picasso

Jakie miniaturki stron są na stronie wybierania? Pokaż zrzut ekranu, o ile cokolwiek tam jest. Poza tym, zrób jeszcze zrzut ekranu z listy wtyczek: w pasku ekranu wklep Opera:plugins i ENTER.

Wszystko wykonane. Przed przejście do usunięcia zaszyfrowanych plików CCC jeszcze poprawki: 1. W Google Chrome pojawiła się szkodliwa strona startowa adware mystartsearch.com. Zresetuj synchronizację (o ile włączona): KLIK. Następnie otwórz Notatnik i wklej w nim: CHR HomePage: Profile 1 -> hxxp://www.mystartsearch.com/?type=hp&ts=1414005552&from=smt&uid=WDCXWD6400BPVT-80HXZT3_WD-WXK1A712279522795 RemoveDirectory: C:\Users\Nikodem\AppData\Local\Google\Chrome\User Data\Default Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. 3. Na PW była mowa o odinstalowaniu pozostałych programów Windows Live. Widziane tu logi ciągle pokazują Windows Live, więc prawdopodobnie pochodzą sprzed tej akcji. Na wszelki wypadek zrób nowy log FRST z opcji Skanuj (Scan) z Addition, mający obrazować kompletną deinstalację wszystkich programów Windows Live.

Miejsca na dysku było dużo. Jeśli prace dekodujące nie przekroczyły poprzeczki wolnego miejsca, to nie wiem jaka jest przyczyna niemożności przetworzenia tych plików. Może nieobsługiwane przez dekoder formaty, może uszkodzenia plików. Co to za pliki, jakie miały oryginalne rozszerzenie przed zakodowaniem? Można spróbować je wyizolować i ponowić pracę dekodera, ale jest prawdopodobne, że wyniki będą takie same. Dostarczone logi nie wskazywały na potrzebę dodatkowych akcji niż zadane.

Czy udało się te wpisy odinstalować narzędziem Microsoftu? I zaprezentuj wynikowy fixlog.txt ostatniego zadanego skryptu FRST.

Te wpisy nie są ukryte, ale skoro ich nie widzisz na liście deinstalacji, to mogą to być odpadki po jakiejś wcześniej deinstalacji. Błędy w Dzienniku zdarzeń wskazują, że pliki tych aplikacji nie są nawet znajdowalne przez system. W związku z tym uruchom ponownie to samo narzędzie, którym się posługiwałeś do usunięcia Metric Collection SDK, i sprawdź czy ono widzi te wpisy. Jeśli tak, to po kolei je usuń (program należy uruchomić aż trzy razy, gdyż nie umożliwia akcji hurtowej). Po operacji zastosuj podany już Fix FRST.

Błędy w Dzienniku zdarzeń produkują wpisy Cisco: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eaphost\Methods\9 (domylny) REG_SZ Cisco HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eaphost\Methods\9\17 PeerDllPath REG_EXPAND_SZ C:\Program Files (x86)\Cisco\Cisco LEAP Module\CiscoEapLeap.dll PeerFriendlyName REG_SZ @C:\Program Files (x86)\Cisco\Cisco LEAP Module\CiscoEapLeap.dll,-117 Properties REG_DWORD 0x32c406e PeerInvokeUsernameDialog REG_DWORD 0x0 PeerInvokePasswordDialog REG_DWORD 0x0 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eaphost\Methods\9\25 PeerDllPath REG_EXPAND_SZ C:\Program Files (x86)\Cisco\Cisco PEAP Module\CiscoEapPeap.dll PeerFriendlyName REG_SZ @C:\Program Files (x86)\Cisco\Cisco PEAP Module\CiscoEapPeap.dll,-119 Properties REG_DWORD 0x173cd9ff PeerInvokeUsernameDialog REG_DWORD 0x0 PeerInvokePasswordDialog REG_DWORD 0x0 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eaphost\Methods\9\43 PeerDllPath REG_EXPAND_SZ C:\Program Files (x86)\Cisco\Cisco EAP-FAST Module\CiscoEapFast.dll PeerFriendlyName REG_SZ @C:\Program Files (x86)\Cisco\Cisco EAP-FAST Module\CiscoEapFast.dll,-30119 Properties REG_DWORD 0x173ef9ff PeerInvokeUsernameDialog REG_DWORD 0x0 PeerInvokePasswordDialog REG_DWORD 0x0 HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Eaphost\Methods\9\43\UserData Na liście zainstalowanych są dopasowane aplikacje: ==================== Zainstalowane programy ====================== Cisco EAP-FAST Module (HKLM-x32\...\{64BF0187-F3D2-498B-99EA-163AF9AE6EC9}) (Version: 2.2.14 - Cisco Systems, Inc.) Cisco LEAP Module (HKLM-x32\...\{AF312B06-5C5C-468E-89B3-BE6DE2645722}) (Version: 1.0.19 - Cisco Systems, Inc.) Cisco PEAP Module (HKLM-x32\...\{0A4EF0E6-A912-4CDE-A7F3-6E56E7C13A2F}) (Version: 1.1.6 - Cisco Systems, Inc.) Czy w ogóle z nich korzystasz? Odinstaluj wszystkie te pozycje. A błędy w Dzienniku zdarzeń skoryguje skrypt FRST usuwający cały klucz numer "9": DeleteKey: HKLM\System\CurrentControlSet\Services\Eaphost\Methods\9 Przedstaw wynikowy fixlog.txt.

