picasso

Na temat tego procesu tutaj. Tymczasowe wysokie obciążenie może być normalne. Pozostaw go dopóki nie ukończą się operacje powiązane z aktualizacjami. Ten proces samoczynnie powinien zniknąć po wykonaniu zadania.

Usługa która odpala ten proces jako składową to MSI_ActiveX_Service: ==================== Procesy (filtrowane) ================= (Micro-Star INT'L CO., LTD.) C:\Program Files (x86)\MSI\MSI OC Kit\ActiveX_Service\MSI_ActiveX_Service.exe (Micro-Star INT'L CO., LTD.) C:\Program Files (x86)\MSI\MSI OC Kit\ActiveX_Service\VideoCardMonitorII.exe (Micro-Star INT'L CO., LTD.) C:\Program Files (x86)\MSI\MSI OC Kit\ActiveX_Service\EyeRest.exe (Micro-Star INT'L CO., LTD.) C:\Program Files (x86)\MSI\MSI OC Kit\ActiveX_Service\TriggerModeMonitor.exe (Micro-Star INT'L CO., LTD.) C:\Program Files (x86)\MSI\MSI OC Kit\ActiveX_Service\NahimicMonitor.exe ==================== Usługi (filtrowane) ==================== R2 MSI_ActiveX_Service; C:\Program Files (x86)\MSI\MSI OC Kit\ActiveX_Service\MSI_ActiveX_Service.exe [83616 2017-09-11] (Micro-Star INT'L CO., LTD.) Problem z obciążeniem WMI zgłoszony także na forum wsparcia MSI tutaj. Czyli możliwości są tu ograniczone do: zatrzymanie w/w procesów + wyłączenie tej konkretnej usługi via services.msc, wyszukanie aktualizacji oprogramowania MSI lub całkowite usunięcie tego oprogramowania.

Przypuszczalnie inny proces wpływa na obciążenie i nie jest tu wykluczony Bitdefender. Sprawdź następujące dane: 1. Prawy klik na przycisk Start > Podgląd zdarzeń > Dzienniki aplikacji i usług > Microsoft > Windows > WMI-Activity > Operational > sprawdź czy widnieją tam błędy. W przypadku błędów pobierz ich szczegóły. W szczegółach błędu powinien widnieć Identyfikator procesu klienta z numerem. Ten numer to PID obciążającej usługi. 2. Otwórz Menedżer procesów, wejdź do karty Usługi i wyszukaj numer pobrany w punkcie 1. Podaj dane jaka usługa jest z nim powiązana.

Z okazji Świąt Bożego Narodzenia najlepsze życzenia dla wszystkich użytkowników Fixitpc!

Wszystko zostało wykonane. Proszę wypowiedz się jaka jest obecnie sytuacja i co jeszcze wymaga naprawy.

