDDlife.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Pro Agent DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\KernelFaultCheck DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpyHunter Security Suite DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main G:\Documents and Settings\All Users\Dane aplikacji\{7D02E217-4500-4164-8844-56DFA1296C3E} G:\Documents and Settings\All Users\Dane aplikacji\APSuggestor G:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{92BFCA7F-8A74-4B56-AF0C-99FFEEFA69CE} G:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{C05D8CDB-417D-4335-A38C-A0659EDFD6B8} G:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{C35A07D6-994B-4ACA-A5B0-01040527350A} G:\Documents and Settings\All Users\Menu Start\Roulette Bot Plus.lnk G:\Documents and Settings\All Users\Menu Start\Programy\Microsoft Research\Kodu Game Lab G:\Documents and Settings\All Users\Menu Start\Programy\PC Tools Firewall Plus G:\Documents and Settings\All Users\Menu Start\Programy\PIT Format 2012 G:\Documents and Settings\All Users\Menu Start\Programy\Gry\KAPITALSIN\Just Cause G:\Documents and Settings\All Users\Pulpit\Configure Kodu Game Lab.lnk G:\Documents and Settings\All Users\Pulpit\Kodu Game Lab.lnk G:\Documents and Settings\All Users\Pulpit\Wznów Instalację Reimage Repair.lnk G:\Documents and Settings\Piotr\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Opera (2).lnk G:\Documents and Settings\Piotr\Dane aplikacji\Mozilla\plugins G:\Documents and Settings\Piotr\Menu Start\Programy\Gry\Avalon G:\Documents and Settings\Piotr\Menu Start\Programy\Gry\Techland G:\Documents and Settings\Piotr\Menu Start\Programy\Gry\DoubleGames\Grand Master Chess Online.lnk G:\Documents and Settings\Piotr\Menu Start\Programy\MetaProducts Download Express\Niekompletnie pobrane\Fieldrunners 2 v1.0 (Apk+SD OBB).part1.rar z s5994.chomikuj.pl.lnk G:\Documents and Settings\Piotr\Pulpit\Internet Download Manager.lnk G:\Documents and Settings\Piotr\Pulpit\FILMY\WinX Club. Ńâčäŕíčĺ Ńňĺëëű.lnk G:\Documents and Settings\Piotr\Pulpit\GRAFIKA\SnagIt 7.lnk G:\Documents and Settings\Piotr\Pulpit\GRY\Auta - Przygody w Chłodnicy Górskiej.lnk G:\Documents and Settings\Piotr\Pulpit\GRY\Grand Master Chess Online.lnk G:\Documents and Settings\Piotr\Pulpit\GRY\Mały Adibu z wizytą w zoo.lnk G:\Documents and Settings\Piotr\Pulpit\GRY\Medieval Defenders.lnk G:\Documents and Settings\Piotr\Pulpit\GRY\Play to Just Cause.lnk G:\Documents and Settings\Piotr\Pulpit\GRY\Scooby-Doo 2 - Potwory na gigancie.lnk G:\Documents and Settings\Piotr\Pulpit\GRY\Scooby-Doo! Nawiedzone Bagno.lnk G:\Documents and Settings\Piotr\Pulpit\GRY\Scooby-Doo™ Pierwsze Strachy.lnk G:\Documents and Settings\Piotr\Pulpit\GRY\SpongeBob and the Clash of Triton.lnk G:\Documents and Settings\Piotr\Pulpit\GRY\Star Wars Empire at War Forces of Corruption.lnk G:\Documents and Settings\Piotr\Pulpit\GRY\Star Wars Empire at War.lnk G:\Documents and Settings\Piotr\Pulpit\GRY\Winx Club - Âîęđóă Ńâĺňŕ.lnk G:\Documents and Settings\Piotr\Pulpit\GRY\Worms Clan Wars.lnk G:\Documents and Settings\Piotr\Pulpit\GRY\Świat Kucyków 2.lnk G:\Documents and Settings\Piotr\Pulpit\NAGRYWANIE I OBRAZY\Express Rip.lnk G:\Documents and Settings\Piotr\Pulpit\nie uzywane\cap.lnk G:\Documents and Settings\Piotr\Pulpit\nie uzywane\cap2.lnk G:\Documents and Settings\Piotr\Pulpit\nie uzywane\Cheats24.org csg-10122.lnk G:\Documents and Settings\Piotr\Pulpit\nie uzywane\PLAY ONLINE.lnk G:\Documents and Settings\Piotr\Pulpit\nie uzywane\Skrót do dlink.lnk G:\Documents and Settings\Piotr\Pulpit\nie uzywane\Skype.lnk G:\Program Files\Mozilla Firefox\plugins G:\WINDOWS\Reimage.ini G:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension G:\WINDOWS\pss\Dragon NaturallySpeaking.lnkStartup G:\WINDOWS\pss\HDDlife.lnkStartup G:\WINDOWS\System32\Drivers\EsgScanner.sys G:\WINDOWS\system32\Drivers\etc\hosts,old CMD: netsh firewall reset Hosts: EmptyTemp:Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
4. Czyszczenie przeglądarek na koncie Piotr:
- Przed czyszczeniem wyeksportuj z przeglądarek zakładki, zaimportujesz je potem na świeże profile.
