picasso

punisher935 & maximus600 Proponuję skontaktować się bezpośrednio z supportem MBAM. mimak Fixdamage służy do reperacji usług Windows naruszonych przez infekcje, chodzi o ten typ naruszenia: KLIK. Opis tego narzędzia jest na forum w opisie MBAR: KLIK. Poza tym, jeden ze zgłaszających problem przeinstalował Windows od zera.

Temat przenoszę do działu Windows pod bardziej dopasowanym do problemów tytułem. Brak oznak infekcji. Użyte Przywracanie systemu, więc logi nie przedstawiają stanu z momentu awarii, ale opis co się działo w owym momencie również nie wskazuje jednoznacznie na infekcję, równie dobrze całkiem inna usterka mogła wystąpić. vs. Dziennik System: ============= Error: (09/28/2016 12:04:28 AM) (Source: BugCheck) (EventID: 1001) (User: ) Description: Nastąpił ponowny rozruch komputera po operacji wykrywania błędów. Wyniki tej operacji były następujące: 0x00000109 (0xa3a00ade9e9c484b, 0xb3b71764f11d46c5, 0xfffff8014a8d2070, 0x0000000000000002). Zrzut zapisano w: C:\WINDOWS\MEMORY.DMP. Identyfikator raportu: 639ac423-4e8e-4290-8a28-88d9f644f628. Diagnostyka BSOD poprzez debug zrzutów pamięci: KLIK. vs. ==================== Wadliwe urządzenia w Menedżerze urządzeń ============= Name: Microsoft Wi-Fi Direct Virtual Adapter #4 Description: Karta Microsoft Wi-Fi Direct Virtual Adapter Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318} Manufacturer: Microsoft Service: vwifimp Problem: : This device is disabled. (Code 22) Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions. Name: Microsoft Wi-Fi Direct Virtual Adapter #3 Description: Karta Microsoft Wi-Fi Direct Virtual Adapter Class Guid: {4d36e972-e325-11ce-bfc1-08002be10318} Manufacturer: Microsoft Service: vwifimp Problem: : This device is disabled. (Code 22) Resolution: In Device Manager, click "Action", and then click "Enable Device". This starts the Enable Device wizard. Follow the instructions. Wirtualnych adapterów tego typu pozbywa się poprzez deaktywację poniższej opcji: Start > Ustawienia > System > Wyświetlanie na tym komputerze > Komputery i telefony z systemem Windows mogą wyświetlać obraz na tym komputerze, gdy wyrazisz na to zgodę > Zawsze wyłączone Z raportów nic nie wynika. 1. Ostatnio doinstalowane aplikacje to właśnie Avast i MBAM. Czy na pewno spowolnienie nie zazębia się z ich instalacją? 2. Widzę kilka błędów tego typu od aplikacji Lenovo: Dziennik Aplikacja: ================== Error: (09/28/2016 12:07:56 AM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: CCSDK.exe, wersja: 1.3.0.3, sygnatura czasowa: 0x56ef5fb7 Nazwa modułu powodującego błąd: ntdll.dll, wersja: 10.0.14393.103, sygnatura czasowa: 0x57b7e09e Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x00055dfc Identyfikator procesu powodującego błąd: 0x159c Godzina uruchomienia aplikacji powodującej błąd: 0x01d2190b67a2aaa4 Ścieżka aplikacji powodującej błąd: C:\Program Files (x86)\Lenovo\CCSDK\CCSDK.exe Ścieżka modułu powodującego błąd: C:\WINDOWS\SYSTEM32\ntdll.dll Identyfikator raportu: 22f72712-ffe3-4a99-b2a5-7e01a0e0d11c Pełna nazwa pakietu powodującego błąd: Identyfikator aplikacji względem pakietu powodującego błąd: Dziennik System: ============= Error: (09/28/2016 12:07:57 AM) (Source: Service Control Manager) (EventID: 7034) (User: ) Description: Usługa CCSDK niespodziewanie zakończyła pracę. Wystąpiło to razy: 1. Możesz odinstalować te zbędne aplikacje Lenovo: CCSDK Customer Engagement Service, Lenovo Experience Improvement, SHAREit. To zredukuje ilość uruchamianych procesów. Po deinstalacjach zastosuj także Program Install and Uninstall Troubleshooter, by usunąć ukryte aplikacje Lenovo Metric Collection SDK + Metric Collection SDK 35.

Skoro w składzie wyłączonych usług było Windows Update, to przypuszczalnie tu jest zlokalizowany problem. Rozwiązuje się go obecnie poprzez instalację konkretnych łat. Wyłączenie usług to obejście problemu, a nie jego rozwiązanie. Poza tym, zamiast wyłączać Windows Update należy je w pełni ukończyć. Pośrednio widać tu brak aktualizacji poprzez wykrycie bardzo starej wersji IE8, która nie jest już wspierana, musi zostać zainstalowany IE11, niezależnie od faktu, że używasz Chrome. Silnik IE i tak jest używany przez system i zewnętrzne aplikacje. W Dzienniku zdarzeń pojawiły się też błędy będące konsekwencją deaktywacji: Dziennik System: ============= Error: (09/27/2016 06:04:14 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Przeglądarka komputera zależy od usługi Serwer, której nie można uruchomić z powodu następującego błędu: Nie można uruchomić określonej usługi, ponieważ jest ona wyłączona lub ponieważ nie są włączone skojarzone z nią urządzenia. Wykonaj następujące operacje: 1. Przywróć wyłączonym usługom poprzedni Typ uruchomienia, z wyjątkiem Windows Update, któremu tymczasowo przyznaj Ręczny. 2. Panel sterowania > System i zabezpieczenia > Windows Update > Zmień ustawienia > ustaw Nigdy nie sprawdzaj, czy są aktualizacje (niezalecane). To krok potrzebny, by podczas instalacji poniższych łat nie uruchomiło się wyszukiwanie trwające "w nieskończoność" 3. Pobierz instalatory KB3020369, KB3172605, IE11. Rozłącz sieć i zainstaluj wymienione aktualizacje. Zresetuj system. 4. Ustaw usługę Windows Update na domyślny typ Automatycznie (opóźnione uruchomienie), a w konfiguracji Windows Update "Wyszukaj aktualizacje ale pozwól mi wybrać...". Uruchom wyszukiwanie Windows Update (po instalacji w/w łat nie powinno trwać tak długo) i zainstaluj wszystkie znalezione łaty. Wyszukiwanie powtarzaj tyle razy, aż zostanie zero znalezionych.