Infekcja dodała nową pozycję startową Windows Fast Mode (zgłaszaną przez Ciebie na zrzucie ekranu z msconfig) powiązaną z dwoma fałszywymi plikami "Microsoftu" cytowanymi przeze mnie powyżej: Moduł ładujący rozruchu systemu Windows --------------------------------------- Identyfikator {default} device partition=C: path \Windows\system32\osloader.exe description Windows Fast Mode inherit {bootloadersettings} recoveryenabled Yes osdevice partition=C: systemroot \Windows kernel ntkrnlmp.exe resumeobject {12d7614e-af7c-11e7-aa78-806e6f6e6963} nx OptIn 1. Start > w polu szukania wpisz msconfig > z prawokliku Uruchom jako administrator. W karcie Rozruch podświetl pozycję "Windows 7" i kliknij Ustaw jako domyślne. Następnie podświetl pozycję Windows Fast Mode i kliknij w Usuń. Zresetuj system, by zweryfikować naprawę rozruchu. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: Task: {02A87268-D054-4BF3-9498-E960654F0618} - System32\Tasks\{D729A34A-4E63-43ED-9915-7E80F68DBE09} => C:\Program Files\Malwarebytes Anti-Malware\mbam.exe Task: {07F4C288-08ED-45E1-A51E-CBA49E5E95C3} - System32\Tasks\{DC1475FA-5460-4B87-89F0-E7D216FBB415} => C:\Windows\system32\pcalua.exe -a C:\Users\Agata\Downloads\windirstat1_1_2_setup.exe -d C:\Users\Agata\Downloads Task: {23B63F3E-1A83-4A59-906C-FA51F4D55B97} - System32\Tasks\{7E4349BD-F604-4FE3-9F0E-DBE4D263ABC5} => C:\Program Files\Malwarebytes Anti-Malware\mbam.exe Task: {3C0F6439-588F-49FC-BA0F-9836F2148267} - System32\Tasks\{778711A2-51A4-40BF-856D-ACC826CF2597} => C:\Windows\system32\pcalua.exe -a "C:\Users\Agata\Downloads\FC MpTool(04.03.08)\FC MpTool.exe" -d "C:\Users\Agata\Downloads\FC MpTool(04.03.08)" Task: {68DF0F1D-4413-495E-A32D-51761E0522BE} - System32\Tasks\{CA190B01-7F80-449C-918C-05B2ED748B1D} => C:\Windows\system32\pcalua.exe -a "C:\Users\Agata\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\PWMQ8V52\JavaSetup8u111.exe" -d C:\Users\Agata\Desktop Task: {77E60949-61D7-4280-AA71-E6E08EDC975B} - System32\Tasks\JetCleanLoginCheckUpdate => C:\Users\Agata\Desktop\JetCleanPortable_1.5.0.129\AutoUpdate.exe Task: {78629897-A6F3-4B1D-B2C4-AD9FEF67E17D} - System32\Tasks\{BCF316B5-84B8-4058-97CE-C63F16F12A0F} => C:\Windows\system32\pcalua.exe -a "C:\Users\Agata\JetCleanPortable_1.5.0.129 program do czyszczenia\Install.exe" -d "C:\Users\Agata\JetCleanPortable_1.5.0.129 program do czyszczenia" TTask: {EAF1649C-8C9F-4688-83F8-39831ADA17F0} - System32\Tasks\{F0E04983-07AF-44DB-ADCB-B3AAACF7E1CB} => C:\Program Files\Malwarebytes Anti-Malware\mbam.exe MSCONFIG\startupreg: Spotify => "C:\Users\Agata\AppData\Roaming\Spotify\Spotify.exe" -autostart -minimized MSCONFIG\startupreg: Spotify Web Helper => "C:\Users\Agata\AppData\Roaming\Spotify\SpotifyWebHelper.exe" DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google C:\ProgramData\TEMP C:\ProgramData\hgf.3dew C:\Users\Agata\AppData\Roaming\Duo-Dox.bin C:\Users\Agata\AppData\Roaming\Transex.exe C:\Windows\system32\ntkrnlmp.exe C:\Windows\system32\osloader.exe Folder: C:\Windows\SysWOW64\.ipfs C:\Windows\SysWOW64\.ipfs Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Loaderem systemu Windows 7 jest winload.exe a nie osloader.exe. Ten plik wygląda na malware pomimo opisu "Microsoft Corporation", pierwszy log pokazywał że plik został utworzony w grupie malware: ==================== Jeden miesiąc - utworzone pliki i foldery ======== 2017-10-12 20:39 - 2017-10-12 20:39 - 000000266 __RSH C:\Users\Agata\ntuser.pol 2017-10-12 17:52 - 2017-10-13 01:28 - 000000008 _____ C:\ProgramData\hgf.3dew 2017-10-12 17:52 - 2017-10-13 01:20 - 000000000 ____D C:\Windows\SysWOW64\.ipfs 2017-10-12 17:51 - 2017-10-12 21:33 - 000000000 ____D C:\ProgramData\ad8a42d0-6cd7-1 2017-10-12 17:51 - 2017-10-12 21:33 - 000000000 ____D C:\ProgramData\ad8a42d0-4af5-0 2017-10-12 17:51 - 2017-10-12 17:51 - 001370624 _____ C:\Windows\windefender.exe 2017-10-12 17:51 - 2017-10-12 17:51 - 000024312 _____ C:\Windows\System32\Tasks\{7D7A7E47-0A0D-0A7E-0511-0B7E087D1178} 2017-10-12 17:51 - 2017-10-12 17:51 - 000021540 _____ C:\Windows\System32\Tasks\L0qObltTFUur 2017-10-12 17:50 - 2017-10-12 17:51 - 005547752 _____ (Microsoft Corporation) C:\Windows\system32\ntkrnlmp.exe 2017-10-12 17:50 - 2017-10-12 17:51 - 000633296 _____ (Microsoft Corporation) C:\Windows\system32\osloader.exe 2017-10-12 17:49 - 2017-10-12 17:49 - 000016706 _____ C:\Windows\System32\Tasks\Moon Manager 2017-10-12 17:48 - 2017-10-13 01:19 - 000000000 ____D C:\Program Files\8ZCB25VOSK 2017-10-12 17:47 - 2017-10-13 01:20 - 000000000 ____D C:\Users\Agata\AppData\Roaming\nt0qd4ngbvo 2017-10-12 17:47 - 2017-10-13 01:19 - 000000000 ____D C:\Program Files (x86)\L0qObltTFUur 2017-10-12 17:47 - 2017-10-13 01:19 - 000000000 ____D C:\Program Files (x86)\fbg33l1j5hc 2017-10-12 17:46 - 2017-10-13 01:20 - 000000000 ____D C:\Users\Agata\AppData\Roaming\qtbfehtpxob 2017-10-12 17:46 - 2017-10-12 17:46 - 000003474 _____ C:\Windows\System32\Tasks\8f5924d3f0decf6b4ab73c990a7a077b 2017-10-12 17:46 - 2017-10-12 17:45 - 002904064 _____ (Adobe Systems Incorporated) C:\ProgramData\KeService.exe 2017-10-12 17:45 - 2017-10-13 01:19 - 000000000 ____D C:\Program Files\129TZA7WHV 2017-10-12 17:45 - 2017-10-12 17:50 - 000003158 _____ C:\Windows\System32\Tasks\3ff2108d7185625d7293e4213106116d 2017-10-12 10:14 - 2017-10-13 02:30 - 000000000 ____D C:\Users\Agata\Desktop\Agata 2017-10-11 21:45 - 2017-10-11 21:45 - 000358400 _____ C:\Windows\0c27bc2489ccbd6abf90736157684dfa.exe 2017-10-11 21:45 - 2017-10-11 21:45 - 000037170 _____ C:\Windows\uninstaller.dat Był też przecież robiony skan SFC i to dwa razy, w żadnym skanie ten plik nie jest wykrywany jako naruszony, a byłby gdyby należał do plików systemowych. Poproszę o nowy skan FRST z zaznaczoną opcją Lista BCD, Addition i Shortcut niepotrzebne. Dodatkowo, wklej w polu Szukaj ntkrnlmp.exe i klik w Szukaj plików.

