picasso

Wg raportu FRST wyłączyłeś via msconfig usługę licencyjną wymaganą przez Autodesk. W momencie skanu FRST miała jeszcze stan "Uruchomiono", ale to dlatego, że przypuszczalnie tylko odznaczyłeś uruchamianie nie resetując wtedy systemu, więc w pamięci była nadal uruchomiona. Po restarcie już się nie uruchomiła, stąd błędy. Usługę należy ponownie włączyć w msconfig. R4 FLEXnet Licensing Service; C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe [1064312 2015-06-04] (Flexera Software LLC) Czy akcje z Revo ukończyły się pomyślnie? I na wszelki wypadek po wszystkich przeprowadzonych deinstalacjach zrób nowy raport FRST (włącznie z Addition) udawadniający zmiany. PS. Fix FRST pomyślnie wykonany.

Ten raport nie zawiera danych ze skanowania z poziomu środowiska RE. Owszem, komunikat w oknie o tym plecie, ale nagrywanie do CBS.LOG odbywa się tylko spod uruchomionego Windows. Zaprezentuj raport z FRST, by było ogólne rozeznanie jak wygląda sytuacja.

Sprawa 32-bitów od dawna nieaktualna i GMER ładuje natywnie 64-bitowy sterownik na systemie x64. DMP już oglądałam wcześniej i nic z tego konkretnego nie wynika. To wygląda na jakąś niedozwoloną operację dostępową wykonaną przez sterownik GMER. Z GMER już tak jest, że procedury skanowania mogą doprowadzić do BSOD i nic to nie oznacza w kontekście samego systemu. Dla porównania sytuacja u mnie: BSOD wystąpił przynajmniej kilka razy na kilku różnych maszynach (główny komputer oraz maszyny wirtualne), na dodatek takich na których nie było żadnych programów zabezpieczających, a układ zainstalowanych sterowników określiłabym jako "podstawowy". PS. Fix FRST wykonany. Zastosuj DelFix.

Na razie powstrzymaj się ze stawianiem systemu na nowo. Należy zdiagnozować problem sprzętowy, a wyniki diagnozy mogą zdecydować co dalej ma nastąpić (czy stan dysku jest dostatecznie "zaufany"). W Dzienniku zdarzeń masowe odczyty złych bloków dysku, co jak najbardziej wyjaśnia problemy (w tym zamulenie) i potencjalne uszkodzenia plików: Dziennik System: ============= Error: (10/18/2015 03:10:29 PM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Error: (10/18/2015 03:10:26 PM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Error: (10/18/2015 03:10:23 PM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Error: (10/18/2015 03:10:20 PM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Error: (10/18/2015 03:10:18 PM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Error: (10/18/2015 03:10:15 PM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Error: (10/18/2015 03:10:12 PM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Error: (10/18/2015 03:10:09 PM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Error: (10/18/2015 03:10:07 PM) (Source: Disk) (EventID: 7) (User: ) Description: W urządzeniu \Device\Harddisk0\DR0 wystąpił zły blok. Temat przenoszę do działu Hardware. Dostarcz wymagane dane: KLIK. I na wszelki wypadek zabezpiecz cenne dane z tego dysku na jakimś zewnętrznym nośniku.

Opis sugeruje ciche usuwanie pliku przez ... antywirusa, klasyfikującego plik jako "malware". Tak więc jakie oprogramowanie zabezpieczające (poza MBAM) jest zainstalowane i co widnieje w dziennikach skanowania tegoż oprogramowania?

Z raportów FRST nic nie wynika. 1. Diagnostyka BSOD w punkcie 5: KLIK. Najlepiej skopiuj cały folder C:\Windows\Minidump na Pulpit, spakuj do ZIP, shostuj gdzieś i podaj link do paczki. 2. Zawieszenie na logo Windows sugeruje problem któregoś sterownika, ale równie dobrze może to być problem czysto sprzętowy, tym bardziej że Twój opis się kręci wokół kombinacji z dyskami w BIOS. 3. Gdyby część objawów miała się sprzęgać z partią software, to na wszelki wypadek sprawdziłabym testową deinstalację AVG (liczne sterowniki zamontowane). 4. Poniższy błąd naprawisz przy udziale tej instrukcji rekonstrukcji pliku: KLIK. Hosts: Nie znaleziono pliku Hosts w domyślnym katalogu Dziennik System: ============= Error: (10/22/2015 07:09:23 PM) (Source: Microsoft-Windows-DNS-Client) (EventID: 1012) (User: ZARZĄDZANIE NT) Description: Wystąpił błąd podczas próby odczytu lokalnego pliku hosts. + To są elementy sprzętowe niemożliwe do diagnostyki za pomocą podanych raportów orientowanych na środowisko Windows. Nieznany jest tu model komputera, ani układ sprzętowy. Dostarcz więc te dane sprzętowe: KLIK. I temat przenoszę do działu Hardware na ocenę tych danych.

