picasso

Na razie pomiń Fix-it i przejdź do wykonania pozostałych akcji. Czekam na wynikowe logi.

Jaki dziwny plik - podaj nazwę. Przy tym błędzie zwykle pomaga wybór alternatywnej wersji: "Zaawansowane — pobierz narzędzie do uruchomienia na innym lub niepołączonym komputerze" (pobiera się MicrosoftFixit-portable.exe). Jeśli uda się pobrać i uruchomić Fix-it, za jego pomocą możesz usunąć także dane instalacyjne opornego HijackThis. Ten błąd sugeruje, że uszkodzenia są również w innych miejscach, tzn. że usługa nie jest zdefiniowana w grupie Svchost. Start > Uruchom > regedit Wejdź do klucza: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost Prawoklik na wartość netsvcs > Edytuj > na liście musi być dodana pozycja winmgmt: Po edycji zresetuj system. Reszta operacji nadal aktualna.

Usługa Winmgmt odtworzona, tylko że usługa nie została uruchomiona - czy na pewno po restarcie systemu jest ten sam błąd przy próbie uruchomienia Zapory? Jeśli chodzi o adware oraz puste wpisy i skróty, do przeprowadzenia następujące akcje - na każdym koncie z osobna, a konta logować poprzez pełny restart komputera: NA KONCIE ALEX: 1. Deinstalacje: Google Chrome zostało przekonwertowane przez adware z grupy MultiPlug z wersji stabilnej do developerskiej. Wymagana reinstalacja Chrome od zera. Na razie przeprowadź tylko deinstalację i nie instaluj nowej wersji, gdyż Fix zaplanowany w punkcie 3 będzie usuwał komponenty Google. Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Ponadto: - Przez Dodaj/Usuń programy odinstaluj stare wersje: Adobe Acrobat 5.0, Adobe Flash Player 16 ActiveX, Adobe Flash Player 18 NPAPI, HiJackThis, Java™ 6 Update 22, Java™ 6 Update 31, Java 7 Update 45. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowe ukryte wpisy Google Update Helper (o ile nadal będzie po w/w deinstalacji) oraz dwie pozycje Grand Theft Auto > Dalej. Narzędzie należy uruchomić tyle razy, ile wpisów, gdyż nie jest możliwa akcja hurtowa. 2. Wyczyść Operę z adware: w Operze CTRL+SHIFT+E i na liście rozszerzeń za pomocą "iksów" usuń FTdownloader V9.0, hdtotal1.3. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: type "C:\Program Files\Mozilla Firefox\defaults\pref\itms.js" S2 gupdate; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [X] S3 FairplayKD; \??\C:\Documents and Settings\All Users\Dane aplikacji\MTA San Andreas All\Common\temp\FairplayKD.sys [X] S3 IDriverT; "C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe" [X] S2 mi-raysat_3dsmax9_32; "D:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe" [X] S3 MBAMSwissArmy; \??\C:\WINNT\system32\drivers\MBAMSwissArmy.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] S2 Util DiVapton; "C:\Program Files\DiVapton\bin\utilDiVapton.exe" [X] S2 Util Jump Flip; "C:\Program Files\Jump Flip\bin\utilJumpFlip.exe" [X] S3 WmdmPmSN; C:\WINDOWS\system32\mspmsnsv.dll [X] Task: C:\WINNT\Tasks\Ad-Aware Update (Weekly).job => C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe Task: C:\WINNT\Tasks\At2.job => C:\DOCUME~1\Adam\DANEAP~1\Bonanza\UPDATE~1\UPDATE~1.EXE Task: C:\WINNT\Tasks\At3.job => C:\DOCUME~1\NETWOR~1\DANEAP~1\FoxTab\UPDATE~1\UPDATE~1.EXE Task: C:\WINNT\Tasks\At4.job => C:\DOCUME~1\NETWOR~1\DANEAP~1\UPDATE~1\UPDATE~1\UPDATE~1.EXE Task: C:\WINNT\Tasks\AVG_SYS_TASK_0615tb_DELETE.job => C:\Documents and Settings\All Users\Dane aplikacji\Avg_Update_0615tb\AVG-Secure-Search-Update_0615tb.exe Task: C:\WINNT\Tasks\GoogleUpdateTaskMachineCore1d09a3730f62b64.job => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\WINNT\Tasks\GoogleUpdateTaskMachineCore1d0bf3fd84dbcc4.job => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\WINNT\Tasks\Software Removal Tool logs upload retry.job => C:\Documents and Settings\Adam\Ustawienia lokalne\Temp\70.exe HKLM\...\Run: [fst_pl_31] => [X] HKLM\...\Run: [iSUSScheduler] => "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start HKLM\...\Run: [iSUSPM Startup] => "C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe" -startup HKLM\...\Run: [GPUTemp] => "C:\DOCUME~1\Adam\USTAWI~1\Temp\GPUTemp.exe" HKLM\...\Run: [GPULoader] => "C:\Program Files\VLC Player GPU+\GPULog.exe" HKLM\...\Policies\Explorer: [] HKU\S-1-5-21-1801674531-413027322-839522115-1003\...\Run: [RGSC] => E:\Program Files\Rockstar Games\Grand Theft Auto IV\Rockstar Games Social Club\RGSCLauncher.exe /silent HKU\S-1-5-21-1801674531-413027322-839522115-1003\...\Run: [iPLA!] => C:\Program Files\ipla\ipla.exe /autorun HKU\S-1-5-21-1801674531-413027322-839522115-1003\...\Run: [Gadu-Gadu 10] => "C:\Program Files\Gadu-Gadu 10\gg.exe" HKU\S-1-5-18\...\RunOnce: [Del702468] => cmd.exe /Q /D /c del "C:\WINNT\TEMP\0.del" HKU\S-1-5-18\...\RunOnce: [Del41633812] => cmd.exe /Q /D /c del "C:\WINNT\TEMP\0.del" HKU\S-1-5-18\...\RunOnce: [FlashPlayerUpdate] => C:\WINNT\system32\Macromed\Flash\FlashUtil32_15_0_0_246_Plugin.exe -update plugin GroupPolicyScripts: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1801674531-413027322-839522115-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia URLSearchHook: HKLM -> Domyślne = {FE69C007-C452-4d3e-86D2-1730DF8BC871} DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab FF Plugin: @adobe.com/ShockwavePlayer -> C:\WINNT\system32\Adobe\Director\np32dsw_1209149.dll [2014-01-29] (Adobe Systems, Inc.) FF Plugin: @java.com/JavaPlugin -> C:\Program Files\Java\jre7\bin\new_plugin\npjp2.dll [brak pliku] FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINNT\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\All Users\Dane aplikacji\adfc26000006ffe C:\Documents and Settings\All Users\Dane aplikacji\d5c9de4000072aa C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{F80BAD69-DF55-4314-8FD7-D1DCD4203ADD} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{F01D03DE-D48F-49A1-A2D8-A163E3D4B627} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{EC5DFCE0-FF6E-4C05-8682-02175132C136} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{DAC88CE2-66D7-404D-9EB5-EDF07544E49A} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{D5C1C528-8143-473C-9FB4-FFDE451145E0} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{C05D8CDB-417D-4335-A38C-A0659EDFD6B8} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{AC51CB69-993C-4E73-B325-23BA1F7E5B88} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{9F9B361C-779D-48D9-853E-5A707C8FBEB7} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{9F9B361C-779D-48D9-853E-5A707C8FBEB7} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{8DA35D5C-9109-4C5D-8BBC-2DC4765138D0} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{8B64CFC6-DC6A-43A1-A6DF-0CD5993E08EB} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{89A3876A-F619-4209-BC84-BD08689265A3} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{82A31F39-7205-4285-A541-B38636052FC7} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{6A22BB36-6B84-4FE3-96FB-9EE815D0E6B1} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{69D0DE2B-3ED1-42B1-9CFE-2FDD6014B3C6} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{415B0FC6-FEF2-477E-9F76-87459A7C2393} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{3DAF0DF0-1057-438B-9492-62761FCBB25F} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{357618BD-0AA3-4AEC-8AD6-DBAD45C6165A} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{26534BCF-7AB8-471A-9839-9CCE1B010217} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{243AEFAE-2D63-400E-B14D-A783F39F954E} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{1D7A9986-B855-4920-9C79-4071DB28F780} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{13462434-6DF9-405E-898C-E8246546DFB4} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{12ACDB34-CCEC-4FF7-A877-AFDEACDDBB46} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{11E44E6E-F819-4189-A28C-C8B70273966E} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{0FF59498-FCC8-4055-A53E-EE737FC01D1A} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{04745A90-6F3C-4DC0-B630-D1552F03D6F0} C:\Documents and Settings\All Users\Menu Start\Programy\Activision C:\Documents and Settings\All Users\Menu Start\Programy\Free Lunch Design C:\Documents and Settings\All Users\Menu Start\Programy\Goat Simulator C:\Documents and Settings\All Users\Menu Start\Programy\Google Chrome C:\Documents and Settings\All Users\Menu Start\Programy\InfraRecorder C:\Documents and Settings\All Users\Menu Start\Programy\KONAMI\Pro Evolution Soccer 2012 C:\Documents and Settings\All Users\Menu Start\Programy\MaxPayne3 C:\Documents and Settings\All Users\Menu Start\Programy\Minecraft\Minecraft.