Problemem nie jest infekcja i temat zostanie przeniesiony do działu Windows. Defekt jest ulokowany w kontach. Konto Julia stało się kontem tymczasowym przekierowanym na inną ścieżkę, ze względu na nieokreśloną "Odmowę dostępu". Problemem może być uszkodzenie trwałe konta, błędy dysku i podobne sytuacje. Uruchomiony z C:\Windows\System32\config\systemprofile\Desktop\Nowy folder Załadowane profile: False (Dostępne profile: Julia & UpdatusUser & Gość) <==== UWAGA (Profil tymczasowy?) ==================== Konta użytkowników: ============================= Administrator (S-1-5-21-3165617500-2676056306-2059482004-500 - Administrator - Disabled) Gość (S-1-5-21-3165617500-2676056306-2059482004-501 - Limited - Enabled) => C:\Users\Gość HomeGroupUser$ (S-1-5-21-3165617500-2676056306-2059482004-1005 - Limited - Enabled) Julia (S-1-5-21-3165617500-2676056306-2059482004-1000 - Administrator - Enabled) => C:\Users\TEMP.Julia-Komputer UpdatusUser (S-1-5-21-3165617500-2676056306-2059482004-1002 - Limited - Enabled) => C:\Users\TEMP Dziennik Aplikacja: ================== Error: (12/04/2017 07:40:04 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1505) (User: Julia-Komputer) Description: System Windows nie może załadować profilu użytkownika, ale wykonał logowanie przy użyciu domyślnego profilu systemowego. SZCZEGÓŁY - Odmowa dostępu. Error: (12/04/2017 07:37:25 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1500) (User: Julia-Komputer) Description: System Windows nie może wykonać logowania, ponieważ nie można załadować Twojego profilu. Sprawdź, czy masz połączenie z siecią i czy sieć działa poprawnie. SZCZEGÓŁY - Odmowa dostępu. Zostanie podjęta próba odzyskania konta, a gdy się nie powiedzie, opcją będzie założenie nowego. Działania do przeprowadzenia: 1. Potrzebne konto pośrednie do przeprowadzenia operacji. Włącz wbudowane konto Administrator. Start > w polu szukania wpisz lusrmgr.msc > z prawokliku Uruchom jako Administrator. Dwuklik w Użytkownicy > dwuklik w Administratora i włącz konto. 2. Wyloguj się całkowicie z obecnego tymczasowego konta poprzez pełny restart komputera a nie opcje Wyloguj / Przełącz użytkownika. Zaloguj się na Administratora. Uruchom na nim Reprofiler. Rozłącz konto Julia opcją Detach, a następnie połącz z folderem C:\Users\Julia. 3. Zresetuj komputer. Zaloguj się na Julia. Jeśli logowanie nastąpi pomyślnie i nie będzie komunikatu o logowaniu via profil tymczasowy, zrób nowe raporty z FRST (wszystkie trzy).

Types Strona domowa Platforma: Windows XP, Vista, Windows 7 Licencja: GPL (open source) Types - Lekkie narzędzie konfiguracyjne obsługujące zarządzanie typami plików, o wiele lepsze i czytelniejsze niż natywna zakładka typów plików w Windows. Aplikacja umożliwia: kasowanie typów plików, edytowanie skojarzeń programowych, modyfikowanie ikon / menu kontekstowych i innych skorelowanych danych. Ma purystycznie lecz zgrabnie rozwiązany cały interfejs z podziałem na klasy i typy. We właściwościach rozszerzenia więcej danych. Narzędzie nie wymaga instalacji. Windows XP: wymagane .NET Framework 2.0.

Komunikat z obrazka jest związany ze zintegrowanym w FRST ERUNT i nic w tej kwestii nie można zdziałać. Niestety ostatni Fix również nieskuteczny. Kolejne podejście: 1. Panel sterowania > Programy > zainstalowane aktualizacje > upewnij się że nie ma tam pozycji KB3004394. Jeśli jest. Odinstaluj. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: StartBatch: net stop cryptsvc esentutl /p C:\Windows\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb /o net start cryptsvc EndBatch: Folder: C:\Windows\system32\catroot2 Folder: C:\Windows\system32\catroot2.OLD Folder: C:\Windows\system32\catroot2.bak Folder: C:\Windows\system32\catroot Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

O ile wpisy "Brak pliku" zostały poprawnie ukryte po naprawie Path, niestety masowy "Brak podpisu cyfrowego" od góry do dołu. Kolejne podejście: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: StartBatch: net stop CryptSvc ren C:\Windows\System32\catroot2 catroot2.OLD EndBatch: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Nastąpi restart i powstanie kolejny fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Shortcut). Dostarcz też fixlog.txt.