To są ciągle te same serwery DNS, o których mówię od początku, i już wyjaśniałam dlaczego ten układ jest podejrzany. Ten pierwszy adres IP jest dziwny, nie zgadza się dostawca sieciowy z adresem IP pod jakim Cię widzę na forum. I przy bieżących infekcjach routera bardzo częsty układ to "Podstawowy zły IP - Zapasowy IP Google". Sądzę, że to najlepsze wyjście na teraz i uzyskasz 100% potwierdzenia jakie serwery DNS powinny występować u Ciebie w routerze. Utwórz też nacisk na zabezpieczenie dostępu do konfiguracji, nie mogą Cię zostawić z domyślnym loginem.

Po formacie możesz się zgłosić z nowymi raportami na wszelki wypadek. Uwaga przy pobieraniu i instalowaniu programów: KLIK. Proponowane zabezpieczenia specjalizowane w dziedzinie infekcji szyfrujących: KLIK.

Betty66 To była wzmianka o formatowaniu, gdyby było prowadzone innym narzędziem niż instalator Windows 7. Nowoczesne systemy domyślnie nie obsługują nawet instalacji na FAT32 i partycje robione za pomocą instalatora Windows 7 automatycznie są sformatowane w NTFS. I końcowa uwaga. Na nowym systemie możesz zainstalować jeden z tych programów zabezpieczających przed infekcjami szyfrującymi: KLIK. kris63 Tu nie jest dozwolone podpinanie się i każdy zakłada własny temat, nawet jeśli problemem jest ta sama infekcja. Podaje się też raporty. FRST Addition conajmniej by mi powiedział jaki jest układ partycji i jakie flagi mają przypisane, bo na razie nic nie wiadomo: Pytania: - Czy partycja Recovery jest na pewno nienaruszona? Czy była ukryta? Czy oryginalnym zainstalowanym systemem był XP, tzn. czy nie występował nowszy system nadinstalowany na XP? Czy nie zmieniano układu partycji w późniejszym czasie (zmiana rozmiaru, usuwanie)? - Co rozumiesz przez "coś jakby obraz na kolejnej partycji"? Czyli o jakim pliku mowa? - Czy posiadasz płyty HP Recovery?

Pokaż zrzut ekranu z przystawki diskmgmt.msc.

Oczywiście na uruchomionym systemie na którym jest infekcja. Dumpy z poziomu środowiska WinRE całkowicie bezużyteczne (nagrane środowisko zewnętrzne).