Skontaktuj się z dostawcą sieciowym i zapytaj czy adres DNS 91.189.248.66 jest poprawny (ja sądzę, że to infekcja).

O ile modyfikacja Winsock zniknęła, to mamy znów problem. Obawiam się, że tu jest jednak potwierdzona infekcja routera, bo nastąpiła ponowna samoistna zmiana adresów DNS w routerze które z takim mozołem ustawialiśmy na te same co poprzednio i są to bieżące adresy DNS: Tcpip\Parameters: [DhcpNameServer] 91.189.248.66 8.8.8.8 Tcpip\..\Interfaces\{57B329C6-0802-4E2D-BCAE-C87122E15916}: [DhcpNameServer] 91.189.248.66 8.8.8.8 To świadczy, że router nie jest zabezpieczony (podawałam już kroki). Nie mogłeś tych zmian wprowadzić... Router typu "no name", problemy przy zapisie konfiguracji, brak jawnego firmware do aktualizacji - być może trzeba będzie wymienić cały router...

Przepraszam, literówka (urwało mi jedną literę) i Fix FRSt nie wykonał zadania. Powtórz taki skrypt i dostarcz wynikowy log: Reg: reg query HKLM\System\CurrentControlSet\Services\Eaphost\Methods /s

Z tego co widzę na obrazku, są dwie partycje: ukryta "nieznana" partycja 1GB (prawdopodobnie tam jest program Recovery / specjalne narzędzia HP) oraz odkryta HP_Recovery (przypuszczalnie trzymająca przywracane dane takie jak obraz systemu). Partycja HP_Recovery była dostępna dla szyfratora. Pokaż mi zrzut ekranu co jest na tej partycji.

Brak oznak infekcji. Temat przenozę do działu Windows. Z raportów nic nie wynika. Podejrzenia budzi jednak aktywność Pakietu Bezpieczeństwa UPC (dostosowana wersja F-Secure Internet Security). Na próbę odinstaluj i podaj czy notujesz jakieś zmiany. PS. Widzę pobrany na dysk instalator SpyHunter. To skaner z czarnej listy! Z daleka od niego.

Aktualizacja jest ważna, niezależnie od tego, że używasz innej przeglądarki. Internet Explorer to komponent zintegrowany z Windows i jest używany przez system oraz aplikacje zewnętrzne, nawet jeśli z niego nie korzystasz. Obecnie w raportach nie ma żadnych oznak infekcji, wszystko co było widoczne zostało rozwiązane. Szczerze wątpię w to, że jest to problem infekcji. Wg raportów najbardziej był podejrzany router i jego adresy DNS (to już rozwiązane) oraz modyfikacja WTFast w Winsock (nieskuteczne próby resetu Winsock, więc zadałam testową deinstalację). Czy sprawdziłeś deinstalację WTFast? Po jej przeprowadzeniu nowy log FRST nie powinien pokazać żadnych linii opisanych jako Winsock, a jeśli nadal byłyby widoczne, należałoby powtórzyć reset Winsock. Problem się kwalifikuje do działu Sieci, inne dane się tam dostarcza. Nie wiem czy ktoś pociągnie temat.