Nic już nie przywracaj przy pomocy Jv16 PowerTools. Teraz po skanie chkdsk ponów te działania: Narzędzie wcześniej było już pobrane, ale czy na pewno zostało poprawnie uruchomione? W ostatnim logu FRST nie było świeżo utworzonego folderu "Catroot2.bak", który powstaje gdy się uruchamia opcję agresywną. Nie zapomnij wybrać trybu "Aggressive".

Szukasz w Eksploratorze Windows, a ja mówiłam o Dzienniku zdarzeń. Start > w polu szukania wpisz eventvwr.msc > rozwiń gałąź Dzienniki systemu Windows > Aplikacja > w kolumnie Źródło szukaj "Wininit". Jakie wpisy? Usunięte wpisy "Brak pliku", o których tu mówiłam, zostały już odtworzone w moim skrypcie FRST, a fałszywe zgłoszenie "Brak pliku" zniknęło poprzez stworzenie zmiennej Path (o ile wykonałeś). Ten C:\Documents and settings to link symboliczny zapętlony zwrotnie, dlatego ścieżka tak długa. Ta ścieżka Cię nie interesuje, to link, ścieżka zasadnicza to C:\Users.

Punkt 1 nie był związany ze skanem. Co z punktem 2? Detekcja custmon32i.dll wygląda na fałszywy alarm. Ten plik jest używany przez różne aplikacje (poprawne i szkodliwe), u Ciebie prawdopodobnie pochodna instalacji PDF Creator. A Kingsoft jako taki i tak był planowany przeze mnie do deinstalacji (po naprawie systemu), bo to stary program i już nierozwijany. Więcej tutaj: KLIK. Co masz na myśli?

Wpisy uprzednio usunięte za pomocą skryptu FRST zostały pomyślnie przywrócone (widać je ponownie jako "Brak pliku"). Path definitywnie jest naruszone, tzn. w ogóle brak tej zmiennej, stąd fałszywe odczyty "Brak pliku". W kwestii masowego "Braku podpisu cyfrowego", brak zmian po użyciu Fix It. I problem uszkodzenia bazy Catroot2 wygląda na powiązany z uszkodzeniami struktury plików, o czym mówi zarówno ekran ze sprawdzaniem spójności, jak i komunikat FRST o uszkodzeniu. Uszkodzenia dysku mogą być też przyczyną spowolnienia systemu. Nie jest wykluczone, że jest ogólny problem z dyskiem. Wstępnie: 1. Panel sterowania > System i konserwacja > System > Zaawansowane ustawienia systemu > Zmienne środowiskowe > w sekcji Zmienne systemowe klik w "Nowa", jako nazwę wprowadź Path, a jako wartość zmiennej następujący ciąg: %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem Zresetuj system, by zmiany weszły w życie. 2. Start > w polu szukania wpisz cmd > z prawokliku "Uruchom jako administrator" > w oknie wklej komendę i ENTER: chkdsk /f /r Zatwierdź uruchomienie przy następnym starcie i resetuj system, by checkdisk wykonał pracę. Wynik zostanie nagrany w Dzienniku zdarzeń w gałęzi Aplikacja w postaci rekordu z Wininit. Pobierz szczegóły tego rekordu, skopiuj i wklej do posta statystyki. 3. Na razie pomijam naruszenie Catroot2, trzeba obejrzeć wyniki z naprawiania checkdisk. PS. A temat przenoszę do działu Windows, problemy w ogóle nie są pochodną infekcji.

Przepraszam, zaćmiło mnie. Oczywiście nakładka tylko spod działającego Windows i to tutaj definitywnie odpada. To już omówione przez mnie. Skan w trybie "offline" nie nagrywa logów i nie ma żadnych danych poza tym co już wykryte. Skan z FRST jest ograniczony tylko do wybranych plików i nie jest w żadnym wypadku odpowiednikiem skanu SFC. Jak mówiłam, moim zdaniem naprawa, sprowadzona do podstawiania pliku za plikiem w odpowiedniej wersji z alternatywnego systemu, nie wydaje się opłacalna, a wyniki reperacji nie mają gwarancji. Jawne 48 plików do podmiany, reszta plików też budzi podejrzenia i jeszcze nie wiadomo ile jest takich uszkodzeń. W związku z tym proponuję skopiować z poziomu płyty ważne dane z tego systemu na alternatywny nośnik i system postawić od nowa. Dla jasności, mogę się podjąć tego podstawiania plików, ale wydaje mi się to po prostu nie warte zachodu.