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Rockstar Games\GTA San Andreas\Instrukcja do gry.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Rockstar Games\GTA San Andreas\Zagraj w GTA San Andreas.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Rockstar Games\Episodes From Liberty City C:\Documents and Settings\All Users\Menu Start\Programy\www.GameModding.net C:\Documents and Settings\All Users\Pulpit\Goat Simulator.lnk C:\Documents and Settings\All Users\Ulubione\Mail.Ru Агент - используй для общения!.url C:\Documents and Settings\All Users\Ulubione\Mail.Ru.url C:\Documents and Settings\alex\Dane aplikacji\appdataFr25.bin C:\Documents and Settings\alex\Dane aplikacji\Bricsys C:\Documents and Settings\alex\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Samsung New PC Studio.lnk C:\Documents and Settings\alex\Pulpit\AVS Video Editor 4.lnk C:\Documents and Settings\alex\Pulpit\Gadu-Gadu 10.lnk C:\Documents and Settings\alex\Pulpit\OnlineHDTV.lnk C:\Documents and Settings\alex\Pulpit\San Andreas Multiplayer.lnk C:\Documents and Settings\alex\Pulpit\Slender - The Arrival v1.0.lnk C:\Documents and Settings\alex\Menu Start\Programy\Counter-Strike C:\Documents and Settings\alex\Ustawienia lokalne\Dane aplikacji\Google C:\ProgramData C:\Program Files\Google C:\Program Files\Mozilla Firefox\browser\defaults C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\Program Files\Magnet.TV C:\Program Files\MeraccurryGRips C:\Program Files\MERcuryGrips C:\Program Files\MEtreoCleainerr C:\Program Files\MetroCleeaner C:\Program Files\ProcessMaker C:\Program Files\softutiful E:\Program Files\RegCleaner C:\WINNT\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{1146AC44-2F03-4431-B4FD-889BC837521F}{60e3e858} /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: net user Gość /active:no CMD: net user ASPNET /delete RemoveDirectory: C:\Documents and Settings\TEMP.ALEX RemoveDirectory: C:\Documents and Settings\alex\Pulpit\Stare dane programu Firefox RemoveDirectory: C:\found.000 EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Posprzątaj puste skróty w folderze games na Pulpicie. 5. Zrób nowy log FRST z opcji Skanuj (Scan) - zaznacz pole Addition, Shortcut już zbędny. Dołącz też plik fixlog.txt. NA KONCIE ADAM: 1. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. Menu Historia > Wyczyść historię przeglądania Opera: Ustawienia > Po uruchomieniu przeglądarki > Otwórz wybraną stronę lub zestaw stron Wybierz strony > usuń adres mail.ru. 2. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1801674531-413027322-839522115-1009\...\Run: [NextLive] => C:\WINNT\system32\rundll32.exe ",EntryPoint -m l HKU\S-1-5-21-1801674531-413027322-839522115-1009\...\Run: [RGSC] => E:\Program Files\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent HKU\S-1-5-21-1801674531-413027322-839522115-1009\...\Run: [PriceMeterW] => "C:\Documents and Settings\Adam\Ustawienia lokalne\Dane aplikacji\PriceMeter\pricemeterw.exe" HKU\S-1-5-21-1801674531-413027322-839522115-1009\...\Run: [MailRuUpdater] => C:\Documents and Settings\Adam\Ustawienia lokalne\Dane aplikacji\MailRu\MailRuUpdater.exe HKU\S-1-5-21-1801674531-413027322-839522115-1009\...\Run: [DAEMON Tools Lite] => "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun HKU\S-1-5-21-1801674531-413027322-839522115-1009\...\Run: [updateAdmin] => C:\Documents and Settings\Adam\Ustawienia lokalne\Dane aplikacji\UpdateAdmin\UpdateAdmin.exe /RUN HKU\S-1-5-21-1801674531-413027322-839522115-1009\...\Run: [super Optimizer] => C:\Program Files\Super Optimizer\SupOptLauncher.exe HKU\S-1-5-21-1801674531-413027322-839522115-1009\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki HKU\S-1-5-21-1801674531-413027322-839522115-1009\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-1801674531-413027322-839522115-1009\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://start.qone8.com/?type=hp&ts=1398274451&from=ild&uid=WDCXWD3200AAJS-00B4A0_WD-WMAT1040563005630 URLSearchHook: HKU\S-1-5-21-1801674531-413027322-839522115-1009 - (Brak nazwy) - {84FF7BD6-B47F-46F8-9130-01B2696B36CB} - Brak pliku SearchScopes: HKU\S-1-5-21-1801674531-413027322-839522115-1009 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg&gp=openpr2 SearchScopes: HKU\S-1-5-21-1801674531-413027322-839522115-1009 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.qone8.com/web/?type=ds&ts=1398274451&from=ild&uid=WDCXWD3200AAJS-00B4A0_WD-WMAT1040563005630&q={searchTerms} SearchScopes: HKU\S-1-5-21-1801674531-413027322-839522115-1009 -> {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = hxxp://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo SearchScopes: HKU\S-1-5-21-1801674531-413027322-839522115-1009 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg&gp=openpr2 FF Plugin HKU\S-1-5-21-1801674531-413027322-839522115-1009: ubisoft.com/uplaypc -> C:\Program Files\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll Brak pliku FF HKU\S-1-5-21-1801674531-413027322-839522115-1009\...\Firefox\Extensions: [{0907207a-22a3-46c9-a11d-f187e4fd7a0c}] - C:\Program Files\Show-Password\150.xpi => nie znaleziono C:\Documents and Settings\Adam\Dane aplikacji\appdataFr25.bin C:\Documents and Settings\Adam\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk C:\Documents and Settings\Adam\Menu Start\Programy\Autostart\OpenOffice.org 3.3.lnk C:\Documents and Settings\Adam\Menu Start\Programy\Counter Strike 1.6 C:\Documents and Settings\Adam\Menu Start\Programy\Counter Strike 1.6 BF Edition C:\Documents and Settings\Adam\Menu Start\Programy\GTA IV The Lost and Damned oraz The Ballad of Gay Tony PL C:\Documents and Settings\Adam\Menu Start\Programy\GTA SA PATCH 1.00us C:\Documents and Settings\Adam\Menu Start\Programy\InfraRecorder C:\Documents and Settings\Adam\Menu Start\Programy\Minecraft C:\Documents and Settings\Adam\Menu Start\Programy\Revo Uninstaller C:\Documents and Settings\Adam\Menu Start\Programy\Spring Season 2.0 C:\Documents and Settings\Adam\Menu Start\Programy\WinRAR C:\Documents and Settings\Adam\Pulpit\CCleaner.lnk C:\Documents and Settings\Adam\Pulpit\Counter Strike 1.6 BF Edition.lnk C:\Documents and Settings\Adam\Pulpit\RegCleaner.lnk C:\Documents and Settings\Adam\Pulpit\Skrót do gta3.lnk C:\Documents and Settings\Adam\Pulpit\Skrót do Mafia2.lnk C:\Documents and Settings\Adam\Ustawienia lokalne\Dane aplikacji\Google C:\Documents and Settings\Adam\Ustawienia lokalne\Dane aplikacji\TrackSaver Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Bonanza /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt (ten nie musi być w UTF-8) i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem będzie bez restartu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Posprzątaj w folderach Pulpitu games & modifications + Nieużywane skróty pulpitu, usuwając stamtąd puste skróty. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Problem z Zaporą systemu Windows i Centrum zabezpieczeń wynika z uszkodzenia usługi systemowej Winmgmt, od której omawiane komponenty zależą - została usunięta z systemu, prawdopodobnie była kiedyś infekcja w tym miejscu i któryś skaner ją niestety niepoprawnie "wyleczył". Poza tym, do czyszczenia jest jeszcze adware. Akcje zostaną rozbite na dwie fazy. Wstępnie: 1. Odbudowa usługi. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000000 "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Instrumentacja zarządzania Windows" "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,02,00,00,00,41,00,4d,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00 "Description"="Dostarcza interfejs i model obiektowy w celu uzyskiwania dostępu do informacji zarządzania o systemie operacyjnym, urządzeniach, aplikacjach i usługach. Jeśli ta usługa zostanie zatrzymana, większość oprogramowania opartego na systemie Windows nie będzie działać właściwie. Jeśli ta usługa zostanie wyłączona, uruchomienie usług od niej zależnych nie powiedzie się." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ServiceMain"="ServiceMain" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Enum] "0"="Root\\LEGACY_WINMGMT\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Uruchom plik przez dwuklik, potwierdź import do rejestru, zresetuj system. Zapora i Centrum powinny zacząć działać, ale zrób na wszelki wypadek nowy log z Farbar Service Scannner. 2. W logach jest widoczny pewien obiekt adware niekompletnie wykrywany przez FRST. Jest już nowsza wersja FRST, która ma to ponoć naprawione. Proszę pobierz ponownie najnowszą wersję FRST z przyklejonego: KLIK. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut, z poziomu konta alex.

