Miszel03

Oczekując na picasso, szukam przyczyny, dlaczego tak się stało. To jest prawidłowy moduł ładujący: Moduł ładujucy rozruchu systemu Windows --------------------------------------- Identyfikator {current} device partition=C: path \Windows\system32\winload.exe description Windows 7 locale pl-PL inherit {bootloadersettings} recoverysequence {4b39f132-b8fb-11e7-9664-be0cc1c114d9} recoveryenabled Yes osdevice partition=C: systemroot \Windows resumeobject {4b39f130-b8fb-11e7-9664-be0cc1c114d9} nx OptIn ...a to jest infekcyjny moduł ładujący: Moduł ładujący rozruchu systemu Windows --------------------------------------- Identyfikator {default} device partition=C: path \Windows\system32\osloader.exe description Windows Fast Mode inherit {bootloadersettings} recoveryenabled Yes osdevice partition=C: systemroot \Windows kernel ntkrnlmp.exe resumeobject {7b79ade8-e503-11e7-8cbc-806e6f6e6963} nx OptIn Reasumując: zleciłem ustawienie modułu Windows 7 jako domyślny i skasowanie modułu Windows Fast Mode. To zrobiłeś. Czyli teoretycznie przy starcie powinien zostać podstawiony ten prawidłowy loader. Pytanie dlaczego tak się nie stało. EDIT: W trakcie operacji byłeś na loaderze poprawnym, gdyż taki wybrałeś podczas stary systemu. Jednak domyślnym jest infekcyjny. Skoro ustawiłeś Windows 7 jako domyślny i skasowałeś infekcyjny to nie wiem co tu zawiniło i muszę czekać na picasso (loguję się codziennie, mam nadzieję, że jeszcze wieczorem się pojawi).

Spokojnie, już picasso powiadomiona - czekamy. Przepraszam.

Kurczę, ale czy na pewno wybrałeś w karcie rozruch Windows 7 jako domyślne? Masz płytę z Windows? To będzie teraz priorytet. Powiadomiłem picasso, gdyż nie czuję się pewnie w takich infekcjach.

Świetnie, o to mi chodziło. Infekcja dodała nową pozycję startową Windows Fast Mode powiązaną z dwoma fałszywymi plikami "Microsoftu" cytowanymi przeze mnie powyżej: Moduł ładujący rozruchu systemu Windows --------------------------------------- Identyfikator {default} device partition=C: path \Windows\system32\osloader.exe description Windows Fast Mode inherit {bootloadersettings} recoveryenabled Yes osdevice partition=C: systemroot \Windows kernel ntkrnlmp.exe resumeobject {7b79ade8-e503-11e7-8cbc-806e6f6e6963} nx OptIn 1. Start > w polu szukania wpisz msconfig > z prawokliku Uruchom jako administrator. W karcie Rozruch podświetl pozycję "Windows 7" i kliknij Ustaw jako domyślne. Następnie podświetl pozycję Windows Fast Mode i kliknij w Usuń. Zresetuj system, by zweryfikować naprawę rozruchu. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CreateRestorePoint: 2018-02-02 14:40 - 2017-12-22 23:47 - 000000000 ____D C:\Program Files\GridinSoft Anti-Malware Task: {08AFD207-5639-4185-990E-CE9D402DF61F} - System32\Tasks\{B1DE5E52-53B2-4CB9-B0E9-A8B93E04217A} => C:\Windows\system32\pcalua.exe -a "C:\Users\Karolek\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe" -c /uninstall Task: {345F919E-63AE-41E7-A713-9153A85A515D} - System32\Tasks\{A84D2D3A-F9A4-452A-9120-39E57BAB0D3E} => C:\Windows\system32\pcalua.exe -a "D:\OtherDriver\Intel SBA\IntelSba_4.0.44.exe" -d "D:\OtherDriver\Intel SBA" -c -silent C:\Windows\system32\ntkrnlmp.exe C:\Windows\system32\osloader.exe Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 3. Wykonaj skanowanie Integralności Windows z opcji sfc /scannow i dostarcz przefiltrowany raport. 4. Napisz, czy problemy, z którymi zgłosiłeś się ustąpiły.