W jaki sposób? Chyba nie przez wyłączenie określonych usług, bo to tylko obejście a nie rozwiązanie? Jeśli chodzi o instalację łat, to nadal aktualne. Należy w pierwszej kolejności tymczasowo wyłączyć wyszukiwanie aktualizacji, by uniknąć opisywanego efektu: - Rozłączyć sieć. W Panelu sterowania w konfiguracji Windows Update zaznaczyć, by nie wyszukiwać aktualizacji. - Start > w polu szukania services.msc > z prawokliku Uruchom jako Administrator > dwuklik na usługę Windows Update i Tryb uruchomienia ustaw na Ręczny - Restart systemu. Instalacja łat. - Restart systemu. W services.msc ustawić usługę na domyślny Automatyczny (opóźnione uruchomienie), a w Panelu sterowania przywrócić wyszukiwanie aktualizacji. - Podłączyć sieć i zainicjować wyszukiwanie aktualizacji, które nie powinno zająć więcej niż kilkanaście minut. Poproszę o raporty z FRST.

Zacznijmy od usunięcia wszystkich zadań zwracających błąd, a przy okazji innych odpadkowych wpisów (w tym martwe zadania po aktualizacji Windows 7 do Windows 10). Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku SearchScopes: HKU\S-1-5-21-1731838417-1053290679-997583816-1000 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET NOD32 Antivirus\Mozilla Thunderbird => nie znaleziono S3 dbx; system32\DRIVERS\dbx.sys [X] U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath Task: {0DEBCFBD-790F-46C7-BDD9-AB346E76086D} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {13B932E0-0141-4B3F-8D06-1B7DFD1DDAF4} - \Microsoft\Windows\Setup\GWXTriggers\Time-Weekend -> Brak pliku Task: {1EB13CBB-2CAE-4104-BBE2-F4782CA87CAC} - \Microsoft\Windows\Setup\gwx\rundetector -> Brak pliku Task: {238D6307-8B2F-4130-9B4F-E4A4F44D4E7B} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {2429DAA5-8F9A-40B2-A296-DC7BF2F56528} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {244537E3-164E-496F-9112-ED2794102B97} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {2677C130-98B2-4494-BC27-4A80617AD174} - System32\Tasks\{BEF6E41A-9B24-4BBA-882C-98F907672E08} => pcalua.exe -a C:\Users\PW\Downloads\chromeinstall-8u31.exe -d C:\Users\PW\Downloads Task: {26D470AB-F310-4E8D-8564-FB02670A493A} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {275C4CB1-A662-4774-A828-DD53B1D24584} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {29C10028-9373-4A7E-9CF2-8DFF4B0D3DD9} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {2D0E0547-1D3A-43B9-845C-A40BE8C6D183} - System32\Tasks\GoogleUpdateTaskMachineUA1cfff72fd466c60 => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-08-29] (Google Inc.) Task: {324EB6B3-C0B4-49E2-A3BA-450E4A7CC205} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-08-29] (Google Inc.) Task: {3313C5F6-6324-4A7B-9C2E-D67374A24014} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {3B18A2C9-88CB-46E0-9F09-ADB867646D62} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {3C5A0414-D2E9-47AD-B411-70F733E2C76C} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {3E9A6497-9A75-48E7-B3A8-F6C41DDCA99A} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {40020BB6-F200-475C-82BD-7E57C04598A3} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {4CC9EC69-BFBE-4868-863C-5779CB79C25C} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {4EC22A5C-21C0-4F52-9721-4D4070A47BAD} - System32\Tasks\GoogleUpdateTaskMachineUA1d0409bac38c273 => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-08-29] (Google Inc.) Task: {50C9739B-1C12-437C-91E6-AFF554F53083} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {5744E29A-7F1E-46D1-88B5-D52C1E765188} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {5A11D3B6-22A0-400C-B13A-2A1C5EA74C7C} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2016-09-26] (Adobe Systems Incorporated) Task: {5B2FB045-F519-437B-8653-1AAE46D3BA05} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {6159E162-ABC0-4C49-BB76-510C39A2A1A3} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {63C89A5B-393F-4DB1-94E4-974A6C64AC9A} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {6E64A98B-C2F5-4482-A781-F34AF934B3B5} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {6EB17E33-B230-4E5F-907C-5C93B8B15106} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {808A657F-F863-4820-87D9-F66C061E9D46} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {9D4C593B-55DA-468F-AC15-B9E497B53BCF} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {A3401EDE-E120-4862-8EDF-EC67FD590021} - \PMTask -> Brak pliku Task: {BAF40D54-D379-4981-BA13-D5B8398660D7} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {BD3B0FA9-9DDD-4D4C-B831-C3639203E7AE} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {BFE0B1DB-28FE-4C27-BA10-169F985B56E9} - System32\Tasks\GoogleUpdateTaskMachineUA => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2015-08-29] (Google Inc.) Task: {C0B9A6B4-4152-4AA4-9089-B595ED2F9DD4} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {C2CC5FF5-37A3-4805-9BB7-D736AB2FB0DA} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {D20FF6B7-C624-4852-ABBD-C2D3364BB1E5} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {D38C16DE-78F6-4CD4-AA1E-531157833494} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku Task: {D50AB600-E20B-4F0D-852C-2B906BC8E633} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {D65F092F-455F-42F4-AE0E-B2EFDA7CF39D} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {D7CC4C80-11B3-4A06-A9C6-DB22A8A7A511} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {D9EC4DCA-0141-4F4A-B0B1-EED06454DD14} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {DCA1E93F-7840-4DD2-A6A7-9B1F45C5553F} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {E36F203C-8FC8-4F36-B090-7719FC44CEC0} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {E5DE66A5-F2B2-4366-90FB-3CC490C06B41} - \Microsoft\Windows\Setup\GWXTriggers\OnIdle-5d -> Brak pliku Task: {E696780D-A9A3-4DAB-A61F-7E818F2E6B33} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {F586F49F-1E19-4B90-A11F-CED2B82B9EC0} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: C:\WINDOWS\Tasks\Adobe Flash Player Updater.job => C:\WINDOWS\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA1cfff72fd466c60.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA1d0409bac38c273.job => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center C:\Windows\ehome C:\Windows\System32\Tasks\Microsoft\Windows\Media Center CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go i wypowiedz się czy błędy Harmonogramu ustąpiły i nie pojawiają się nowe inne niż poprzednio.

