Miszel03

Oczekując na picasso, szukam przyczyny, dlaczego tak się stało. 
 
To jest prawidłowy moduł ładujący:
 

Moduł ładujucy rozruchu systemu Windows
---------------------------------------
Identyfikator              {current}
device                  partition=C:
path                    \Windows\system32\winload.exe
description             Windows 7
locale                  pl-PL
inherit                 {bootloadersettings}
recoverysequence        {4b39f132-b8fb-11e7-9664-be0cc1c114d9}
recoveryenabled         Yes
osdevice                partition=C:
systemroot              \Windows
resumeobject            {4b39f130-b8fb-11e7-9664-be0cc1c114d9}
nx                      OptIn

Moduł ładujący rozruchu systemu Windows

---------------------------------------
Identyfikator              {default}
device                  partition=C:
path                    \Windows\system32\osloader.exe
description             Windows Fast Mode
inherit                 {bootloadersettings}
recoveryenabled         Yes
osdevice                partition=C:
systemroot              \Windows
kernel                  ntkrnlmp.exe
resumeobject            {7b79ade8-e503-11e7-8cbc-806e6f6e6963}
nx                      OptIn

W trakcie operacji byłeś na loaderze poprawnym, gdyż taki wybrałeś podczas stary systemu. Jednak domyślnym jest infekcyjny.

Skoro ustawiłeś Windows 7 jako domyślny i skasowałeś infekcyjny to nie wiem co tu zawiniło i muszę czekać na picasso (loguję się codziennie, mam nadzieję, że jeszcze wieczorem się pojawi). 

Spokojnie, już picasso powiadomiona - czekamy.

Przepraszam. 

Kurczę, ale czy na pewno wybrałeś w karcie rozruch Windows 7 jako domyślne?
Masz płytę z Windows? To będzie teraz priorytet. 

Powiadomiłem picasso, gdyż nie czuję się pewnie w takich infekcjach. 

Świetnie, o to mi chodziło.  
 
Infekcja dodała nową pozycję startową Windows Fast Mode powiązaną z dwoma fałszywymi plikami "Microsoftu" cytowanymi przeze mnie powyżej:
 

Moduł ładujący rozruchu systemu Windows
---------------------------------------
Identyfikator              {default}
device                  partition=C:
path                    \Windows\system32\osloader.exe
description             Windows Fast Mode
inherit                 {bootloadersettings}
recoveryenabled         Yes
osdevice                partition=C:
systemroot              \Windows
kernel                  ntkrnlmp.exe
resumeobject            {7b79ade8-e503-11e7-8cbc-806e6f6e6963}
nx                      OptIn

CreateRestorePoint:
2018-02-02 14:40 - 2017-12-22 23:47 - 000000000 ____D C:\Program Files\GridinSoft Anti-Malware
Task: {08AFD207-5639-4185-990E-CE9D402DF61F} - System32\Tasks\{B1DE5E52-53B2-4CB9-B0E9-A8B93E04217A} => C:\Windows\system32\pcalua.exe -a "C:\Users\Karolek\AppData\Roaming\EpicNet Inc\CloudNet\cloudnet.exe" -c /uninstall
Task: {345F919E-63AE-41E7-A713-9153A85A515D} - System32\Tasks\{A84D2D3A-F9A4-452A-9120-39E57BAB0D3E} => C:\Windows\system32\pcalua.exe -a "D:\OtherDriver\Intel SBA\IntelSba_4.0.44.exe" -d "D:\OtherDriver\Intel SBA" -c -silent
C:\Windows\system32\ntkrnlmp.exe
C:\Windows\system32\osloader.exe

Właśnie dlatego użytkownikom niewykwalifikowanym i nieznających systemu odradzamy ręczne manipulację w rejestrze / używania automatów czyszczących, gdyż można sobie poważne zaszkodzić. 
 