Czy podczas tych zgłoszeń jest otwierana jakaś szczególna strona w Operze?

Nie wiem. To pytanie do działu Sieci. Nie. Tam był dwukropek wskazujący do czego to odnoszę. To był tekst odnoszący się do tego co zrobi Fix FRST: "wymusi aktualizację poprzez skasowanie wejścia rejestru". I to się wykonało pomyślnie. Obecnie widnieją już adresy Google pobrane z routera. Natomiast Winsock ponownie zresetowany, a widać te same wpisy. Chyba przywraca je po resecie Winsock aktywny w tle WTFast, w przeciwnym wypadku nie wiem o co chodzi. Ostatecznie mógłbyś sprawdzić czy bieżące problemy sieciowe ustąpią po tymczasowej deinstalacji WTFast. Winsock: Catalog9 01 C:\Windows\SysWOW64\WTFastDrv.dll [72296 2015-04-08] (Initex) Winsock: Catalog9 02 C:\Windows\SysWOW64\WTFastDrv.dll [72296 2015-04-08] (Initex) Winsock: Catalog9 06 C:\Windows\SysWOW64\WTFastDrv.dll [72296 2015-04-08] (Initex) Winsock: Catalog9 07 C:\Windows\SysWOW64\WTFastDrv.dll [72296 2015-04-08] (Initex) Winsock: Catalog9 15 C:\Windows\SysWOW64\WTFastDrv.dll [72296 2015-04-08] (Initex) Winsock: Catalog9-x64 01 C:\Windows\system32\WTFastDrv.dll [79464 2015-04-08] (Initex) Winsock: Catalog9-x64 02 C:\Windows\system32\WTFastDrv.dll [79464 2015-04-08] (Initex) Winsock: Catalog9-x64 06 C:\Windows\system32\WTFastDrv.dll [79464 2015-04-08] (Initex) Winsock: Catalog9-x64 07 C:\Windows\system32\WTFastDrv.dll [79464 2015-04-08] (Initex) Winsock: Catalog9-x64 15 C:\Windows\system32\WTFastDrv.dll [79464 2015-04-08] (Initex) I to by było na tyle. Na koniec zastosuj DelFix, wyczyść foldery Przywracania systemu oraz zaktualizuj Internet Explorer: KLIK.

Hmm, to dziwne że w raporcie FRST nadal były poprzednie DNS. Wymuś ponowną aktualizację wejść rejestru + ponowne podejście z resetem Winsock: 1. Otwórz Notatnik i wklej w nim: Tcpip\..\Interfaces\{57B329C6-0802-4E2D-BCAE-C87122E15916}: [DhcpNameServer] 91.189.248.66 8.8.8.8 CMD: netsh winsock reset Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut.

Nie widzę przeszkód, by ponownie zainstalować BitDefender. Ale w pierwszej kolejności dokończ wszystkie aktualizacje. SP1 to dopiero "połowa", po jego instalacji powinny się pokazać kolejne aktualizacje. Rundy powtarzasz tyle razy, aż Windows Update zwróci brak dostępnych aktualizacji.

? Strona cały czas jest dostępna i pobieram bez problemu. Jesteś pewien, że nie zablokował połączenia Comodo? Niektóre "nadgorliwe" skanery mogą blokować pobieranie stamtąd ze wględu na hostowanie specyficznych narzędzi. Skasuj plik C:\delfix.txt z dysku. To tyle.