Właśnie dlatego użytkownikom niewykwalifikowanym i nieznających systemu odradzamy ręczne manipulację w rejestrze / używania automatów czyszczących, gdyż można sobie poważne zaszkodzić. Poniżej wylistowałem istniejące punkty przywracania systemu: 11-02-2018 14:18:16 Odinstalowano za pomocą Total Uinstall "{8BE9B6CB-0D22-4552-A2D9-718F8515F34B}" 11-02-2018 14:18:52 Odinstalowano za pomocą Total Uinstall "Grand Theft Auto IV" 11-02-2018 14:18:59 Removed Grand Theft Auto IV 11-02-2018 14:19:32 Odinstalowano za pomocą Total Uinstall "Grand Theft Auto IV" 11-02-2018 14:19:39 Removed Grand Theft Auto IV 11-02-2018 14:23:16 Odinstalowano za pomocą Total Uinstall "{8BE9B6CB-0D22-4552-A2D9-718F8515F34B}" 11-02-2018 14:23:37 Odinstalowano za pomocą Total Uinstall "64 Bit HP CIO Components Installer" 11-02-2018 14:23:57 Removed 64 Bit HP CIO Components Installer 11-02-2018 14:26:38 Odinstalowano za pomocą Total Uinstall "aimp4" 11-02-2018 14:27:32 Odinstalowano za pomocą Total Uinstall "aimp4" Moje pytanie brzmi: czy któryś z tych punktów kwalifikuję się do użycia, czy wszystkie zostały utworzone już po uszkodzeniu? Jeśli tak - użyj go i sprawdź efekty. Gdy powyższe zawiedzie: 1. Wg raportu Addition masz zainstalowane dwa programy do obsługi muzyki: iTunes (HKLM\...\{F0C7385A-9D20-45F3-8101-05D383885180}) (Version: 12.6.1.25 - Apple Inc.) Spotify (HKU\S-1-5-21-4065495151-3397177592-3567152038-1000\...\Spotify) (Version: 1.0.73.345.g6c9971ef - Spotify AB) Czy próbowałeś już przeprowadzić reinstalacje obydwu? Jeśli nie to sprawdź czy przyniesie to jakieś rezultaty. 2. Pokaż mi również klucz usługi Windows Audio, który przy innej konfiguracji (lub uszkodzeniu) może dawać podobne efekty. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy o losowej nazwie. Wklej do pliku następującą treść: Reg: reg query "HKLM\SYSTEM\CurrentControlSet\Services\Audiosrv" /s Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Co konkretnie masz na myśli? W jakich okolicznościach system nie działa poprawnie?

Wszystko pomyślnie wykonane, a komunikat bardzo istotny, gdyż ujawnił infekcję i to właśnie ona ustawiła brak kontroli integralności (podejrzewałem to). Loaderem systemu Windows 7 jest winload.exe, a nie osloader.exe. Ten plik wygląda na malware. 1. Zagrożenia wykryte przez Malwarebytes daj do kasacji. 2. Poproszę o nowy skan FRST z zaznaczoną opcją Lista BCD, Addition i Shortcut niepotrzebne. Dodatkowo, wklej w polu Szukaj ntkrnlmp.exe i klik w Szukaj plików.

