picasso

Ok niby lepiej ale restartu nie było.

Miałeś zrobić nowy skrypt zawierający tylko i wyłącznie tę jedną komendę, a nie kopiować poprzedni (wszystkie linie przed tą już zostały przetworzone i były nieaktualne). A restartu nie było, gdyż w żadnym z podejść nie wykonała się komenda EmptyTemp: i w tym przypadku literówka nie ma nic do rzeczy, nie jest wykluczone że to wina systemu.

Problem posiadania tego systemu polega na potrzebie używania w nim DOSowego programu bazodanowego. Można go odpalić w xpmode (Win7) ale niestety nie jest tam możliwe uruchomienie w trybie pełnoekranowym co jest dość kłopotliwe. Chyba, że jest jakieś rozwiązania, o którym nie wiem...

Sprawdź czy ruszy na DOSBox.

Wg najnowszego raportu FRST infekcja została usunięta, ale nie odinstalowałeś niebezpiecznych wersji Adobe i Java, które mogą doprowadzić do ponownego zainfekowania.

Literówka i nie wiem jak to się stało, bo przeklejałam nazwy z raportu, a nie wpisywałam ręcznie.... Zrób nowy skrypt o zawartości:

CMD: del /q /s C:\HOW_TO_RESTORE_FILES.*

Tak, system prosi się o lanie: niewspierana platforma XP i to bez aktualizacji (SP2!!!!) oraz krytyczne wersje produktów Adobe i Java zainstalowane (typowa droga infekcji szyfrujących)...

To nie infekcja CryptoLocker tylko klon TorrentLocker. Zaszyfrowane pliki otrzymały rozszerzenie:

2016-06-07 09:36 - 2016-06-08 11:32 - 00037444 _____ C:\Documents and Settings\FPP\Pulpit\kupiec maj.7z.encrypted

Podobny temat: KLIK. Odkodowanie danych awykonalne... Nic nie jestem w stanie zrobić z danymi. Natomiast infekcja nadal aktywna, rzekomy IOBit w starcie (proces ypokakyf.exe). Działania usuwające infekcję:

1. Otwórz Notatnik i wklej w nim:

CloseProcesses:
HKLM\...\Run: [opcmuces] => C:\WINDOWS\ypokakyf.exe [660480 2016-06-08] (IObit )
Startup: C:\Documents and Settings\FPP\Menu Start\Programy\Autostart\siec.bat [2007-12-19] ()
S3 eapihdrv; C:\Temp\ehdrv.sys [135760 2016-05-20] (ESET)
S3 RT73; system32\DRIVERS\rt73.sys [X]
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v TaskbarNoNotification /f
Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer /v HideSCAHealth /f
C:\Documents and Settings\All Users\Dane aplikacji\usyhefonigakyfem
C:\Documents and Settings\FPP\Ustawienia lokalne\Dane aplikacji\BIT6.tmp
C:\Documents and Settings\FPP\Pulpit\FPPCS7.lnk
C:\Temp\ehdrv.sys
C:\WINDOWS\ypokakyf.exe
CMD: netsh firewall reset
CMD: attrib -r -h -s C:\HOW_TO_RESTORE_FILES.* /s
CMD: del /q /s C:\HOW_Tw_RESTORE_FILES.*
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Odinstaluj niebezpieczne wersje: Adobe Flash Player 10 ActiveX, Adobe Reader 9.1 - Polish, J2SE Runtime Environment 5.0, Java™ 6 Update 20.

3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Plik fixlog.txt może być ogromny, ze względu na rekursywne usuwanie plików HOW_TO_RESTORE_FILES z całego dysku C. W przypadku, gdy nie zmieści się w załącznikach, shostuj go na serwisie zewnętrznym i podaj link.

Na dalszą metę zalecany kompletny format dysku systemowego i wymiana systemu operacyjnego. Zaszyfrowane pliki możesz skopiować na nośnik zewnętrzny. Ale wg pliku Shortcut są skróty mapowania do udziałów zewnętrznych. Prawdopodobnie dyski sieciowe również podlegały szyfrowaniu....

ad3. Adobe nie mogę odinstalować pojawia się komunikat jak w załączniku.

reszty nie zrobiłem bo nie wiem czy mogę bez odinstalowania Adobe

Skorzystaj ze specjalizowanego firmowego usuwacza Adobe Reader linkowanego w przyklejonym: KLIK. Po tym dostarcz logi, o których mówiłam.

Jestem załamany:-( wszystkie zdjęcia pociechy parę tysięcy i wszystkie pdf ,wordy poszły w p....