Jak mówiłam, przypuszczalnie Comodo blokuje dostęp do poboru danych i dlatego status usług nie jest czytany poprawnie oraz występuje ten błąd ERUNT podczas pracy FRST, tym bardziej że FRST jest "niepełnosprawny", tzn. działa wirtualnie w piaskownicy Comodo. Podjęcie jakichkolwiek operacji w FRST będzie wymagało i tak tymczasowego wstrzymania wszystkich aktywności Comodo, bo Comodo uniemożliwi pracę FRST. Jeśli chodzi o problem adware, to widać w starcie szkodnika mbot_jp_145, ale to jedyny aktywny element i mam szczere wątpliwości czy to przyczyna problemów. Prócz tego kilka przekierowań trackid=sp-006 w IE (to na pewno nie robi podkreśleń słów) i jakieś martwe szczątki na liście instalacji. Twoją główną domyślną przeglądarką jest Google Chrome, więc mam podejrzenie, że może być globalna modyfikacja plików Chrome (np. plik resources.pak), która jest kompletnie niewykrywana przez żaden skaner. Wstępnie: 1. Deinstalacje: -----> Via Panel sterowania: - Te pozycje adware/PUP: Remote Desktop Access (VuuPC), WinThruster, Word Proser 1.10.0.2. Niektóre są uszkodzone działaniem AdwCleaner. Jeśli będą niewidoczne lub wystąpi błąd, nie szkodzi, zajmę się tym potem. - Odinstaluj także: Facebook Video Calling 3.1.0.521 (uszkodzony), Java SE Development Kit 7 Update 51, Java SE Development Kit 8 Update 60 (64-bit) (starsze wersje), Spybot - Search & Destroy (przestarzały program), Windows Installer Clean Up (przestarzały). Windows Installer Clean Up został wycofany z użytku ze względu na błędy i zastąpiony nowocześniejszym odpowiednikiem linkowanym poniżej. ----> Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście ukryty wpis Metric Collection SDK > Dalej. Ten wpis to pozostałość po niechcianej instalacji Lenovo REACHit. 2. Utwórz ręcznie punkt Przywracania systemu, bo FRST nie był zdolny stworzyć kopii zapasowej rejestru, a automatyczne tworzenie punktu w skrypcie się nie uda. Następnie otwórz Notatnik i wklej w nim: CloseProcesses: HKLM-x32\...\Run: [mbot_jp_145] => C:\Program Files (x86)\mbot_jp_145\mbot_jp_145.exe [3976136 2014-11-05] () HKLM-x32\...\Run: [updReg] => C:\Windows\UpdReg.EXE HKLM-x32\...\RunOnce: [upmbot_jp_145.exe] => C:\Users\Adiorz\AppData\Local\mbot_jp_145\upmbot_jp_145.exe -runonce HKU\S-1-5-21-319641768-3134415942-743037567-1000\...\Policies\Explorer: [] HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-319641768-3134415942-743037567-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://hao.dashi.com HKU\S-1-5-21-319641768-3134415942-743037567-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-319641768-3134415942-743037567-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006 SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-319641768-3134415942-743037567-1000 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-319641768-3134415942-743037567-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-319641768-3134415942-743037567-1006 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files (x86)\Java\jre7\bin\ssv.dll => No File BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll => No File Toolbar: HKU\S-1-5-21-319641768-3134415942-743037567-1000 -> No Name - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - No File FF DefaultSearchEngine: Yahoo FF SelectedSearchEngine: Yahoo FF Plugin HKU\S-1-5-21-319641768-3134415942-743037567-1000: @Skype Limited.com/Facebook Video Calling Plugin -> C:\Users\Adiorz\AppData\Local\Facebook\Video\Skype\npFacebookVideoCalling.dll [No File] FF HKLM-x32\...\Firefox\Extensions: [web2pdfextension@web2pdf.adobedotcom] - D:\Program Files (x86)\Adobe\Acrobat 10.0\Acrobat\Browser\WCFirefoxExtn ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\Adiorz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\Adiorz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\Adiorz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => C:\Users\Adiorz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll No File CustomCLSID: HKU\S-1-5-21-319641768-3134415942-743037567-1000_Classes\CLSID\{0B628DE4-07AD-4284-81CA-5B439F67C5E6}\localserver32 -> D:\Program Files\Autodesk\AutoCAD 2015\acad.exe /Automation => No File CustomCLSID: HKU\S-1-5-21-319641768-3134415942-743037567-1000_Classes\CLSID\{149DD748-EA85-45A6-93C5-AC50D0260C98}\localserver32 -> D:\Program Files\Autodesk\AutoCAD 2015\acad.exe => No File CustomCLSID: HKU\S-1-5-21-319641768-3134415942-743037567-1000_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> D:\Program Files\Autodesk\AutoCAD 2015\en-US\acadficn.dll => No File CustomCLSID: HKU\S-1-5-21-319641768-3134415942-743037567-1000_Classes\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Adiorz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => No File CustomCLSID: HKU\S-1-5-21-319641768-3134415942-743037567-1000_Classes\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Adiorz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => No File CustomCLSID: HKU\S-1-5-21-319641768-3134415942-743037567-1000_Classes\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Adiorz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => No File CustomCLSID: HKU\S-1-5-21-319641768-3134415942-743037567-1000_Classes\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Adiorz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => No File CustomCLSID: HKU\S-1-5-21-319641768-3134415942-743037567-1000_Classes\CLSID\{FB314EDD-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Adiorz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => No File CustomCLSID: HKU\S-1-5-21-319641768-3134415942-743037567-1000_Classes\CLSID\{FB314EDE-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Adiorz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => No File CustomCLSID: HKU\S-1-5-21-319641768-3134415942-743037567-1000_Classes\CLSID\{FB314EDF-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Adiorz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => No File CustomCLSID: HKU\S-1-5-21-319641768-3134415942-743037567-1000_Classes\CLSID\{FB314EE0-A251-47B7-93E1-CDD82E34AF8B}\InprocServer32 -> C:\Users\Adiorz\AppData\Roaming\Dropbox\bin\DropboxExt64.24.dll => No File Task: {088BCA5E-21AF-4BF6-9B8F-7D0A6909D333} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-319641768-3134415942-743037567-1000UA => C:\Users\Adiorz\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: {0ADE385F-14C5-48C6-8828-29805A8A4FF9} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-319641768-3134415942-743037567-1000Core => C:\Users\Adiorz\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: {49B3FE08-87D3-4A98-B726-143D2FD2C0A1} - System32\Tasks\{09C82817-2C3F-4398-B972-A407D3F24B43} => pcalua.exe -a C:\Users\Adiorz\Downloads\widescreen-v3.05.exe -d C:\Users\Adiorz\Downloads Task: {4FF3074A-EF6A-4747-B1D7-F7C5570C56D3} - System32\Tasks\{05E7C2B8-156C-4122-BB66-BEFF987219F4} => pcalua.exe -a C:\Users\Adiorz\Downloads\irfanview_plugins_438_setup.exe -d C:\Users\Adiorz\Downloads Task: {84EEA1C5-B189-4FCF-931A-21CCA27BB0CC} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {B2E6E789-ED72-484F-BA4C-6FE72F5A636D} - System32\Tasks\{A49270A1-AD49-4039-86DE-09691EC658CF} => pcalua.exe -a F:\Software\ASUS\WINFLASH\XP32_Vista32_Vista64_Win7_32_Win7_64_2.29.0\Setup.exe -d F:\Software\ASUS\WINFLASH\XP32_Vista32_Vista64_Win7_32_Win7_64_2.29.0 -c /qn /norestart Task: {BB910DEF-B3EC-45CD-AD28-0CE6FD5DEE82} - System32\Tasks\{17CFFC38-7CC7-43E5-A282-9E9F2E4D0EB6} => pcalua.exe -a F:\Software\ASUS\WINFLASH\XP32_Vista32_Vista64_Win7_32_Win7_64_2.29.0\Setup.exe -d F:\Software\ASUS\WINFLASH\XP32_Vista32_Vista64_Win7_32_Win7_64_2.29.0 -c /qn /norestart Task: {CAE244B2-8303-48BF-98AB-74172218C22C} - System32\Tasks\{E4AC4DE1-C955-46F7-8CA9-38D54CAD26AD} => pcalua.exe -a C:\Users\Adiorz\Downloads\msicuu_7.2.exe -d C:\Users\Adiorz\Downloads Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-319641768-3134415942-743037567-1000Core.job => C:\Users\Adiorz\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-319641768-3134415942-743037567-1000UA.job => C:\Users\Adiorz\AppData\Local\Facebook\Update\FacebookUpdate.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo S3 ALSysIO; \??\C:\Users\Adiorz\AppData\Local\Temp\ALSysIO64.sys [X] C:\Program Files (x86)\Lenovo C:\Program Files (x86)\mbot_jp_145 C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Cygwin C:\ProgramData\Microsoft\Windows\Start Menu\Programs\GNU Octave 3.2.4 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Haali Media Splitter C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Impressions Games C:\ProgramData\Microsoft\Windows\Start Menu\Programs\MYBESTOFFERSTODAY C:\Users\Adiorz\REACHit C:\Users\Adiorz\AppData\Local\Google\Chrome\User Data\Chrome App Launcher.lnk C:\Users\Adiorz\AppData\Local\Google\Chrome\User Data\Default\Preferences C:\Users\Adiorz\AppData\Local\Google\Chrome\User Data\Default\Web Data C:\Users\Adiorz\AppData\Local\Microsoft\Windows\GameExplorer\{E5DA8FD5-4699-4CBB-BE24-1C9E8F440713} C:\Users\Adiorz\AppData\Roaming\GoldenGate C:\Users\Adiorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome\Chrome App Launcher.lnk C:\Users\Adiorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Autodesk C:\Users\Adiorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Hugin C:\Users\Adiorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Portforward.com C:\Users\Adiorz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Steam C:\Users\Adiorz\Desktop\Continue installation .lnk C:\Windows\System32\Tasks\Lenovo C:\Windows\SysWOW64\REN*.tmp Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ADSKAppManager" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Autodesk Sync" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LogMeIn Hamachi Ui" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SDTray" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Przejdź w Tryb awaryjny Windows i upewnij się, że Comodo nie jest w żaden sposób uruchomiony. Uruchom FRST i kliknij w Napraw (Fix). Ma nastąpić restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też fixlog.txt. Jeśli problem reklamodawczych hyperlinków nadal będzie występował w Chrome, skopiuj na pulpit poniższe foldery: C:\Program Files (x86)\Google\Chrome C:\Users\Adiorz\AppData\Local\Google\Chrome Wszystko spakuj do ZIP, shostuj gdzieś i na PW wyślij mi link.