Ad "pisałeś" - jestem kobietą. Wyniki MBAM nie są istotne w kontekście sprawy, to drobne odpadki po instalacjach adware z przeszłości, nie jest to powiązane z omawianym incydentem sieciowym. Oczywiście do usunięcia za pomocą programu. Zadane fiksy rozwiązały problem (WMI też wróciło do życia), więc zostały tylko drobne korekty. 1. W Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń adres www.istartsurf.com, przestaw na "Otwórz stronę nowej karty" Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres search.zonealarm.com 2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 3. Napraw drobny błąd WMI posługując się narzędziem Fix-it: KLIK. 4. Start > w polu szukania wklep devmgmt.msc > z prawokliku Uruchom jako Administrator > odinstaluj zdefektowane urządzenie F5521gw (nazwa wyświetlana powinna zawierać frazę "Ericsson"). 5. W kwestii tego błędu: Error: (11/21/2015 04:06:03 PM) (Source: Microsoft-Windows-EapHost) (EventID: 2002) (User: ZARZĄDZANIE NT) Description: Pomijanie: nie można zweryfikować Eap method DLL path name. Błąd: identyfikator typu=43, identyfikator autora=9, identyfikator dostawcy=0, typ dostawcy=0 Podaj więcej danych. Otwórz Notatnik i wklej w nim: Reg: reg query HKLM\System\CurentControlSet\Services\Eaphost\Methods /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Podobno to RadioLabs High Power O2Link Broadband Turbo G Router, przynajmniej tak zdefiniował to ktoś tutaj: KLIK. Na stronie producenta jakoś nie widzę żadnych linków do firmware... Ogólnie podtrzymuję poprzednie wypowiedzi, te adresy w routerze są podejrzane, a skoro nie możesz ich zedytować ani zmienić konfiguracji w celu większego zabezpieczenia, to zostaje kontakt bezpośredni z supportem.

"WLAN 11g Router" - to na pewno dokładny model routera? Nic więcej nie ma na obudowie (producent, szczegółowa nazwa modelu)?

Czyszczenie ukończone. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. I sprawdź co teraz się dzieje z Windows Update.

Nie widzę żadnych oznak infekcji, poza drobnymi odpadkami adware w Google Chrome (bez związku), choć nie podałeś obowiązkowego GMER. ComboFix także nie usuwał żadych obiektów infekcji. Nie widać także przyczyny opisywanych problemów. Czy na pewno problem z siecią wiąże się z tą instalacją Adobe, a nie jest to jakiś zbieg okoliczności i problem po stronie dostawcy? Jedyne co się rzuca w oczy to poniższe błędy w Addition, czyli uszkodzona funkcjonalność WMI oraz zdefektowany sterownik systemowy "Security Processor Loader Driver". Ten odczyt z "Security Processor Loader Driver" byłby normalny, gdyby to był log z poziomu Trybu awaryjnego, ale jest wyraźnie wzmiankowane w nagłówku, że raport tworzono w Trybie normalnym. ==================== Punkty Przywracania systemu ========================= Sprawdź usługę "winmgmt" lub napraw WMI. ==================== Wadliwe urządzenia w Menedżerze urządzeń ============= Name: Kontroler Ethernet Description: Kontroler Ethernet Class Guid: Manufacturer: Service: Problem: : The drivers for this device are not installed. (Code 28) Resolution: To install the drivers for this device, click "Update Driver", which starts the Hardware Update wizard. Name: Security Processor Loader Driver Description: Security Processor Loader Driver Class Guid: {8ECC055D-047F-11D1-A537-0000F8753ED1} Manufacturer: Service: spldr Problem: : This device is not present, is not working properly, or does not have all its drivers installed. (Code 24) Resolution: The device is installed incorrectly. The problem could be a hardware failure, or a new driver might be needed. Devices stay in this state if they have been prepared for removal. After you remove the device, this error disappears.Remove the device, and this error should be resolved. Nie za bardzo mam się czego złapać. Na razie zadam naprawę WMI oraz kilka resetów sieciowych i zobaczymy czy będą jakieś zmiany. 1. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt] "DisplayName"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-205" "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "Description"="@%Systemroot%\\system32\\wbem\\wmisvc.dll,-204" "ObjectName"="localSystem" "ErrorControl"=dword:00000000 "Start"=dword:00000002 "Type"=dword:00000020 "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00 "ServiceSidType"=dword:00000001 "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,c0,d4,01,00,01,00,00,00,e0,93,04,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Winmgmt\Parameters] "ServiceDllUnloadOnStop"=dword:00000001 "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ServiceMain"="ServiceMain" Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CHR HomePage: Default -> hxxp://search.zonealarm.com/?src=hp&tbid=HFA5&Lan=en&gu=32d502ec31054bf28499be470fae9b68&tu=10G9y00CR2C01x0&sku=&tstsId=&ver=& CHR StartupUrls: Default -> "hxxp://www.istartsurf.com/?type=hp&ts=1443427716&z=1173a13125dc3f4157bb657g5z5z9cfzco9m7meg8q&from=smt&uid=st9500420as_5vjf8wtpxxxx5vjf8wtp" HKU\S-1-5-21-623408391-927989403-1508596462-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Task: {0A2D5ACD-14F8-485E-AE59-9B16B87010C2} - System32\Tasks\Synaptics TouchPad Enhancements => Program Files\Synaptics\SynTP\SynTPEnh.exe Task: {14332C43-80E3-467A-9E02-9A42E2A16B25} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-02-13] (Lenovo) Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> Brak pliku C:\ProgramData\TEMP Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f CMD: ipconfig /flushdns CMD: netsh advfirewall reset CMD: netsh winsock reset CMD: netsh int 6to4 reset all CMD: netsh int ipv4 reset all CMD: netsh int ipv6 reset all CMD: netsh int httpstunnel reset all CMD: netsh int isatap reset all CMD: netsh int portproxy reset all CMD: netsh int tcp reset all CMD: netsh int teredo reset all Hosts: RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Muverbo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan) - ponownie z Addition, ale bez Shortcut - oraz zaległy GMER. Dołącz też plik fixlog.txt. Wypowiedz się czy są jakieś zmiany.