Myslałem że to tylko C zainfekowało a dwie pozostałe partycje z danymi ,muzyką itp. mają foldery z rozszezeniem .cyrpz

Bardzo mi przykro, ale nie jestem w stanie nic poradzić. Niestety infekcje szyfrujące atakują wszystkie dostępne dyski, wliczając sieciowe (w zależności od infekcji nawet nie musi być mapowania). Jedyne co jeszcze można spróbować, ale tylko na dysku C:

==================== Restore Points =========================
 

24-05-2016 18:29:52 Installed Java™ 6 Update 22

02-06-2016 14:44:36 Scheduled Checkpoint

Użycie ShadowExplorer, by spróbować odzyskać dane z dysku C. Warunkiem jest jednak, że infekcja zaczęła działać po pierwszym punkcie przywracania.

Gdyby chodziło tu o TeslaCrypt, nie byłoby problemu. Niestety to nie TeslaCrypt. Ta infekcja jest już martwa i nie jest instalowana, w exploitach zastąpiono ją nową generacją szyfratorów. Złapałeś nową infekcję CryptXXX / UltraCrypter, widać w raporcie zakodowane pliki:

2016-06-08 10:14 - 2016-06-08 10:14 - 00230943 ____R C:\Users\Marek\Downloads\umowa_rezerwacja_5629.pdf.crypz

Do wglądu ten temat i mój ostatni post: KLIK. Odkodowanie danych awykonalne. Jedyne więc co jestem w stanie tu zdziałać, to usunąć tylko obiekty startowe, w tym notatki ransom i plik przejętej tapety, oraz jakieś drobne śmieci. Na dalszą metę zalecany format dysku systemowego.

Doraźne doczyszczanie systemu:

1. Otwórz Notatnik i wklej w nim:

CloseProcesses:
CreateRestorePoint:
Startup: C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!1BEBA2CC2C7D.lnk [2016-06-09]
Startup: C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!1BEBA2CC2C7DB.lnk [2016-06-09]
Startup: C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\!1BEBA2CC2C7DH.lnk [2016-06-09]
HKLM\...\Winlogon: [userinit] c:\windows\system32\userinit.exe,c:\program files\soluto\soluto.exe /userinit,
Task: {8438EC2F-88FC-4153-ABA5-6A514A1D8A65} - System32\Tasks\Dropbox 1D => C:\Program Files (x86)\Dropbox\Client\Dropbox.exe
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""=""
R3 cpuz136; \??\C:\WINDOWS\TEMP\cpuz136\cpuz136_x64.sys [X]
SearchScopes: HKU\S-1-5-21-3377222215-263577021-991360115-1001 -> DefaultScope {AD627D66-48D3-45B5-B45D-AAED37AAE370} URL =
CHR HKLM-x32\...\Chrome\Extension: [jidkebcigjgheaahopdnlfaohgnocfai] - hxxps://clients2.google.com/service/update2/crx
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f
Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f
C:\ProgramData\*.*
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinRAR
C:\Users\Marek\AppData\Local\Dropbox
C:\Users\Marek\AppData\Local\Temp\Low\explorer.exe
C:\Users\Marek\AppData\Roaming\*.*
C:\Users\Marek\AppData\Roaming\Dropbox
C:\Users\Marek\AppData\Roaming\Mozilla
C:\Users\Marek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WinRAR
C:\Users\Public\Desktop\Skype.lnk
EmptyTemp:

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt.

2. Skoryguj tło Pulpitu Windows wybierając dowolny niezaszyfrowany plik jako nową tapetę.

3. Deinstalacje:

- Klawisz z flagą Windows + X > Programy i funkcje > pozbądź się Adobe Reader XI (11.0.16) MUI, Java™ 6 Update 22, Soluto.

- Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Amazon 1Button App > Dalej.

4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Aplikacje ograniczające wsparcie dla Windows 7, Windows 8/8.1 i 32-bitowego Windows 10

Microsoft przestał wspierać: Windows 7 (14 stycznia 2020), Windows 8 (12 stycznia 2016), Windows 8.1 (10 stycznia 2023) i Windows 10 32-bit (od 2020 na komputerach OEM preinstalowane tylko edycje 64-bit, aktualizacje systemowe dla innych rozwiązań niż OEM ograniczone). Windows 11 wyłącznie 64-bitowy. Od czasu tego artykułu pojawiły się konkrety i mnożą się ograniczenia:

