picasso

Wszystko wykonane. Kolejna porcja czynności: 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Opera RemoveDirectory: C:\Users\Beata\AppData\Local\Opera Software RemoveDirectory: C:\Users\Beata\AppData\Roaming\Opera Software Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. 2. Logi FRST są zbyt ograniczone pod kątem tej infekcji. Robak Brontok tworzy w mnóstwie katalogów fałszywki - pliki infekcji o nazwie folderu w którym się znajdują - a przypadkowe uruchomienie takiego pliku przywróci infekcję. Zainstalowałeś co dopiero Avast, toteż przeprowadź za jego pomocą pełne skanowanie obu dysków.

DelFix wykonał zadanie - możesz skasować z dysku plik C:\delfix.txt. I czekam na rezultaty aktualizacji do Windows 10.

Tak, kończymy. Wiadomy przyklejony temat do obskoczenia.

Poprawki na wpisy odpadkowe. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 wfdrvr_vw_1_10_0_28; system32\drivers\wfdrvr_vw_1_10_0_28.sys [X] Task: {B64580E1-57F8-4026-ACA1-112BF407B04F} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe HKLM\...\Run: [HotKeysCmds] => "C:\Windows\system32\hkcmd.exe" HKLM\...\Run: [Persistence] => "C:\Windows\system32\igfxpers.exe" Winlogon\Notify\igfxcui: igfxdev.dll [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku HKU\S-1-5-21-4134787551-50801924-3381626645-1001\...\MountPoints2: {abb61e54-98f6-11e5-8256-fcf8ae81f465} - "F:\setup.exe" HKU\S-1-5-21-4134787551-50801924-3381626645-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://mysearch.avg.com/?cid={0DFA5C8B-B685-4263-BB29-A1F22364053A}&mid=43521402920247cca1e38b65c6f77b90-0e63e861cb6db927d55939c5eb453110af0d6a2b&lang=en&ds=AVG&coid=avgtbavg&cmpid=0615piz&pr=fr&d=2015-12-06 12:07:06&v=4.1.8.599&pid=wtu&sg=&sap=hp SearchScopes: HKU\S-1-5-21-4134787551-50801924-3381626645-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-4134787551-50801924-3381626645-1001 -> {95B7759C-8C7F-4BF1-B163-73684A933233} URL = hxxps://mysearch.avg.com/search?cid={0DFA5C8B-B685-4263-BB29-A1F22364053A}&mid=43521402920247cca1e38b65c6f77b90-0e63e861cb6db927d55939c5eb453110af0d6a2b&lang=en&ds=AVG&coid=avgtbavg&cmpid=0615piz&pr=fr&d=2015-12-06 12:07:06&v=4.1.8.599&pid=wtu&sg=&sap=dsp&q={searchTerms} BHO: Brak nazwy -> {95B7759C-8C7F-4BF1-B163-73684A933233} -> Brak pliku CHR HKU\S-1-5-21-4134787551-50801924-3381626645-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx RemoveDirectory: C:\Program Files\AVAST Software RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\ProgramData\AVG Security Toolbar RemoveDirectory: C:\Users\Wojtas\AppData\Roaming\TuneUp Software CMD: del /q C:\Users\Wojtas\Downloads\dqqlzf3w.exe CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są mi potrzebne.

