picasso

Miałeś zrobić nowy skrypt zawierający tylko i wyłącznie tę jedną komendę, a nie kopiować poprzedni (wszystkie linie przed tą już zostały przetworzone i były nieaktualne). A restartu nie było, gdyż w żadnym z podejść nie wykonała się komenda EmptyTemp: i w tym przypadku literówka nie ma nic do rzeczy, nie jest wykluczone że to wina systemu. Sprawdź czy ruszy na DOSBox. Wg najnowszego raportu FRST infekcja została usunięta, ale nie odinstalowałeś niebezpiecznych wersji Adobe i Java, które mogą doprowadzić do ponownego zainfekowania.

Literówka i nie wiem jak to się stało, bo przeklejałam nazwy z raportu, a nie wpisywałam ręcznie.... Zrób nowy skrypt o zawartości: CMD: del /q /s C:\HOW_TO_RESTORE_FILES.*

Tak, system prosi się o lanie: niewspierana platforma XP i to bez aktualizacji (SP2!!!!) oraz krytyczne wersje produktów Adobe i Java zainstalowane (typowa droga infekcji szyfrujących)... To nie infekcja CryptoLocker tylko klon TorrentLocker. Zaszyfrowane pliki otrzymały rozszerzenie: 2016-06-07 09:36 - 2016-06-08 11:32 - 00037444 _____ C:\Documents and Settings\FPP\Pulpit\kupiec maj.7z.encrypted Podobny temat: KLIK. Odkodowanie danych awykonalne... Nic nie jestem w stanie zrobić z danymi. Natomiast infekcja nadal aktywna, rzekomy IOBit w starcie (proces ypokakyf.exe). Działania usuwające infekcję: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: HKLM\...\Run: [opcmuces] => C:\WINDOWS\ypokakyf.exe [660480 2016-06-08] (IObit ) Startup: C:\Documents and Settings\FPP\Menu Start\Programy\Autostart\siec.bat [2007-12-19] () S3 eapihdrv; C:\Temp\ehdrv.sys [135760 2016-05-20] (ESET) S3 RT73; system32\DRIVERS\rt73.sys [X] DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v TaskbarNoNotification /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v HideSCAHealth /f C:\Documents and Settings\All Users\Dane aplikacji\usyhefonigakyfem C:\Documents and Settings\FPP\Ustawienia lokalne\Dane aplikacji\BIT6.tmp C:\Documents and Settings\FPP\Pulpit\FPPCS7.lnk C:\Temp\ehdrv.sys C:\WINDOWS\ypokakyf.exe CMD: netsh firewall reset CMD: attrib -r -h -s C:\HOW_TO_RESTORE_FILES.* /s CMD: del /q /s C:\HOW_Tw_RESTORE_FILES.* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Odinstaluj niebezpieczne wersje: Adobe Flash Player 10 ActiveX, Adobe Reader 9.1 - Polish, J2SE Runtime Environment 5.0, Java™ 6 Update 20. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Plik fixlog.txt może być ogromny, ze względu na rekursywne usuwanie plików HOW_TO_RESTORE_FILES z całego dysku C. W przypadku, gdy nie zmieści się w załącznikach, shostuj go na serwisie zewnętrznym i podaj link. Na dalszą metę zalecany kompletny format dysku systemowego i wymiana systemu operacyjnego. Zaszyfrowane pliki możesz skopiować na nośnik zewnętrzny. Ale wg pliku Shortcut są skróty mapowania do udziałów zewnętrznych. Prawdopodobnie dyski sieciowe również podlegały szyfrowaniu....

Skorzystaj ze specjalizowanego firmowego usuwacza Adobe Reader linkowanego w przyklejonym: KLIK. Po tym dostarcz logi, o których mówiłam. Bardzo mi przykro, ale nie jestem w stanie nic poradzić. Niestety infekcje szyfrujące atakują wszystkie dostępne dyski, wliczając sieciowe (w zależności od infekcji nawet nie musi być mapowania). Jedyne co jeszcze można spróbować, ale tylko na dysku C: ==================== Restore Points ========================= 24-05-2016 18:29:52 Installed Java™ 6 Update 22 02-06-2016 14:44:36 Scheduled Checkpoint Użycie ShadowExplorer, by spróbować odzyskać dane z dysku C. Warunkiem jest jednak, że infekcja zaczęła działać po pierwszym punkcie przywracania.