• Bitdefender - Wsparcie dla Windows 7 i Windows 8.1 wygasło 14 stycznia 2025.
• Comodo - Artykuł był pierwszym "subtelnym" sygnałem, że w przyszłości określone funkcje nie będą wspierane na Windows 7. Następnie zostało potwierdzone, że nadchodząca edycja Comodo 2024 nie będzie dostępna dla Windows 7 i Windows 8. Brak oficjalnych danych w kwestii edycji 2025, ale należy się spodziewać tego samego.
• Emsisoft - Z SafeGroup.pl: "Kończymy wsparcie dla systemów operacyjnych starszych niż Windows 10, a także kończymy wsparcie dla systemów innych niż 64-bitowe. Od tej chwili instalacje w nieobsługiwanych systemach nie będą już otrzymywać aktualizacji oprogramowania, ale będą otrzymywać aktualizacje wykrywania złośliwego oprogramowania do 30 czerwca 2022 r."
• ESET - Obecnie produkty na stronie domowej ESET mają podane jako wymagania systemowe Windows 10 i 11. Ostatnia wersja kompatybilna z Windows 7 i 8/8.1 to 16.0. Mętna wzmianka o ewentualnym braku możliwości dostarczania poprawek.
• F-Secure - Obecnie wymagania systemowe wszystkich produktów to 64-bitowe Windows 10 21H2 i nowsze oraz Windows 11. Daty ostatecznego zakończenia wsparcia: Windows 7 14 sierpnia 2023, Windows 8.1 31 maja 2024, Windows 10 32-bit 30 września 2024.
• McAfee - W pełni wspierane platformy to Windows 10 i Windows 11. Artykuł podaje oględne informacje o ograniczonym wsparciu i obsłudze na zasadzie "najlepszych starań" dla Windows 8.1 (wymogiem posiadanie wersji "legacy" z zakresu 16.0.31 do 16.0.54). Systemy Windows 7 i Windows 8 nie są już wspierane (wcześniej artykuł miał inną postać i wymogiem ograniczonego wsparcia było posiadanie conajmniej wersji 16.0.31).
• Microsoft Security Essentials - Usunięto program i linki pobierania. Wg strony definicje aktualizacji dostarczane "do 2023". Nie wiadomo o co chodzi. W 2025 strona mówi to samo i co więcej nadal dostępne pełne instalatory aktualizacji tutaj.
• Norton - Póki co, jedyny produkt nie obsługujący Windows 7 i 8.1 to Norton Anti-Track.
• Sophos - Od 31 października 2022 wsparcie ograniczone tylko do dostarczania aktualizacji definicji dla Windows 7/8/8.1 i 32-bitowego Windows 10. Ostateczny nokaut zadany 31 października 2023.
• Trend Micro - Obecnie produkty na stronie domowej mają w wymaganiach Windows 10 i Windows 11.

Koniec wsparcia dla XP i Vista
 

.

Zakładam, że poprawnie wyłączyłeś ten wpis. W takim razie przetestuj pozostałe z grupy niedomyślnych wpisów (na różowym tle), z wciśniętym CTRL zaznacz je i wyłącz, następnie zresetuj system. Podaj rezultaty.

Podaj raport z FRST, ale zmień następujące opcje, by pokazały się wszystkie komponenty Microsoftu: w sekcji Filtrowanie odznacz pola Usługi i Sterowniki.

Niedawno był tu temat o podobnej charakterystyce i problemem okazało się rozszerzenie Intel. Posiadasz podobne rozszerzenie podmontowane w menu kontekstowym tła Pulpitu i folderów:
 

==================================================
Extension Name    : GraphicsShellExt Class
Disabled          : No
Type              : Context Menu
Description       : igfxpph Module
Version           : 8.15.10.2900
Product Name      : Intel® Common User Interface
Company           : Intel Corporation
My Computer       : No
Desktop           : No
Control Panel     : No
My Network Places : No
Entire Network    : No
Remote Computer   : No
Filename          : C:\WINDOWS\system32\igfxpph.dll
CLSID             : {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}
File Created Time : 2012-11-27 00:59:50
CLSID Modified Time: 2015-12-22 17:21:39
Microsoft         : No
File Extensions   : Directory\Background
File Attributes   : A
File Size         : 376 320
.NET Extension    : No
Digital Signature :
Missing File      : No
==================================================

W menu gry chciałem zmienić rozdzielczość, po wybraniu innej niż domyślna ekran zrobił się czarny i komputer nie reagował na wciskane klawisze . Gdy trochę to trwało z braku cierpliwości i roztropności, niestety wyłączyłem laptopa poprzez długie wciśnięcie przycisku power. Po kolejnym włączeniu komputera zaczął pojawiać się wyżej wspomniany błąd.