Samoczynne uruchamianie komputera to raczej sprawa spoza infekcji: - Jeśli to jest samoczynne włączanie wyłączonego uprzednio komputera, to powinna być kwestia ustawień w BIOS typu "Wakeup on..." lub ewentualnie problem z zasilaczem. - Jeśli masz na myśli zaś automatyczny restart, to już inna sprawa. Natomiast system jest poważnie zainfekowany - grasuje robak Brontok. Poza tym, są drobne odpadki po instalacjach adware. Pod kątem usuwania infekcji i wpisów pustych: 1.Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S1 {72502b1b-b916-4994-814e-c516f9f681b2}Gw64; system32\drivers\{72502b1b-b916-4994-814e-c516f9f681b2}Gw64.sys [X] S1 {8f5b8fd1-2f96-4fbf-974b-7f28fa0f93d7}Gw64; system32\drivers\{8f5b8fd1-2f96-4fbf-974b-7f28fa0f93d7}Gw64.sys [X] S1 {97a224e4-fe41-4078-b1ef-069fe8cd6d9f}Gw64; system32\drivers\{97a224e4-fe41-4078-b1ef-069fe8cd6d9f}Gw64.sys [X] S1 {c9a465a5-420c-4acc-b1be-3ac71ae80fda}Gw64; system32\drivers\{c9a465a5-420c-4acc-b1be-3ac71ae80fda}Gw64.sys [X] Startup: C:\Users\Beata\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Empty.pif [2009-11-04] () AlternateShell: cmd-brontok.exe HKLM-x32\...\Run: [systemExplorerAutoStart] => "C:\Program Files (x86)\System Explorer\SystemExplorer.exe" /TRAY HKLM-x32\...\Run: [bron-Spizaetus] => "C:\Windows\ShellNew\RakyatKelaparan.exe" HKLM-x32\...\Winlogon: [shell] Explorer.exe "C:\Windows\KesenjanganSosial.exe" [ ] () HKU\S-1-5-21-4157021316-3100553387-2668696667-1000\...\Run: [Tok-Cirrhatus-2256] => C:\Users\Beata\AppData\Local\br5535on.exe [44420 2009-11-04] () HKU\S-1-5-21-4157021316-3100553387-2668696667-1000\...\Run: [Tok-Cirrhatus] => 0 HKU\S-1-5-21-4157021316-3100553387-2668696667-1000\...\Policies\system: [DisableCMD] 0 HKU\S-1-5-21-4157021316-3100553387-2668696667-1000\...\Policies\Explorer: [NoFolderOptions] 1 HKU\S-1-5-21-4157021316-3100553387-2668696667-1000\...\MountPoints2: {f0e57908-f3da-11e4-b235-002622e70366} - F:\LGAutoRun.exe Task: {0045589B-13E3-4574-99FB-0EC29B1FD46C} - System32\Tasks\{7CD522BC-2897-48F8-A9C7-12F8FFF121A2} => pcalua.exe -a "H:\Data MAŁGORZATA.exe" -d H:\ Task: {2729DB03-AE6F-4DD3-B3B1-A85353914AAD} - System32\Tasks\{0C8C9B50-59B8-461F-A8ED-26AF0FDA5B07} => pcalua.exe -a "C:\Program Files (x86)\Crypto1Tech\CryptoCard\InstallCACerts.exe" -d "C:\Program Files (x86)\Crypto1Tech\CryptoCard" Task: {B698B6DC-669A-4B4F-BE3E-B89CBC22049E} - System32\Tasks\{D64AD22E-1A7A-4513-ABDF-8DBD13B34F2E} => pcalua.exe -a C:\Users\Beata\Documents\Zdjęcia\POLONUS\zdj¦Öcia\FW__[Fwd__]\FW__[Fwd__].exe -d C:\Users\Beata\Documents\Zdjęcia\POLONUS\zdj¦Öcia\FW__[Fwd__] Winlogon\Notify\ScCertProp: wlnotify.dll [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com SearchScopes: HKU\S-1-5-21-4157021316-3100553387-2668696667-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mała Księgowość Rzeczpospolitej\Struktury danych osobowych.lnk C:\Users\Beata\AppData\Local\br5535on.exe C:\Users\Beata\AppData\Local\Bron.tok.A16.em.bin C:\Users\Beata\AppData\Local\csrss.exe C:\Users\Beata\AppData\Local\inetinfo.exe C:\Users\Beata\AppData\Local\Kosong.Bron.Tok.txt C:\Users\Beata\AppData\Local\lsass.exe C:\Users\Beata\AppData\Local\services.exe C:\Users\Beata\AppData\Local\smss.exe C:\Users\Beata\AppData\Local\winlogon.exe C:\Users\Beata\AppData\Local\Microsoft\Windows\GameExplorer\{77B86D48-539C-4972-A0F0-86F193C9107B} C:\Users\Beata\AppData\Roaming\Nico Mak Computing C:\Users\Beata\Desktop\Podręcznik Użytkownika.lnk C:\Users\Beata\Downloads\Microsoft Product Key Finder 1.exe C:\Users\Beata\Downloads\SpyHunter-Installer.exe C:\Windows\KesenjanganSosial.exe C:\Windows\ShellNew\RakyatKelaparan.exe CMD: for /d %f in (C:\Users\Beata\AppData\Local\*bron*) do rd /s /q "%f" Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Odinstaluj stare wersje: EPUAP SignPlugin for Chrome, Java 8 Update 45. Google Chrome nie powinno akceptować tej instalacji EPUAP. Obecnie jest możliwa instalacja tylko tych rozszerzeń, które są hostowane w Chrome Web Store. 3. Uruchom narzędzie Fix-it likwidujące drobny błąd WMI: KLIK. 4. Wyczyść Dzienniki zdarzeń: Start > w polu szukania wklep eventvwr.msc > rozwiń Dzienniki systemu Windows i z prawokliku wyczyść gałęzie Aplikacja i System. Po akcji zresetuj system. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Po prostu usunę z listy zainstalowanych ten klucz Photoshopa. Ostatnie poprawki. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{74EB3499-8B95-4B5C-96EB-7B342F3FD0C6} DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins HKU\S-1-5-21-1440869918-637336674-2589777491-1001\...\Policies\Explorer: [] ShellIconOverlayIdentifiers: [GGDriveOverlay1] -> {E68D0A50-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay2] -> {E68D0A51-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay3] -> {E68D0A52-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku ShellIconOverlayIdentifiers: [GGDriveOverlay4] -> {E68D0A53-3C40-4712-B90D-DCFA93FF2534} => C:\ProgramData\GG\ggdrive\ggdrive-overlay.dll Brak pliku RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files\Corel RemoveDirectory: C:\Program Files (x86)\Java RemoveDirectory: C:\ProgramData\Oracle RemoveDirectory: C:\ProgramData\Sun RemoveDirectory: C:\Users\Natalia\.oracle_jre_usage RemoveDirectory: C:\Users\Natalia\AppData\Roaming\Sun CMD: del /q "C:\Users\Natalia\Links\GG dysk*.lnk" CMD: del /q "C:\Users\Natalia\Favorites\GG dysk*.lnk" CMD: del /q C:\Windows\SysWOW64\deployJava1.dll CMD: netsh advfirewall reset EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Pokaż wynikowy fixlog.txt. Nowe skany FRST nie są mi potrzebne.