Gdyby chodziło tu o TeslaCrypt, nie byłoby problemu. Niestety to nie TeslaCrypt. Ta infekcja jest już martwa i nie jest instalowana, w exploitach zastąpiono ją nową generacją szyfratorów. Złapałeś nową infekcję CryptXXX / UltraCrypter, widać w raporcie zakodowane pliki: 2016-06-08 10:14 - 2016-06-08 10:14 - 00230943 ____R C:\Users\Marek\Downloads\umowa_rezerwacja_5629.pdf.crypz Do wglądu ten temat i mój ostatni post: KLIK. Odkodowanie danych awykonalne. Jedyne więc co jestem w stanie tu zdziałać, to usunąć tylko obiekty startowe, w tym notatki ransom i plik przejętej tapety, oraz jakieś drobne śmieci. Na dalszą metę zalecany format dysku systemowego. Doraźne doczyszczanie systemu: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Startup: C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!1BEBA2CC2C7D.lnk [2016-06-09] Startup: C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!1BEBA2CC2C7DB.lnk [2016-06-09] Startup: C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!1BEBA2CC2C7DH.lnk [2016-06-09] HKLM\...\Winlogon: [userinit] c:\windows\system32\userinit.exe,c:\program files\soluto\soluto.exe /userinit, Task: {8438EC2F-88FC-4153-ABA5-6A514A1D8A65} - System32\Tasks\Dropbox 1D => C:\Program Files (x86)\Dropbox\Client\Dropbox.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" R3 cpuz136; \??\C:\WINDOWS\TEMP\cpuz136\cpuz136_x64.sys [X] SearchScopes: HKU\S-1-5-21-3377222215-263577021-991360115-1001 -> DefaultScope {AD627D66-48D3-45B5-B45D-AAED37AAE370} URL = CHR HKLM-x32\...\Chrome\Extension: [jidkebcigjgheaahopdnlfaohgnocfai] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f C:\ProgramData\*.* C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR C:\Users\Marek\AppData\Local\Dropbox C:\Users\Marek\AppData\Local\Temp\Low\explorer.exe C:\Users\Marek\AppData\Roaming\*.* C:\Users\Marek\AppData\Roaming\Dropbox C:\Users\Marek\AppData\Roaming\Mozilla C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR C:\Users\Public\Desktop\Skype.lnk EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Skoryguj tło Pulpitu Windows wybierając dowolny niezaszyfrowany plik jako nową tapetę. 3. Deinstalacje: - Klawisz z flagą Windows + X > Programy i funkcje > pozbądź się Adobe Reader XI (11.0.16) MUI, Java™ 6 Update 22, Soluto. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Amazon 1Button App > Dalej. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Aplikacje ograniczające wsparcie dla Windows 7, Windows 8/8.1 i 32-bitowego Windows 10 Microsoft przestał wspierać: Windows 7 (14 stycznia 2020), Windows 8 (12 stycznia 2016), Windows 8.1 (10 stycznia 2023) i Windows 10 32-bit (od 2020 na komputerach OEM preinstalowane tylko edycje 64-bit, aktualizacje systemowe dla innych rozwiązań niż OEM ograniczone). Windows 11 wyłącznie 64-bitowy. Od czasu tego artykułu pojawiły się konkrety i mnożą się ograniczenia: Bitdefender - Wsparcie dla Windows 7 i Windows 8.1 wygasło 14 stycznia 2025. Comodo - Artykuł był pierwszym "subtelnym" sygnałem, że w przyszłości określone funkcje nie będą wspierane na Windows 7. Następnie zostało potwierdzone, że nadchodząca edycja Comodo 2024 nie będzie dostępna dla Windows 7 i Windows 8. Brak oficjalnych danych w kwestii edycji 2025, ale należy się spodziewać tego samego. Emsisoft - Z SafeGroup.pl: "Kończymy wsparcie dla systemów operacyjnych starszych niż Windows 10, a także kończymy wsparcie dla systemów innych niż 64-bitowe. Od tej chwili instalacje w nieobsługiwanych systemach nie będą już otrzymywać aktualizacji oprogramowania, ale będą otrzymywać aktualizacje wykrywania złośliwego oprogramowania do 30 czerwca 2022 r." ESET - Obecnie produkty na stronie domowej ESET mają podane jako wymagania systemowe Windows 10 i 11. Ostatnia wersja kompatybilna z Windows 7 i 8/8.1 to 16.0. Mętna wzmianka o ewentualnym braku możliwości dostarczania poprawek. F-Secure - Obecnie wymagania systemowe wszystkich produktów to 64-bitowe Windows 10 21H2 i nowsze oraz Windows 11. Daty ostatecznego zakończenia wsparcia: Windows 7 14 sierpnia 2023, Windows 8.1 31 maja 2024, Windows 10 32-bit 30 września 2024. McAfee - W pełni wspierane platformy to Windows 10 i Windows 11. Artykuł podaje oględne informacje o ograniczonym wsparciu i obsłudze na zasadzie "najlepszych starań" dla Windows 8.1 (wymogiem posiadanie wersji "legacy" z zakresu 16.0.31 do 16.0.54). Systemy Windows 7 i Windows 8 nie są już wspierane (wcześniej artykuł miał inną postać i wymogiem ograniczonego wsparcia było posiadanie conajmniej wersji 16.0.31). Microsoft Security Essentials - Usunięto program i linki pobierania. Wg strony definicje aktualizacji dostarczane "do 2023". Nie wiadomo o co chodzi. W 2025 strona mówi to samo i co więcej nadal dostępne pełne instalatory aktualizacji tutaj. Norton - Póki co, jedyny produkt nie obsługujący Windows 7 i 8.1 to Norton Anti-Track. Sophos - Od 31 października 2022 wsparcie ograniczone tylko do dostarczania aktualizacji definicji dla Windows 7/8/8.1 i 32-bitowego Windows 10. Ostateczny nokaut zadany 31 października 2023. Trend Micro - Obecnie produkty na stronie domowej mają w wymaganiach Windows 10 i Windows 11. Koniec wsparcia dla XP i Vista Obecnie dostawcy nie obsługują przestarzałych i dziurawych jak rzeszoto systemów XP i Vista. .