Z raportów FRST nic nie wynika, ale skoro objawy wystąpiły po wymuszonym restarcie komputera, to nasuwa podejrzenia w kwestii naruszeń plików. Poproszę o wykonanie weryfikacji sfc /scannow i dostarczenie raportu z przefiltriwanymi wynikami: KLIK.

Opisywane objawy są charakterystyczne dla problematycznych rozszerzeń eksploratora wprowadzonych przez jakiś zewnętrzny program. Poproszę o log z programu ShellExView x64. Poprzez klik na kolumnę Company posortuj wpisy, by ułożyć niedomyślne (wyróżnione na różowym tle) w jednym bloku. Z wciśniętym CTRL zaznacz wszystkie różowe, z prawokliku opcja Save Selected Items, by zapisać log.

PS. Fix FRST pomyślnie wykonany.

Co mogę więcej napisać, system nie jest zawirusowany, został postawiony nie dawno z nadzieją że problemy znikną, co najlepsze z początku tak się wydawało, ale po czasie wszystko wraca, wykonywałem 2 formaty, zastanawiam się gdzie może leżeć problem, czy jakieś oprogramowanie wpada w konflikt, a może system został podziurawiony w rytm aplikacji "Uzyskaj Windows 10"

Przede wszystkim nasuwa się tu pytanie czy za każdym razem po formacie przed wystąpieniem pierwszych objawów instalowałeś dokładnie te same programy? A konkretnie:

1. Losowy problem z Windows Installer, natomiast tylko z usuwaniem, instalacja aplikacji przebiega bez problemów, sprawa zupełnie odwrotnie ma się przy usuwaniu programów, losowo niektóre programy się usuwają, a nie które nie i wyrzuca standardowo:

 

"Nie można uzyskać dostępu do usługi Instalator Windows.Może mieć to miejsce jeśli Instalator Windows jest niepoprawnie zainstalowany. Skontaktuj się z działem Pomocy technicznej, aby uzyskać pomoc."

 

Wszelkie próby wyrejestrowania i rejestrowania usługi na nie wiele się zdają, sama usługa w momencie błędu jest zatrzymywana, ale nie ma problemu aby ją ponownie uruchomić, usługa jest domyślnie ustawiona na start ręczny, podgląd zdarzeń rejestruje problem.

COMODO Internet Security jest podejrzany przynajmniej dla problemów z "brakiem dostępu" do Instalatora Windows. Przy okazji: pozbądź się tego trupa Windows Installer Clean Up. Program już dawno wycofany z użytku ze względu na błędy w funkcjonowaniu. Zastąpił go ten nowocześniejszy program Microsoftu: KLIK.

2. Zawieszający się Winlogon (...)

 

4. Czasami zdarza się resetujący explorer.exe

vs.

po dograniu menu start i aero 8.1 jest bardzo przyjemny

Przy problemach z ekranami logowania oraz explorer.exe podejrzane są wszelkie dodatki modyfikujące tę sferę / ładujące rozszerzenia powłoki. W Twoim raporcie następujące modyfikacje:

==================== Zainstalowane programy ======================
 

Aero Glass for Win8.1 (HKLM\...\Aero Glass for Win8.1_is1) (Version: 1.2.5 - Big Muscle)

UxStyle (HKLM-x32\...\{05560347-3a9b-4644-a8ed-8b64cc947189}) (Version: 0.2.3.0 - The Within Network, LLC)

Windows Desktop Gadgets (HKLM\...\Windows Desktop Gadgets_is1) (Version: 2.0 - hxxp://gadgetsrevived.com)
 

==================== Usługi (filtrowane) ========================
 

R2 UnsignedThemes; C:\Windows\unsignedthemes.exe [13824 2016-06-01] (The Within Network, LLC) [brak podpisu cyfrowego]
 

===================== Sterowniki (filtrowane) ==========================
 

R2 uxstyle; C:\Windows\system32\Drivers\uxstyle.sys [31440 2013-09-23] (The Within Network, LLC)
 

==================== Zaplanowane zadania (filtrowane) =============
 

Task: {6D2D5663-1465-42D3-8608-90D71076F06F} - System32\Tasks\Aero Glass => C:\AeroGlass\aerohost.exe [2016-06-01] (Big Muscle)

Task: {EEF767D8-BFAF-4086-B485-7DC6883F2079} - System32\Tasks\PCMeter\Startup => C:\Program Files (x86)\PCMeter\PCMeterV0.4.exe [2016-06-01] (AddGadgets)
 