Raporty dostarczone, więc niepotrzebne posty stąd kasuje. Widzę, że były stosowane różne narzędzia i o ile AdwCleaner przemilczę (choć powinieneś dostarczyć raport!), tak użycie ComboFix było najgorszym co mogłeś zrobić i miałeś więcej szczęścia niż rozumu - KLIK. Resztki po tych programach będą usuwane w trakcie finalizacji tematu. Jeśli zaś chodzi o problem reklam to w systemie widoczne są zadania adware / PUP, a także śmieciowa wyszukiwarka i zamulony plik Hosts - tym będziemy się teraz zajmować. Oprócz tego sprzątam system z resztek: martwych wpisów / skrótów, pozostałości po przeglądarce Mozilla FireFox itp. Włączam również kontrolę integralności, bo dotychczasowo była wyłączona. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: GroupPolicy\User: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia Toolbar: HKU\S-1-5-21-1917668780-486707301-2944577488-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku HKU\S-1-5-21-1917668780-486707301-2944577488-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://page-ups.com/all/ S3 NAVENG; \??\C:\Program Files (x86)\Norton Security\NortonData\22.7.0.76\Definitions\SDSDefs\20160601.040\ENG64.SYS [X] S3 NAVEX15; \??\C:\Program Files (x86)\Norton Security\NortonData\22.7.0.76\Definitions\SDSDefs\20160601.040\EX64.SYS [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X] S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku Task: {50C4F8C6-0965-41EF-A464-6AA77BF6E68A} - System32\Tasks\Windows Formulator Notes Lite => C:\Windows\system32\rundll32.exe "C:\Program Files\Windows Formulator Notes Lite\Windows Formulator Notes Lite.dll",rLPtmp Task: {7CC69EB6-90CD-47C6-A7B4-EFD6D18AC598} - System32\Tasks\CPU Tracker for CDM Demo => C:\Windows\system32\rundll32.exe "C:\Program Files\CPU Tracker for CDM Demo\CPU Tracker for CDM Demo.dll",fisSojQ Task: C:\Windows\Tasks\CPU Tracker for CDM Demo.job => rundll32.exe C:\Program Files\CPU Tracker for CDM Demo\CPU Tracker for CDM Demo.dll Task: {8ADFEA2A-EA17-4F35-BB78-16EFB4A439A8} - System32\Tasks\Jack Game Contacts Lease => C:\Windows\system32\rundll32.exe "C:\Program Files\Jack Game Contacts Lease\Jack Game Contacts Lease.dll",UjObmie Task: {8F873C7A-CB14-4DF4-9D1F-E19D2ED45E2D} - System32\Tasks\AutoFise OpenViewer => C:\Windows\system32\rundll32.exe "C:\Program Files\AutoFise OpenViewer\AutoFise OpenViewer.dll",rXGGCJZZHci Folder: C:\Program Files\Windows Formulator Notes Lite Folder: C:\Program Files\CPU Tracker for CDM Demo Folder: C:\Program Files\Jack Game Contacts Lease Folder: C:\Program Files\AutoFise OpenViewer C:\Users\Karolek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnet Еxplorеr (Nо Аdd-оns).lnk nointegritychecks: ==> "IntegrityChecks" [funkcja wyłączona] DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Karolek\AppData\Local\Mozilla C:\Users\Karolek\AppData\Roaming\Mozilla C:\Users\Karolek\AppData\Roaming\Profiles Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść i zabezpiecz przeglądarkę Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Tak, o to chodziło, ale wynik analizy trochę mnie nie satysfakcjonuję. Rozszerzenie .cerber wskazuję na wariant V1, aczkolwiek ważna jest również nazwa zapisanego pliku. Jeśli schemat zapisu zaszyfrowanych plików jest następujący: {10 losowych znaków}.cerber to istnieje szansa na deszyfracje za pomocą Trend Micro Ransomware File Decryptor. Infekcja ransomware Xorist z tego co pamiętam tworzy plik w taki sposób: zachowana nazwa oryginalnego pliku.cerber i to też jest do odkodowania za pomocą Emsisoft Decrypter for Xorist i nie wykluczone, że poradzi sobie również Kaspersky XoristDecryptor. Gdy nic nie zadziała to proszę o pokazanie nazw zaszyfrowanych danych, bym mógł powiedzieć coś więcej.

Pomocy przy sprawdzeniu logów - Problem z internetem Ehh...przykro mi, że nie szanujesz czasu innych ludzi.

Ransomware Cerber ma kilka wariantów i trzeba wiedzieć, który to dokładnie, by określić czy istnieje ratunek dla danych. W celu identyfikacji wariantu proszę wysłać zaszyfrowany plik do analizy w usłudze ID Ransomware i dostarczyć jej wynik (w postaci screen'a). P.S: Ten dział wymaga dostarczenia raportów FRST. Jeśli jednak nie oczekujesz analizy raportów - poinformuj o tym.