Na koniec usuń folder C:\Users\Pawel\Desktop\logi\FRST. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Wymazałam z Twojego posta podkreślenie wstawione przez adware. Reklamy produkuje adware WordFly. Przypuszczalna droga nabycia to portalowy "downloader": KLIK. Operacje do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj zbędny AVG Web TuneUp oraz WordFly 1.10.0.28. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut.

Jeśli zdecydujesz się na uiszczenie opłaty, to daj znać czy otrzymałeś poprawny klucz dekodujący. Po ewentualnym odkodowaniu plików i tak sugeruję sformatować dysk C. Dodatkowo, polecam wyposażyć się w jeden z tych programów do zabezpieczeń przed szyfratorami: KLIK.

Wszystko pomyślnie przetworzone. Kończymy: 1. Skasuj folder C:\Program Files (x86)\Opera oraz pobrany GMER. 2. Zastosuj DelFix, następnie wyczyść foldery Przywracania systemu: KLIK.

Tak, pliki graficzne muszą być skojarzone z Picasą, by były otwierane za jej pomocą. Tu myślę, że już sobie poradzisz. Wszystko zrobione. Przechodzimy do fazy końcowej: 1. Przez SHIFT+DEL (usuwa z ominięciem Kosza) skasuj z Pulpitu folder FRST64. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. Po wyczyszczeniu punktów Przywrcania utwórz ręcznie punkt z bieżącej sytuacji po wyczyszczeniu systemu. 2. Podejmij się próby wykonania aktualizacji systemu do Windows 10 i zgłoś z wynikami, czy operacja przebiegła pomyślnie, czy wręcz przeciwnie.

Wszystko wykonane. Możesz usunąć plik C:\delfix.txt. Temat rozwiązany. Zamykam.