- Zamknij Firefox. Start > Uruchom > wklej komendę "G:\Program Files\Mozilla Firefox\firefox.exe" -p i w menedżerze profilów załóż całkiem nowy a wszystkie pozostałe skasuj.
- W Google Chrome menu Ustawienia > karta Ustawienia > Osoby > załóż całkowicie nowy profil i się na niego zaloguj. Okno poprzedniego zamknij. Pousuwaj pozostałe profile w opcjach.
- Po założeniu nowych profilów na razie nie instaluj żadnych rozszerzeń w przeglądarkach.
5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy widzisz jakieś zmiany.
-
Cytat
Chociaż nie wiem dlaczego teraz zużycie procesora na firefox jest większe i wiatrak chodzi głośniej, ale to pewnie nie ma znaczenia
Żadnych nowych obiektów infekcji, natomiast w Firefox zostały masowo domontowane różne rozszerzenia, więc to one budzą podejrzenia:
FF Extension: Google Translator for Firefox - C:\Users\Agata\AppData\Roaming\Mozilla\Firefox\Profiles\jgsdud32.default-1468599369378\extensions\translator@zoli.bod.xpi [2016-07-15] FF Extension: Online Convert - C:\Users\Agata\AppData\Roaming\Mozilla\Firefox\Profiles\jgsdud32.default-1468599369378\extensions\firefox@online-convert.com.xpi [2016-07-15] FF Extension: To Google Translate - C:\Users\Agata\AppData\Roaming\Mozilla\Firefox\Profiles\jgsdud32.default-1468599369378\Extensions\jid1-93WyvpgvxzGATw@jetpack.xpi [2016-07-15] FF Extension: YouTube™ HD Plus - C:\Users\Agata\AppData\Roaming\Mozilla\Firefox\Profiles\jgsdud32.default-1468599369378\Extensions\jid1-wkCmfgboni3B1Q@jetpack.xpi [2016-07-15] FF Extension: uBlock Origin - C:\Users\Agata\AppData\Roaming\Mozilla\Firefox\Profiles\jgsdud32.default-1468599369378\Extensions\uBlock0@raymondhill.net.xpi [2016-07-15] FF Extension: Video DownloadHelper - C:\Users\Agata\AppData\Roaming\Mozilla\Firefox\Profiles\jgsdud32.default-1468599369378\Extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}.xpi [2016-07-15] FF Extension: Adblock Plus - C:\Users\Agata\AppData\Roaming\Mozilla\Firefox\Profiles\jgsdud32.default-1468599369378\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2016-07-15]Np. skoro masz uBlock Origin to Adblock Plus zbędny. Nie jest też wiadome ile filtrów załadowałaś w obu blokerach, tzn. czy zachowałaś standardową instalację, czy zmieniłaś coś. Im więcej filtrów zaznaczonych, tym bardziej ociężała przeglądarka. Dotyczy to każdego blokera reklam.
I na koniec ponownie zastosuj DelFix. To wszystko.
-
Brakuje trzeciego obowiązkowego pliku FRST Shortcut. Był tu stosowany ComboFix i na przyszłość: KLIK. Obecnie nie jest to nawet zbyt dobry program do usuwania adware/PUP, większą specjalizację w tej materii ma np. (również tu stosowany) AdwCleaner.