Wszystko zrobione, usterka także naprawiona. Jeszcze poprawki na odpadki po deinstalacjach: 1. Odinstaluj: Feedback Tool, Formant ActiveX programu Windows Live Mesh odpowiedzialny za obsługę połączeń zdalnych. 2. Otwórz Notatnik i wklej: HKU\S-1-5-21-4141374535-311919606-3590139362-1000\...\Run: [msnmsgr] => "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background HKU\S-1-5-21-4141374535-311919606-3590139362-1000\...\Run: [Agent Portfela Bitdefender] => "C:\Program Files\Bitdefender\Bitdefender 2015\bdwtxag.exe" BHO: Brak nazwy -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> Brak pliku BHO-x32: Brak nazwy -> {B164E929-A1B6-4A06-B104-2CD0E90A88FF} -> Brak pliku DPF: HKLM-x32 {4B54A9DE-EF1C-4EBE-A328-7C28EA3B433A} hxxp://quickscan.bitdefender.com/qsax/qsax.cab DPF: HKLM-x32 {7530BFB8-7293-4D34-9923-61A11451AFC5} hxxp://download.eset.com/special/eos/OnlineScanner.cab Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - Brak pliku S3 b06bdrv; \SystemRoot\system32\DRIVERS\bxvbda.sys [X] AlternateDataStreams: C:\Users\Witek\Downloads\mseinstall.exe:BDU RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Windows Live RemoveDirectory: C:\Users\Public\Desktop\CC Support RemoveDirectory: C:\Users\Witek\AppData\Local\{A7DB049D-C78A-4CD4-96B1-31A1693B1691} RemoveDirectory: C:\Users\Witek\Downloads\FRST-OlderVersion CMD: del /q C:\ProgramData\*.bdinstall.bin CMD: del /q C:\Users\Witek\Downloads\MCPR.exe CMD: del /q C:\Users\Witek\Downloads\ServicesRepair.exe CMD: del /q C:\Users\Witek\Downloads\Silverlight_x64*.exe CMD: del /q C:\Users\Witek\Downloads\The_New_Bitdefender_UninstallTool.exe CMD: del /q C:\Users\Witek\Downloads\qzv1y9ks.exe CMD: netsh advfirewall reset EmptyTemp: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart. Pokaż wynikowy fixlog.txt. Nowy skan FRST nie jest mi już potrzeby.

Owszem, sugeruję format dysku C ze względu na szkody wyrządzone przez infekcję. Natomiast instalacja Windows 10 zrobiona techniką bezpośredniej aktualizacji z Windows 7 via Windows Update nie rozwiąże problemu zaszyfrowanych plików na dysku C. Tak wykonana aktualizacja zachowuje wszystkie zainstalowane programy i foldery osobiste użytkownika, więc śmietnik po szyfratorze pozostanie. Tu należy wykonać tzw. "czystą instalację" Windows 10: KLIK.

Ta usługa rzeczywiście zniknęła, więc dlatego nie mogłeś jej znaleźć. A co do czarnego ekranu to nie wiem, ale sprawdź czy to samo występuje w trybie "czystego rozruchu": KLIK.