2016-06-01 11:02 - 2016-06-01 11:02 - 00000000 ____D C:\Program Files (x86)\OldNewExplorer

2016-06-01 10:59 - 2016-06-01 15:35 - 00000000 ____D C:\AeroGlass

2016-06-01 10:59 - 2016-06-01 10:59 - 00003092 _____ C:\Windows\System32\Tasks\Aero Glass

Dziennik zdarzeń zgłasza co najmniej jeden problem:

CodeIntegrity:

===================================

Date: 2016-06-07 03:52:29.585

Description: Code Integrity determined that a process (\Device\HarddiskVolume4\Windows\System32\svchost.exe) attempted to load \Device\HarddiskVolume4\Program Files (x86)\OldNewExplorer\OldNewExplorer64.dll that did not meet the Windows signing level requirements.

I Aero Glass oraz UxStyle (ładujący usługi) wykonujące hacki są mocno podejrzane pod kątem opisywanych problemów. Proponuję przeprowadzić test co się stanie po tymczasowej deaktywacji przynajmniej widocznych tu elementów. Tzn. w Autoruns w karcie Scheduled Tasks wyłącz Aero Glass + PCMeter, w karcie Services obiekt UnsignedThemes, a w Drivers uxstyle. Zresetuj system, by odładować z pamięci te obiekty. Rzecz jasna modyfikacje znikną (dopóki obiekty nie zostaną ponownie włączone). Następnie sprawdź czy po zdjęciu modyfikacji nadal występują określone problemy.

sfc /scannow raz wykrywa problem integralności a raz nie, natomiast naprawy z reguły nie przynoszą efektów bądź wymagają startu z trybu awaryjnego co jest niewykonalne w chwili obecnej.

Nasuwa się przypuszczenie, że to być może usterka produkowana na życzenie, tzn. prawdopodobnie rezultat prób zmiany plików Windows przy udziale zewnętrznych programów mających modyfikować wygląd. Poproszę o log z przefiltrowanymi wynikami SFC: KLIK.

3. Problem z Winlogon ma drugie dno, który się zwie niemożliwością uruchomienia trybu awaryjnego, tzn, tryb się uruchamia jest ładowanie, natomiast po w momencie kiedy powinien się pojawić ekran logowania jest czarny ekran, podświetlenie w klawiaturze zaczyna migać, dodatkowo jak poruszam myszką to widzę pusty ekran z opisem tryb awaryjny i kursor w którym co jakąś chwilę przeskakuje klepsydra, jak puszczę mysz to z powrotem widzę tylko czarny ekran.

Rozważam, czy instalacja Acronis True Image 2015 nie ma tu coś do rzeczy. Na razie jednak proszę o przetestowanie stanu systemu po zdjęciu modyfikacji wyglądu.

Temat przenoszę do działu Windows. Przyczyną nie jest infekcja, w raportach brak aktywnych komponentów tego typu, są tylko drobne odpadki adware (polityki Google Chrome, martwe zadania PriceFountain w Harmonogramie i szczątki Safefinder w Chrome), które jednak nie mają wpływu na to co raportujesz. Opisz o co chodzi z "nie wszystkie aplikacje się otwierają" - jakie i co się pokazuje?

Na razie to ja widzę tu tylko różne błędy w Dzienniku zdarzeń:

Dziennik Aplikacja:
==================
Error: (06/09/2016 12:07:32 PM) (Source: ESENT) (EventID: 454) (User: )
Description: svchost (2096) TILEREPOSITORYS-1-5-21-594744651-2858522274-1844129865-1001: Odzyskiwanie/przywracanie bazy danych nie powiodło się z powodu nieoczekiwanego błędu: -1216.

Error: (06/09/2016 12:07:32 PM) (Source: ESENT) (EventID: 494) (User: )
Description: svchost (2096) TILEREPOSITORYS-1-5-21-594744651-2858522274-1844129865-1001: Odzyskiwanie bazy danych zakończyło się niepomyślnie z błędem -1216, ponieważ napotkano odwołania do bazy danych „C:\Users\Pc\AppData\Local\TileDataLayer\Database\vedatamodel.edb”, której już nie ma. Baza danych nie została doprowadzona do stanu Zamknięcie czyste, zanim została usunięta (możliwe też, że ją przeniesiono lub zmieniono jej nazwę). Aparat bazy danych nie pozwoli na dokończenie odzyskiwania w przypadku tego wystąpienia, dopóki brakująca baza danych nie zostanie przywrócona na miejsce. Jeśli baza danych faktycznie nie jest już dostępna ani wymagana, procedury dotyczące odzyskiwania sprawności po tym błędzie są dostępne w bazie wiedzy Microsoft Knowledge Base. Można też do nich dotrzeć, używając linku „więcej informacji” na dole tego komunikatu.