eric Nabrałam ponownie wątpliwości.... Otóż w tym temacie który linkowałam w ostatnich postach jest opisane podobne zjawisko, które sugerowałeś, tzn. cofnięcie stanu z kopii zapasowej do daty jakoby daleko sprzed infekcji, a mimo to infekcja szyfrująca zaatakowała ponownie lub "doszyfrowała" dane które wcześniej nie były zaszyfrowane. Tu nie jest wykluczone, że rzeczywista data infekcji była sfałszowana, tzn. infekcja była w systemie wcześniej niż się zorientowałeś (siedziała w uśpieniu) i odpaliła objawy dopiero określonego dnia. To by wyjaśniało dlaczego Przywracanie systemu nie miało skutków. Sugeruję zrobić format dysku C dla bezpieczeństwa... Tak, zawsze dostarczam informacje, gdy zmienia się stan rzeczy. kayabart Zasady działu: KLIK. Każdy ma mieć osobny temat. Poza tym, dostarcza się raporty na okoliczość weryfikacji czy infekcja jest nadal aktywna. Kontakt z przestępcami nie jest polecany. Nie ma gwarancji, że otrzymasz sprawny dekoder lub że w ogóle go otrzymasz. Dla porównania niedawno były incydenty z infekcją szyfrującą CryptXXX - poszkodowani zapłacili i otrzymali niesprawny dekoder do innej wersji infekcji. Link uczyniony nieaktywnym. To opis wątpliwej reputacji, którego jedyny cel to wmanipulować w instalację lewego skanera SpyHunter. Pomijając że to skaner od którego należy trzymać się z daleka, żaden skaner nie pomoże. Dla zakodowanych plików nie ma ratunku.

Mówiłam: "do jakiegoś folderu w krótkiej ścieżce dostępu i bez spacji". Skoro utworzyłeś "Nowy folder", to są spacje i ścieżka musi być ujęta w cudzysłów. A komunikat o Cscript zignorować i OK, następnie czekać cierpliwie na wyniki do utworzenia raportu, skrypt działa w tle w sposób transparentny.

Na razie powstrzymaj się z instalowaniem łat Windows Update. W logach FRST widzę więcej niż raportowane: 1. Jest tu także jakiś niejasny problem z WMI (WMI jest wymagane dla poprawnego funkcjonowania, m.in. Przywracania systemu): ==================== Punkty Przywracania systemu ========================= Sprawdź usługę "winmgmt" lub napraw WMI. Poproszę o raport z WMI Diagnosis Utility. Skrypt należy uruchomić jako Administrator, czyli po rozpakowaniu narzędzia do jakiegoś folderu w krótkiej ścieżce dostępu i bez spacji: Start > w polu szukania wpisz cmd > z prawokliku Uruchom jako Administrator > wklep ścieżkę do pliku WMIDiag.vbs i ENTER. Wynikowemu raportowi zmień ręcznie rozszerzenie z *.log na *.txt, by wszedł w załączniki. 2. Problem z brakiem punktów może wynikać też z małej ilości miejsca na punkty (starsze są automatycznie usuwane, by zrobić miejsce na nowe). W Dzienniku zdarzeń następujący błąd: Error: (09/22/2016 12:08:40 AM) (Source: volsnap) (EventID: 36) (User: ) Description: Wykonywanie kopii w tle woluminu C: zostało przerwane, ponieważ nie można powiększyć magazynu kopii w tle z powodu limitu wprowadzonego przez użytkownika. 3. Jest zainstalowany lewy skaner SpyHunter4 wersja 4.21.10.4585. A kysz z tym dziadem. Odinstaluj go. Następnie, niezależnie od tego czy deinstalacja się powiedzie czy nie, zastosuj SpyHunterCleaner.

Poproszę o raporty z FRST. Skan FRST pokaże stan niedomyślnych zadań Harmonogramu, co pozwoli mi ocenić conajmniej ten fragment. Zadania trzeba będzie usunąć, ale w pierwszej kolejności podaj wymagane raporty.

