picasso

Na koniec: Skasuj folder C:\Users\Mate\Desktop\FRST. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu (aktualnie powinien być tylko punkt utworzony skryptem FRSt): KLIK.

Czyli czyścimy ręcznie? Teraz absolutnie wykluczone, bo w starcie jest infekcja i może uruchomić szyfrowanie na każdym świeżo podpiętym dysku. Dysk będziesz mógł podłączyć dopiero, gdy wyczyszczę system. Nie. Ta infekcja szyfrująca to nie jest wirus, który modyfikuje kod programów. A to że programy są obecnie uszkodzone, bo ich pliki zostały zamienione zaszyfrowanymi wersjami, to inna sprawa. Wg raportu ostatnio instalowałeś tylko AVG (szczątki), MBAM, Panda i lewy SpyHunter. Stare Ad-aware i TrendMicro zaś siedzą bardzo długo w systemie. To komputer ASUS mający liczne integracje firmowe, więc TrendMicro to prawie na pewno jedna z tych integracji obecna już od momentu zainstalowania Windows. PS. "sam rozumiesz" = jestem kobietą.

Ustawienia DNS na pewno zapisały się? Jeśli chodzi o resztę: czy sama zmiana hasła z pominięciem pozostałych kroków ze zdalnym dostępem jest możliwa do zapisania? Gdy się upewnisz, że serwery DNS są na pewno zapisane, zresetuj swój komputer i zrób nowy log FRST. Podaj też czy widzisz jakieś zmiany po rekonfiguracji DNS.

Tak, ta aktualizacja to jest nowa wersja systemu o oznaczeniu Windows 10 Wersja 1511. Starsza wersja systemu przesunięta do Windows.old. W ustawieniach zobaczysz nową opcję: Ustawienia > System > Aktualizacje i zabezpieczenia > Odzyskiwanie > Wróć do poprzedniej kompilacji. Opcja ta będzie widoczna dopóki istnieje Windows.old. Windows samoczynnie usuwa ten katalog po predefiniowanym czasie, ale proces można przyśpieszyć posługując się narzędziem Oczyszczania dysku: klik w ikonkę wyszukiwania na pasku zadań > wklep Oczyszczanie dysku > klik w Oczyść pliki systemowe > zaznacz Poprzednie instalacje systemu Windows > OK. Ta aktualizacja również podmieniła zawartość Recovery, tak że opcje Odśwież czy Resetuj komputer będą przeładowywać już zaktualizowaną wersję.

Oczywiście nie ma znaczenia który komputer użyjesz do dostania się do konfiguracji routera.

Niestety, jeśli nie było żadnej innej kopii przechowywanej w bezpiecznym miejscu, nie ma szans na odzyskanie plików. Podsumowując: - Plików nie można odkodować bez uiszczenia opłaty przestępcom. Nie ma dekodera do tego wariantu, bo jest to awykonalne technicznie (klucz prywatny nie jest zapisywany na dysku). - Odpada wyszukiwanie poprzednich wersji plików na dysku C w kopiach Przywracania systemu, a dysk D nie wchodzi w zakres tych rozważań, bo domyślnie Przywracanie jest aktywne tylko dla dysku systemowego. Infekcja ta usuwa wszystkie punkty Przywracania systemu. Te które widać u Ciebie są za nowe. Wg raportu plik infekcji powstał w nocy 13-11-2015, pierwszy punkt Przywracania systemu wykonany przez Windows Update pochodzi już z czasu późniejszego. - Nikłe szanse zdziałania czegokolwiek przy udziale programów do odzyskiwania danych typu TestDisk / PhotoRec i podobne. Po pierwsze: komputer działa cały czas (non-stop zapisy na dysku). Po drugie, ten wariant infekcji mógł zastosować tzw. "bezpieczne wymazywanie danych z dysku", by uniemożliwić zastosowanie programów do odzyskiwania danych. Na wszelki wypadek można sprawdzić któryś z programów co widzi, ale to i tak nie może być próbowane gdy infekcja jest nadal czynna. Co widzę w raportach: bardzo zły stan systemu i potężny śmietnik. Za duża ilość czynnych antywirusów, w tym archaiczne programy zabezpieczające (Ad-Aware z 2009, Trend Micro Titanium Internet Security z 2010!) - powinieneś conajmniej notować wyraźne zamulenie systemu, obiekt infekcji szyfrującej w starcie (ale brak procesu w tle, co sugeruje ukończenie szyfrowania), infekcje adware w Google Chrome i Firefox. Windows w obecnym stanie ma prędzej kwalifikację na format, bo i tak czyszczenie nie zlikwiduje wszystkich skutków infekcji (zostaną uszkodzone programy i elementy Windows pozbawione plików które zmieniły się w zaszyfrowane ekwiwalenty). Ale mogę się tego podjąć. Podejmij decyzję co robimy w tej materii. PS. Przestroga na przyszłość: posługiwałeś się SpyHunter. To wątpliwy skaner z czarnej listy! Namolnie promowany w tendencyjnie skonstruowanych opisach "usuwania infekcji" jako ich dedykowana szczepionka, a chodzi tylko o klik i instalację, która prowadzi do komunikatów o zakupach pełnej wersji.