W logu brak jawnych oznak infekcji, do usunięcia będą tylko puste wpisy aplikacji (bez znaczenia pod kątem problemu). Podaj o jakie próby łączenia chodzi - jakie adresy i kiedy to się dzieje, tzn. czy przy korzystaniu z przeglądarki Firefox, czy niezależnie od tego czy jest uruchomiona. Jeśli działoby się to tylko przy korzystaniu z Firefox, należałoby sprawdzić zainstalowane rozszerzenia, mimo że wszystkie są autoryzowane w Mozilla Add-ons: FF Extension: WOT - C:\Users\MarcinJ\AppData\Roaming\Mozilla\Firefox\Profiles\nw0bgy06.default\Extensions\{a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7} [2015-07-14] FF Extension: Яндекс Next - C:\Users\MarcinJ\AppData\Roaming\Mozilla\Firefox\Profiles\nw0bgy06.default\Extensions\yandexnext@everhelper.me.xpi [2015-01-22] FF Extension: X-notifier - C:\Users\MarcinJ\AppData\Roaming\Mozilla\Firefox\Profiles\nw0bgy06.default\Extensions\{37fa1426-b82d-11db-8314-0800200c9a66}.xpi [2014-02-25] FF Extension: Video DownloadHelper - C:\Users\MarcinJ\AppData\Roaming\Mozilla\Firefox\Profiles\nw0bgy06.default\Extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}.xpi [2015-03-16] FF Extension: Adblock Plus - C:\Users\MarcinJ\AppData\Roaming\Mozilla\Firefox\Profiles\nw0bgy06.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2014-02-24] Należy podejrzewać programy zabezpieczające. Jest tu inwazyjny ESET skombinowany z MBAM, SUPERAntiSpyware i Spybot - Search & Destroy. Ten ostatni od razu odinstalować, przestarzała konstrukcja, przydatność na dzień dzisiejszy mniejsza niż konkurenta MBAM. Zastanowił mnie też NetWorx - to też jest program oparty o sterowniki sieciowe.