Wg mnie tak właśnie było, choć Twój opis mnie zmylił, tzn. szyfrowanie już się w pełni ukończyło w wielu miejscach na różnych dyskach, choć tego nie zauważyłeś w pierwszej chwili. Notatki ransom z żądaniem okupu pojawiają się w systemie, gdy jest już za późno (procesy zakończone).... Plik C:\ProgramData\encfiles.log trzyma listę danych zdefektowanych i tego się trzymaj. Bardzo mi przykro, ale tu już więcej niż nie wymyślimy. Oba systemy wyglądają na wyczyszczone z aktywnej infekcji. Z zaszyfrowanymi danymi nic nie da się zrobić. Próbowałeś Przywracania systemu, które nic nie wskórało, a sam proces nie dotyczy innych dysków niż systemowe. Zachowaj je, na wypadek gdyby w przyszłości pojawił się jednak dekoder. I to wszystko co można obecnie zrobić. Kroki końcowe do wykonania po kolei na obu systemach: Windows 8.1 1. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu cały folder Stare dane programu Firefox. Pochodzi z resetu Firefox i zawiera śmieci (adware oraz obiekty zaszyfrowane), dane w nim już zbędne. Pobrane skanery i ich logi też możesz pousuwać ręcznie. 2. Zastosuj DelFix, następnie wyczyść foldery Przywracia systemu (te punkty nie są Ci już potrzebne): KLIK. Windows XP 1. Odinstaluj stare wersje Adobe Flash Player 17 NPAPI, Java 8 Update 45, a Firefoxa zaktualizuj. Stare wersje to także jedna z dróg infekcji szyfrującej dane. 2. Również zastosuj DelFix oraz wyczyść foldery Przywracania systemu. Zabezpieczenia przed infekcjami szyfrującymi dane: Lista programów zabezpieczających tutaj: KLIK. Pod kątem infekcji szyfrujących dane, nanieś poprawkę na to, że część nie działa na XP: Niezbędne też wykonywanie kopii zapasowych cennych danych, a kopie umieszczane na odizolowanym dysku podłączanym tylko tymczasowo. Infekcje szyfrujące dane atakują każdy dostępny dysk lokalny, wymienny i sieciowy.

Zadanie posiada konfigurację domyślną. Ale jak mówiłam, punkty nie są tworzone co 24 godziny, tylko co 7 dni, a warunkiem jest uzyskanie stanu bezczynności. Moim zdaniem tu nie ma nic do naprawy w zakresie Przywracania systemu. Zadanie istnieje, a punkty Przywracania inne niż kontrolne są tworzone bez błędu. To zadanie nie jest powiązane z problemem, należy do systemu Ochrony oprogramowania (Software Protection). Błąd świadczy, że zadanie jest uszkodzone i należy je po prostu usunąć. Zapewne nie jest widoczne już nawet w przystawce taskschd.msc, więc operacja usuwania musi się odbyć bezpośrednio w rejestrze i na dysku. Na początek jednak podaj mi raporty z FRST, bym uzyskała ogólny pogląd na system. To popularny tu ostatnio problem. Należy zainstalować dwie łaty: KB3020369 (wymagana by móc zainstalować tę drugą) + KB3172605.

Błędy generują szkodliwe zadania w Harmonogramie zadań. Działania do przeprowadzenia: 1. Odinstaluj starą wersję Adobe Flash Player 18 NPAPI. NPAPI to edycja dla Firefox i jego pochodnych. Firefox tu nie występuje. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {162228E7-D31E-4CAA-B96F-697E0C8DE4D0} - System32\Tasks\hgrffad => Rundll32.exe "C:\Users\HP\AppData\Roaming\Microsoft\Internet Explorer\dqnfxcrs.dll", mnpeivsv:1001 Task: {2A4E2B35-D33A-4F87-9D71-659595E96340} - System32\Tasks\deedeb => Rundll32.exe "C:\Users\HP\AppData\Roaming\Microsoft\Internet Explorer\ytqrytcb.dll", ixkxtxiv:1001 Task: C:\Windows\Tasks\afeagadv.job => C:\Windows\SysWOW64\rundll32.exe C:\Users\HP\AppData\Roaming\Microsoft\Internet Explorer\ytqrytcb.dll Task: C:\Windows\Tasks\bxjlwy.job => C:\Windows\SysWOW64\rundll32.exe C:\Users\HP\AppData\Roaming\Microsoft\Internet Explorer\ytqrytcb.dll Task: C:\Windows\Tasks\deedeb.job => C:\Windows\SysWOW64\rundll32.exe C:\Users\HP\AppData\Roaming\Microsoft\Internet Explorer\ytqrytcb.dll Task: C:\Windows\Tasks\hgrffad.job => C:\Windows\SysWOW64\rundll32.exe C:\Users\HP\AppData\Roaming\Microsoft\Internet Explorer\dqnfxcrs.dll Task: C:\Windows\Tasks\jigiqz.job => C:\Windows\SysWOW64\rundll32.exe C:\Users\HP\AppData\Roaming\Microsoft\Internet Explorer\dqnfxcrs.dll Task: C:\Windows\Tasks\kqedxwn.job => C:\Windows\SysWOW64\rundll32.exe C:\Users\HP\AppData\Roaming\Microsoft\Internet Explorer\ytqrytcb.dll Task: C:\Windows\Tasks\lzitiaqq.job => C:\Windows\SysWOW64\rundll32.exe C:\Users\HP\AppData\Roaming\Microsoft\Internet Explorer\ytqrytcb.dll Task: C:\Windows\Tasks\mefdynwnf.job => C:\Windows\SysWOW64\rundll32.exe C:\Users\HP\AppData\Roaming\Microsoft\Internet Explorer\dqnfxcrs.dll Task: C:\Windows\Tasks\ugmsjhld.job => C:\Windows\SysWOW64\rundll32.exe C:\Users\HP\AppData\Roaming\Microsoft\Internet Explorer\dqnfxcrs.dll Task: C:\Windows\Tasks\xywyfzcev.job => C:\Windows\SysWOW64\rundll32.exe C:\Users\HP\AppData\Roaming\Microsoft\Internet Explorer\dqnfxcrs.dll Winlogon\Notify\ScCertProp: wlnotify.dll [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses C:\Users\HP\AppData\Roaming\cookies.sqlite C:\Users\HP\Documents\Stare dokumenty\Skrót do cennik 1JS60.pdf.lnk C:\Users\HP\Documents\Stare dokumenty\moje dokumenty\Kopia Moje obrazy\Samples.lnk C:\Users\HP\Documents\Stare dokumenty\Prywatne\mieszkanie\sciany,O_kazdej_porze_w_innym_kolorze,3670_pliki\salon.lnk C:\Users\HP\Documents\Stare dokumenty\Umowa\Skrót do Świadectwo Jakości Inter city Kraków.sxw.lnk C:\Users\HP\Documents\Stare dokumenty\Umowa\Skrót do Umowa+współpracy+wersja+końcowa (4)bis.sxw.lnk Folder: C:\Users\HP\AppData\Roaming\Microsoft\Internet Explorer EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.