Czas już skorygowałeś (widać w nagłówku Fixlog). Fix wykonany pomyślnie. Nie mam tu nic więcej do roboty. Na zakończenie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

No cóż, nadal jest ten sam podejrzany DNS, aczkolwiek nie mam 100% pewności że to coś złego. Mamy problem, by wejść do konfiguracji routera, więc tu chyba już nie zaradzę i być może trzeba wesprzec się pomocą technika. Tylko tak zapytam: czy jest możliwość tymczasowo zmienić konfigurację sieciową, by ten router był powiązany z Twoim komputerem bezpośrednio? Może to pomogłoby wejść do ustawień. Nawiasem mówiąc, jaki komunikat zwraca ta strona testu Orange? Jak mówiłam, jest też modyfikacja Winsock filtrująca ruch sieciowy wprowadzona przez WTFast, ale jej na razie nie ruszam, bo nie jest wyjaśniony punkt powyżej. Jeśli chodzi o pozostałe sprawy, to wszystko poszło gładko i tylko poprawki. Otwórz Notatnik i wklej w nim: Task: {350778DB-C499-4AD5-8619-180911F0A9A6} - System32\Tasks\{C5A8F6F0-F57A-4BC1-AA18-4FEB2C46A3B6} => pcalua.exe -a C:\Users\Mikołaj\Desktop\Downloads\DSL-G604t_fw_revALL_200b01t01eu20050930_ALL_en_050930\DLinkEU_DSL-G604T_V2.00B01T01.EU.20050930_upgradeB10.exe -d C:\Users\Mikołaj\Desktop\Downloads\DSL-G604t_fw_revALL_200b01t01eu20050930_ALL_en_050930 RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\ProgramData\Norton RemoveDirectory: C:\Users\Mikołaj\AppData\Local\Mozilla RemoveDirectory: C:\Users\Mikołaj\AppData\Roaming\Mozilla RemoveDirectory: C:\Users\Mikołaj\AppData\Roaming\Picexa Viewer CMD: del /q C:\Windows\system32\REN*.tmp Reg: reg delete HKCU\Software\Mozilla /f Reg: reg delete HKCU\Software\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE /f Reg: reg delete HKLM\SOFTWARE\Mozilla /f Reg: reg delete HKLM\SOFTWARE\MozillaPlugins /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Mozilla /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\mozilla.org /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\MozillaPlugins /f Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw fixlog.txt.

W raporcie nie było śladów stosowania AdwCleaner. Czy nadal na dysku jest folder C:\AdwCleaner z logami? Jeśli jest, to przedstaw logi. I zrób kosmetyczne poprawki na odpadkowe wpisy Avast i McAfee. Otwórz Notatnik i wklej w nim: CreateRestorePoint: HKLM-x32\...\Run: [mcpltui_exe] => "C:\Program Files\Common Files\McAfee\Platform\mcuicnt.exe" /platui ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku S4 McProxy; "C:\Program Files\Common Files\mcafee\platform\McSvcHost\McSvHost.exe" /McCoreSvc [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcpltsvc => ""="" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcpltsvc => ""="" FirewallRules: [{4A74CCCF-8AC8-4BA2-A79A-CAEE0713A655}] => (Allow) C:\Program Files\Common Files\mcafee\platform\McSvcHost\McSvHost.exe FirewallRules: [{36034A72-8DBE-43C0-BC8A-4C0E3D78445E}] => (Allow) C:\Program Files\Common Files\mcafee\platform\McSvcHost\McSvHost.exe C:\ProgramData\AVAST Software Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v HotKeysCmds /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IgfxTray /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v mcpltui_exe /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowy skan FRST nie jest mi potrzebny.