Poniżej wylistowałem istniejące punkty przywracania systemu:
 

11-02-2018 14:18:16 Odinstalowano za pomocą Total Uinstall "{8BE9B6CB-0D22-4552-A2D9-718F8515F34B}"
11-02-2018 14:18:52 Odinstalowano za pomocą Total Uinstall "Grand Theft Auto IV"
11-02-2018 14:18:59 Removed Grand Theft Auto IV
11-02-2018 14:19:32 Odinstalowano za pomocą Total Uinstall "Grand Theft Auto IV"
11-02-2018 14:19:39 Removed Grand Theft Auto IV
11-02-2018 14:23:16 Odinstalowano za pomocą Total Uinstall "{8BE9B6CB-0D22-4552-A2D9-718F8515F34B}"
11-02-2018 14:23:37 Odinstalowano za pomocą Total Uinstall "64 Bit HP CIO Components Installer"
11-02-2018 14:23:57 Removed 64 Bit HP CIO Components Installer
11-02-2018 14:26:38 Odinstalowano za pomocą Total Uinstall "aimp4"
11-02-2018 14:27:32 Odinstalowano za pomocą Total Uinstall "aimp4"

Skutek jest taki że nie mogę odtworzyć żadnego programu do muzyki (...)

 
1. Wg raportu Addition masz zainstalowane dwa programy do obsługi muzyki:

• iTunes (HKLM\...\{F0C7385A-9D20-45F3-8101-05D383885180}) (Version: 12.6.1.25 - Apple Inc.)
• Spotify (HKU\S-1-5-21-4065495151-3397177592-3567152038-1000\...\Spotify) (Version: 1.0.73.345.g6c9971ef - Spotify AB)

Czy próbowałeś już przeprowadzić reinstalacje obydwu? Jeśli nie to sprawdź czy przyniesie to jakieś rezultaty.
 
2. Pokaż mi również klucz usługi Windows Audio, który przy innej konfiguracji (lub uszkodzeniu) może dawać podobne efekty.
 
Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy o losowej nazwie. Wklej do pliku następującą treść:
 

Reg: reg query "HKLM\SYSTEM\CurrentControlSet\Services\Audiosrv" /s

(...) komputer strasznie powoli chodzi i to bardzo irytuje...

 
Co konkretnie masz na myśli? W jakich okolicznościach system nie działa poprawnie?

Wszystko pomyślnie wykonane, a komunikat bardzo istotny, gdyż ujawnił infekcję i to właśnie ona ustawiła brak kontroli integralności (podejrzewałem to).

Loaderem systemu Windows 7 jest winload.exe, a nie osloader.exe. Ten plik wygląda na malware. 

1. Zagrożenia wykryte przez Malwarebytes daj do kasacji.

2. Poproszę o nowy skan FRST z zaznaczoną opcją Lista BCD, Addition i Shortcut niepotrzebne. Dodatkowo, wklej w polu Szukaj ntkrnlmp.exe i klik w Szukaj plików.

Raporty dostarczone, więc niepotrzebne posty stąd kasuje.

CloseProcesses:
CreateRestorePoint:
GroupPolicy\User: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia Toolbar: HKU\S-1-5-21-1917668780-486707301-2944577488-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} -  Brak pliku
HKU\S-1-5-21-1917668780-486707301-2944577488-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://page-ups.com/all/
S3 NAVENG; \??\C:\Program Files (x86)\Norton Security\NortonData\22.7.0.76\Definitions\SDSDefs\20160601.040\ENG64.SYS [X]
S3 NAVEX15; \??\C:\Program Files (x86)\Norton Security\NortonData\22.7.0.76\Definitions\SDSDefs\20160601.040\EX64.SYS [X]
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X]
S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X]
S3 tsusbhub; system32\drivers\tsusbhub.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
Task: {50C4F8C6-0965-41EF-A464-6AA77BF6E68A} - System32\Tasks\Windows Formulator Notes Lite => C:\Windows\system32\rundll32.exe "C:\Program Files\Windows Formulator Notes Lite\Windows Formulator Notes Lite.dll",rLPtmp Task: {7CC69EB6-90CD-47C6-A7B4-EFD6D18AC598} - System32\Tasks\CPU Tracker for CDM Demo => C:\Windows\system32\rundll32.exe "C:\Program Files\CPU Tracker for CDM Demo\CPU Tracker for CDM Demo.dll",fisSojQ Task: C:\Windows\Tasks\CPU Tracker for CDM Demo.job => rundll32.exe  C:\Program Files\CPU Tracker for CDM Demo\CPU Tracker for CDM Demo.dll
Task: {8ADFEA2A-EA17-4F35-BB78-16EFB4A439A8} - System32\Tasks\Jack Game Contacts Lease => C:\Windows\system32\rundll32.exe "C:\Program Files\Jack Game Contacts Lease\Jack Game Contacts Lease.dll",UjObmie Task: {8F873C7A-CB14-4DF4-9D1F-E19D2ED45E2D} - System32\Tasks\AutoFise OpenViewer => C:\Windows\system32\rundll32.exe "C:\Program Files\AutoFise OpenViewer\AutoFise OpenViewer.dll",rXGGCJZZHci Folder: C:\Program Files\Windows Formulator Notes Lite
Folder: C:\Program Files\CPU Tracker for CDM Demo
Folder: C:\Program Files\Jack Game Contacts Lease
Folder: C:\Program Files\AutoFise OpenViewer
C:\Users\Karolek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Intеrnet Еxplorеr (Nо Аdd-оns).lnk
nointegritychecks: ==> "IntegrityChecks" [funkcja wyłączona] DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\Karolek\AppData\Local\Mozilla
C:\Users\Karolek\AppData\Roaming\Mozilla
C:\Users\Karolek\AppData\Roaming\Profiles
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
Hosts:
EmptyTemp: 