Zakładam, że poprawnie wyłączyłeś ten wpis. W takim razie przetestuj pozostałe z grupy niedomyślnych wpisów (na różowym tle), z wciśniętym CTRL zaznacz je i wyłącz, następnie zresetuj system. Podaj rezultaty.

Podaj raport z FRST, ale zmień następujące opcje, by pokazały się wszystkie komponenty Microsoftu: w sekcji Filtrowanie odznacz pola Usługi i Sterowniki.

Niedawno był tu temat o podobnej charakterystyce i problemem okazało się rozszerzenie Intel. Posiadasz podobne rozszerzenie podmontowane w menu kontekstowym tła Pulpitu i folderów: ================================================== Extension Name : GraphicsShellExt Class Disabled : No Type : Context Menu Description : igfxpph Module Version : 8.15.10.2900 Product Name : Intel® Common User Interface Company : Intel Corporation My Computer : No Desktop : No Control Panel : No My Network Places : No Entire Network : No Remote Computer : No Filename : C:\WINDOWS\system32\igfxpph.dll CLSID : {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} File Created Time : 2012-11-27 00:59:50 CLSID Modified Time: 2015-12-22 17:21:39 Microsoft : No File Extensions : Directory\Background File Attributes : A File Size : 376 320 .NET Extension : No Digital Signature : Missing File : No ================================================== W programie ShellExView z prawokliku na GraphicsShellExt Class wyłącz to rozszerzenie. Następnie zrestartuj Windows, by odładować z pamięci już załadowany moduł. Podaj czy widzisz pożądane zmiany.

Z raportów FRST nic nie wynika, ale skoro objawy wystąpiły po wymuszonym restarcie komputera, to nasuwa podejrzenia w kwestii naruszeń plików. Poproszę o wykonanie weryfikacji sfc /scannow i dostarczenie raportu z przefiltriwanymi wynikami: KLIK.

Opisywane objawy są charakterystyczne dla problematycznych rozszerzeń eksploratora wprowadzonych przez jakiś zewnętrzny program. Poproszę o log z programu ShellExView x64. Poprzez klik na kolumnę Company posortuj wpisy, by ułożyć niedomyślne (wyróżnione na różowym tle) w jednym bloku. Z wciśniętym CTRL zaznacz wszystkie różowe, z prawokliku opcja Save Selected Items, by zapisać log. PS. Fix FRST pomyślnie wykonany.