1. W raportach nie ma żadnych widocznych oznak infekcji. Jaki typ reklam się wyświetla i podczas jakich akcji? Zaprezentuj zrzut ekranu. Czy problem występuje tylko w Firefox, czy również w systemowym Internet Explorer? 2. Datę masz ustawioną mocno "przodu": Uruchomiony przez Asus (administrator) LAPTOP (17-12-2017 16:09:40) Datę należy skorygować ręcznie w ustawieniach czasu systemu. Po korekcie ustąpią problemy z komunikatami o certyfikatach.

Klawisz z flagą Windows + X > Uruchom > regedit > przejdź do klucza: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IpOverUsbSvc Dwuklik w wartość Start i zamień figurującą tam liczbę 2 na 4. Zresetuj system. Podaj czy są jakieś widoczne zmiany w starcie systemu.

EDIT: To jest bug FRST Wersja:16-11-2015, bo u mnie właśnie pokazało się dokładnie to samo co u Ciebie. Jeśli wrócę na starszą wersję 7-11-2015, skan wygląda jak powinien. Wszystko jest w porządku ze sterownikami. Już zgłosiłam autorowi problem.

Skoro to jest adapter USB, to wg manuala tam nie ma żadnej konfiguracji tego typu. Czyli jest jeszcze router? To na tym drugim urządzeniu zastosuj przycisk reset i po tym spróbuj się zalogować do interfejsu konfiguracji routera.

Infekcja pomyślnie usunięta. Zostaje nierozwiązywalny problem zaszyfrowanych plików na wszystkich dyskach. Na dysku C dostało się także plikom programów i Windows, więc pewne ubytki odnotujesz np. w opcjach niektórych aplikacji. Jedyne co jest w mojej gestii, to ewentualne usunięcie zaszyfrowanych kopii z wybranych miejsc. Teraz na spokojnie wybierz który wariant wdrażamy dla dysku C: - Usunięcie wszystkich zaszyfrowanych plików z dysku C. Nadal zostanie problem naruszonych programów i przy natknięciu się na taki kwiatek wymagana reinstalacja danego programu. - Format partycji C. Pliki na innych dyskach niż systemowy to osobna sprawa. To już do ewentualnego ręcznego posprzątania z zachowaniem na wszelki wypadek ważnych zaszyfrowanych kopii. Na teraz i tak nie ma żadnych szans, by je odkodować.

To jest cała nazwa: Windows Phone IP over USB Transport. Wątpliwością tu jest tylko czy na początku tej nazwy figuruje dodatkowe słowo "Usługa", czy też nie. Jeśli na 100% nie będzie tego widać, podam sposób jak to wyłączyć w inny sposób.

Objaw nie jestem niczym dobrym, ale nie widzę jawnych oznak infekcji... Skopiuj na Pulpit poniższe foldery: C:\Program Files (x86)\Opera C:\Users\wojtuq\AppData\Roaming\Opera Software Spakuj do jednego ZIP, shostuj gdzieś paczkę i na PW wyślij link. EDIT: W paczkach nic podejrzanego nie widzę. Jedyne referencje do adresu tradeadexchange.com znajduję w plikach Cookies i History Provider Cache. Pozostałe wystąpienia adresu nie są szkodliwe, tzn. lista blokująca µBlock (...Opera Software\Opera Stable\Extensions\kccohkcpppjjkkjppopfnflnebibpida\1.3.2_0\assets\thirdparties\easylist-downloads.adblockplus.org\easylist.txt) oraz zapamiętany w Historii tytuł tutejszego tematu wymieniający ten adres. W związku z tym przychodzi mi do głowy tylko wyczyszczenie danych przeglądania Opery: 1. Ustawienia > Prywatność i bezpieczeństwo > Wyczyść dane przeglądania > ustaw przedział czasowy "od samego początku" i zaznacz wszystkie pozycje z wyjątkiem haseł i formularzy > Wyczyść dane przeglądania. 2. Uruchom ponownie Operę i podaj czy MBAM nadal zgłasza te połączenia.