Tak, infekcja nadal jest aktywna, w starcie Windows plik einfo.exe. A w pliku C:\ProgramData\encfiles.log powinna być pełna lista zaszyfrowanych plików. Prócz tego jest niepożądany program Tv-Plug-In oraz zablokowany dostęp do katalogu .minecraft (w GMER widać go), ale to akurat najmniejsze zmartwienie. 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Users\Łukasz\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\einfo.exe [2016-09-23] () HKLM\...\Run: [Tv-Plug-In] => C:\Program Files\Tv-Plug-In\Tv-Plug-In.exe [312552 2015-02-24] (Orzilia Ltd.) Task: {44581631-583C-433E-8AAC-5318FBA6251B} - System32\Tasks\{2AEA283D-897F-445D-A5CC-C766539ED159} => C:\Program Files\Origin\Origin.exe Task: {5E4A57D7-0D75-4396-9019-4A1B93AEDF79} - System32\Tasks\{67A719A1-4EA9-4CBB-8BE9-5F35EF3A71C4} => D:\Gry\Nowy folder (2)\The Sims 4\__Installer\Cleanup.exe Task: {60CFA526-8A0F-4862-B854-14AFCB6A7E9C} - System32\Tasks\{44243944-C9D8-4833-A2A7-76F167473D3A} => C:\Program Files\Origin\Origin.exe Task: {A029C68F-EC95-43BC-98E1-1778450C7B3F} - System32\Tasks\{2BED4050-EC65-47B6-AA59-FB39EF4FF88A} => pcalua.exe -a C:\Users\Łukasz\Downloads\Programs\forge-1.7.10-10.13.4.1614-1.7.10-installer-win.exe -d C:\Users\Łukasz\Downloads\Programs Task: {A54286B7-53E8-40C0-A90E-DBFC25F3EDB0} - System32\Tasks\{6FF8FB38-FE02-4EEC-914C-DB84D6FFEBBC} => D:\Gry\Nowy folder (2)\The Sims 4\__Installer\Cleanup.exe U5 AppMgmt; C:\Windows\system32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) U3 TrueSight; C:\Windows\System32\drivers\TrueSight.sys [24688 2016-09-27] () CustomCLSID: HKU\S-1-5-21-3215043942-3594844569-900473125-1000_Classes\CLSID\{0C4AE826-5677-EB66-9846-97AA57BA5F88}\InprocServer32 -> C:\ProgramData\Package Cache\{13A4EE12-23EA-3371-91EE-EFB36DDFFF3E}v12.0.21005\packages\vcRuntimeMinimum_x86\cab1.xml () CustomCLSID: HKU\S-1-5-21-3215043942-3594844569-900473125-1000_Classes\CLSID\{52CAF26D-BD7C-794E-9B23-77DF791E5E28}\InprocServer32 -> C:\Users\Łukasz\AppData\Roaming\.minecraft\mods\ccSensors\api\sensorsAPI.nls () CustomCLSID: HKU\S-1-5-21-3215043942-3594844569-900473125-1000_Classes\CLSID\{B74D0994-F4D2-2C5F-626B-7EE8CDB3C279}\InprocServer32 -> C:\ProgramData\AVAST Software\Persistent Data\Avast\Logs\Setup.tmp () CustomCLSID: HKU\S-1-5-21-3215043942-3594844569-900473125-1000_Classes\CLSID\{E1CF3B7E-A068-E74D-E252-9EF4E9C77BE5}\InprocServer32 -> C:\ProgramData\RELOADED\RLD!\200170\stats\achievements.log () SearchScopes: HKU\S-1-5-21-3215043942-3594844569-900473125-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Mozilla\Thunderbird CMD: netsh advfirewall reset RemoveDirectory: C:\32788R22FWJFW RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files\Tv-Plug-In RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\ProgramData\RogueKiller RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tv-Plug-In Zip: C:\ProgramData\encfiles.log;C:\ProgramData\encinfo.jpg;C:\ProgramData\uid.txt C:\ProgramData\encinfo.jpg C:\Users\Łukasz\Desktop\decryptor.exe C:\Users\Łukasz\Documents\decryptor.exe C:\Users\Public\Desktop\Tv-Plug-In.lnk C:\Windows\System32\drivers\TrueSight.sys ListPermissions: C:\Users\Łukasz\AppData\Roaming\.minecraft ListPermissions: C:\Users\Łukasz\AppData\Roaming\.minecraft\mods ListPermissions: C:\Users\Łukasz\AppData\Roaming\.minecraft\saves ListPermissions: C:\Users\Łukasz\AppData\Roaming\.minecraft\saves\Nowy ListPermissions: C:\Users\Łukasz\AppData\Roaming\.minecraft\saves\NEI EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Uruchom RansomNoteCleaner. Wybierz tę infekcję i wskaż, by usuwanie notatek ransom odbyło się z całego dysku. Program powinien usunąć pliki uid.txt z wszystkich katalogów. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt. Na Pulpicie powstał plik Upload.zip - shostuj gdzieś i na PW wyśwlij link. Na dalszą metę zalecany format dysku. Zaszyfrowane dane skopiować na wypadek gdyby w przyszłości pojawiło się rozwiązanie. Obecnie odkodowanie jest niewykonalne i nie ma żadnego ratunku. Próbowałeś RannohDecryptor, ten dekoder nic tu nie zdziała.