Jeśli to na pewno raporty z systemu który był zainfekowany, to nie ma w systemie żadnych śladów, że ta infekcja miała miejsce. Windows wygląda tak czysto jakby był po reinstalacji. Czy to na pewno ten system był motorem infekcji? I uwaga na SpyHunter - to wątpliwy program z czarnej listy! Albo Kaspersky znalazł błędne hasło i to nadal wersje zaszyfrowane, albo pliki są poprawnie odkodowane lecz permanentnie uszkodzone. W obu scenariuszach nie jestem w stanie nic zaradzić.

Log USBFix zbędny, usuwam. W systemie jest aktywne adware WordFly. Operacje do przeprowadzenia: 1. Deinstalacje: - Przez Panel sterowania odinstaluj WordFly 1.10.0.28. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z zaznaczonym polem Addition, ale już Shortcut. Wypowiedz się czy reklamy nadal występują.

Po pierwsze, proszę zrób ponownie logi FRST z najnowszej wersji. Podane tu logi pochodzą z Version:16-11-2015. Aktualna wersja z pewnymi fiksami to Version:17-11-2015. Po drugie, proszę wstaw te nowe logi jako załączniki forum. Wymagam oryginalnych formatów raportów w kodowaniu UTF-8, przeklejanie zmienia pewne rzeczy, a użyty serwis jest niedobry (widać w logu conajmniej jeden źle przekodowany znak). Gdy otrzymam logi z nowszej wersji, zabiorę się za analizę. Na szybko powiem, że: - Przypuszczanie owe oznaczenia "U" i zablokowana usługa BFE Windows to wynik aktywności Comodo Internet Security. Dobrze by było więc zrobić nowe raporty FRST przy tymczasowo wyłączonym Comodo, by porównać stan. - Zielone ramki to oznaczenie, że aplikacja działa wirtualnie w piaskownicy Comodo. Do wglądu opis w dokumentacji: KLIK.

Ale to zależy od tego w jaki sposób będzie instalowany Windows 10: - Odśwież lub Resetuj robione z dysku twardego zainstalują najnowszą wersję. Ukryty folder "Recovery" zlokalizowany na C / ukryta partycja z WinRE powinny mieć zaktualizowane wersje plików. - Ale użycie wcześniej nagranej płyty DVD z Windows 10 zainstaluje starszą wersję. Należałoby pobrać najnowszy obraz ISO (zawiera już Wersję 1511) i przygotować nową płytę za pomocą Narzędzia do tworzenia nośnika. Do której partycji pijesz? Nie widzę tu nic oczywistego pasującego do partycji Recovery z Windows 7, a ta mała ukryta 449 MB to partycja WinRE Windows 10 (powinna mieć opis "Partycja odzyskiwania" w diskmgmt.msc). ==================== Dyski ================================ Drive c: () (Fixed) (Total:98.62 GB) (Free:36.61 GB) NTFS ==>[dysk z komponentami startowymi (pozyskano odczytując BCD)] Drive d: () (Fixed) (Total:816.46 GB) (Free:787.63 GB) NTFS Drive k: (Elements) (Fixed) (Total:931.48 GB) (Free:523.68 GB) NTFS ==================== MBR & Tablica partycji ================== ======================================================== Disk: 0 (Size: 931.5 GB) (Disk ID: 10C24A18) Partition 1: (Active) - (Size=98.6 GB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=449 MB) - (Type=27) Partition 3: (Not Active) - (Size=832.5 GB) - (Type=05) ======================================================== Disk: 1 (Size: 931.5 GB) (Disk ID: 2F4C97B6) Partition 1: (Active) - (Size=931.5 GB) - (Type=07 NTFS)

Na koniec: Skasuj folder C:\Users\Mate\Desktop\FRST. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu (aktualnie powinien być tylko punkt utworzony skryptem FRSt): KLIK.