Napisałeś to w taki sposób jakbyś szukał dwóch, a to jest jedna usługa "Windows Phone IP over USB Transport". Ona powinna być widoczna. Sprawdź dokładnie czy nie widać jej pod nazwą "Usługa Windows Phone IP over USB Transport". DelFix wykonał zadanie, skasuj z dysku plik C:\delfix.txt. A w skanie MBAM nie widać żadnych rootkitów, tylko szczątki adware w magazynie HTML5 (rodzaj podobny do "ciasteczek") Google Chrome, co rzecz jasna do usunięcia.

1. Tu masz instrukcję tworzenia pełnego zrzutu pamięci: KLIK. Była wprawdzie mowa o zrzucie pamięci konkretnego procesu, ale szerszy zakres danych może być wymagany, bo prawdopodobnie lista procesów nie jest ograniczona do jednej instancji. Procesy są widziane różnie: w FRST nie widać ani jednego z procesów infekcji pasujących do istniejących wpisów startowych (evdyx-a.exe, ydcfwkop.exe), ale w GMER jeden z nich figuruje jako ukryty (evdyx-a.exe), i nie jestem pewna czy ten stan się przypadkiem nie zmienił (mogą być aktywne dwa lub nawet inne procesy mogły się pojawić). 2. Do zrzutu aktywności sieciowej możesz użyć np. kombinację WinPcap + WinDump. Zrzuty prześlij mgrzeg do analizy.

Skoro nie można się dostać do interfejsu logowania routera w taki sposób, możesz zrobić reset fabryczny za pomocą przycisku na obudowie, co także zresetuje ustawienia DNS skonfigurowane w routerze. Jeżeli ta operacja pozwoli się zalogować do routera, to natychmiast zmienić hasło i wyłączyć dostęp zdalny, jak omawiane powyżej. A reszta instrukcji nadal bez zmian.

Infekcja pomyślnie usunięta. Oczywiście na dyskach C, D, F pozostały masowo utworzone obiekty wtórne (pliki HELP_DECRYPT.* + HOWTO_RESTORE_FILES.*) oraz zaszyfrowane pliki. Możesz przejść do formatowania dysku C, co rozwiąże problemy pozostałości. Na dyskach D i F będziesz musiał ręcznie posprzątać śmieci utworzone przez infekcje szyfrujące.