Owszem, można to wyłączyć, co sprowadzi się do tego, że Google Chrome przestanie się samodzielnie aktualizować (co samo w sobie nie jest złym pomysłem) oraz przestanie się pojawiać powiadomienie "Uzyskaj Windows 10". Czy ten tekst oznacza, że narzędzie deinstalacyjne Microsoftu nie widzi pozycji "Adobe Photoshop CS6"? Teraz dopiero zauważyłam, na liście zainstalowanych nie ma dopasowanej wersji Java: Java 8 Update 66 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83218066F0}) (Version: 8.0.660.18 - Oracle Corporation) Java™ 6 Update 32 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83216032FF}) (Version: 6.0.320 - Oracle) ArchiCAD 15 potrzebuje Java 6u23. Odinstaluj wszystkie widoczne Java (tak, wliczając najnowszą), zainstaluj tymczasowo wymaganą wersję i ponów akcję deinstalacji. Jeśli chodzi o najnowszą Java, to czy ona w ogóle tu jest potrzebna? Jedyna przeglądarka ją obsługująca to IE, Google Chrome w ogóle już nie obsługuje wtyczek Java, a za jakiś czas przestanie je obsługiwać także Firefox. I dopiero, gdy ArchiCAD zostanie poprawnie odinstalowany, zrób nowe logi FRST.

Wszystko pomyślnie wykonane, zgłoszony problem rozwiązany. Kończymy: 1. Otwórz Notatnik i wklej w nim: RemoveDirectory: C:\32788R22FWJFW RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ComboFix RemoveDirectory: C:\Qoobox RemoveDirectory: C:\ProgramData\Splashtop RemoveDirectory: C:\Users\greeg\AppData\Roaming\Splashtop RemoveDirectory: C:\Users\greeg\Desktop\Stare dane programu Firefox RemoveDirectory: C:\Windows\erdnt CMD: del /q C:\Users\greeg\Desktop\1es68vz9.exe CMD: del /q C:\Users\greeg\Desktop\Addition.txt CMD: del /q C:\Users\greeg\Desktop\Fixlog.txt CMD: del /q C:\Users\greeg\Desktop\FRST.txt CMD: del /q C:\Users\greeg\Desktop\GMER.txt CMD: del /q C:\Users\greeg\Desktop\Shortcut.txt CMD: del /q C:\Windows\MBR.exe CMD: del /q C:\Windows\NIRCMD.exe CMD: del /q C:\Windows\PEV.exe CMD: del /q C:\Windows\SWREG.exe CMD: del /q C:\Windows\SWSC.exe CMD: del /q C:\Windows\sed.exe CMD: del /q C:\Windows\grep.exe CMD: del /q C:\Windows\zip.exe Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Pokaż wynikowy fixlog.txt. Dopiero po jego pokazaniu: 2. Usuń z Pulpitu folder FRST, następnie jeszcze zastosuj DelFix. 3. Do aktualizacji także systemowy Internet Explorer, mimo że z niego nie korzystasz.

Proszę nie podbijaj tematu zbędnymi postami, odpowiadam gdy jestem w stanie. Usuwam też "świeże logi", one nic nie wnoszą do sprawy, są identyczne jak te poprzednie. W raportach bez zmian, nie wykonane do końca punkty 1+2, a McAfee niezmiennie aktywny. Prawie wszystkie programy, z wyjątkiem McAfee Security Scan Plus, nadal widoczne. Powtarzaj zadanie. McAfee ma być w pierwszej kolejności normalnie odinstalowany via Panel sterowania, po tym dopiero narzędzie usuwające, a jeśli jest problem z jego uruchomieniem, to z poziomu Trybu awaryjnego. I dopiero po tym zrób nowe raporty FRST.

Zestawienie nic nie wnosi do sprawy. Wszystkie warianty TeslaCrypt opisane tu: KLIK. Tylko najstarsze z nich (pliki .ecc, .ezz, .exx) można było odkodować, gdyż klucz był zapisywany na dysku twardym. I ten "błąd" właśnie "naprawiono" we wszystkich nowych wariantach, które już w ogóle nie zapisują klucza na dysku (jest w pamięci tylko tymczasowo podczas szyfrowania), dlatego nie jest możliwe odkodowanie plików. Akcja "Can only be decrypted if victim was able to capture the key being sent to the server at the time of encryption." nie aplikuje się u Ciebie, gdyż infekcja nie jest już czynna. Zresztą nie znam nawet żadnego przypadku, by komuś udało się wyłuskać z pamięci klucz, gdy infekcja była jeszcze aktywna.

Wszystko zostało pomyślnie usunięte. Czy są jeszcze jakieś problemy?

Obecna sytuacja jest następująca: klucze (unikatowe dla danej instalacji Windows, każdy ma inny klucz przypisany) są nieosiągalne i znane tylko przestępcom, a hasła nie są słabe, stąd złamanie ich przez atak typu "brute force" odpada. Dlatego też są bardzo nikłe szanse, że w przyszłości pojawi się jakaś "solucja", choć trudno przewidywać co będzie za X lat.