Najnowszy temat skasowałem - założyłeś dwa, przypuszczam, że w celu przyśpieszenia pomocy, a przecież nie czekałeś nawet trzech godzin. Na przyszłość: duplikaty mogą tylko zdenerwować moderatora, a nie życzę tego nikomu. Proszę wykazać odrobinę cierpliwości. Rozumiem, że pomoc jest oczekiwana, bo problem utrudnia prace z komputerem, ale ja nie jestem robotem. Po kolei, wszystko wyjaśnimy. Komentując detekcje AdwCleaner: PUP.Optional.Legacy, C:\Users\Boryss\AppData\Local\Pokki PUP.Optional.Legacy, C:\Users\Default\AppData\Local\Pokki PUP.Optional.Legacy, C:\Users\Default User\AppData\Local\Pokki PUP.Optional.Legacy, [Key] - HKU\S-1-5-21-721356216-3349430188-1325645097-1001\Software\Pokki PUP.Optional.Legacy, [Key] - HKU\S-1-5-21-721356216-3349430188-1325645097-1001\Software\Microsoft\Windows\CurrentVersion\Uninstall\Pokki PUP.Optional.Legacy, [Key] - HKCU\Software\Pokki PUP.Optional.Legacy, [Key] - HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Pokki PUP.Optional.Legacy, [Value] - HKU\S-1-5-21-721356216-3349430188-1325645097-1001\Software\Microsoft\Windows\CurrentVersion\Run | Pokki PUP.Optional.Legacy, [Value] - HKU\S-1-5-21-721356216-3349430188-1325645097-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run | Pokki PUP.Optional.Legacy, [Value] - HKCU\Software\Microsoft\Windows\CurrentVersion\Run | Pokki Pokki - program raczej niecieszący się dobrą opinią (w Windows 8 może dodatkowo działać jako "zastępca" menu - tj. u Ciebie), wątpliwy wydawca (SweetLabs), prawdopodobnie ze zintegrowanymi elementami PUP / adware, jest domyślnie instalowany w sprzęcie Lenovo. W celu prawidłowego pozbycia się tych detekcji należy odinstalować program Start Menu. Odpowiadając na Twoje pytanie: AdwCleaner nie otrzymał polecania Oczyść, a jednie Skanuj - dlatego te elementy nie zostały skasowane: C:/AdwCleaner/AdwCleaner[S15].txt - [2572 B] - [2018/2/3 13:31:35] C:/AdwCleaner/AdwCleaner[S16].txt - [6774 B] - [2018/2/10 14:54:5] C:/AdwCleaner/AdwCleaner[S17].txt - [6700 B] - [2018/2/10 15:30:46] Funkcja Skanuj nie usuwa detekcji, a jedynie je listuje. Po deinstalacji ewentualne szczątki doczyścić AdwCleaner'em. PUP.Optional.WebWatcher, [Key] - HKLM\SOFTWARE\Classes\Interface\{3AE76A17-C344-4A83-81CE-65EFEE41E42D} PUP.Optional.WebWatcher, [Key] - HKLM\SOFTWARE\Classes\Interface\{4E9EB4D5-C929-4005-AC62-1856B1DA5A24} PUP.Optional.WebWatcher, [Key] - HKLM\SOFTWARE\Classes\Interface\{8FAF962C-3EDE-405E-B1D0-62B8235C6044} Kolejny PUP, ale to już widocznie tylko resztki. Proszę dać do kasacji (czyli nie samo Skanuj, a Skanuj + Oczyść). PUP.Optional.VisualDiscovery, [Key] - HKLM\SOFTWARE\VisualDiscovery PUP.Optional.VisualDiscovery, [Key] - HKLM\SOFTWARE\Superfish Inc. VisualDiscovery PUP.Optional.Winsock.WnskRST, C:\Windows\System32\VisualDiscoveryOff.ini PUP.Optional.Winsock.WnskRST, C:\Windows\SysNative\VisualDiscoveryOff.ini PUP.Optional.Winsock.WnskRST, C:\Windows\SysWOW64\VisualDiscoveryOff.ini PUP.Optional.VisualDiscovery, C:\Windows\System32\VisualDiscovery.ini PUP.Optional.VisualDiscovery, C:\Windows\SysWOW64\VisualDiscovery.ini PUP.Optional.VisualDiscovery, C:\Program Files (x86)\Lenovo\VisualDiscovery Te detekcje jak najbardziej poważne. Otóz Lenovo domyślnie ładowało adware do swoich sprzętów z systemem. Po wybuchu skandalu zaczęło je usuwać...ale niesmak pozostał. Lenovo Gets a Slap on the Wrist for Superfish Adware Scandal Proszę dać do kasacji (tj. tłumaczyłem wyżej). PUP.Optional.LenovoBrowserGuard.AppFlsh, [Key] - HKLM\SOFTWARE\LenovoBrowserGuard PUP.Optional.LenovoBrowserGuard.AppFlsh, [Key] - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\LenovoBrowserGuard Proszę z poziomu Panelu Sterownia odinstalować Lenovo Browser Guard. To adware / PUP znowu...domyślnie ładowane przez Lenovo. Ewentualnie szczątki również doczyścić za pomocą AdwCleaner. Wylistowałem, te które udało mi się powiązać, ale reszta również raczej do kasacji (to podobne "kwiatki"). Sugeruję również przefiltrować listę "prezentów na start od Lenovo", bo często większość z nich to tylko utrapienie dla użytkownika. W tym celu proszę wejść do Panelu Sterownia i do sekcji deinstalacji - to co niepotrzebne polecam odinstalować. Komentując zaś raporty: brak oznak infekcji i nie zadam nawet kosmetyki, gdyż powyższe zalecenia powinny załatwić wszystko. Temat przenoszę do działu Sieci, gdzie będzie prowadzona pomoc obejmująca problem tytułowy. Proszę dostarczyć wymagane raporty przez ten dział.