Dziennik System:
=============
Error: (06/09/2016 09:49:05 AM) (Source: Microsoft-Windows-WindowsUpdateClient) (EventID: 20) (User: ZARZĄDZANIE NT)
Description: Instalacja nie powiodła się: system Windows nie mógł zainstalować następującej aktualizacji, ponieważ wystąpił błąd 0x80073cf6: Twitter.

Error: (06/09/2016 09:48:23 AM) (Source: Service Control Manager) (EventID: 7003) (User: )
Description: Usługa Intel® Management & Security Application User Notification Service zależy od następującej usługi: LMS. Ta usługa może nie być zainstalowana.

Error: (06/09/2016 09:46:06 AM) (Source: DCOM) (EventID: 10005) (User: ZARZĄDZANIE NT)
Description: 1053hpqwmiexNiedostępny{F5539356-2F02-40D4-999E-FA61F45FE12E}

Error: (06/09/2016 09:46:06 AM) (Source: Service Control Manager) (EventID: 7000) (User: )
Description: Nie można uruchomić usługi HP Software Framework Service z powodu następującego błędu:
%%1053

Error: (06/09/2016 09:46:06 AM) (Source: Service Control Manager) (EventID: 7009) (User: )
Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą hpqwmiex.

Error: (06/09/2016 09:45:13 AM) (Source: Service Control Manager) (EventID: 7001) (User: )
Description: Usługa NetTcpActivator zależy od usługi NetTcpPortSharing, której nie można uruchomić z powodu następującego błędu:
%%1058

Error: (06/09/2016 09:44:59 AM) (Source: volmgr) (EventID: 45) (User: )
Description: System nie może pomyślnie załadować sterownika zrzutu awaryjnego.

Error: (06/09/2016 09:44:53 AM) (Source: volmgr) (EventID: 46) (User: )
Description: Inicjowanie zrzutu awaryjnego nie powiodło się!