• Zresetuj synchronizację (o ile włączona): KLIK.
• Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia.
• Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone.
• Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google.

3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 
 
4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Tak, o to chodziło, ale wynik analizy trochę mnie nie satysfakcjonuję.  

Rozszerzenie .cerber wskazuję na wariant V1, aczkolwiek ważna jest również nazwa zapisanego pliku.

Jeśli schemat zapisu zaszyfrowanych plików jest następujący: {10 losowych znaków}.cerber to istnieje szansa na deszyfracje za pomocą Trend Micro Ransomware File Decryptor. 

Infekcja ransomware Xorist z tego co pamiętam tworzy plik w taki sposób: zachowana nazwa oryginalnego pliku.cerber i to też jest do odkodowania za pomocą Emsisoft Decrypter for Xorist i nie wykluczone, że poradzi sobie również Kaspersky XoristDecryptor. 

Gdy nic nie zadziała to proszę o pokazanie nazw zaszyfrowanych danych, bym mógł powiedzieć coś więcej. 

Pomocy przy sprawdzeniu logów - Problem z internetem

Ehh...przykro mi, że nie szanujesz czasu innych ludzi. 

Ransomware Cerber ma kilka wariantów i trzeba wiedzieć, który to dokładnie, by określić czy istnieje ratunek dla danych. 

W celu identyfikacji wariantu proszę wysłać zaszyfrowany plik do analizy w usłudze ID Ransomware i dostarczyć jej wynik (w postaci screen'a). 

P.S: Ten dział wymaga dostarczenia raportów FRST. Jeśli jednak nie oczekujesz analizy raportów - poinformuj o tym.

Najnowszy temat skasowałem - założyłeś dwa, przypuszczam, że w celu przyśpieszenia pomocy, a przecież nie czekałeś nawet trzech godzin. 
Na przyszłość: duplikaty mogą tylko zdenerwować moderatora, a nie życzę tego nikomu. Proszę wykazać odrobinę cierpliwości. Rozumiem, że pomoc jest oczekiwana, bo problem utrudnia prace z komputerem, ale ja nie jestem robotem.
 
Po kolei, wszystko wyjaśnimy. Komentując detekcje AdwCleaner: 
 

PUP.Optional.Legacy, C:\Users\Boryss\AppData\Local\Pokki
PUP.Optional.Legacy, C:\Users\Default\AppData\Local\Pokki
PUP.Optional.Legacy, C:\Users\Default User\AppData\Local\Pokki
PUP.Optional.Legacy, [Key] - HKU\S-1-5-21-721356216-3349430188-1325645097-1001\Software\Pokki
PUP.Optional.Legacy, [Key] - HKU\S-1-5-21-721356216-3349430188-1325645097-1001\Software\Microsoft\Windows\CurrentVersion\Uninstall\Pokki
PUP.Optional.Legacy, [Key] - HKCU\Software\Pokki
PUP.Optional.Legacy, [Key] - HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Pokki
PUP.Optional.Legacy, [Value] - HKU\S-1-5-21-721356216-3349430188-1325645097-1001\Software\Microsoft\Windows\CurrentVersion\Run | Pokki
PUP.Optional.Legacy, [Value] - HKU\S-1-5-21-721356216-3349430188-1325645097-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run | Pokki
PUP.Optional.Legacy, [Value] - HKCU\Software\Microsoft\Windows\CurrentVersion\Run | Pokki