Linki do raportów przecież nie działają. Powodem nie jest dodawanie nowej wklejki jak podaje strona - to jest ogólny błąd tego serwisu, który od dawna nie jest naprawiony - proszę wykonać raporty ponownie i wkleić je. Sprawdzę je z priorytetem.

Tak, to rzeczywiście wygląda na GandCrab i niestety, ale jest to jeden z najnowszych wariantów infekcji szyfrującej. GandCrab Ransomware Help & Support Topic (.GDCB & GDCB-DECRYPT.txt) Deszyfracja plików jest aktualnie awykonalna, nie ma skutecznego dekodera. Zaszyfrowane dane sugeruję skopiować na jakiś dysk zewnętrzny i poczekać, bo być może w przyszłości pojawi się dla nich ratunek. Na bieżąco sugeruję również analizować zaszyfrowany plik w usłudze ID Ransomware, bo oprócz identyfikacji infekcji widoczna jest informacja o dostępności ewentualnego dekodera. Nikłe szanse są również na działanie programów do odzyskiwania danych typu TestDisk / PhotoRec i podobnych tworów. Po pierwsze: komputer działa cały czas (non-stop zapisy na dysku). Po drugie, ten wariant infekcji mógł zastosować tzw. "bezpieczne wymazywanie danych z dysku", by uniemożliwić zastosowanie programów do odzyskiwania danych. W raportach widoczne są jeszcze ślady infekcji. Zalecam kompleksową reinstalacje systemu. Jeśli jednak nie zdecydujesz się na zalecany krok to jedyne co mogę zrobić, to usunąć planszę z żądaniem okupu i inne resztki (co nie zagwarantuje, że system i zainstalowane oprogramowanie zewnętrzne będą działać poprawnie, gdyż zostaną uszkodzone programy i elementy Windows pozbawione plików, które zmieniły się w zaszyfrowane ekwiwalenty). P.S: Skonsultuje się jeszcze z picasso, gdyż ma ona dużo większą wiedzę na temat tego rodzaju złośliwego oprogramowania.

Akcja wykonana pomyślnie. Z mojej strony to tyle. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