Infekcja została pomyśnie usunięta, MBAM nie powinien nic już wykrywać, a przekierowania powinny ustać. Na zakończenie usuń używane narzędzia za pomocą DelFix, wyczyść foldery Przywracania systemu, oraz zainstaluj najnowszą Java (o ile w ogóle jest potrzebna): KLIK.

MBAM wykrywa tylko folder adware, a nie jego wpisy startowe (usługa + AppInit_DLLs) i być może to jest przyczyna niemożności pełnego usunięcia. Przeprowadź następujące działania: 1. Z klawiatury klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje: Acrobat.com, Adobe AIR, Java 8 Update 51. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 Driptax; C:\ProgramData\\Driptax\\Driptax.exe [441856 2015-09-20] () [brak podpisu cyfrowego] AppInit_DLLs: C:\ProgramData\Driptax\Runair.dll => C:\ProgramData\Driptax\Runair.dll [883200 2015-09-26] () AppInit_DLLs-x32: C:\ProgramData\Driptax\Dombam.dll => C:\ProgramData\Driptax\Dombam.dll [738816 2015-09-26] () HKLM\...\Run: [HotKeysCmds] => "C:\Windows\system32\hkcmd.exe" HKLM\...\Run: [Persistence] => "C:\Windows\system32\igfxpers.exe" HKLM-x32\...\Run: [] => [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-1405971000-2417884801-2386588982-1001 -> {8073BC3A-14B2-4591-A25F-F270CAD6D460} URL = CustomCLSID: HKU\S-1-5-21-1405971000-2417884801-2386588982-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\MD\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku Task: {05022457-F664-4F1D-B0E9-925417F81FFA} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {311C6ABC-0922-466B-A48F-BD972885BB3F} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {667C1D3C-4B61-4726-9F5D-C0A3ED909B0A} - System32\Tasks\{DE30885E-839E-44FF-8F5F-15173587157D} => pcalua.exe -a C:\Users\MD\AppData\Roaming\do-search\UninstallManager.exe -c -ptid=cor Task: {6CEB1BFF-1E48-4F7C-901D-259D5DA272BA} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {86A613BD-4CF0-41BC-B386-6C6BC38BDA65} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {87394EE6-B17C-445C-8937-DA2C8C652B02} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {9493304A-2109-4CA7-98BB-733A9E1BBA0E} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {99FC16F4-C582-4AC4-939C-8FA899BA15D2} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {9CBEDC04-61CC-4ACA-ACA9-2CE8E504BCA7} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {A143145B-DDDB-427F-AEA1-A24597C97CCF} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {C942D634-B20B-4B62-BA79-6ADCD286DABF} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {D6E4A09F-C8BC-424F-98E3-CB848B3DB473} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe Task: {E54A7DFE-CAE0-40A9-9151-2B3E4D3C271D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku C:\ProgramData\Driptax C:\ProgramData\TEMP Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

QQPCTray to nie jest wirus, lecz niechciany program zainstalowany przez nieuwagę podczas pobierania programów (metoda typu "downloader" portalowy lub podobne zjawisko). Na początek proszę: 1. Uruchom plik C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\Uninst.exe, by sprawdzić czy to usunie większą partię Tencent. W przypadku braku skutków, zajmę się siłowym usunięciem Tencent z systemu. 2. Przez Dodaj/Usuń programy odinstaluj: - Adware: CinemaP-1.9cV26.09, CinemaPlus-3.2cV26.09, GoHD - Stare wersje: J2SE Development Kit 5.0 Update 12, J2SE Runtime Environment 5.0 Update 12, Java 7 Update 55 Jeśli podczas deinstalacji któregoś wejścia wystąpi błąd, kontynuuj z kolejną pozycją. 3. Zrób nowy log FRST z opcji Skanuj (Scan) - zaznacz ponownie pole Addition, by powstały dwa raporty.

Dostarcz raporty z FRST, GMER pomiń, a także raport z MBAM pokazujący wspominane detekcje.

Debug zrzutów pamięci *.DMP Wskazanym krokiem jest też zdebugowanie obecnych w systemie kilku ostatnich zrzutów pamięci i podanie końcowego raportu tekstowego. W zależności od ustawienia wyżej pokazanej opcji Zapisywanie informacji o debugowaniu pliki *.DMP są w: C:\Windows\Minidump (Mały zrzut pamięci) lub C:\Windows\MEMORY.DMP (pozostałe typy). By odczytać ten typ plików, jest wymagana specjalna aplikacja: BlueScreenView (podstawowy program dla mniej zaawansowanych) lub Debugging Tools for Windows | WinDbg (dla zaawansowanych, o wiele większe możliwości).