CloseProcesses:
GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR DefaultSearchURL: Default -> hxxp://feed.safefinder.biz/?fext=true&publisherid=51218&publisher=extensiondefaultap&st=ed&q={searchTerms}
CHR DefaultSearchKeyword: Default -> SafeFinder
CHR HKLM-x32\...\Chrome\Extension: [bbidppmgmdmjgfenjdafcalmciolcehp] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jidkebcigjgheaahopdnlfaohgnocfai] - hxxps://clients2.google.com/service/update2/crx
HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=56626&homepage=about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com
HKU\S-1-5-21-594744651-2858522274-1844129865-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.bing.com/search?q={searchTerms}
HKU\S-1-5-21-594744651-2858522274-1844129865-1001\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.bing.com/search?q={searchTerms}
SearchScopes: HKU\S-1-5-21-594744651-2858522274-1844129865-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1
Toolbar: HKU\S-1-5-21-594744651-2858522274-1844129865-1001 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku
HKU\S-1-5-21-594744651-2858522274-1844129865-1001\...\Run: [spybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.)
Winlogon\Notify\DeviceNP-x32: DeviceNP.dll [X]
Winlogon\Notify\SDWinLogon-x32: SDWinLogon.dll [X]
U3 idsvc; Brak ImagePath
U3 wpcsvc; Brak ImagePath
Task: {0252511E-04DC-463F-93E4-7384B53AD7E3} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe
Task: {136DE61B-B54F-4A51-AC67-23A67C10539B} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe
Task: {1551ACC6-DFE8-456B-9012-BD3F12343BF0} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {1FFBAF00-7A62-48B3-8FBA-05ADB5AD9B47} - System32\Tasks\{46209326-FF7D-718C-6CEC-212D07BD0F95} => C:\Users\Pc\AppData\Roaming\PRICEF~1\Updater.exe
Task: {214D2A59-C333-4361-8F0E-12882572712E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {24114BF4-4F24-4235-ADC1-14B19ABEC91F} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe
Task: {2AADD4D7-2015-48DE-A6CB-ABA1F54DA0CB} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> Brak pliku Task: {4713307E-A05A-4EE7-A8E6-C33713B3C8D8} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe
Task: {548445D1-7FDB-49D2-8D20-1BA84B14583B} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {575AA5D1-CE48-4850-8989-5A941A367B53} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {641565AE-E7A5-48D3-9750-883A0C168AFC} - \Safer-Networking\Spybot - Search and Destroy\Check for updates -> Brak pliku Task: {6AF0641C-E5F5-4FD4-AD5C-50C9FE4EE160} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {6C2FC1EB-21BC-44B3-9859-64550F81D2F7} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe
Task: {713D40D2-8CB3-43D3-A6B2-A9C149168598} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe
Task: {75A72771-C19D-431B-9831-9A6B8C79361F} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {7DF10749-9498-4366-BE68-6CB163765E33} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe
Task: {829C42BB-BB61-4881-9AF4-9213E3612AFB} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe
Task: {86AFDD76-FD58-4725-A395-B092B271D3E5} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {8B82BE3E-CC80-43A1-B8B0-214004E5516D} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe
Task: {8BF4193D-B9B9-4DA8-B458-E47061047B51} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {9EDACB80-4B11-4E88-A5A7-0C5C5DDBB407} - \Safer-Networking\Spybot - Search and Destroy\Scan the system -> Brak pliku Task: {A34F2F54-F33E-4260-BF72-2F9BC39C00F4} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe
Task: {A7DDEA0B-C283-43E7-9FD5-D517AB5EDCD2} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {AA45E3A0-1239-49AE-A5DE-613C362092FB} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe
Task: {B682458F-C5E9-4DC0-9D15-FB8D95E794C2} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe
Task: {B999B34B-E321-4AB3-8A4E-4DE23FD305D0} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe
Task: {BBB7B0A5-F11C-434D-B64C-2FA1612A0CE4} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe
Task: {BF10F2D6-6F40-4D8C-89EF-9086C641140D} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe
Task: {C7B9C71A-901A-4164-93A6-AED4887F3203} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {CD409933-614E-46F0-8B2F-DE0859FB9117} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {D2A8243D-7435-48C4-B5B9-E54CF09B5E38} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {D78EAFC7-C5B2-4743-99F2-4EEF633999B7} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {D8AA6B0B-0C58-43C9-A860-DEDD9B010EEE} - \Safer-Networking\Spybot - Search and Destroy\Refresh immunization -> Brak pliku Task: {DAACF283-3403-44F3-B640-370883C7564D} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe
Task: {E6B66834-7D70-41C4-AB4A-40532207B1E0} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {EC0005F6-90C7-4825-ADF2-EF5F730C6285} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe
Task: {ECF8495C-4802-4650-89D0-AB2ED3231F47} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> Brak pliku Task: {FBA74822-4C7E-4B96-8471-123F768AE723} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe
Task: C:\WINDOWS\Tasks\{46209326-FF7D-718C-6CEC-212D07BD0F95}.job => C:\Users\Pc\AppData\Roaming\PRICEF~1\Updater.exe
DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I
DeleteKey: HKCU\Software\dobreprogramy
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains
DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
DeleteKey: HKU\.DEFAULT\Software\Google
C:\Program Files\Common Files\AV\Spybot - Search and Destroy
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PokerStars.EU
C:\Users\Pc\AppData\Local\FurtherNonsusceptible
C:\Users\Pc\AppData\Local\Mozilla
C:\Users\Pc\AppData\Roaming\*.*
C:\Users\Pc\AppData\Roaming\Mozilla
C:\Users\Pc\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\OpenFM.lnk
C:\Users\Pc\TeamViewer 9.lnk
C:\Windows\ehome
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center
Hosts:
EmptyTemp:

A do ComboFixa się nie przymierzaj, on nawet się nie uruchomi na Windows 10. Brak obsługi tej platformy, prawdopodobnie tej obsługi nigdy nie będzie.

Moją działalność można wspomóc poprzez dotacje. Z góry dzięki za ewentualne wsparcie.

Temat rozwiązany. Zamykam.

Na czas pobierania wyłącz 360 Total Security.

Skasuj folder C:\FRST oraz FRST i jego logi z folderu D:\Downloads. Następnie wyczyść foldery Przywracania systemu: KLIK.

To wszystko.

Nie będziemy już nic grzebać w obszarze WMI, gdyż usterka została naprawiona. FRST pomyślnie pobrał uprzednio niedostępne dane:

==================== Punkty Przywracania systemu =========================
 

24-05-2016 10:26:54 Windows Update

01-06-2016 09:24:11 Zaplanowany punkt kontrolny

08-06-2016 15:01:53 Zaplanowany punkt kontrolny
 

==================== Wadliwe urządzenia w Menedżerze urządzeń =============

Wszystko zrobione, więc kończymy:

1. Odinstaluj USBFix. Skasuj FRST i jego logi z folderu C:\Users\Marcel\Desktop\Nowy folder. Możesz też oczywiście usunąć WMIDiag i jego raporty.