Zadanie wykonane. Na koniec: Usuń pobrane narzędzia i ich logi z folderów Nowy folder (4) + Nowy folder (5) na Pulpicie. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Jak mówiłam, infekcja szyfrowała tylko określone pliki Autodesk, głównie szablony i dokmentację, co sprowadza się do tego, że sam program per se będzie działał, a jakiś brak ujawni się tylko w szczególnych zadaniach z wykorzystaniem np. tych szablonów.

Skoro problem ustąpił po Fixie, to wygląda na to, że problemem było jednak to wspominane przeze mnie proxy. Brakuje pliku Fixlog, który powstał podczas usuwania, dołącz go - jest w tym samym katalogu skąd uruchamiałeś FRST.

Logi z przestarzałego OTL nie są tu brane pod uwagę. Usuwam. Z Dzienika zdarzeń: Error: (12/07/2015 01:44:36 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: Explorer.EXE, wersja: 6.3.9600.17667, sygnatura czasowa: 0x54c6f7c2 Nazwa modułu powodującego błąd: phc64.dll, wersja: 4.4.3.1120, sygnatura czasowa: 0x549a921c Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x000000000001ac9b Identyfikator procesu powodującego błąd: 0x83c Godzina uruchomienia aplikacji powodującej błąd: 0xExplorer.EXE0 Ścieżka aplikacji powodującej błąd: Explorer.EXE1 Ścieżka modułu powodującego błąd: Explorer.EXE2 Identyfikator raportu: Explorer.EXE3 Pełna nazwa pakietu powodującego błąd: Explorer.EXE4 Identyfikator aplikacji względem pakietu powodującego błąd: Explorer.EXE5 Moduł powodujący błąd to biblioteka należąca do Foxit PhantomPDF. Możliwe sposoby rozwiązania problemu: - W ShellExView x64 przez klik w kolumnę Company posortuj wpisy, tak by wszystkie niedomyślne (na różowym tle) wylądowały w jednym bloku. Wyszukaj wszystkie wpisy związane z Foxit, z prawokliku wyłącz i zresetuj system. - Lub całkowita deinstalacja Foxit PhantomPDF Dodatkowo, pozbądź się też programu WebStorage ASUSa. To aplikacja również znana z generowania podobnych problemów w eksploratorze. Ten z kolei jest niejasny: Error: (12/06/2015 07:36:08 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: GWXUX.exe, wersja: 6.3.9600.18064, sygnatura czasowa: 0x56042d8f Nazwa modułu powodującego błąd: ntdll.dll, wersja: 6.3.9600.18007, sygnatura czasowa: 0x55c4c16b Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x000000000003d86e Identyfikator procesu powodującego błąd: 0x1c18 Godzina uruchomienia aplikacji powodującej błąd: 0xGWXUX.exe0 Ścieżka aplikacji powodującej błąd: GWXUX.exe1 Ścieżka modułu powodującego błąd: GWXUX.exe2 Identyfikator raportu: GWXUX.exe3 Pełna nazwa pakietu powodującego błąd: GWXUX.exe4 Identyfikator aplikacji względem pakietu powodującego błąd: GWXUX.exe5 Error: (12/06/2015 01:26:01 PM) (Source: Customer Experience Improvement Program) (EventID: 1008) (User: ) Proces GWXUX.exe należy do notyfikatora "Uzyskaj Windows 10". Ten błąd ostatecznie można powierzchownie usunąć z widoku deinstalując aktualizację KB3035583 wprowadzającą ten notyfikator. PS. W spoilerze drobne doczyszczanie odpadków adware i wpisów pustych, nie powiązane z powyższymi problemami.

Widoki na odkodowanie w przyszłości są zerowe. Ale oczywiście asekuracyjnie na wszelki wypadek kopiuje się cenne zaszyfrowane dane na zewnętrzny nośnik. Kontakt z przestępcami na własne ryzyko. Musisz ocenić czy te pliki rzeczywiście są aż tak ważne, by się wplątać w taką sytuację. Nie ma gwarancji, że otrzymasz działający klucz lub go w ogóle otrzymasz.