Analiza rejestru w toku i na razie nic nie widzę. Chcę się upewnić na 100%: Czyli dany plik nie był zaszyfrowany podczas pierwszego wejścia do katalogu, ale po restarcie systemu przestał się otwierać? Czy na pewno? Czy na pewno te dane nie były już zaszyfrowane i po prostu wyszło to na jaw przy dokładniejszym sprawdzaniu? Pliki są zaszyfrowane i ich stan nie zmieni się gdy będą przeglądane z poziomu innego systemu. Szyfrowanie jest niezależne od systemu operacyjnego i jest nie do obejścia. Infekcja szyfruje tylko określone rozszerzenia plików, dlatego programy mogą działać.

"Od kilku dni", tzn. ilu konkretnie? W odróżnieniu od starszych systemów, które robiły punkty kontrolne co 24 godziny, w Windows 7 punkt kontrolny jest tworzony co tydzień, jeśli nie wykryto w tym czasokresie innych punktów. Punkty kontrolne są produkowane przy udziale zadania w Harmonogramie: taskschd.msc > Microsoft > Windows > SystemRestore > SR. Jeśli Harmonogram nie działa lub zadanie usunięto/wyłączono, punkt kontrolny nie zostanie utworzony. Nawet jeśli zadanie w Harmonogramie jest sprawne, odpalane jest tylko gdy komputer wejdzie w stan bezczynności (ten warunek mógł nie zostać spełniony). Raportujesz, że punkty są tworzone tak automatycznie (instalacja sterowników to odpaliła), jak i ręcznie na żądanie, więc na pewno nie ma tu problemu z naruszeniem ogólnej zdolności tworzenia punktu przywracania. Usługa Kopiowania woluminów w tle ma domyślnie start Ręczny i to jest poprawne.

Logi z przestarzałego OTL w ogóle nie są tu już brane pod uwagę. Obowiązują raporty z nowoczesnego FRST. Logi dostarcz w postaci załączników forum, a nie na serwisach zewnętrznych. W logu CheckSur brak wykrytych błędów. To stare łaty. Obecnie należy instalować kombinację KB3020369 (wymagana by móc zainstalować tę drugą) + KB3172605.

Niekompletny interfejs może być związany z uszkodzonymi plikami systemowymi, np. plikami pakietów językowych. Dla porównania wygląd okna Windows Update, gdy są naruszone pakiety: KLIK. Z jaką edycją systemu tu mamy do czynienia, w jaki sposób był on "spolszczany" (tzn. czy to natywnie polski system, czy wręcz przeciwnie i wymuszano instalację pakietu PL). Rozpocznij od komendy sfc /scannow i dostarcz przefiltrowany log: KLIK.

Temat przenoszę do właściwego działu diagnostyki infekcji. Raportu z GMER nie jesteś w stanie dołączyć, bo zapisałeś go w formacie *.log, a nie *.txt jak podane w instrukcji. 1. Odinstaluj program Reimage Repair. To niepożądany skaner. 2. W raportach nie widać jawnej przyczyny, nasuwa się, że problem może tworzyć jedno z zainstalowanych rozszerzeń. W Google Chrome, po odrzuceniu domyślnych rozszerzeń instalowanych z przeglądarką, widać następujące obiekty: CHR Extension: (Text Mode) - C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Extensions\bfeafdpjdmiklabfoleibkmphihdlidp [2016-09-05] CHR Extension: (DownSpeedTest) - C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Extensions\cpdmooaefpilleajjbcmbpnjiillmbak [2016-08-28] CHR Extension: (FreeRadioCast) - C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Extensions\jiblfdgfgcnpigdkdincmfamoknecagc [2016-08-28] CHR Extension: (MovixHub Start) - C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Extensions\ljgpiikiibdligadiaifmdemkbkahfnf [2015-09-22] CHR Extension: (Simple Visual Filter) - C:\Users\Tomek\AppData\Local\Google\Chrome\User Data\Default\Extensions\mapigobjnkmfjocindclcenhjadaeoab [2016-08-06] Text Mode i Simple Visual Filter nie jestem w stanie znaleźć w Chrome Web Store, co jest wysoce podejrzane, odinstaluj je. Również pozbądź się FreeRadioCast, to rozszerzenie powiązane z adware. Po deinstalacji zrestartuj Chrome i podaj czy widzisz zmiany.

Przez SHIFT+DEL (omija Kosz) skasuj folder C:\FRST, folder "FRST" z Pulpitu oraz GMER i wszystkie logi narzędzi. Następnie wyczyść foldery Przywracania systemu: KLIK. Temat rozwiązany. Zamykam.

Zapomniałam powiedzieć, tych strumieni Comodo to jest o wiele więcej niż może to pokazać FRST, prawdopodobnie z kilka tysięcy i na obu dyskach. Po prostu FRST skanuje tylko wybrane lokalizacje. Poza tym, ponoć w wersji CIS 10.0.0.5144 wyeliminowano te strumienie. W Twojej wersji usuwa je przestawienie opcji którą podałam.

Cisowiaka, przecież logi zostały sprawdzone. Strumienie ADS są, nie będą przetwarzane w skrypcie FRST, bo nie jest to potrzebne (Comodo i tak by je odtworzył). A FRST niektórych nie umie przetworzyć pewnie ze względu na uprawnienia i ochronę Comodo (cmdagent.exe), nic tu nie będzie zmieniane. Jeśli chcesz je usunąć, to służy do tego opcja w konfiguracji Comodo.