Konfiguracja ekranu z błędem i zrzutów pamięci *.DMP Domyślnie wszystkie Windows są skonfigurowane na automatyczny restart ukrywający BSOD, który może ewentualnie zbyt szybko mignąć, by dało się z niego coś odczytać. W przypadku wystąpienia tajemniczego autorestartu należy skonfigurować odpowiednią opcję, tak by w zamian zaczął się pokazywać konkretny błąd. Teksty ogólne na BSOD są powtarzalne i nas nie interesują, chodzi o detale błędu: - W Windows 7 i starszych ekran BSOD zawiera dokładny kod STOP z 4 parametrami. - W Windows 8 i nowszych ekran BSOD otrzymał nową formę i został ograniczony do przyjaznej nazwy błędu STOP. Brakujący kod STOP i parametry mogą być pozyskane z Dziennika zdarzeń lub zrzutów pamięci. Ekran ewentualnie może zostać zmodyfikowany, by pokazały się 4 parametry (w lewym górnym rogu ekranu) poprzez utworzenie w rejestrze wartości DisplayParameters. Na Windows 8 i 8.1 edycja wymaga instalacji hotfixów sprecyzowanych w KB2929742, na Windows 10 edycja możliwa out-of-box. Ta edycja nie przywraca starej formy ekranu, jak to sugerowane w niektórych opisach na Google. Podstawowa weryfikacja opcji systemowych Z klawiatury kombinacja + R i w polu Uruchom wklej następujące polecenie: Windows Vista do Windows 11: SystemPropertiesAdvanced Windows XP: rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl,,3 To polecenie otworzy Właściwości systemu w karcie Zaawansowane: Należy przejść do sekcji Uruchamianie i odzyskiwanie: I dopasować wyliczane poniżej opcje. Po wykonaniu konfiguracji należy zatwierdzić zmiany poprzez reset systemu. 1. Odznacz Automatycznie uruchom ponownie. W okolicznościach ponawiających problem zamiast auto-restartu pojawi się plansza niebieskiego ekranu śmierci. Należy przepisać informacje typu nazwa i kod błędu oraz (o ile będzie podane) plik generujący błąd. Jak już powiedziane, na Windows 8 i nowszych dane ograniczone tylko do nazwy błędu, ale i to może być przydatne w sytuacji gdy system nie nagrywa z jakiś względów żadnych innych danych (brak rekordu w Dzienniku zdarzeń, czy zrzutów pamięci). 2. Upewnij się, że w Zapisywanie informacji o debugowaniu jest ustawione wykonywanie zrzutu pamięci, a nie (brak). Typy zrzutów pamięci DMP: Mały zrzut pamięci (Small memory dump) - Domyślne ustawienie na XP. W zależności od wersji Windows 64KB, 128KB lub 256KB. Zrzut pamięci jądra (Kernel memory dump) - Domyślne ustawienie na Windows 7 i Vista. Pełny zrzut pamięci (Complete memory dump) - Ta opcja jest niewidoczna na niektórych konfiguracjach posiadających więcej niż 2GB pamięci. Wymaga ogromnego pliku pamięci i miejsca na dysku. W typowej diagnostyce "domowej" rzadko kiedy potrzebna. Automatyczny zrzut pamięci (Automatic memory dump) - Tylko w Windows 8 i nowszych. Domyślne ustawienie na tych systemach *. Aktywny zrzut pamięci (Active memory dump) - Tylko w Windows 10 i Windows 11. * Nie jestem pewna, ale wydaje mi się, że w okolicach Windows 11 Wersja 22H2 ponownie zmieniono domyślne ustawienie (lub system bierze pod uwagę specyficzne okoliczności). Windows 11 Wersja 24H2, zarówno na moim głównym komputerze (aktualizowany z Windows 10) jak i w wirtualnej maszynie (czysta instalacja), ustawił "Mały zrzut pamięci (256 KB)". Małe zrzuty są generowane w folderze C:\Windows\Minidump (pliki nie są zastępowane), wszystkie pozostałe są zapisywane do pliku C:\Windows\MEMORY.DMP (domyślnie jest zastępowany), o ile nie zmieniano ręcznie konfiguracji lokalizacji. Brak obecności plików zrzutów *.DMP, mimo prawidłowej konfiguracji systemu na zapis zrzutów, może wynikać z braku miejsca na dysku, nieprawidłowych ustawień pliku pamięci wirtualnej (brak pliku lub jest za mały), lub użycia czyściciela usuwającego pliki DMP (np. CCleaner). Dodatkowo, od Windows 7 na komputerach domowych nie podłączonych do domeny domyślnie Zrzut pamięci jądra nie jest zapisywany na dysku z mniej niż 25GB wolnego. Automatyczna konfiguracja systemu pod kątem Zrzutu pamięci jądra lub Pełnego zrzutu pamięci Do tego celu służy skrypt DumpConfigurator.hta. Uwzględnia także rozmaite edycje rejestru udokumentowane przez Microsoft.

:( Diagnostyka samoczynnych restartów i BSOD Materiały pomocnicze w diagnostyce na forum Konfiguracja ekranu z błędem i zrzutów pamięci *.DMP Debug zrzutów pamięci *.DMP BlueScreenView (dla niezaawansowanych) WinDbg jako składnik Windows SDK (Windows 7 do Windows 11) WinDbg w wersji samodzielnej (Windows 10 i Windows 11) Materiały referencyjne: Resolving Blue Screen errors in Windows ----------------------------------------------------------- Advanced troubleshooting for stop or blue screen errors (wcześniej jako KB3106831) Overview of memory dump file options for Windows (wcześniej jako KB254649) Generate a kernel or complete crash dump (wcześniej jako KB969028) How to determine the appropriate page file size for 64-bit versions of Windows (wcześniej jako KB2860880) Getting Crash Dumps to Appear in Win7 Kernel dump storage and clean up behavior in Windows 7 Understanding Crash Dump Files ----------------------------------------------------------- Analyze a kernel-mode dump file by using WinDbg Using the !analyze Extension Copyright @picasso fixitpc.pl Powielanie tej pracy zabronione.

Zadanie pomyślnie wykonane. Przypominam o aktualizacji modułu ESET, by zapobiec pojawieniu się usterki ponownie. Usuń plik C:\Windows\SetACL.exe oraz pobrany GMER. Następnie zastosuj DelFix.

Fix FRST pomyślnie przetworzony. Problem z ikonami Pulpitu jest też już jasny - tworzą go błędne ścieżki w kluczach InProcServer32: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32 (Default) REG_EXPAND_SZ %SystemRoot%\system32\shell32.dll ThreadingModel REG_SZ Apartment HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32 (Default) REG_EXPAND_SZ %SystemRoot%\SysWow64\shell32.dll ThreadingModel REG_SZ Apartment W Windows 10 jest kierunek na plik windows.storage.dll. Kierunek na shell32.dll występuje w Windows 7 i starszych systemach. To nie jest infekcja, błąd musiał utworzyć program zewnętrzny. Mówiłeś, że ESET coś wykrywał - te wykryte rzeczy to błahe sprawy, które nie miały wpływu na system. Wbrew moim podejrzeniom w raporcie ESET nie było więc nic powiązanego, ale poszukałam informacji na oficjalnym forum ESET. To jest wina ESET, dowolna detekcja odpala tę usterkę: KLIK. To oznacza, że gdy naprawię problem, on się ponownie pojawi, gdyż skorzystasz z ESET. Naprawa: 1. Pobierz SetACL (na spodzie strony klik w "Administrators: Download the EXE version of SetACL 3.0.6 for 32-bit and 64-bit Windows"). Rozpakuj pobraną paczkę i z folderu x64 przekopiuj plik SetACL.exe do katalogu C:\Windows. 2. Otwórz Notatnik i wklej w nim: CMD: SetACL -on "HKLM\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32" -ot reg -actn setowner -ownr "n:Administratorzy" CMD: SetACL -on "HKLM\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32" -ot reg -actn ace -ace "n:Administratorzy;p:full" CMD: SetACL -on "HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32" -ot reg -actn setowner -ownr "n:Administratorzy" CMD: SetACL -on "HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32" -ot reg -actn ace -ace "n:Administratorzy;p:full" Reg: reg add HKLM\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32 /ve /t REG_EXPAND_SZ /d ^%SystemRoot^%\system32\windows.storage.dll /f Reg: reg add HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32 /ve /t REG_EXPAND_SZ /d ^%SystemRoot^%\SysWow64\windows.storage.dll /f CMD: SetACL -on "HKLM\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32" -ot reg -actn ace -ace "n:Administratorzy;p:read" -actn setowner -ownr "n:SYSTEM" CMD: SetACL -on "HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32" -ot reg -actn ace -ace "n:Administratorzy;p:read" -actn setowner -ownr "n:SYSTEM" Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nastąpi restart systemu. Powstanie kolejny plik fixlog.txt. Przedstaw go. 3. Jeśli punkt 2 poprawnie się wykona, po restarcie problem z ikonami powinien ustąpić. Ale Twój ESET znów to zepsuje, gdy nastąpi jakaś detekcja. Z tego co rozumiem z wątku na forum ESET, trzeba zaktualizować moduł "Cleaner" w ESET.