Przede wszystkim nasuwa się tu pytanie czy za każdym razem po formacie przed wystąpieniem pierwszych objawów instalowałeś dokładnie te same programy? A konkretnie: COMODO Internet Security jest podejrzany przynajmniej dla problemów z "brakiem dostępu" do Instalatora Windows. Przy okazji: pozbądź się tego trupa Windows Installer Clean Up. Program już dawno wycofany z użytku ze względu na błędy w funkcjonowaniu. Zastąpił go ten nowocześniejszy program Microsoftu: KLIK. vs. Przy problemach z ekranami logowania oraz explorer.exe podejrzane są wszelkie dodatki modyfikujące tę sferę / ładujące rozszerzenia powłoki. W Twoim raporcie następujące modyfikacje: ==================== Zainstalowane programy ====================== Aero Glass for Win8.1 (HKLM\...\Aero Glass for Win8.1_is1) (Version: 1.2.5 - Big Muscle) UxStyle (HKLM-x32\...\{05560347-3a9b-4644-a8ed-8b64cc947189}) (Version: 0.2.3.0 - The Within Network, LLC) Windows Desktop Gadgets (HKLM\...\Windows Desktop Gadgets_is1) (Version: 2.0 - hxxp://gadgetsrevived.com) ==================== Usługi (filtrowane) ======================== R2 UnsignedThemes; C:\Windows\unsignedthemes.exe [13824 2016-06-01] (The Within Network, LLC) [brak podpisu cyfrowego] ===================== Sterowniki (filtrowane) ========================== R2 uxstyle; C:\Windows\system32\Drivers\uxstyle.sys [31440 2013-09-23] (The Within Network, LLC) ==================== Zaplanowane zadania (filtrowane) ============= Task: {6D2D5663-1465-42D3-8608-90D71076F06F} - System32\Tasks\Aero Glass => C:\AeroGlass\aerohost.exe [2016-06-01] (Big Muscle) Task: {EEF767D8-BFAF-4086-B485-7DC6883F2079} - System32\Tasks\PCMeter\Startup => C:\Program Files (x86)\PCMeter\PCMeterV0.4.exe [2016-06-01] (AddGadgets) 2016-06-01 11:02 - 2016-06-01 11:02 - 00000000 ____D C:\Program Files (x86)\OldNewExplorer 2016-06-01 10:59 - 2016-06-01 15:35 - 00000000 ____D C:\AeroGlass 2016-06-01 10:59 - 2016-06-01 10:59 - 00003092 _____ C:\Windows\System32\Tasks\Aero Glass Dziennik zdarzeń zgłasza co najmniej jeden problem: CodeIntegrity: =================================== Date: 2016-06-07 03:52:29.585 Description: Code Integrity determined that a process (\Device\HarddiskVolume4\Windows\System32\svchost.exe) attempted to load \Device\HarddiskVolume4\Program Files (x86)\OldNewExplorer\OldNewExplorer64.dll that did not meet the Windows signing level requirements. I Aero Glass oraz UxStyle (ładujący usługi) wykonujące hacki są mocno podejrzane pod kątem opisywanych problemów. Proponuję przeprowadzić test co się stanie po tymczasowej deaktywacji przynajmniej widocznych tu elementów. Tzn. w Autoruns w karcie Scheduled Tasks wyłącz Aero Glass + PCMeter, w karcie Services obiekt UnsignedThemes, a w Drivers uxstyle. Zresetuj system, by odładować z pamięci te obiekty. Rzecz jasna modyfikacje znikną (dopóki obiekty nie zostaną ponownie włączone). Następnie sprawdź czy po zdjęciu modyfikacji nadal występują określone problemy. Nasuwa się przypuszczenie, że to być może usterka produkowana na życzenie, tzn. prawdopodobnie rezultat prób zmiany plików Windows przy udziale zewnętrznych programów mających modyfikować wygląd. Poproszę o log z przefiltrowanymi wynikami SFC: KLIK. Rozważam, czy instalacja Acronis True Image 2015 nie ma tu coś do rzeczy. Na razie jednak proszę o przetestowanie stanu systemu po zdjęciu modyfikacji wyglądu.