Skan SFC na razie opuść. Widać dwa typy uszkodzeń nienaprawialne via SFC: 1. Prawdopodobne naruszenie zmiennej Path ("Brak pliku" na wpisach relatywnych Microsoftu). Niestety niektóre zostały przetworzone w skrypcie FRST i trzeba to odkręcić. S3 WinHttpAutoProxySvc; winhttp.dll [X] HKLM\...\Providers\Internet Print Provider: inetpp.dll HKLM\...\Providers\LanMan Print Services: win32spl.dll HKLM\...\Run: [OA001Cfg.exe] => OA001Cfg.exe Filter: application/octet-stream - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll Brak pliku Filter: application/x-complus - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll Brak pliku Filter: application/x-msdownload - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll Brak pliku ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => syncui.dll -> Brak pliku ContextMenuHandlers1: [Sharing] -> {f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} => ntshrui.dll -> Brak pliku ContextMenuHandlers2: [Sharing] -> {f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} => ntshrui.dll -> Brak pliku ContextMenuHandlers4: [Sharing] -> {f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} => ntshrui.dll -> Brak pliku ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => syncui.dll -> Brak pliku Task: {C8B3025B-D21E-4527-BBC6-CDFBFEB026E1} - System32\Tasks\Microsoft\Windows\Bluetooth\UninstallDeviceTask => BthUdTask.exe UWAGA: ==> Nie można uzyskać dostępu do BCD. 2. Masowy "Brak podpisu cyfrowego" wynika z dysfunkcji Usług kryptograficznych. Log sugeruje uszkodzenie bazy Catroot2, gdyż w Dzienniku widać następujący błąd: Dziennik Aplikacja: ================== Error: (11/18/2017 08:54:39 PM) (Source: Microsoft-Windows-CAPI2) (EventID: 257) (User: ) Description: Zainicjowanie bazy danych wykazu przez Usługi kryptograficzne nie powiodło się. Błąd ESENT: -583. 1. Wstępnie skrypt pobierający dane o zmiennej Path, importujący wcześniej usunięte wpisy z rejestru oraz usuwający drobne śmieci. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: U5 AppMgmt; C:\Windows\system32\svchost.exe [21504 2008-01-21] (Microsoft Corporation) [Brak podpisu cyfrowego] <==== UWAGA (Brak ServiceDLL) HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" MSCONFIG\startupreg: HP Software Update => FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF Extension: (Microsoft .NET Framework Assistant) - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2013-01-17] [Przestarzałe] [Brak podpisu cyfrowego] CHR HKU\S-1-5-21-129483142-3514389360-151311165-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\jan\AppData\Local\Google\Drive\apdfllckaahabafndbhieahigkjlhalf_live.crx <nie znaleziono> DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main CMD: set StartRegedit: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\BriefcaseMenu] @="{85BBD920-42A0-1069-A2E4-08002B30309D}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\Sharing] @="{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shellex\ContextMenuHandlers\Sharing] @="{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing] @="{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\BriefcaseMenu] @="{85BBD920-42A0-1069-A2E4-08002B30309D}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85BBD920-42A0-1069-A2E4-08002B30309D}] @="Briefcase" "InfoTip"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,\ 6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,\ 00,73,00,68,00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,\ 2d,00,32,00,32,00,39,00,31,00,37,00,00,00 "LocalizedString"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,\ 6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,\ 00,5c,00,73,00,68,00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,\ 2c,00,2d,00,32,00,32,00,39,00,37,00,38,00,00,00 "FriendlyTypeName"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,\ 00,6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,\ 32,00,5c,00,73,00,68,00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,\ 00,2c,00,2d,00,32,00,32,00,39,00,37,00,38,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85BBD920-42A0-1069-A2E4-08002B30309D}\DefaultIcon] @=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,79,00,\ 6e,00,63,00,75,00,69,00,2e,00,64,00,6c,00,6c,00,2c,00,30,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85BBD920-42A0-1069-A2E4-08002B30309D}\InProcServer32] @="syncui.dll" "ThreadingModel"="Apartment" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85BBD920-42A0-1069-A2E4-08002B30309D}\shellex] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85BBD920-42A0-1069-A2E4-08002B30309D}\shellex\PropertySheetHandlers] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85BBD920-42A0-1069-A2E4-08002B30309D}\shellex\PropertySheetHandlers\{1f2e5c40-9550-11ce-99d2-00aa006e086c}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85BBD920-42A0-1069-A2E4-08002B30309D}\ShellFolder] "Attributes"=dword:70000136 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}] @="Shell extensions for sharing" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}\InProcServer32] @="ntshrui.dll" "ThreadingModel"="Apartment" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinHttpAutoProxySvc] "DisplayName"="@%SystemRoot%\\system32\\winhttp.dll,-100" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\ 00,65,00,00,00 "Description"="@%SystemRoot%\\system32\\winhttp.dll,-101" "ObjectName"="NT AUTHORITY\\LocalService" "ErrorControl"=dword:00000001 "Start"=dword:00000003 "Type"=dword:00000020 "DependOnService"=hex(7):44,00,68,00,63,00,70,00,00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\ 00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,00,6c,\ 00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,00,61,\ 00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "FailureActions"=hex:00,5c,26,05,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinHttpAutoProxySvc\Parameters] "ServiceDll"=hex(2):77,00,69,00,6e,00,68,00,74,00,74,00,70,00,2e,00,64,00,6c,\ 00,6c,00,00,00 "ServiceMain"="WinHttpAutoProxySvcMain" "ServiceDllUnloadOnStop"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinHttpAutoProxySvc\Security] "Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,70,00,05,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,14,00,14,00,00,00,01,01,00,00,00,00,00,05,04,00,00,00,00,00,14,00,14,00,\ 00,00,01,01,00,00,00,00,00,05,06,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\ 00,01,01,00,00,00,00,00,05,12,00,00,00 EndRegedit: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Powstanie kolejny fixlog.txt. 2. Uruchom narzędzie Fix It 50202: KLIK. Zaznacz tryb agresywny - opcja uwzględnia reset bazy Catroot2. 3. Zresetuj system. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Shortcut). Dostarcz też fixlog.txt.