Caspa Temat zostaje przeniesiony do działu Windows 10. W raportach brak jakichkolwiek śladów infekcji, która mogłaby mieć z tym związek i szczerze powątpiewam, by problem był pochodną infekcji. Te objawy mogą być wynikiem różnych problemów, w tym zupełnie nie związanych z infekcją. Ważna sprawa, nie podałeś raportu z ESET co usuwał i skąd, a wytyczne działu wyraźnie wskazują by owe materiały dostarczyć. ZeroAccess to stara infekcja (nieaktywny botnet), która od jakiegoś czasu nie występuje, a określone warianty tej infekcji nawet nie mogą się zainstalować w Windows 10 ze względu na zmiany techniczne w tej platformie. W Twoim systemie nie występuje żadna z wersji ZeroAccess, wliczając wariant który powoduje opisywany problem - dowodem są logi z FRST (program specjalizowany w detekcji wszystkich znanych wariantów ZeroAccess). BSOD także nie może być z winy nieistniejącego ZeroAccess. Natomiast tu jest podejrzenie, że przyczyną usterki z ikonami Pulpitu może być ... ESET - błędna detekcja i edycja określonego klucza w rejestrze. Nie jest też pewne co dodatkowo robiłeś (widać pobrany SystemLook), czy się dodatkowo nie pogrążyłeś próbując "naprawiać" coś ręcznie i stosując wpisy rejestru niepasujące do Windows 10. Krok pierwszy to będzie pobranie określonych danych z rejestru w trybie "tylko do odczytu" - załączam pobór tych danych w skrypcie FRST podanym niżej. Druga sprawa: Twój system Windows 10 był instalowany techniką aktualizacji Windows 7, w konsekwencji w systemie pozostały śmieci po poprzednim systemie, głównie w Harmonogramie zadań. Jest to sprawa podrzędna, lecz dodatkowo będę sprzątać system z tych śmieci. Zwracam też uwagę, że aktualizacja Windows 10 wyłączyła Przywracanie systemu, miej tego świadomość. Do przeprowadzenia następujące operacje: 1. Otwórz Notatnik i wklej w nim: Task: {00CBB0B7-B00C-491C-AF49-52BA7CDD0174} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {1636749C-5D41-4834-A113-2F904EEB7337} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {1765BCFC-C7EB-4485-AF1E-6803AFD455C1} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {1DF2729B-6D6D-4CDC-B021-060005C89BA8} - System32\Tasks\{EDB1BC50-C530-46F4-BCDE-766C7AC5361D} => pcalua.exe -a D:\utorrnet\Dishonored\setup.exe -d D:\utorrnet\Dishonored Task: {2086D245-674E-4D61-8BA1-480EC16D7713} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {255B38F8-CDBA-4A24-96F8-A41A268964BE} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {27C5F0C2-3C94-45C7-B3E8-A23A643EF653} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {2AA35FC8-CBDF-43BB-A9DA-FBABE3A6750F} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {4A3FF6E4-EAC1-4E99-AB4B-8771DC30BDD2} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {57B6C199-1BA7-4466-A392-483D0B3397D2} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {5B2E3D90-9843-4C23-BBE8-AEFFBD324D59} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {604148F3-76BB-427B-AA8C-31E0A07704EA} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {622BA747-0B24-42BA-A7DA-9D4DD2C04F59} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {630803A1-E321-448B-94B7-A220C563D041} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {63E61DCB-731F-4FA9-8331-EA99CC49B982} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {6D3C31D6-8199-4FA8-9EE9-281A0C859654} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {6F56CCDC-70E7-497C-8A02-F1DA80F7ABF2} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {7153B9E4-FB56-4CC3-AD08-1657B1E7A974} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {7748C444-9625-45B9-A849-F03DE5030D54} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {7ADF769F-8706-4C99-9F34-A0C97696CABA} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {8DB910B8-204F-47E7-863F-15E6907A8710} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {A8427BEA-1214-4C4F-9ACF-4CCB48BBB2A0} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {A8E2669D-1DBD-444C-857E-230A4FC0C3A8} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {B1CB71DC-3F75-4A86-8DEF-81E8EE9DF5CD} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {BA91FB0B-8031-42EF-B001-004AF0B87A20} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {D0A4CCE7-5D56-4645-99C2-E6F80C67FE58} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {D1695A40-1AA8-4471-8E42-9AEA8A0B2702} - System32\Tasks\{DC37BBA6-2B1B-4AB3-989B-ECCAA1B9B4AA} => pcalua.exe -a "D:\The Sims 2\EAUninstall.exe" Task: {D52A02A2-4F51-4E88-8B99-EB1AD47C5CCF} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {DADC4D21-9F67-4BA9-8887-068A50F18246} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {DC23FDA8-ED61-476C-A755-5B039E328D63} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {E44EFBDE-75D0-45B3-89CB-BB71B566886B} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {EF5262B9-983E-4871-95B2-0FC235EFD683} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {F130609F-7B1E-4028-82CD-EACD2B96D906} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {F3705329-0CE2-41D4-AA52-ED5BD64887BD} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {F6781F84-A3D6-4B1F-84D1-D586BAA5C43B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku U3 fxtoipow; C:\Users\konto\AppData\Local\Temp\fxtoipow.sys [56496 2015-09-23] (GMER) [brak podpisu cyfrowego] U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath HKU\S-1-5-21-835746795-2319851380-3316763563-1000\...\Run: [Clownfish] => [X] FF Plugin: @esn/npbattlelog,version=2.6.2 -> C:\Program Files (x86)\Battlelog Web Plugins\2.6.2\npbattlelogx64.dll [brak pliku] FF Plugin: @esn/npbattlelog,version=2.7.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.7.0\npbattlelogx64.dll [brak pliku] FF Plugin-x32: @esn/npbattlelog,version=2.6.2 -> C:\Program Files (x86)\Battlelog Web Plugins\2.6.2\npbattlelog.dll [brak pliku] FF Plugin-x32: @esn/npbattlelog,version=2.7.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.7.0\npbattlelog.dll [brak pliku] DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center C:\Windows\System32\Tasks\Microsoft\Windows\Media Center Reg: reg query HKCU\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s Reg: reg query HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Drobny odpadek adware w Google Chrome: Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres feed.helperbar.com 3. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt oraz przeklej raport ESET pokazujący co on usuwał.