Temat przenoszę do działu Windows. Przyczyną nie jest infekcja, w raportach brak aktywnych komponentów tego typu, są tylko drobne odpadki adware (polityki Google Chrome, martwe zadania PriceFountain w Harmonogramie i szczątki Safefinder w Chrome), które jednak nie mają wpływu na to co raportujesz. Opisz o co chodzi z "nie wszystkie aplikacje się otwierają" - jakie i co się pokazuje? Na razie to ja widzę tu tylko różne błędy w Dzienniku zdarzeń: Dziennik Aplikacja: ================== Error: (06/09/2016 12:07:32 PM) (Source: ESENT) (EventID: 454) (User: ) Description: svchost (2096) TILEREPOSITORYS-1-5-21-594744651-2858522274-1844129865-1001: Odzyskiwanie/przywracanie bazy danych nie powiodło się z powodu nieoczekiwanego błędu: -1216. Error: (06/09/2016 12:07:32 PM) (Source: ESENT) (EventID: 494) (User: ) Description: svchost (2096) TILEREPOSITORYS-1-5-21-594744651-2858522274-1844129865-1001: Odzyskiwanie bazy danych zakończyło się niepomyślnie z błędem -1216, ponieważ napotkano odwołania do bazy danych „C:\Users\Pc\AppData\Local\TileDataLayer\Database\vedatamodel.edb”, której już nie ma. Baza danych nie została doprowadzona do stanu Zamknięcie czyste, zanim została usunięta (możliwe też, że ją przeniesiono lub zmieniono jej nazwę). Aparat bazy danych nie pozwoli na dokończenie odzyskiwania w przypadku tego wystąpienia, dopóki brakująca baza danych nie zostanie przywrócona na miejsce. Jeśli baza danych faktycznie nie jest już dostępna ani wymagana, procedury dotyczące odzyskiwania sprawności po tym błędzie są dostępne w bazie wiedzy Microsoft Knowledge Base. Można też do nich dotrzeć, używając linku „więcej informacji” na dole tego komunikatu. Dziennik System: ============= Error: (06/09/2016 09:49:05 AM) (Source: Microsoft-Windows-WindowsUpdateClient) (EventID: 20) (User: ZARZĄDZANIE NT) Description: Instalacja nie powiodła się: system Windows nie mógł zainstalować następującej aktualizacji, ponieważ wystąpił błąd 0x80073cf6: Twitter. Error: (06/09/2016 09:48:23 AM) (Source: Service Control Manager) (EventID: 7003) (User: ) Description: Usługa Intel® Management & Security Application User Notification Service zależy od następującej usługi: LMS. Ta usługa może nie być zainstalowana. Error: (06/09/2016 09:46:06 AM) (Source: DCOM) (EventID: 10005) (User: ZARZĄDZANIE NT) Description: 1053hpqwmiexNiedostępny{F5539356-2F02-40D4-999E-FA61F45FE12E} Error: (06/09/2016 09:46:06 AM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi HP Software Framework Service z powodu następującego błędu: %%1053 Error: (06/09/2016 09:46:06 AM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą hpqwmiex. Error: (06/09/2016 09:45:13 AM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa NetTcpActivator zależy od usługi NetTcpPortSharing, której nie można uruchomić z powodu następującego błędu: %%1058 Error: (06/09/2016 09:44:59 AM) (Source: volmgr) (EventID: 45) (User: ) Description: System nie może pomyślnie załadować sterownika zrzutu awaryjnego. Error: (06/09/2016 09:44:53 AM) (Source: volmgr) (EventID: 46) (User: ) Description: Inicjowanie zrzutu awaryjnego nie powiodło się! PS. Odinstaluj starą wersję Adobe Flash Player 18 NPAPI oraz przestarzały program Spybot - Search & Destroy. Następnie do wykonania skrypt usuwający owe szczątki adware oraz inne puste wpisy (wliczając te po aktualizacji ze starszego systemu do Windows 10): A do ComboFixa się nie przymierzaj, on nawet się nie uruchomi na Windows 10. Brak obsługi tej platformy, prawdopodobnie tej obsługi nigdy nie będzie.

Moją działalność można wspomóc poprzez dotacje. Z góry dzięki za ewentualne wsparcie. Temat rozwiązany. Zamykam.

Na czas pobierania wyłącz 360 Total Security.

Skasuj folder C:\FRST oraz FRST i jego logi z folderu D:\Downloads. Następnie wyczyść foldery Przywracania systemu: KLIK. To wszystko.