Wyląda na to, że brakuje jakiegoś pliku tej instalacji. Należy przeinstalować program. Czyli na teraz do wykonania następujące akcje: 1. Kolejne deinstalacje: - Zapomniałam podać poprzednio jeszcze jeden wpis do usunięcia za pomocą tego specjalnego narzędzia Microsoftu: Poczta usługi Windows Live - Odinstaluj Picasę, następnie ponownie zainstaluj z oficjalnego instalatora: KLIK. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Handler: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~2\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL Keine Datei Handler: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~2\WIC4A1~1\MESSEN~1\MSGRAP~1.DLL Keine Datei Handler: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files (x86)\Windows Live\Mail\mailcomm.dll Keine Datei IE Session Restore: HKU\S-1-5-21-1280836393-1798441447-3805755999-1000 -> ist aktiviert. DeleteKey: HKCU\Software\Clients\StartMenuInternet\Crossbrowse DeleteKey: HKCU\Software\Clients\StartMenuInternet\IEXPLORE.EXE DeleteKey: HKLM\SOFTWARE\Clients\Calendar DeleteKey: HKLM\SOFTWARE\Clients\Contacts\Windows Live Mail DeleteKey: HKLM\SOFTWARE\Clients\Internet Call\Skype DeleteKey: HKLM\SOFTWARE\Clients\Mail\Opera DeleteKey: HKLM\SOFTWARE\Clients\Mail\Windows Live Mail DeleteKey: HKLM\SOFTWARE\Clients\Media\RealOne Player DeleteKey: HKLM\SOFTWARE\Clients\News\Opera DeleteKey: HKLM\SOFTWARE\Clients\News\Windows Live Mail DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Maxthon3 DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\Opera DeleteKey: HKLM\SOFTWARE\Clients\StartMenuInternet\OperaStable DeleteKey: HKLM\SOFTWARE\RegisteredApplications\Maxthon3 Reg: reg add HKLM\SOFTWARE\Clients\StartMenuInternet /ve /t REG_SZ /d FIREFOX.EXE /f Reg: reg delete HKLM\SOFTWARE\RegisteredApplications /v Maxthon3 /f Reg: reg delete HKLM\SOFTWARE\RegisteredApplications /v "Opera Internet Browser" /f Reg: reg delete HKLM\SOFTWARE\RegisteredApplications /v "Opera Stable" /f Reg: reg delete HKLM\SOFTWARE\RegisteredApplications /v "Windows Calendar" /f Reg: reg delete HKLM\SOFTWARE\RegisteredApplications /v "Windows Live Mail" /f Reg: reg delete HKLM\SOFTWARE\RegisteredApplications /v "Windows Live Mail (News)" /f Reg: reg delete HKLM\SOFTWARE\RegisteredApplications /v "Windows Photo Gallery Viewer" /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Users\Aneczka\Doctor Web RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Windows Live EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Entfernen (Fix). Będzie restart. Zaprezentuj wynikowy fixlog.txt. I potwierdź że Picasa działa po reinstalacji.

Fix FRST wykonany pomyślnie. Drobne poprawki potem. Jaki błąd? Ten sam związany z Java czy jakiś inny? Czy próbowałeś to narzędzie "Cleaner Tool" linkowane na błędzie? I może problemem jest skrzyżowanie instalacji, bo są aż dwie edycje Photoshopa: Adobe Photoshop CC 2015 (HKLM-x32\...\{793C2BF7-A4FE-4608-91C9-9282C5801C21}) (Version: 16.0 - Adobe Systems Incorporated) Adobe Photoshop CS6 (HKLM-x32\...\{74EB3499-8B95-4B5C-96EB-7B342F3FD0C6}) (Version: 13.0 - Adobe Systems Incorporated) Jest prawdopodobne, że ze względu na współdzielone katalogi Adobe nie da się po prostu tego odinstalować, bo oznaczałoby to naruszenie nowszej edycji Photoshopa. W tej sytuacji zastosuj to samo narzędzie Microsoftu co poprzednio, by tylko usunąć rejestrację produktu (czyli zaznaczyć wpis Adobe Photoshop CS6). Klawisz z flagą Windows + X > Uruchom > taskschd.msc > wyłącz poniższe zadanie: Task: {3111C77E-3AD3-4F2F-A4C1-6078D0BE0072} - System32\Tasks\AdobeAAMUpdater-1.0-Natalka-Natalia => C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe [2015-05-25] (Adobe Systems Incorporated)