Nowym pomocnikiem działu zostaje Nevan - ukończył kurs w jednej ze szkół bloku UNITE (Geeks2Go). Zostało omówione czego oczekuję i jak ma wyglądać praca tutaj.

Zemana AntiMalware Free Strona domowa Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit Darmowa edycja już niedostępna. Co więcej, Zemana jako całość to marka która obecnie cienko przędzie i jest prawdopodobnie na wylocie. Wszystkie komercyjne produkty wyglądają na nierozwijane/porzucone. Do wglądu dyskusja. Bezpłatna edycja programu Zemana, ograniczona do skanu i usuwania infekcji. Obecnie program ma także zintegrowany nasz główny skaner diagnostyczny używany na forum, czyli FRST (ukryty w opcjach Zaawansowanych).

Malwarebytes Anti-Malware (MBAM) 3.x Strona domowa Malwarebytes for Windows v3 Product Lifecycle Legacy Malwarebytes v3.5.1 - Product Lifecycle and EOL Systemy XP i Vista nie są już obsługiwane. Ostatnią kompatybilną wersją (bez aktualizacji baz) jest 3.5.1: https://downloads.malwarebytes.com/file/mb3_legacy INSTRUKCJA URUCHOMIENIA WERSJI 3.x Uruchom pobrany instalator mb3-setup-consumer-[wersja].exe i postępuj zgodnie ze wskazówkami na ekranach instalacyjnych. Wersja 3.x w odróżnieniu od starszej linii 2.x nie umożliwia odznaczenia opcji trial w instalatorze i domyślnie jest instalowana wersja próbna z aktywną osłoną, która wygasa po 14 dniach (program przełączy się na wersję darmową oferującą nielimitowany skan i usuwanie na żądanie). W przypadku gdy instalacja i/lub uruchomienie programu są zablokowane przez malware, skorzystaj z Chameleon. Po rozpakowaniu w folderze są liczne kopie imitujące inne procesy, np. "svchost.exe". Uruchom jedną z tych kopii. Po uruchomieniu programu nie zmieniaj domyślnych ustawień skanowania, wejdź do karty Skanowanie i wybierz opcję zalecaną:

Kaspersky Virus Removal Tool (KVRT) 2015 Strona domowa Platforma: Windows XP SP2+, Vista, Windows 7, Windows 8/8.1, Windows 10 oraz edycje serwerowe 2003, 2008, 2012 32-bit i 64-bit https://devbuilds.s.kaspersky-labs.com/kvrt/2015/full/kvrt.exe Zastąpiony przez Kaspersky Virus Removal Tool 2020 który w wymaganiach ma Windows 7 i nowsze systemy. Kaspersky Virus Removal Tool (KVRT) - Ogólny miniaturowy skaner Kasperskiego do usuwania rozmaitych typów zagrożeń takich jak: wirusy, trojany, rootkity, adware, riskware. W zamiarze narzędzie ma być awaryjnym skanerem, który po rozwiązaniu problemów powinien zostać usunięty z dysku. KVRT nie posiada opcji aktualizacji baz - program musi być pobierany za każdym razem od nowa. Wersja 2015 jest oparta na TDSSKiller, w odróżnieniu od starej edycji 2011 nie wymaga instalacji. KVRT można uruchamiać także z poziomu dysków przenośnych lub sieciowych. INSTRUKCJA URUCHOMIENIA: Narzędzie uruchamiamy przez dwuklik. Na systemach Vista do Windows 10 wymagany tryb administracyjny i potwierdzenie dialogu UAC. Następnie pokaże się licencja użytkowa, którą zatwierdzamy za pomocą Accept: Narzędzie rozpocznie pracę: Pojawi się ekran ogłaszający gotowość do skanowania: ----> W przypadku używania starszej wersji niż dostępna pojawi się w tym oknie komunikat This version is obsolete kierujący do pobierania najnowszej wersji: ----> Jest tu zlokalizowany link do konfiguracji skanowania (Change parameters). Domyślnie KVRT ma zaznaczone skanowanie pamięci, startujących obiektów oraz sektorów rozruchowych dysków. Pełny skan dysku systemowego jest odznaczony. Poinstruujemy użytkownika czy zostawić domyślne ustawinia, czy coś ewentualnie zmienić. Sprawdzanie systemu rozpoczynamy przyciskiem Start scan. W oknie zostanie odnotowany postęp skanowania. W przypadku wykrycia infekcji pokaże się okno ze spisem obiektów. Względem wykrytego obiektu można podjąć akcje: Cure (leczenie), Copy to Quarantine (przenoszenie do kwarantanny), Delete (usuwanie), Restore (przywrócenie niezmodyfikowanej wersji), Skip (nie podejmowanie żadnych akcji). Materiał referencyjny: How to select the action on threat detection Skanowanie bez usuwania: proszę dobrać akcję Skip all. Po ocenie wyników zostanie podane jak postąpić z wykrytymi zagrożeniami. Raporty Dostęp do czytelnej postaci raportów odbywa się poprzez opcję Report w głównym oknie. Niestety obecna wersja KVRT posiada uciążliwość, która ma być rozwiązana dopiero w nowszej wersji: nie jest możliwe skopiowanie raportu. Zaszyfrowane (czyli nieczytelne) raporty narzędzia są gromadzone na dysku systemowym w folderze C:\KVRT_Data\Reports. Deinstalacja Zamknięcie głównego okna programu powinno powodować automatyczne skasowanie śladów narzędzia z dysku. Ten proces nie usuwa jednak wszystkich składników - na dysku m.in. zostaje folder C:\KVRT_Data.

Kaspersky Virus Removal Tool (KVRT) 2020 Strona domowa Platforma: Windows 7 i nowsze oraz edycje serwerowe 2008 (R2) i nowsze 32-bit i 64-bit Oficjalne autoryzowane linki pobierania: Pobierz Zastępuje starą edycję Kaspersky Virus Removal Tool 2015 oraz zlikwidowany TDSSKiller. ...opis w budowie...