Zamiast Adblock Plus zainteresuj się lżejszym uBlock Origin, popatrz na listę: KLIK.

Zacznijmy od tego, że w Twojej konfiguracji te strumienie w ogóle nie powinny być usuwane. Masz zainstalowany COMODO Antivirus, te strumienie tworzy Comodo. Ja tylko wtedy je usuwam, gdy w systemie już nie ma zainstalowanych żadnych produktów COMODO. Strumienie same znikną, jeśli nastąpi rekonfiguracja opcji w ustawieniach COMODO, tzn. wyłączenie Enable file source tracking: KLIK.

Fix pomyślnie wykonany, Hosts zresetowany. Czy po wykonaniu skryptu FRST ustąpił problem z internetem? Natomiast jeśli nadal jest obciążony ten drugi svchost hostujący usługę Windows Update, to już podałam link jakimi łatami należy się zainteresować.

Temat przenoszę do działu Windows, to nie jest problem infekcji, a wręcz przeciwnie - rzekomych zabezpieczeń przed infekcją. W systemie jest HOSTS Anti-Adware_PUPs, który wykonał katastrofalną edycję pliku Hosts. Plik Hosts mieli ponad 100 tysięcy wpisów. U Ciebie jest to obrazowane błędem o długiej odpowiedzi z usługi Klient DNS (Dnscache), co namacalnie ma skutek w postaci "słabego internetu". Przykładowy temat z forum pokazujący jakie skutki uboczne może mieć tak ogromna modyfikacja, a wpisów było dużo mniej: KLIK. Tego programu należy się pozbyć i zresetować plik Hosts. Program został już dawno temu wycofany z użytku, nie jest w ogóle aktualizowany i nie chroni przed bieżącymi zagrożeniami. Zastąpiono go Blockulicious DNS (orientacja na francuskich użytkowników): KLIK. S2 HOSTS Anti-PUPs; C:\Program Files (x86)\Hosts_Anti_Adwares_PUPs\HOSTS_Anti-Adware.exe [285795 2014-04-14] () [Brak podpisu cyfrowego] HKLM-x32\...\Run: [HOSTS Anti-Adware_PUPs] => C:\Program Files (x86)\Hosts_Anti_Adwares_PUPs\HOSTS_Anti-Adware_main.exe [302961 2014-04-14] () ==================== Hosts - zawartość: ========================== 2009-07-14 04:34 - 2016-07-17 08:27 - 07263887 ____A C:\Windows\system32\Drivers\etc\hosts 127.0.0.1 08sr.combineads.info # hosts anti-adware / pups 127.0.0.1 08srvr.combineads.info # hosts anti-adware / pups 127.0.0.1 12srvr.combineads.info # hosts anti-adware / pups 127.0.0.1 2010-fr.com # hosts anti-adware / pups 127.0.0.1 2012-new.biz # hosts anti-adware / pups 127.0.0.1 212link.com # hosts anti-adware / pups 127.0.0.1 2319825.ourtoolbar.com # hosts anti-adware / pups 127.0.0.1 24h00business.com # hosts anti-adware / pups 127.0.0.1 a.adorika.net # hosts anti-adware / pups 127.0.0.1 a.ad-sys.com # hosts anti-adware / pups 127.0.0.1 a.daasafterdusk.com # hosts anti-adware / pups 127.0.0.1 ad.adn360.com # hosts anti-adware / pups 127.0.0.1 adcash.com # hosts anti-adware / pups 127.0.0.1 adeartss.eu # hosts anti-adware / pups 127.0.0.1 adesoeasy.eu # hosts anti-adware / pups 127.0.0.1 adf.girldatesforfree.net # hosts anti-adware / pups 127.0.0.1 adm.soft365.com # hosts anti-adware / pups 127.0.0.1 adomicileavail.googlepages.com # hosts anti-adware / pups 127.0.0.1 ads7.complexadveising.com # hosts anti-adware / pups 127.0.0.1 ads.adplxmd.com # hosts anti-adware / pups 127.0.0.1 ads.aff.co # hosts anti-adware / pups 127.0.0.1 ads.alpha00001.com # hosts anti-adware / pups 127.0.0.1 ads.cloud4ads.com # hosts anti-adware / pups 127.0.0.1 ads.egdating.net # hosts anti-adware / pups 127.0.0.1 ads.eorezo.com # hosts anti-adware / pups 127.0.0.1 ads.hooqy.com # hosts anti-adware / pups 127.0.0.1 ads.pornerbros.com # hosts anti-adware / pups 127.0.0.1 ads.realken.com # hosts anti-adware / pups 127.0.0.1 ads.regiedepub.com # hosts anti-adware / pups 127.0.0.1 ads.sucomspot.com # hosts anti-adware / pups Wykryto więcej niż wyliczono: 101118 linii. Dziennik System: ============= Error: (09/26/2016 02:52:14 PM) (Source: Service Control Manager) (EventID: 7011) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na odpowiedź transakcji z usługi Dnscache. A to może być inny problem. Wprawdzie usługa Klient DNS (Dnscache), która się zawiesza, jest podmontowana na svchost, ale na innym wystąpieniu. To co pokazujesz na obrazku to inna grupa svchost. I tu prawdopodobnym delikwentem może być usługa Windows Update (wuauserv). Ostatnio sporo tematów na forum, a sprawę rozwiązuje instalacja łat: KLIK. Czyli do wykonania usuwanie Hosts_Anti_Adwares_PUPs, a przy okazji innych odpadkowych wpisów i programów: 1. Odinstaluj stare wersje i śmieci: Adobe Flash Player 20 ActiveX, Adobe Shockwave Player 12.0, FileViewPro, Java 7 Update 45 (64-bit), Java 7 Update 67, Java 8 Update 20 (64-bit), Java 