Czyli czyścimy ręcznie? Teraz absolutnie wykluczone, bo w starcie jest infekcja i może uruchomić szyfrowanie na każdym świeżo podpiętym dysku. Dysk będziesz mógł podłączyć dopiero, gdy wyczyszczę system. Nie. Ta infekcja szyfrująca to nie jest wirus, który modyfikuje kod programów. A to że programy są obecnie uszkodzone, bo ich pliki zostały zamienione zaszyfrowanymi wersjami, to inna sprawa. Wg raportu ostatnio instalowałeś tylko AVG (szczątki), MBAM, Panda i lewy SpyHunter. Stare Ad-aware i TrendMicro zaś siedzą bardzo długo w systemie. To komputer ASUS mający liczne integracje firmowe, więc TrendMicro to prawie na pewno jedna z tych integracji obecna już od momentu zainstalowania Windows. PS. "sam rozumiesz" = jestem kobietą.

Ustawienia DNS na pewno zapisały się? Jeśli chodzi o resztę: czy sama zmiana hasła z pominięciem pozostałych kroków ze zdalnym dostępem jest możliwa do zapisania? Gdy się upewnisz, że serwery DNS są na pewno zapisane, zresetuj swój komputer i zrób nowy log FRST. Podaj też czy widzisz jakieś zmiany po rekonfiguracji DNS.

Tak, ta aktualizacja to jest nowa wersja systemu o oznaczeniu Windows 10 Wersja 1511. Starsza wersja systemu przesunięta do Windows.old. W ustawieniach zobaczysz nową opcję: Ustawienia > System > Aktualizacje i zabezpieczenia > Odzyskiwanie > Wróć do poprzedniej kompilacji. Opcja ta będzie widoczna dopóki istnieje Windows.old. Windows samoczynnie usuwa ten katalog po predefiniowanym czasie, ale proces można przyśpieszyć posługując się narzędziem Oczyszczania dysku: klik w ikonkę wyszukiwania na pasku zadań > wklep Oczyszczanie dysku > klik w Oczyść pliki systemowe > zaznacz Poprzednie instalacje systemu Windows > OK. Ta aktualizacja również podmieniła zawartość Recovery, tak że opcje Odśwież czy Resetuj komputer będą przeładowywać już zaktualizowaną wersję.

Oczywiście nie ma znaczenia który komputer użyjesz do dostania się do konfiguracji routera.

Niestety, jeśli nie było żadnej innej kopii przechowywanej w bezpiecznym miejscu, nie ma szans na odzyskanie plików. Podsumowując: - Plików nie można odkodować bez uiszczenia opłaty przestępcom. Nie ma dekodera do tego wariantu, bo jest to awykonalne technicznie (klucz prywatny nie jest zapisywany na dysku). - Odpada wyszukiwanie poprzednich wersji plików na dysku C w kopiach Przywracania systemu, a dysk D nie wchodzi w zakres tych rozważań, bo domyślnie Przywracanie jest aktywne tylko dla dysku systemowego. Infekcja ta usuwa wszystkie punkty Przywracania systemu. Te które widać u Ciebie są za nowe. Wg raportu plik infekcji powstał w nocy 13-11-2015, pierwszy punkt Przywracania systemu wykonany przez Windows Update pochodzi już z czasu późniejszego. - Nikłe szanse zdziałania czegokolwiek przy udziale programów do odzyskiwania danych typu TestDisk / PhotoRec i podobne. Po pierwsze: komputer działa cały czas (non-stop zapisy na dysku). Po drugie, ten wariant infekcji mógł zastosować tzw. "bezpieczne wymazywanie danych z dysku", by uniemożliwić zastosowanie programów do odzyskiwania danych. Na wszelki wypadek można sprawdzić któryś z programów co widzi, ale to i tak nie może być próbowane gdy infekcja jest nadal czynna. Co widzę w raportach: bardzo zły stan systemu i potężny śmietnik. Za duża ilość czynnych antywirusów, w tym archaiczne programy zabezpieczające (Ad-Aware z 2009, Trend Micro Titanium Internet Security z 2010!) - powinieneś conajmniej notować wyraźne zamulenie systemu, obiekt infekcji szyfrującej w starcie (ale brak procesu w tle, co sugeruje ukończenie szyfrowania), infekcje adware w Google Chrome i Firefox. Windows w obecnym stanie ma prędzej kwalifikację na format, bo i tak czyszczenie nie zlikwiduje wszystkich skutków infekcji (zostaną uszkodzone programy i elementy Windows pozbawione plików które zmieniły się w zaszyfrowane ekwiwalenty). Ale mogę się tego podjąć. Podejmij decyzję co robimy w tej materii. PS. Przestroga na przyszłość: posługiwałeś się SpyHunter. To wątpliwy skaner z czarnej listy! Namolnie promowany w tendencyjnie skonstruowanych opisach "usuwania infekcji" jako ich dedykowana szczepionka, a chodzi tylko o klik i instalację, która prowadzi do komunikatów o zakupach pełnej wersji.