Jedyne co widać w raporcie, to 3 podejrzane sterowniki gamzexalias + viavkrext + vonetframe i związane z nimi moduły. Przy okazji będę także adresować poniższe błędy w Dzienniku zdarzeń poprzez reset plików idstore.*:
Dziennik System: ============= Error: (07/21/2016 12:13:21 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Grupowanie sieci równorzędnej zależy od usługi Protokół rozpoznawania nazw równorzędnych, której nie można uruchomić z powodu następującego błędu: %%-2140993535 Error: (07/21/2016 12:13:21 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Protokół rozpoznawania nazw równorzędnych zakończyła działanie; wystąpił następujący błąd: %%-2140993535 Error: (07/21/2016 12:13:21 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Grupowanie sieci równorzędnej zależy od usługi Protokół rozpoznawania nazw równorzędnych, której nie można uruchomić z powodu następującego błędu: %%-2140993535 Error: (07/21/2016 12:13:21 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Protokół rozpoznawania nazw równorzędnych zakończyła działanie; wystąpił następujący błąd: %%-2140993535 Error: (07/21/2016 12:13:21 PM) (Source: PNRPSvc) (EventID: 102) (User: ) Description: 0x80630801
Działania do przeprowadzenia:
1. Otwórz Notatnik i wklej w nim:
CloseProcesses: CreateRestorePoint: R2 gamzexalias; C:\Windows\system32\drivers\trayftptd.sys [140400 2009-07-14] () R1 viavkrext; C:\Windows\system32\drivers\viavkrext.sys [545384 2016-05-09] () [Brak podpisu cyfrowego] R1 vonetframe; C:\Windows\system32\drivers\vonetframe.sys [851560 2016-05-23] () [Brak podpisu cyfrowego] ShellIconOverlayIdentifiers: [BaiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => C:\Program Files (x86)\Baidu Security\Baidu Antivirus\5.4.3.133394.0\BavShx64.dll Brak pliku CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-3860599293-1058024457-1363361982-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-3860599293-1058024457-1363361982-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKU\S-1-5-21-3860599293-1058024457-1363361982-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main FF Plugin HKU\S-1-5-21-3860599293-1058024457-1363361982-1000: @tools.google.com/Google Update;version=3 -> C:\Users\7\AppData\Local\Google\Update\1.3.29.5\npGoogleUpdate3.dll [Brak pliku] FF Plugin HKU\S-1-5-21-3860599293-1058024457-1363361982-1000: @tools.google.com/Google Update;version=9 -> C:\Users\7\AppData\Local\Google\Update\1.3.29.5\npGoogleUpdate3.dll [Brak pliku] CustomCLSID: HKU\S-1-5-21-3860599293-1058024457-1363361982-1000_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\7\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3860599293-1058024457-1363361982-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\7\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3860599293-1058024457-1363361982-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\7\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3860599293-1058024457-1363361982-1000_Classes\CLSID\{E8CF3E55-F919-49D9-ABC0-948E6CB34B9F}\InprocServer32 -> C:\Users\7\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => Brak pliku C:\ProgramData\winfirewall C:\Users\7\AppData\Local\{F2A0BBF0-D7F0-4519-B9E9-7ABE6EE6A10D} C:\Users\7\AppData\Local\5DE9302D0D38 C:\Users\7\AppData\Local\BIT2E71.tmp C:\Windows\viavkrextHelp.dll C:\Windows\viavkrextHelp(40).dll C:\Windows\vonetframeHelp.dll C:\Windows\vonetframeHelp(41).dll C:\Windows\system32\drivers\viavkrext.sys C:\Windows\system32\drivers\vonetframe.sys C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\PeerNetworking\idstore.* EmptyTemp:Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
2. Wyczyść Dzienniki zdarzeń. Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator. W sekcji Dzienniki systemu Windows z prawokliku wyczyść gałęzie Aplikacja i System. W sekcji Dzienniki aplikacji i usług > Microsoft > Windows > CodeIntegrity > z prawokliku wyczyść Operational. Po akcji zresetuj system, by nagrały się nowe błędy w Dzienniku zdarzeń.
3. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal występują problemy.
-
Wszystko wygląda na zrobione. Dla świętego spokoju możesz zrobić dla potwierdzenia ostatnie logi FRST (FRST.txt + Addition.txt, bez Shortcut).