Nie będziemy już nic grzebać w obszarze WMI, gdyż usterka została naprawiona. FRST pomyślnie pobrał uprzednio niedostępne dane: ==================== Punkty Przywracania systemu ========================= 24-05-2016 10:26:54 Windows Update 01-06-2016 09:24:11 Zaplanowany punkt kontrolny 08-06-2016 15:01:53 Zaplanowany punkt kontrolny ==================== Wadliwe urządzenia w Menedżerze urządzeń ============= Wszystko zrobione, więc kończymy: 1. Odinstaluj USBFix. Skasuj FRST i jego logi z folderu C:\Users\Marcel\Desktop\Nowy folder. Możesz też oczywiście usunąć WMIDiag i jego raporty. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Skoro Hitman żąda klucza, to oznacza że był wcześniej używany (dalej niż 30 dni temu). Czyli teraz czekam na log z ESET. Czyszczenie owszem trwa, ale musi być pewność że usunęliśmy wszystkie ślady infekcji. Tu była poważniejsza infekcja.

Nie powtarzaj przypadkiem poprzednich akcji! Reset Repozytorium pomyślnie wykonany, co zlikwidowało ogromną ilość naruszeń, a w tym raporcie ustąpiły też wszystkie błędy "Odmowa dostępu" związane z uruchomieniem WMIDiag jako użytkownik ograniczony. To co aktualnie stoi w raporcie to już inny typ zagadnień i większość z nich (o ile nie wszystkie) wygląda na nieistotną, tzn. na pewno do zignorowania wszystkie ostrzeżenia DCOM, a także błąd WMI GET VALUE (narzędzie spodziewa się angielskiej wersji "Security Center" zamiast polskiej "Centrum zabezpieczeń"). Teraz poproszę o zrobienie nowego raportu FRST z zaznaczonym polem Addition, dostarcz tylko plik Addition.

Za pomocą Hitman, pomijając wymienione przeze mnie wyniki i oczywiście sam FRST64.exe.

Jeśli Przywracanie systemu natychmiast zostało zatrzymane, to nic się nie stało. DelFix wykonał zadanie, skasuj z dysku plik C:\delfix.txt. To wszystko.

Cóż, jesteśmy w punkcie wyjścia... Prawdopodobnie COMODO zablokował wszystkie zmiany (wykonane tylko wirtualnie), cały system wrócił do stanu sprzed czyszczenia... To wyjaśnia ten "setup". Powtarzaj punkty 2 do 5 z mojego pierwszego posta...

Też podejrzewam crack do tego programu, gdyż wg pierwszego raportu FRST jedno z pierwszych wystąpień malware na dysku oraz obiekty DFX powstały w przeciągu 6 minut. Kolejna porcja zadań: 1. Odinstaluj DFX Audio Enhancer. Po deinstalacji przez SHIFT+DEL (omija Kosz) skasuj z dysku wszystkie pliki/foldery powiązane z programem, wliczając pobrany crack, oraz folder FRST z kwarantanną trojanów: C:\FRST C:\Downloads\DFX Audio Enhancer 11.109 Incl Crack [TorDigger] C:\Program Files (x86)\DFX C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DFX Audio Enhancer C:\Users\Pawcio\AppData\Local\DFX C:\Users\Pawcio\Desktop\DFX.exe Ponów skan Hitman i usuń na wszelki wypadek pozostałe wyniki, z wyłączeniem steam_api.dll i Warlocks.exe. 2. Przeprowadź skanowanie za pomocą ESET Online Scanner i dostarcz wyniki, o ile coś zostanie znalezione. Problem nie powiązany z widzianym tu malware, nie ten poziom modyfikacji. To raczej problem sprzętowy.

Reset Repozytorium wykonany pomyślnie i spadła znacznie liczba błędów. Natomiast nadal są błędy we WMIDiag, ale takie które sugerują, że nie uruchomiłeś narzędzia jako Administrator. Zrób ponownie log wg następujących wytycznych: klawisz z flagą Windows + X > Wiersz polecenia (administrator) > wklep ścieżkę do pliku WMIDiag.vbs i ENTER.

Mam pytanie: ile Osób widziałeś w ustawieniach Chrome przed podjęciem akcji usuwających? W pierwszym i ostatnim logu FRST widziałam starszy profil "Default" i to w nim mogą być zakładki. Jeśli był widoczny tylko jeden profil od adware, obecnie już zastąpiony świeżym, to spróbuj tego: Zamknij Google Chrome. Przekopiuj plik Bookmarks z folderu: C:\Users\Michał\AppData\Local\Google\Chrome\User Data\Default do: C:\Users\Michał\AppData\Local\Google\Chrome\User Data\Profile 1 Uruchom Google Chrome i podaj czy zakładki wróciły.