Malwarebytes Anti-Rootkit (MBAR) Strona domowa Artykuł opisowy na BleepingComputer.com Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit Oficjalne autoryzowane linki pobierania: Tradycyjna wersja: Pobierz Specjalna wersja, gdy instalacja MBAM zwraca błąd "Żądane zasoby są w użyciu" / "The requested resource is in use": https://forums.malwarebytes.com/topic/198907-requested-resource-is-in-use-error-unable-to-start-malwarebytes/ Status of MBAR - Narzędzie nieaktualizowane i wycofane przez producenta. Zastępuje go nowocześniejszy silnik anty-rootkit wbudowany do Malwarebytes. Malwarebytes Anti-Rootkit (MBAR) - Typ podobny do TDSSKiller w rozumieniu adresowanego tematu i rodzaju infekcji. MBAR jest zdolny wykrywać i usuwać rootkity trybu User Mode, rootkity trybu Kernel Mode, rootkity patchujące tablicę partycji (tworzona odrębna partycja rootkit), rootkity MBR i VBR, oraz inne typy anomalii. Jako dodatkową funkcję realizuje naprawę uszkodzeń systemowych. MBAR jest wbudowany także do MBAM, ale producent utrzymuje dwie odrębne linie narzędzi, gdyż MBAR w wersji indywidualnej jest szybciej aktualizowany. Poza tym, specjalne wersje standalone mogą odblokować instalację czy uruchomienie MBAM. INSTRUKCJA URUCHOMIENIA (ROZWIŃ SPOILER):

Kaspersky TDSSKiller Archiwalna postać strony domowej Platforma: Windows XP SP2+ i nowsze oraz edycje serwerowe 2003 i nowsze 32-bit i 64-bit https://media.kaspersky.com/utilities/VirusUtilities/EN/tdsskiller.exe Doszły mnie słuchy w kuluarach, że narzędzie jest "przestarzałe" i należy korzystać zamiennie z Kaspersky Virus Removal Tool. Nie jestem w stanie tego potwierdzić w 100%, a narzędzia jednak się różnią konfiguracją (TDSSKiller ma do wyboru opcję skanu BIOS/UEFI). Aktualizacja: Oficjalnie potwierdzone. Narzędzie usunięte przez producenta. Uwaga, narzędzie może być utylizowane przez malware. Szczegóły w artykule: RansomHub ransomware abuses Kaspersky TDSSKiller to disable EDR software. TDSSKiller - Aplikacja od Kasperskiego dedykowana wykrywaniu i usuwaniu określonych rootkitów / bootkitów (infekcje w MBR i VBR) oraz detekcji rootkit-podobnych anomalii systemowych. W skład rozpoznawanych znanych infekcji wchodzą, m.in: cała rodzina rootkitów TDL we wszystkich wersjach (z uwzględnieniem wariantu TDL4 atakującego MBR i systemy 64-bitowe), Sinowal (Mebroot, MaosBoot), Phanta (Phantom, Mebratix), Trup (Alipop), Whistler, Stoned, Necurs i ZeroAccess (w tym wariant consrv.dll na systemie 64-bit oraz 32-bit i 64-bit atakujące services.exe). Nieznane bootkity są namierzane metodą heurystyczną. TDSSKiller w obszarze usuwania bootkitów zastępuje archaiczne narzędzie Antiboot tego samego producenta. INSTRUKCJA URUCHOMIENIA (ROZWIŃ SPOILER):

Narzędzia informacyjne Bitdefender Ransomware Recognition Tool (2018) IDTool (martwe narzędzie, zastąpione przez ID Ransomware) ListCWall (do starej infekcji CryptoWall) Zbiory ogólne dekoderów Avast Ransomware Decryption Tools AVG Decryption Tools Bitdefender Decryptors BleepingComputer Decrypters Emsisoft Decrypters Kaspersky Decryptors No More Ransom Decryption Tools (kombinowane zbiory różnych dostawców antywirusowych) Dekodery do Tesla (2016) ESET TeslaCrypt decrypter (TeslaCrypt w wersjach 3 i 4: rozszerzenia *.xxx, *.ttt, *.micro, *.mp3 lub brak zmiany w rozszerzeniach) Kaspersky RakhniDecryptor (TeslaCrypt w wersjach 3 i 4: rozszerzenia *.xxx, *.ttt, *.micro, *.mp3 lub brak zmiany w rozszerzeniach | również m.in. pliki z przyrostkiem helpme@freespeechmail.org) Talos (Cisco) TeslaCrypt Decryption Tool (TeslaCrypt we wszystkich wersjach) TeslaDecoder (TeslaCrypt we wszystkich wersjach, ale wersja TeslaCrypt 2 .vvv, .ccc, .zzz, .aaa, .abc, .xyz wymaga ręcznej mozolnej procedury rozpisanej w pliku Instructions.html) Trend Micro Ransomware File Decryptor (CryptXXX 2.0 i starsze, ale 3.0 tylko częściowo | TeslaCrypt w wersjach 3 i 4) Trend Micro TeslacryptDecryptor (wszystkie warianty TeslaCrypt, obecnie dekoder niedostępny do pobrania i wysyłany przez pomoc techniczną) Inne stare dekodery ESET Crysis decryptor (2017) FileCryptor.XTBL Decryptor (2016, martwa strona choć z Github można pobrać) (Shade/Troldesh w wariancie ...xtbl) GhostCrypt Decrypter (2017) Kaspersky RannohDecryptor (CryptXXX 2.0 i starsze: rozszerzenie *.crypt) Malwarebytes Telecrypt Decryptor (2016) McAfee Ransomware Recover (Mr2) (po złączeniu McAfee Enterprise i FireEye pod marką Trellix zlikwidowany) Petya Decryptor (2017) Petya Sector Extractor | Password Generator (niedostępny) ------------------------------------------------------------- Avira Ransom File Unlocker (2012/2013) DeBlock (2012, niedostępny) DeCrypt Cryptolocker (niedostępny) Emsisoft Decrypt_mblblock.exe (2013) Emsisoft Decrypter for CryptoDefense (2014) Emsisoft Decrypter for Harasom (2013) ESET Trustezeb.A Decryptor (2012) F-Secure Ransomcrypt Decryption Script (2012) Locker Unlocker (2015, martwy link) Panda Ransomware Decrypt (niedostępny, obecnie przekierowanie na ogólny skaner Panda Cloud Cleaner) Utilities for Virus.Win32.Gpcode.ak ZeroLocker Decryption Tool (2014) Inne narzędzia

Wracając do mojej wypowiedzi: Obecnie pojawił się kandydat spełniający ten warunek. Weryfikacja w toku. Gdy będą konkrety na tak lub nie, jasno się tu wypowiem.

Zappa Masz napisane w różnych wątkach: przedtem długotrwałe problemy ze zdrowiem (i już nigdy nie będę w pełni sprawna, do końca życia będę się borykać z pewnymi problemami) i tłumaczenie FRST, ostatni tydzień pisanie tutoriala i przygotowania do przeniesienia serwera na nowy dysk SSD. jessika Może nikt nie wie jak to rozwiązać. Problem jest spoza infekcji, czyli wg zasad działu jest możliwe udzielenie przez osobę nieautoryzowaną odpowiedzi innej niż instrukcje usuwania infekcji. Masz ten komfort, że możesz używać takich argumentów.