-
1. Na koncie Biuro nie widać nic ciekawego. Tylko w Firefox przekonfiguruj w opcjach stronę startową, obecnie ustawiona sponsorowana:
FF Homepage: hxxp://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki
2. Na koniec pousuwaj z obu kont pobrane narzędzia i ich logi. Następnie na dowolnym z kont zapuść DelFix oraz wyczyść foldery Przywracania systemu: KLIK.
To wszystko.
-
Podejrzewam, że problem tworzyły pozostałości po infekcji DNS Unlocker (izraelskie adresy DNS):
Tcpip\..\Interfaces\{A8A3C5F9-E5DC-43E3-821F-22660015189D}: [NameServer] 82.163.143.187,82.163.142.187
Wpis ten pojawił się dopiero w drugim logu FRST i go jakoś przeoczyłam.
-
W raportach brak jakichkolwiek oznak infekcji. Możesz wykonać poboczne działania:
1. Odinstaluj AVG Web TuneUp. To zbędny element instalacji, klasyfikowany nawet jako "PUP", rekonfigurujący przeglądarki na sponsorowane wyszukiwarki.
2. Kosmetyczny skrypt usuwający odpadkowe wpisy i czyszczący Temp. Otwórz Notatnik i wklej w nim:
CloseProcesses: CreateRestorePoint: Task: {17CB82BC-C80D-4BD5-AC89-FB78F8142C46} - System32\Tasks\0615tbUpdateInfo => C:\ProgramData\Avg_Update_0615tb\0615tb_{EC2EB56D-F61B-4254-8F63-EFCEE17F9E9C}.exe Task: {61BB74E3-58A1-48D0-8E1C-078D1BC2431E} - System32\Tasks\{62EA9FEC-E775-4805-A002-0B779236C781} => pcalua.exe -a D:\Gry\starwars\LaunchEAW.exe -d D:\Gry\starwars Task: {8F839BB0-1271-447F-9AD7-BA643BCD9DCB} - System32\Tasks\{A5CB3A00-34C1-4BD5-9DB7-771D985143DC} => pcalua.exe -a D:\Gry\hp1\System\HP.exe -d D:\Gry\hp1 Task: {9A9579F2-03D1-440F-A88E-D0D9099C5EC5} - System32\Tasks\{29D8F6CF-8987-44FE-81F8-7657B0F45C5F} => pcalua.exe -a E:\EASetup.exe -d E:\ DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\Microsoft\Windows\GameExplorer\{3D7FECFA-0EDB-470B-BBCD-43570D110DE0} C:\ProgramData\Microsoft\Windows\GameExplorer\{71F82E73-0EF4-48C7-B50A-E16E920EB8A5} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Paradox Interactive C:\Users\Admin\AppData\Local\GG EmptyTemp:Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.
-
To nie zmienia faktu, że crack jest nadal w systemie, a czy on będzie wykrywany w określonych programach to inne zagadnienie. Oczywiście to Twój wybór, że crack zatrzymujesz, ale ja nadal sugeruję się go pozbyć (eliminacja obiektu startowego).
Nadal reszta zdań do wykonania, skrypt do FRST po ominięciu wpisów cracka:
CloseProcesses: (CreateRestorePoint: HKU\S-1-5-21-1408775573-1599534048-231330914-1001\...\Run: [AdobeBridge] => [X] AppInit_DLLs-x32: Ȇ噎䵒䉐̄ => Brak pliku GroupPolicyScripts: Ograniczenia GroupPolicyScripts\User: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia FF Plugin HKU\S-1-5-21-1408775573-1599534048-231330914-1001: ubisoft.com/uplaypc -> C:\Program Files\ubigówno\Ubisoft Game Launcher\npuplaypc.dll [brak pliku] Task: {8116136B-BC96-4957-9346-97F633F47838} - System32\Tasks\{963232E4-DBED-42E4-B745-F5FCE371D9D8} => pcalua.exe -a "C:\Program Files (x86)\Codemasters\FUEL\FUEL.exe" -d "C:\Program Files (x86)\Codemasters\FUEL" Task: {AE03CE59-1109-4DE3-BA89-C621A2448530} - System32\Tasks\{452ECBCA-52B4-46CE-B76C-AAE86E580A42} => pcalua.exe -a "D:\Games\Dying Light The Following Enhanced Edition\unins000.exe" Task: {F42D3399-76DB-45E5-A61D-A359DEB08014} - System32\Tasks\{180C0E80-14D6-4D4B-B422-E901D41231D2} => pcalua.exe -a "C:\Program Files (x86)\VIA\VIAudioi\VDeck\VDeck.exe" -d "C:\Program Files (x86)\VIA\VIAudioi\VDeck" S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-07-17] () S3 AsrOcDrv; \??