PUP.Optional.WebWatcher, [Key] - HKLM\SOFTWARE\Classes\Interface\{3AE76A17-C344-4A83-81CE-65EFEE41E42D}
PUP.Optional.WebWatcher, [Key] - HKLM\SOFTWARE\Classes\Interface\{4E9EB4D5-C929-4005-AC62-1856B1DA5A24}
PUP.Optional.WebWatcher, [Key] - HKLM\SOFTWARE\Classes\Interface\{8FAF962C-3EDE-405E-B1D0-62B8235C6044}

PUP.Optional.VisualDiscovery, [Key] - HKLM\SOFTWARE\VisualDiscovery
PUP.Optional.VisualDiscovery, [Key] - HKLM\SOFTWARE\Superfish Inc. VisualDiscovery
PUP.Optional.Winsock.WnskRST, C:\Windows\System32\VisualDiscoveryOff.ini
PUP.Optional.Winsock.WnskRST, C:\Windows\SysNative\VisualDiscoveryOff.ini
PUP.Optional.Winsock.WnskRST, C:\Windows\SysWOW64\VisualDiscoveryOff.ini
PUP.Optional.VisualDiscovery, C:\Windows\System32\VisualDiscovery.ini
PUP.Optional.VisualDiscovery, C:\Windows\SysWOW64\VisualDiscovery.ini
PUP.Optional.VisualDiscovery, C:\Program Files (x86)\Lenovo\VisualDiscovery

PUP.Optional.LenovoBrowserGuard.AppFlsh, [Key] - HKLM\SOFTWARE\LenovoBrowserGuard
PUP.Optional.LenovoBrowserGuard.AppFlsh, [Key] - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\LenovoBrowserGuard

Linki do raportów przecież nie działają. Powodem nie jest dodawanie nowej wklejki jak podaje strona - to jest ogólny błąd tego serwisu, który od dawna nie jest naprawiony - proszę wykonać raporty ponownie i wkleić je. 

Sprawdzę je z priorytetem.  

Tak, to rzeczywiście wygląda na GandCrab i niestety, ale jest to jeden z najnowszych wariantów infekcji szyfrującej. 

GandCrab Ransomware Help & Support Topic (.GDCB & GDCB-DECRYPT.txt)

Deszyfracja plików jest aktualnie awykonalna, nie ma skutecznego dekodera. Zaszyfrowane dane sugeruję skopiować na jakiś dysk zewnętrzny i poczekać, bo być może w przyszłości pojawi się dla nich ratunek. 

Na bieżąco sugeruję również analizować zaszyfrowany plik w usłudze ID Ransomware, bo oprócz identyfikacji infekcji widoczna jest informacja o dostępności ewentualnego dekodera. 

Nikłe szanse są również na działanie programów do odzyskiwania danych typu TestDisk / PhotoRec i podobnych tworów. Po pierwsze: komputer działa cały czas (non-stop zapisy na dysku). Po drugie, ten wariant infekcji mógł zastosować tzw. "bezpieczne wymazywanie danych z dysku", by uniemożliwić zastosowanie programów do odzyskiwania danych. 

W raportach widoczne są jeszcze ślady infekcji. Zalecam kompleksową reinstalacje systemu.

Jeśli jednak nie zdecydujesz się na zalecany krok to jedyne co mogę zrobić, to usunąć planszę z żądaniem okupu i inne resztki (co nie zagwarantuje, że system i zainstalowane oprogramowanie zewnętrzne będą działać poprawnie, gdyż zostaną uszkodzone programy i elementy Windows pozbawione plików, które zmieniły się w zaszyfrowane ekwiwalenty). 

P.S: Skonsultuje się jeszcze z picasso, gdyż ma ona dużo większą wiedzę na temat tego rodzaju złośliwego oprogramowania. 