AdwCleaner to stosunkowo nie do tej infekcji, to narzędzie zaprojektowane do usuwania ustrojstwa typu adware / PUP. CCleaner zaś to "czyściciel systemu", brak skanera antywirusowego, nic więc dziwnego, że nie pomógł. Po za tym proszę uważać na tego typu programy, wiąże się z nimi możliwość uszkodzenia systemu. Raporty wykazują oznaki infekcji potocznie zwanej "skrótową". Scenariusz pomocy jest złożony: najpierw dezynfekcja systemu, a dopiero po niej dezynfekcja mediów przenośnych. Akcja: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Task: {C40E93BC-D9D0-4750-9FD8-1BA75B089335} - \QubczykMadEpiphenomenaV2 -> Brak pliku Task: {EFCF0038-2CCD-4037-A99C-3AEDF07BC0FC} - System32\Tasks\{F0BD03AE-ABD3-4787-9D06-39433E720985} => C:\Windows\system32\pcalua.exe -a "C:\Users\Qubczyk\Desktop\foobar2000\install\vcredist install\vcredist_x64.exe" -d "C:\Users\Qubczyk\Desktop\foobar2000\install\vcredist install" MSCONFIG\startupreg: kapef => C:\Users\Qubczyk\kapef.exe HKU\S-1-5-21-817834129-3643686830-2580109843-1000\...\Run: [kapef] => C:\Users\Qubczyk\kapef.exe [49152 2017-12-12] () C:\Users\Qubczyk\kapef.exe C:\Users\Madziara\mgqih.exe HKU\S-1-5-21-817834129-3643686830-2580109843-1000\...\Policies\system: [LogonHoursAction] 2 HKU\S-1-5-21-817834129-3643686830-2580109843-1000\...\Policies\system: [DontDisplayLogonHoursWarnings] 1 GroupPolicy\User: Ograniczenia GroupPolicyUsers\S-1-5-21-817834129-3643686830-2580109843-1002\User: Ograniczenia SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Toolbar: HKU\S-1-5-21-817834129-3643686830-2580109843-1000 -> Brak nazwy - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - Brak pliku S3 VGPU; System32\drivers\rdvgkmd.sys [X] C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVDVideoSoft\Programs\Free Coub Download.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVDVideoSoft\Programs\Free YouTube Uploader.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVDVideoSoft\Programs\SoundCloud Download.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AMD\OverDrive\OverDrive Users Guide.lnk Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 3. Na koncie Qubczyk i Madziara zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Raporty nie wykazują oznak infekcji, w spoilerze zadaje kosmetykę: kasacja martwych wpisów / skrótów. Temat przenoszę do działu Windows 10, gdybyś miał inne pytania dot. tego systemu.

Skorzystaj z serwisu hostującego grafiki, np. PostImage.

Nadal niepoprawnie - raporty mają być bez dat, czyli z miejsca, z którego został uruchomiony FRST, a nie z archiwalnego C:\FRST. Brak dat jest istotny, ponieważ potwierdza, że nie ma nowszych raportów.

I obecnie praktycznie w ogóle nieużywanym. CombFix obsługuje następujące platformy: Windows XP, Windows Vista, Windows 7, Windows 8 32-bit (x86) i 64-bit (x64). Nie powinno więc być żadnych problemów z uruchomieniem tego narzędzia. Odsyłam do instrukcji uruchomienia. Czy podczas uruchamiania wyświetlany jest konkretny błąd? Jeśli tak, pokaż go.

Aktywne malware powinno zostać zdjęte jednak wymagana jest kontrola i wdrążenie doczyszczeń. Proszę dostarczyć raporty z przeprowadzonych operacji, o które przecież prosiłem.

Raporty nie wykazują oznak infekcji. Windows 10 nie posiada wystarczających zabezpieczeń, aby uchronić system wykorzystywany do takich celów. Proszę zapoznać się z naszym autorskim zbiorem oprogramowania zabezpieczającego i wybrać, któreś z nich.

Kosmetyka pomyślnie wykonana. Avast nie jest wykluczony - odinstaluj go i poobserwuj.

Proszę o cierpliwość. Brakuje logu Shortcut, ale w tej sytuacji jest on nieistotny, więc pomijam. Raporty nie wykazują oznak infekcji, w spoilerze wdrążam tylko kosmetykę systemową - czyszczenie martwych wpisów / resztek po programach (w tym po po przeglądarce Mozilla FireFox).

Raporty nie wykazują oznak infekcji, ale temat zostawiam jeszcze w dziale leczenia zainfekowanych platform Windows, gdyż sygnalizujesz, że: Proszę o dostarczenie raportu z tego wykrycia.

Log kasuje. Proszę wykonać pełen zestaw raportów zgodnie z naszymi zasadami.