\C:\Windows\SysWOW64\Drivers\AsrOcDrv.sys [X] R4 hitmanpro37; \??\C:\Windows\system32\drivers\hitmanpro37.sys [X] S3 VBoxNetFlt; \SystemRoot\system32\DRIVERS\VBoxNetFlt.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PAexec => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PAexec => ""="Service" DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google C:\ProgramData\Microsoft\Windows\GameExplorer\{154432E0-8AC3-4F23-A60D-22E0F39C257B} C:\Users\Capri\AppData\Local\Microsoft\Windows\GameExplorer\{7F27935C-F3C4-4E97-9EA1-C68457B09A6C} C:\Users\Capri\AppData\Roaming\msregsvv.dll C:\Windows\system32\Drivers\EsgScanner.sys EmptyTemp: -
Jak mówię, wersja Firefox nie powinna mieć nic do rzeczy, gdyż nie mam żadnego problemu na dokładnie tej samej wersji (klik na ikonę otwiera menu w którym mogę otworzyć linki do aplikacji Google).
Firefox był odświeżany u Ciebie. Mimo wszystko ten nowy profil nie jest tożsamy z utworzeniem od zera profilu, gdyż część danych jest kopiowana ze starego profilu do nowego. Sprawdź czy na zupełnie nowym profilu jest ten sam problem. Zamknij Firefox. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę:
"C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -p
W oknie menedżera profilów załóż nowy, zaznacz i zaloguj się na niego. Podaj czy na tym profilu jest różnica.
-
Oba tematy sklejam i przenoszę do działu Windows. Nie ma oznak, by problemy produkowała infekcja. Prędzej można podejrzewać zainstalowane oprogramowanie (wliczając preintegrowane na Acer), nie jest też wykluczony Avast jako przyczyna.
1. Sugeruję rozpocząć od redukcji oprogramowania (m.in. MyWinLocker, Pokki, Symantec, WildTangent), co powinno wyeliminować kilka elementów startowych. Do deinstalacji:
==================== Zainstalowane programy ====================== Game Channels (HKLM-x32\...\WildTangentGameProvider-acer-main) (Version: 7.1.0.17 - WildTangent, Inc.) Host App Service (HKU\S-1-5-21-3220214097-2296122819-1731893859-1002\...\SweetLabs_AP) (Version: 0.269.7.800 - Pokki) HP Officejet 7500 E910 — badanie mające na celu poprawę produktów (HKLM\...\{E8985C89-8043-458F-933B-80EECF4AB099}) (Version: 28.0.1315.0 - Hewlett-Packard Co.) Java 7 Update 51 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217051FF}) (Version: 7.0.510 - Oracle) Java 7 Update 55 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F86417055FF}) (Version: 7.0.550 - Oracle) MyWinLocker Suite (HKLM-x32\...\InstallShield_{17DF9714-60C9-43C9-A9C2-32BCAED44CBE}) (Version: 4.0.14.24 - Egis Technology Inc.) Norton Online Backup (HKLM-x32\...\{40A66DF6-22D3-44B5-A7D3-83B118A2C0DC}) (Version: 2.2.3.51r - Symantec Corporation) Shared C Run-time for x64 (HKLM\...\{EF79C448-6946-4D71-8134-03407888C054}) (Version: 10.0.0 - McAfee) Start Menu (HKU\S-1-5-21-3220214097-2296122819-1731893859-1002\...\SweetLabs_Start_Menu) (Version: 0.269.7.800 - Pokki) WildTangent Games (HKLM-x32\...\WildTangent wildgames Master Uninstall) (Version: 1.0.3.0 - WildTangent)[Jeśli nie korzystasz, można też odinstalować programy do kopii zapasowej Acer oraz różne multimedialne aplikacje integrowane na Acer]
2. Po akcji zrób nowe raporty FRST (FRST.txt + Addition.txt) i wypowiedz się czy są zmiany.
-
Nie przedstawiłeś raportów ze skanerów pokazujących dokładne ścieżki dostępu. Był tu też używany ComboFix i nie ma wyników jego działań. W dostarczonych raportach FRST widać tylko jeden wpis startowy infekcji, ale nie na tym koncie (Biuro) z poziomu którego zrobiłeś raporty FRST (GALA).