Duplikaty łączę. Dostarcz dane wymagane działem: https://www.fixitpc.pl/forum-38/announcement-3-wa%C5%BCne-zak%C5%82adanie-tematu-obowi%C4%85zkowe-logi/

Temat założony w złym dziale (publikacja tutoriali), przenoszę. Tytuł dopasowuję do treści. Nie, ComboFix nie obsługuje systemów Windows 8.1 i Windows 10. Jeśli potrzebujesz pomocy z malware, dostarcz wymagane działem dane; https://www.fixitpc.pl/forum-38/announcement-3-wa%C5%BCne-zak%C5%82adanie-tematu-obowi%C4%85zkowe-logi/

Wszystko wykonane. Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj z dysku: C:\FRST C:\WINDOWS\ZAM_Guard.krnl.trace C:\WINDOWS\ZAM.krnl.trace ... oraz AdwCleaner, FRST i jego logi z katalogu Pobrane. 2. Wyczyść foldery Przywracania systemu: KLIK. Po wykonaniu w/w czynności nowy log nie wykazuje poprzednich błędów. Gdyby coś się jednak działo (dla porównania ten wątek) możesz odinstalować wymieniony program.

Problemem jest szkodliwy wpis startowy "explorer". Przy okazji, widać błędy i nadprodukcję plików Intel z błędami. Na razie przestawię tylko powiązane usługi na Ręczny i usunę pliki logów. Jeśli nie pomoże, odinstalujesz Intel® Driver Update Utility. Działania do przeprowadzenia: 1. Odinstaluj zbędny program HP Customer Participation Program 14.0. 2. W Firefox odinstaluj rozszerzenie Youtube Downloader - 4K Download, powiązane z dystrybucją adware. Szukaj go w sekcji "Przestarzałych rozszerzeń". W Chrome pozbądź się analogicznej produkcji tej samej marki Flash Video Downloader. 3. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-77619612-1921695928-275116232-1001\...\Run: [ROG] => explorer.exe hxxp://ozirizsoos.info Task: {6854DAAD-B69D-43DC-800E-814316C6A7E1} - System32\Tasks\ROG => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v ROG /t REG_SZ /d "explorer.exe hxxp://ozirizsoos.info" Task: {FD384B4C-B997-43CA-93B1-41F6E64C9D34} - System32\Tasks\Driver Booster SkipUAC (ROG) => C:\Program Files (x86)\IObit\Driver Booster\4.1.0\DriverBooster.exe ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku R1 ZAM; C:\Windows\System32\drivers\zam64.sys [203680 2016-12-20] (Zemana Ltd.) R1 ZAM_Guard; C:\Windows\System32\drivers\zamguard64.sys [203680 2016-12-20] (Zemana Ltd.) DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions C:\Users\ROG\AppData\Roaming\r.cmd C:\WINDOWS\ZAM.krnl.trace C:\WINDOWS\ZAM_Guard.krnl.trace C:\WINDOWS\system32\default_error_stack-*.txt C:\Windows\System32\drivers\zam64.sys C:\Windows\System32\drivers\zamguard64.sys Hosts: CMD: sc config ESRV_SVC_QUEENCREEK start= demand CMD: sc config SystemUsageReportSvc_QUEENCREEK start= demand CMD: sc config USER_ESRV_SVC_QUEENCREEK start= demand Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Są też inne drobne śmieci (puste wpisy, inne wpisy utworzone przez ComboFix, śmieci Asystenta kompatybilności, niepodpisane cyfrowo rozszerzenia FF, etc.) do usunięcia. Wykonaj fixlist.txt o następującej zawartości: U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 NAVENG; \??\C:\Program Files (x86)\Norton Internet Security\NortonData\22.7.0.76\Definitions\SDSDefs\20160628.037\ENG64.SYS [X] S3 NAVEX15; \??\C:\Program Files (x86)\Norton Internet Security\NortonData\22.7.0.76\Definitions\SDSDefs\20160628.037\EX64.SYS [X] MSCONFIG\Services: SDScannerService => 2 MSCONFIG\Services: SDUpdateService => 2 MSCONFIG\Services: SDWSCService => 2 MSCONFIG\Services: ServiceLayer => 3 Task: {1182B16F-B8D8-4140-A621-7C2FE8B6D2EF} - System32\Tasks\{1A9D120A-E5E8-409E-8C2C-CF76BB62E3DE} => C:\Users\Asus\Desktop\R120ODD1.EXE Task: {126A863A-55D3-476E-9767-461F6C6D30BC} - System32\Tasks\{4C839ED5-B831-4E68-BD7F-7944BB47B2F5} => C:\Windows\system32\pcalua.exe -a C:\Users\Asus\Desktop\jxpiinstall(1).exe -d C:\Users\Asus\Desktop Task: {336E5313-1A02-4520-BFA3-7CD289971A72} - System32\Tasks\{B62370DB-A6D2-488E-A8C0-24BE605C53E1} => C:\Windows\system32\pcalua.exe -a C:\Users\Asus\Desktop\rmclock_235_bin.exe -d C:\Users\Asus\Desktop Task: {42DD5195-B710-4211-8E40-F1F3A969690E} - System32\Tasks\{EEE6898E-0F12-4FCB-8BC3-D6E230FAC236} => C:\Users\Asus\Desktop\R410ODD1.EXE Task: {458BF3B1-0D09-489B-87BE-4895917CAFA7} - System32\Tasks\{A69C8ADD-7E09-4D8B-89D4-A3C343039A0A} => C:\Program Files (x86)\DVBT\AVCapture.exe Task: {6AE47AE8-CABC-4E6A-9EAA-9892048C8C66} - System32\Tasks\{9B3478AC-B743-4272-8C95-762194BF5685} => C:\Windows\system32\pcalua.exe -a C:\Users\Asus\Desktop\irfanview_plugins_430_setup.exe -d C:\Users\Asus\Desktop Task: {7017B731-C6F5-49C1-BDD7-E05784B8C8EA} - System32\Tasks\{85439239-48E0-4D56-BC32-3BAF080FAB54} => C:\Windows\system32\pcalua.exe -a E:\Software\RE-7500_Driver\Driver\FTDIUNIN.EXE -d E:\Software\RE-7500_Driver\Driver Task: {8137B42C-5678-4360-986F-B2D1B4FB11E2} - System32\Tasks\{48EA677F-2A64-42ED-A00C-CCA682AF1E16} => C:\Users\Asus\Desktop\R160VOL2.EXE Task: {87C01D68-5A71-408D-96D0-ACCD63DA5975} - System32\Tasks\{0A2F6E7C-E9C4-43B4-AB67-553EB4174CA4} => C:\Windows\system32\pcalua.exe -a C:\Users\Asus\Desktop\epson324599eu.exe -d C:\Users\Asus\Desktop Task: {8F8D67D1-79F2-4356-8CA0-3A5DACC79F53} - System32\Tasks\{E837B853-47C2-4F05-93A1-1D18FEAD69AF} => C:\Windows\system32\pcalua.exe -a C:\Users\Asus\Desktop\sp52461.exe -d C:\Users\Asus\Desktop Task: {B85373ED-EED4-4B01-B708-E07E32537E09} - System32\Tasks\{DA456E5D-2ADC-4A3A-9F16-8BA1E4C1A6BD} => C:\Users\Asus\Desktop\R160VOL2.EXE Task: {CE426B1F-7B8B-421F-B116-F5D730E93FB5} - System32\Tasks\{75EC2E16-9100-41CC-9137-12008542B49E} => C:\Windows\system32\pcalua.exe -a "C:\Users\Asus\Desktop\kamerka Liftec\Medion\SETUP.EXE" -d "C:\Users\Asus\Desktop\kamerka Liftec\Medion" Task: {EB6DBCB5-B2BA-4B8A-AFB7-D6186EDA6A0E} - System32\Tasks\{E12FBCCA-EDF5-4957-90E8-8E596C97EE54} => C:\Windows\system32\pcalua.exe -a C:\Users\Asus\Desktop\irfanview_lang_polski.exe -d C:\Users\Asus\Desktop Task: {D3E0D1BF-C810-4BBF-A28B-8115CC5FC60A} - System32\Tasks\Norton Identity Safe\Norton Error Processor => C:\Program Files (x86)\Norton Identity Safe\Engine\2013.4.0.10\SymErr.exe Task: {EE5CF97D-EF44-4783-86A6-FBF7BD235A41} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => C:\Program Files (x86)\Norton Identity Safe\Engine\2013.4.0.10\SymErr.exe Task: {F31402AF-0FE2-4238-90B7-DE1C4666ABA9} - System32\Tasks\{688B642D-622B-4E00-A14D-E9217759A7D3} => C:\Users\Asus\Desktop\EEPROM.exe Task: {FB4CF6EA-73D7-4AAC-B171-AED22AFE1827} - System32\Tasks\{AB74D821-6E27-4E84-BABD-D100B5761601} => C:\Users\Asus\Desktop\EEPROM.exe HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-96536358-3161396084-2614321931-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.google.com/search?q={sear CHR HKLM\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton Security\Engine\22.11.0.41\Exts\Chrome.crx CHR HKLM-x32\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton Security\Engine\22.11.0.41\Exts\Chrome.crx FF HKLM-x32\...\Firefox\Extensions: [{F003DA68-8256-4b37-A6C4-350FA04494DF}] - C:\Program Files\Logitech\SetPointP\LogiSmoothFirefoxExt DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Identity Safe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2 RemoveDirectory: C:\ProgramData\Malwarebytes' Anti-Malware (portable) RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\ProgramData\Temp RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Game Park RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Cracker RemoveDirectory: C:\Qoobox RemoveDirectory: C:\Users\Asus\AppData\Roaming\AVAST Software RemoveDirectory: C:\Users\Asus\AppData\Roaming\TomTom RemoveDirectory: C:\Windows\System32\Tasks\Norton Identity Safe RemoveDirectory: C:\Windows\System32\Tasks\Safer-Networking StartBatch: del /q C:\ProgramData\mntemp del /q C:\Users\Asus\Downloads\antimalwaresetup.exe del /q C:\Windows\system32\Drivers\25C68225.sys netsh advfirewall reset EndBatch: Przedstaw wynikowy fixlog.txt. PS. I na przyszłość czego nie pobierać: Avenger (przestarzały), HijackThis (przestarzały, natywnie niezgodny z systemem 64-bit), Plumbytes (lewy program). Przy okazji, właściwości lecznicze ComboFix są na dzień dzisiejszy słabe, program nie ma specjalizacji w infekcjach adware/PUP i coraz mniej osób go używa w procedurach dezynfekcji (a ja ostatni raz zaleciłam go ... kilka lat temu). Pokasuj z Pobranych ostatnie narzędzia.