Akcja wykonana pomyślnie. Z mojej strony to tyle.

Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

AdwCleaner i CCleaner niczego nie wykazał więc zwracam się z prośbą o pomoc tutaj.

AdwCleaner to stosunkowo nie do tej infekcji, to narzędzie zaprojektowane do usuwania ustrojstwa typu adware / PUP.

CCleaner zaś to "czyściciel systemu", brak skanera antywirusowego, nic więc dziwnego, że nie pomógł. Po za tym proszę uważać na tego typu programy, wiąże się z nimi możliwość uszkodzenia systemu. 

Raporty wykazują oznaki infekcji potocznie zwanej "skrótową".

Scenariusz pomocy jest złożony: najpierw dezynfekcja systemu, a dopiero po niej dezynfekcja mediów przenośnych. 

Akcja:

1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść:

CloseProcesses:
CreateRestorePoint:
Task: {C40E93BC-D9D0-4750-9FD8-1BA75B089335} - \QubczykMadEpiphenomenaV2 -> Brak pliku 
Task: {EFCF0038-2CCD-4037-A99C-3AEDF07BC0FC} - System32\Tasks\{F0BD03AE-ABD3-4787-9D06-39433E720985} => C:\Windows\system32\pcalua.exe -a "C:\Users\Qubczyk\Desktop\foobar2000\install\vcredist install\vcredist_x64.exe" -d "C:\Users\Qubczyk\Desktop\foobar2000\install\vcredist install"
MSCONFIG\startupreg: kapef => C:\Users\Qubczyk\kapef.exe
HKU\S-1-5-21-817834129-3643686830-2580109843-1000\...\Run: [kapef] => C:\Users\Qubczyk\kapef.exe [49152 2017-12-12] ()
C:\Users\Qubczyk\kapef.exe
C:\Users\Madziara\mgqih.exe
HKU\S-1-5-21-817834129-3643686830-2580109843-1000\...\Policies\system: [LogonHoursAction] 2
HKU\S-1-5-21-817834129-3643686830-2580109843-1000\...\Policies\system: [DontDisplayLogonHoursWarnings] 1
GroupPolicy\User: Ograniczenia 
GroupPolicyUsers\S-1-5-21-817834129-3643686830-2580109843-1002\User: Ograniczenia 
SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
Toolbar: HKU\S-1-5-21-817834129-3643686830-2580109843-1000 -> Brak nazwy - {47833539-D0C5-4125-9FA8-0819E2EAAC93} -  Brak pliku
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVDVideoSoft\Programs\Free Coub Download.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVDVideoSoft\Programs\Free YouTube Uploader.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DVDVideoSoft\Programs\SoundCloud Download.lnk
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AMD\OverDrive\OverDrive Users Guide.lnk
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp: 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 

3. Na koncie Qubczyk i Madziara zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition i Shortcut. Dołącz też plik fixlog.txt.

Raporty nie wykazują oznak infekcji, w spoilerze zadaje kosmetykę: kasacja martwych wpisów / skrótów.

Temat przenoszę do działu Windows 10, gdybyś miał inne pytania dot. tego systemu. 

CloseProcesses:
CreateRestorePoint:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avidemux (64 bits)\VS Proxy GUI 2.7.lnk
C:\Users\janm.dom\Documents\NiceLabel\NiceLabel 2017.lnk
C:\Users\janm.dom\Desktop\strony\z dnia 20 listopada 2017\www.dom.krakow.pl jeszcze na hp\x\Zakupy (pliki) (Z) — skrót (2).lnk
C:\Users\janm.dom\Desktop\strony\z dnia 20 listopada 2017\www.dom.krakow.pl jeszcze na hp\x\Zakupy (pliki) (Z) — skrót (3).lnk
C:\Users\janm.dom\Desktop\strony\z dnia 20 listopada 2017\www.dom.krakow.pl jeszcze na hp\x\Zakupy (pliki) (Z) — skrót (4).lnk
C:\Users\janm.dom\Desktop\strony\z dnia 20 listopada 2017\www.dom.krakow.pl jeszcze na hp\x\Zakupy (pliki) (Z) — skrót.lnk
C:\Users\janm.dom\Desktop\dom\excel\czytniki.xlsx — skrót.lnk
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} =>  -> Brak pliku
Task: {F096C2DD-EFF7-4DF2-A343-31C5B926BB41} - System32\Tasks\{0EC5ECB4-FF6F-40C1-ADE7-5E9049D84C42} => C:\WINDOWS\system32\pcalua.exe -a "C:\Program Files (x86)\Jasc Software Inc\Paint Shop Pro 7\psp.exe" -d "C:\Program Files (x86)\Jasc Software Inc\Paint Shop Pro 7\"
GroupPolicy: Ograniczenia EmptyTemp:

Skorzystaj z serwisu hostującego grafiki, np. PostImage. 

Nadal niepoprawnie - raporty mają być bez dat, czyli z miejsca, z którego został uruchomiony FRST, a nie z archiwalnego C:\FRST. Brak dat jest istotny, ponieważ potwierdza, że nie ma nowszych raportów.

Wiem, że ComboFix jest bardzo inwazyjnym programem, ale mimo to chcę uzyskać odpowiedź.

I obecnie praktycznie w ogóle nieużywanym.

CombFix obsługuje następujące platformy: Windows XP, Windows Vista, Windows 7, Windows 8 32-bit (x86) i 64-bit (x64).

Nie powinno więc być żadnych problemów z uruchomieniem tego narzędzia. Odsyłam do instrukcji uruchomienia. 

Czy podczas uruchamiania wyświetlany jest konkretny błąd? Jeśli tak, pokaż go.

Aktywne malware powinno zostać zdjęte jednak wymagana jest kontrola i wdrążenie doczyszczeń.

Proszę dostarczyć raporty z przeprowadzonych operacji, o które przecież prosiłem.

Raporty nie wykazują oznak infekcji. 

Hej, moment temu przeglądając nieodpowiednie obszary Internetu otworzyła mi się karta że mam zapłacić karę na policję.

Windows 10 nie posiada wystarczających zabezpieczeń, aby uchronić system wykorzystywany do takich celów.

Proszę zapoznać się z naszym autorskim zbiorem oprogramowania zabezpieczającego i wybrać, któreś z nich.

Kosmetyka pomyślnie wykonana. 

Avast nie jest wykluczony - odinstaluj go i poobserwuj.

Proszę o cierpliwość. 

Brakuje logu Shortcut, ale w tej sytuacji jest on nieistotny, więc pomijam.

Raporty nie wykazują oznak infekcji, w spoilerze wdrążam tylko kosmetykę systemową - czyszczenie martwych wpisów / resztek po programach (w tym po po przeglądarce Mozilla FireFox).

CloseProcesses:
CreateRestorePoint:
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-18\...\Run: [] => [X]
HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe 
SearchScopes: HKU\S-1-5-21-2227386290-2385267191-4023304224-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
U1 aswbdisk; no ImagePath
ContextMenuHandlers1: [WinRAR] -> [CC]{B41DB860-64E4-11D2-9906-E49FADC173CA} => -> No File
ContextMenuHandlers1: [WinRAR32] -> [CC]{B41DB860-8EE4-11D2-9906-E49FADC173CA} => -> No File
ContextMenuHandlers1: [WinZip] -> [CC]{E0D79304-84BE-11CE-9641-444553540000} => -> No File
ContextMenuHandlers4: [WinZip] -> [CC]{E0D79304-84BE-11CE-9641-444553540000} => -> No File
ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> No File
ContextMenuHandlers6: [WinZip] -> [CC]{E0D79304-84BE-11CE-9641-444553540000} => -> No File
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\przem\AppData\Local\Mozilla
C:\Users\przem\AppData\Roaming\Mozilla
C:\Users\przem\AppData\Roaming\Profiles
EmptyTemp:

Raporty nie wykazują oznak infekcji, ale temat zostawiam jeszcze w dziale leczenia zainfekowanych platform Windows, gdyż sygnalizujesz, że:

Windows Defender ciągle rzuca komunikatem "znaleziono zagrożenie"

Proszę o dostarczenie raportu z tego wykrycia.

Log kasuje.

Proszę wykonać pełen zestaw raportów zgodnie z naszymi zasadami.