1. Odinstaluj starą dziurawą wersję Adobe Flash Player 11 ActiveX.
2. Otwórz Notatnik i wklej w nim:
CreateRestorePoint: HKU\S-1-5-21-2238361084-2985199460-1943500991-1006\...\Run: [luGVx3jKo] => rundll32.exe C:\Users\Biuro\AppData\Roaming\94A1.tmp k6Kd0Yh6G8fgt00v HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-2238361084-2985199460-1943500991-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-2238361084-2985199460-1943500991-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-2238361084-2985199460-1943500991-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\PDF Architect 3 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\PDF Architect 3 CrashHandler DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\PDF Architect 3 Creator DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\VideoDownloadConverter_4zService DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpeechEngines DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VideoDownloadConverter EPM Support DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VideoDownloadConverter Home Page Guard 64 bit DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VideoDownloadConverter Search Scope Monitor DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VideoDownloadConverter_4z Browser Plugin Loader DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VideoDownloadConverter_4z Browser Plugin Loader 64 U3 catchme; \??\C:\ComboFix\catchme.sys [X] C:\$AVG C:\Program Files\Common Files\McAfee C:\Program Files (x86)\AVG C:\Program Files (x86)\McAfee C:\Program Files (x86)\McAfee Security Scan C:\Program Files (x86)\Opera C:\ProgramData\mntemp C:\ProgramData\AVG C:\ProgramData\MFAData C:\ProgramData\McAfee C:\Users\Administrator\AppData\Local\Avg C:\Users\Administrator\AppData\Local\AvgSetupLog C:\Users\Administrator\AppData\Local\MFAData C:\Users\Administrator\AppData\Roaming\AVG C:\Users\Administrator\AppData\Roaming\TuneUp Software C:\Users\Biuro\AppData\Local\Avg C:\Users\Biuro\Documents\PLAY ONLINE\Skrót do PLAY ONLINE.exe.lnk C:\Users\GALA\AppData\Local\AvgSetupLog C:\Users\GALA\AppData\Roaming\DVDVideoSoft C:\Users\GALA\Desktop\Audio CD\*.lnk C:\Users\Public\Music\Sample Music\*.lnk CMD: netsh advfirewall reset EmptyTemp:
Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.
3. Zrób raporty FRST (FRST.txt i Addition.txt) będąc zalogowanym po kolei na pozostałych kontach: Administrator i Biuro. Czyli w sumie 4 raporty. Plik Shortcut nie jest potrzebny. Dołącz też plik fixlog.txt.
-
W raportach nie widać żadnych oznak infekcji szyfrującej dane. Do usunięcia będą tylko drobne odpadkowe wpisy nie związane z infekcją, ale to potem. Zacznij od:
Program C:\Windows\system32\winshfhc.dll nie jest przeznaczony do uruchamiania w systemie Windows albo zawiera błąd. Zainstaluj program ponownie, używając oryginalnego nośnika instalacyjnego, albo skontaktuj się z administratorem systemu lub z dostawcą oprogramowania w celu uzyskania pomocy.
Plik Windows jest uszkodzony i nie tylko ten, w raporcie FRST widać także i to naruszenie:
R2 CryptSvc; C:\Windows\SysWOW64\cryptsvc.dll [136192 2010-11-21] () [brak podpisu cyfrowego]
Zrób skan sfc /scannow i dostarcz przefiltrowany log wynikowy: KLIK.
-
FRST wykonał pomyślnie zadanie. Problem rozwiązany. Na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.
-
Temat przenoszę do działu diagnostyki malware. To adware uruchamiane via Harmonogram zadań. Potrzebne raporty z FRST.
Problem z plikami .exe (ntdll.dll)
w Dział pomocy doraźnej
Opublikowano
Rzecz w tym, że nie było w FRST żadnych zmian i skrypt używany do tej funkcji pozostał niezmieniony. Farbar nie mógł tego w ogóle zreprodukować i raczej obstawiał coś w naszych systemach, bo defekt występował tylko na jednym koncie Windows (tak, u mnie też). Koniec końców był zdziwiony wynikami do których doszłam i nie potrafił tego wyjaśnić.