Czas już skorygowałeś (widać w nagłówku Fixlog). Fix wykonany pomyślnie. Nie mam tu nic więcej do roboty. Na zakończenie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

No cóż, nadal jest ten sam podejrzany DNS, aczkolwiek nie mam 100% pewności że to coś złego. Mamy problem, by wejść do konfiguracji routera, więc tu chyba już nie zaradzę i być może trzeba wesprzec się pomocą technika. Tylko tak zapytam: czy jest możliwość tymczasowo zmienić konfigurację sieciową, by ten router był powiązany z Twoim komputerem bezpośrednio? Może to pomogłoby wejść do ustawień. Nawiasem mówiąc, jaki komunikat zwraca ta strona testu Orange? Jak mówiłam, jest też modyfikacja Winsock filtrująca ruch sieciowy wprowadzona przez WTFast, ale jej na razie nie ruszam, bo nie jest wyjaśniony punkt powyżej. Jeśli chodzi o pozostałe sprawy, to wszystko poszło gładko i tylko poprawki. Otwórz Notatnik i wklej w nim: Task: {350778DB-C499-4AD5-8619-180911F0A9A6} - System32\Tasks\{C5A8F6F0-F57A-4BC1-AA18-4FEB2C46A3B6} => pcalua.exe -a C:\Users\Mikołaj\Desktop\Downloads\DSL-G604t_fw_revALL_200b01t01eu20050930_ALL_en_050930\DLinkEU_DSL-G604T_V2.00B01T01.EU.20050930_upgradeB10.exe -d C:\Users\Mikołaj\Desktop\Downloads\DSL-G604t_fw_revALL_200b01t01eu20050930_ALL_en_050930 RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\ProgramData\Norton RemoveDirectory: C:\Users\Mikołaj\AppData\Local\Mozilla RemoveDirectory: C:\Users\Mikołaj\AppData\Roaming\Mozilla RemoveDirectory: C:\Users\Mikołaj\AppData\Roaming\Picexa Viewer CMD: del /q C:\Windows\system32\REN*.tmp Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw fixlog.txt.

W raporcie nie było śladów stosowania AdwCleaner. Czy nadal na dysku jest folder C:\AdwCleaner z logami? Jeśli jest, to przedstaw logi. I zrób kosmetyczne poprawki na odpadkowe wpisy Avast i McAfee. Otwórz Notatnik i wklej w nim: CreateRestorePoint: HKLM-x32\...\Run: [mcpltui_exe] => "C:\Program Files\Common Files\McAfee\Platform\mcuicnt.exe" /platui ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku S4 McProxy; "C:\Program Files\Common Files\mcafee\platform\McSvcHost\McSvHost.exe" /McCoreSvc [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" FirewallRules: [{4A74CCCF-8AC8-4BA2-A79A-CAEE0713A655}] => (Allow) C:\Program Files\Common Files\mcafee\platform\McSvcHost\McSvHost.exe FirewallRules: [{36034A72-8DBE-43C0-BC8A-4C0E3D78445E}] => (Allow) C:\Program Files\Common Files\mcafee\platform\McSvcHost\McSvHost.exe C:\ProgramData\AVAST Software Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v HotKeysCmds /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IgfxTray /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v mcpltui_exe /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowy skan FRST nie jest mi potrzebny.