2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Skoro Hitman żąda klucza, to oznacza że był wcześniej używany (dalej niż 30 dni temu). Czyli teraz czekam na log z ESET. Czyszczenie owszem trwa, ale musi być pewność że usunęliśmy wszystkie ślady infekcji. Tu była poważniejsza infekcja.

Nie powtarzaj przypadkiem poprzednich akcji! Reset Repozytorium pomyślnie wykonany, co zlikwidowało ogromną ilość naruszeń, a w tym raporcie ustąpiły też wszystkie błędy "Odmowa dostępu" związane z uruchomieniem WMIDiag jako użytkownik ograniczony. To co aktualnie stoi w raporcie to już inny typ zagadnień i większość z nich (o ile nie wszystkie) wygląda na nieistotną, tzn. na pewno do zignorowania wszystkie ostrzeżenia DCOM, a także błąd WMI GET VALUE (narzędzie spodziewa się angielskiej wersji "Security Center" zamiast polskiej "Centrum zabezpieczeń").

Teraz poproszę o zrobienie nowego raportu FRST z zaznaczonym polem Addition, dostarcz tylko plik Addition.

Za pomocą Hitman, pomijając wymienione przeze mnie wyniki i oczywiście sam FRST64.exe.

Jeśli Przywracanie systemu natychmiast zostało zatrzymane, to nic się nie stało. DelFix wykonał zadanie, skasuj z dysku plik C:\delfix.txt.

To wszystko.

Cóż, jesteśmy w punkcie wyjścia... Prawdopodobnie COMODO zablokował wszystkie zmiany (wykonane tylko wirtualnie), cały system wrócił do stanu sprzed czyszczenia... To wyjaśnia ten "setup". Powtarzaj punkty 2 do 5 z mojego pierwszego posta...

Też podejrzewam crack do tego programu, gdyż wg pierwszego raportu FRST jedno z pierwszych wystąpień malware na dysku oraz obiekty DFX powstały w przeciągu 6 minut. Kolejna porcja zadań:

1. Odinstaluj DFX Audio Enhancer. Po deinstalacji przez SHIFT+DEL (omija Kosz) skasuj z dysku wszystkie pliki/foldery powiązane z programem, wliczając pobrany crack, oraz folder FRST z kwarantanną trojanów:

C:\FRST

C:\Downloads\DFX Audio Enhancer 11.109 Incl Crack [TorDigger]

C:\Program Files (x86)\DFX

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DFX Audio Enhancer

C:\Users\Pawcio\AppData\Local\DFX

C:\Users\Pawcio\Desktop\DFX.exe

Ponów skan Hitman i usuń na wszelki wypadek pozostałe wyniki, z wyłączeniem steam_api.dll i Warlocks.exe.

2. Przeprowadź skanowanie za pomocą ESET Online Scanner i dostarcz wyniki, o ile coś zostanie znalezione.

ciągle mnie niepokoją te " artefakty " które wystąpiły moze w sumie z 3-6 razy hmmm czy to w ogóle możliwe zeby jakieś niechciane oprogramowanie mogło powodować coś takiego ? a zwłaszcza w dosie ?

Problem nie powiązany z widzianym tu malware, nie ten poziom modyfikacji. To raczej problem sprzętowy.

Reset Repozytorium wykonany pomyślnie i spadła znacznie liczba błędów. Natomiast nadal są błędy we WMIDiag, ale takie które sugerują, że nie uruchomiłeś narzędzia jako Administrator. Zrób ponownie log wg następujących wytycznych: klawisz z flagą Windows + X > Wiersz polecenia (administrator) > wklep ścieżkę do pliku WMIDiag.vbs i ENTER.

Zakładek nie wyeksportowałem, bo były już wyczyszczone przez infekcję.

Mam pytanie: ile Osób widziałeś w ustawieniach Chrome przed podjęciem akcji usuwających? W pierwszym i ostatnim logu FRST widziałam starszy profil "Default" i to w nim mogą być zakładki. Jeśli był widoczny tylko jeden profil od adware, obecnie już zastąpiony świeżym, to spróbuj tego:

Zamknij Google Chrome. Przekopiuj plik Bookmarks z folderu:

C:\Users\Michał\AppData\Local\Google\Chrome\User Data\Default

do:

C:\Users\Michał\AppData\Local\Google\Chrome\User Data\Profile 1

Uruchom Google Chrome i podaj czy zakładki wróciły.