8 Update 25, Java SE Development Kit 8 Update 20 (64-bit), McAfee Security Scan Plus, Smart File Advisor 1.1.6, YTD Video Downloader 4.8.5. Wszystkie programy z wyjątkiem Adobe i Java to programy z kategorii "PUP", instalacje niepożądane i przemycone w system w innym instalatorze. Deinstalacja Smart File Advisor usunie też Alcohol 52%. Należy Alcohol 52% przeinstalować przy całkowicie odciętym połączeniu sieciowym, by zapobiec instalacji tego śmiecia, instrukcje na spodzie: KLIK. 2. Usuń puste wpisy wtyczek Google Chrome poprzez reset cache wtyczek: W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [HOSTS Anti-Adware_PUPs] => C:\Program Files (x86)\Hosts_Anti_Adwares_PUPs\HOSTS_Anti-Adware_main.exe [302961 2014-04-14] () S2 HOSTS Anti-PUPs; C:\Program Files (x86)\Hosts_Anti_Adwares_PUPs\HOSTS_Anti-Adware.exe [285795 2014-04-14] () [Brak podpisu cyfrowego] U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) Task: {0EAC5DA4-171F-4C1B-9674-D3BDC16DEC08} - System32\Tasks\{2A69CA78-34A4-4720-ABF3-FD1202EAE45E} => pcalua.exe -a D:\mateusz\PDFCombiner-Installation.exe -d D:\mateusz Task: {143A9E6B-09D5-48F8-A324-377DE3DA570F} - System32\Tasks\{D353E3AE-5EFC-414F-9B73-52D3E94F350D} => pcalua.exe -a "C:\Program Files (x86)\FTdownloader V4.0\Uninstall.exe" -c /fromcontrolpanel=1 Task: {48892E71-E6DC-4B52-85F6-7843D5D937F2} - System32\Tasks\{EB700679-283B-4BBC-B73D-32E5274B4497} => pcalua.exe -a G:\MU1_04M_Full(Eng).exe -d G:\ Task: {53E01B1D-64E1-4FF5-989F-04C9D8C77B69} - \DealPlyUpdate -> Brak pliku <==== UWAGA Task: {716F1038-BF53-47BE-BE06-21B7C2802454} - \Desk 365 RunAsStdUser -> Brak pliku <==== UWAGA Task: {76FAE829-75EC-4439-8C8A-61F17E0A04D4} - System32\Tasks\{B4D08592-4010-46DB-B412-596B4304B52C} => pcalua.exe -a E:\Setup.exe -d E:\ Task: {80FB23B8-7F62-41C5-9D0B-036112A38250} - System32\Tasks\{1BF4EEE9-DA42-4EC8-82D0-CAFD23A96A83} => pcalua.exe -a "C:\Program Files (x86)\Desk 365\eUninstall.exe" Task: {862DFEC7-AADD-4299-A198-5F1B035D79CE} - \BrowserDefendert -> Brak pliku <==== UWAGA Task: {A4480555-0CF0-4D4A-81E5-C77EBBDF3DAB} - System32\Tasks\{FDBF44D6-19F5-4700-B2AA-65319175E89A} => D:\cs\cstrike.exe Task: {E3C38427-31F3-4B3A-B003-1B4B06030D21} - System32\Tasks\{0BF0F1F6-3E1B-45EB-8ED3-86F5F7C00FA1} => pcalua.exe -a D:\mateusz\pulpit\aktywatory\AntiWPA_3.3.exe -d D:\mateusz\pulpit\aktywatory Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> Brak pliku <==== UWAGA Task: {F9608788-A6A2-44BD-8ECA-B5D5D61F53C4} - \DealPly -> Brak pliku <==== UWAGA MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Kalendarz.lnk => C:\Windows\pss\Kalendarz.lnk.CommonStartup MSCONFIG\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk => C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup MSCONFIG\startupreg: ApnTBMon => "C:\Program Files (x86)\AskPartnerNetwork\Toolbar\Updater\TBNotifier.exe" MSCONFIG\startupreg: DAEMON Tools Lite => "D:\daemon\DAEMON Tools Lite\DTLite.exe" -autorun HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-19\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-20\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-21-2288698525-1566227253-1269940816-1000\Control Panel\Desktop\\SCRNSAVE.EXE -> HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA SearchScopes: HKLM -> DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = SearchScopes: HKLM-x32 -> DefaultScope - brak wartości BHO-x32: MSS+ Identifier -> {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} -> C:\Program Files\McAfee Security Scan\3.8.141\McAfeeMSS_IE.dll => Brak pliku BHO-x32: Google Toolbar Helper -> {AA58ED58-01DD-4d91-8333-CF10577473F7} -> C:\Program Files (x86)\Google\Google Toolbar\GoogleToolbar_32.dll => Brak pliku BHO-x32: SimpleAdblock Class -> {FFCB3198-32F3-4E8B-9539-4324694ED664} -> C:\Program Files (x86)\Common Files\Simple Adblock\SimpleAdblock.dll => Brak pliku Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab FF HKLM-x32\...\Firefox\Extensions: [fmconverter@gmail.com] - C:\Program Files (x86)\Freemake\Freemake Video Converter\BrowserPlugin\Firefox FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF DeleteKey: HKCU\Software\Mozilla\SeaMonkey DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main C:\Program Files (x86)\Hosts_Anti_Adwares_PUPs C:\Program Files (x86)\Mozilla Firefox\plugins C:\Users\Dorota\Downloads\13 stycznia 2015.lnk Hosts: CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Potwierdź ustąpienie problemu z internetem.