Tu nie ma uszkodzenia. Mamy do czynienia z następującym systemem: Platform: Windows 7 Home Premium Service Pack 1 (X64) Język: Polski (Polska) Na edycjach Home usługa AppMgmt nie występuje. Dzięki temu wpisowi w logach od razu można się zorientować jakie narzędzie używano. To skutek użycia ComboFix, który błędnie "przywraca" wpis tej usługi w rejestrze na edycjach na których jej nie ma być. To niepoprawny i niedziałający element, który należy całkowicie usunąć, a nie "naprawiać". PS. Odczyt "Brak ServiceDLL" odnosi się do rejestru, a nie do obecności pliku na dysku. SFC w ogóle nie zajmuje się reperacjami rejestru, więc nawet gdyby to było rzeczywiste uszkodzenie, poza skalą SFC.

Wyciąg z Szukaj plików wykazuje masową dewastację komponentów, wyróżniam dwie nieprawidłowe grupy: ----> Wszystkie odczyty z sumą kontrolną D41D8CD98F00B204E9800998ECF8427E (suma ciągu pustego) oraz bez opisu "Microsoft" to pliki definitywnie uszkodzone: ----> Pozostałe wyniki pozornie wyglądające "OK" poprzez opis "Microsoft" też wyglądają podejrzanie, różne wersje komponentów mają wspólną sumę kontrolną, tak jakby kopiowano "na oko" ten sam plik w różne miejsca. Powiązane sumy kontrolne nie wyglądają na prawidłowe. Na szybko przykład: Zdewastowane komponenty nie posiadają poprawnej kopii alternatywnej w WinSxS, a kopie spoza tego systemu na dysku X: RE oraz cache ComboFix są za stare i niekompletne (te z dysku X: są tylko 64-bitowe, podczas gdy mamy też naruszenia 32-bitowe), więc pliki musiałyby być kopiowane z innego systemu posiadającego identyczne wersje komponentów. I może nie pomóc podstawienie tylko głównych wersji plików w system32/SysWOW64 (KnowDLLs jest bardzo "czułe" i pamiętam przypadek BSOD z forum wymagający uzgodnienia wszystkich kopii), a uzupełnienie wszystkich wersji komponentów w WinSxS to pracochłonna robota, nie można "na oko" powielać tego samego pliku, każdy komponent ma inną sumę kontrolną MD5. Poza tym, wyniki wyszukiwania nie wróżą za dobrze, podobna sytuacja może być w obszarze innych komponentów których log FRST po prostu nie wykaże, a danych nie można potwierdzić (SFC nie nagrywa raportu w trybie "offline"). Jest zbyt dużo jawnych uszkodzeń oraz podejrzenie wielu innych uszkodzeń. Poddaję w wątpliwość próby szczegółowej reperacji systemu reanimowanego z padniętego dysku. Sugeruję raczej wykonanie tzw. nakładkowej reperacji, która daje większą gwarancję "przebicia" większej ilości uszkodzonych plików:

W raporcie FRST rzuca się w oczy następująca informacja: ==================== Known DLLs (filtrowane) ========================= C:\Windows\System32\kernel32.dll BRAK <==== UWAGA [2016-12-22 01:20] - [2016-10-11 16:31] - 001068544 _____ () C:\Windows\System32\MSCTF.dll [2017-04-04 14:05] - [2017-04-04 14:05] - 000000000 _____ () C:\Windows\SysWOW64\rpcrt4.dll Jeden z kluczowych plików nieobecny, dwa pozostałe uszkodzone (brak etykiety Microsoftu). Log z FRST jest mocno ograniczony tylko do elementów stricte startowych, więc to prawdopodobnie nie są wszystkie uszkodzenia. Na jednym z zrzutów ekranów jest też informacja o uszkodzeniu cng.sys, choć nie mam pewności czy coś już nie zostało tu naprawione (może sfc /scannow z "off"), bo w logu figuruje jako świeżo utworzony: 2017-11-11 15:37 - 2016-11-20 15:07 - 000467392 _____ (Microsoft Corporation) C:\Windows\System32\Drivers\cng.sys Na razie: Uruchom FRST ponownie, w polu Szukaj wpisz 4 nazwy plików rozdzielone średnikami (bez spacji pomiędzy): kernel32.dll;MSCTF.dll;rpcrt4.dll;cng.sys Klik w Szukaj plików i dostarcz log Search.txt utworzony tam skąd uruchamiasz FRST.