W związku z tym, że najwyraźniej zmaipulowałeś nazwę użytkownika muszą być zastosowane obejścia, bo Fix FRST nie przetworzy fałszywej ścieżki. W podstawowej wersji instrukcja wyglądałaby tak: 1. Zaznacz myszką poniższy tekst widoczny na szarym tle i skopiuj (prawy przycisk myszki > opcja Kopiuj): CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2198406095-3139052445-529361822-1000\...\Run: [43715f4] => C:\Windows\syswow64\regsvr32.exe C:\43715f47\43715f47.dll HKU\S-1-5-21-2198406095-3139052445-529361822-1000\...\Run: [43715f47] => C:\Windows\syswow64\regsvr32.exe C:\Users\9DEC~1\AppData\Roaming\43715f47.dll ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => Brak pliku SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> DefaultScope - brak wartości BHO-x32: Pomocnik logowania za pomocą identyfikatora Windows Live -> {9030D464-4C02-4ABF-8ECC-5164760863C6} -> C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll => Brak pliku Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku CustomCLSID: HKU\S-1-5-21-2198406095-3139052445-529361822-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\ \AppData\Local\Google\Update\1.3.25.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2198406095-3139052445-529361822-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\ \AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2198406095-3139052445-529361822-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\ \AppData\Local\Google\Update\1.3.23.9\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2198406095-3139052445-529361822-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\ \AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2198406095-3139052445-529361822-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\ \AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2198406095-3139052445-529361822-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\ \AppData\Local\Google\Update\1.3.24.15\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2198406095-3139052445-529361822-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\ \AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2198406095-3139052445-529361822-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\ \AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2198406095-3139052445-529361822-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\ \AppData\Local\Google\Update\1.3.24.7\psuser_64.dll => Brak pliku FF Plugin-x32: @gamersfirst.com/LiveLauncher -> C:\Program Files (x86)\GamersFirst\LIVE!\nplivelauncher.dll [brak pliku] FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files (x86)\Microsoft Silverlight\5.1.30214.0\npctrl.dll [brak pliku] FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird => nie znaleziono Task: {C21B1897-B6D0-4ACE-8D03-2E6CD2C2B5B4} - System32\Tasks\{4C9E6C00-A383-45DA-B774-7798CD037CAD} => pcalua.exe -a "C:\Users\ \AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\Q7TKM0BK\AdobeAIRInstaller.exe" -d C:\Users\ \Desktop Task: {FE455A8A-43C1-4E43-9479-254E4DE89BCD} - System32\Tasks\{E157E865-4215-455C-9649-2BEEB499C422} => pcalua.exe -a H:\setup.exe -d H:\ -c /autorun S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] S3 gdrv; \??\C:\Windows\gdrv.sys [X] S3 GGSAFERDriver; \??\D:\programy\Garena Plus\Room\safedrv.sys [X] S3 X6va005; \??\C:\Users\9DEC~1\AppData\Local\Temp\005D02B.tmp [X] AlternateDataStreams: C:\Users\9DEC~1\Local Settings:init C:\43715f47 C:\Program Files (x86)\mozilla firefox\plugins CMD: netsh advfirewall reset CMD: del /q %appdata%\43715f47.dll CMD: del /q %appdata%\7za.exe CMD: del /q %appdata%\a.7z CMD: del /q %appdata%\Mozilla\Firefox\Profiles\pbfzvjtn.default\prefs.js CMD: del /q %appdata%\Mozilla\Firefox\Profiles\pbfzvjtn.default\Extensions\*.xpi CMD: del /q "%localappdata%\Google\Chrome\User Data\Default\Preferences" CMD: del /q "%localappdata%\Google\Chrome\User Data\Default\Web Data" CMD: attrib -r -h -s C:\HELP_DECRYPT.* /s CMD: attrib -r -h -s D:\HELP_DECRYPT.* /s CMD: del /q /s C:\HELP_DECRYPT.* CMD: del /q /s D:\HELP_DECRYPT.* Hosts: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Otwórz Notatnik i wklej skopiowany tekst (czyli z prawokliku opcja Wklej). Plik zapisz pod nazwą fixlist.txt w tym samym folderze gdzie jest FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi automatyczny restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Fix może długo się wykonywać ze względu na rekursywne usuwanie wszystkich plików typu HELP_DECRYPT.* z dysków C i D. 2. Dostarcz dane powierdzające usunięcie infekcji, czyli: - Zrób nowy log FRST wg instrukcji: KLIK. Logi należy doczepić w postaci załączników [to mógłbyś opisać rodzicom dokładniej gdzie szukać opcji na forum]. - Wynikowy plik fixlog.txt też potrzebuję sprawdzić, ale on będzie bardzo duży i się nie zmieści w załącznikach. Za pomocą zainstalowanego WinRAR spakuj więc do ZIP ten plik, umieść na jakimś serwisie hostingowym [tu podać rodzicom jaki i jak obsłużyć] i podaj link w poście. To byłoby doraźne rozwiązanie polegające na usunięciu czynnej infekcji oraz dorobionych masowo przez infekcję plików HELP_DECRYPT*. Pozostałby problem zaszyfrowanych danych, z którymi nic nie da się zrobić, oraz uszkodzeń programów i Windows spowodowanych brakiem plików występujących już w postaci zaszyfrowanej (to wymagałoby i tak przeinstalowania określonych rzeczy). Na dalszą metę można sformatować system, gdy będziesz osobiście pilotował sprawę. Moim zdaniem nie opłaca się bulić informatykowi, który nic ponad opisaną procedurę (lub od razu format dysku) nie zdziała.

O jakim IP mówisz? Logując się do routera poprzez wklepanie adresu IP w pasku należy użyć adres widziany w ipconfig (linia Default Gateway / Domyślna brama). Czy ten adres nie wchodzi w przeglądarce, by dostać się do konfigu routera?

Infekcja nadal czynna, tylko zmienił się układ. Niestety stan został pogorszony jeszcze bardziej, wykonane podwójne szyfrowanie danych, co jest karkołomną kombinacją nie do rozwiązania. Pojawił się drugi szyfrator danych TeslaCrypt zastępujący poprzednika - widać na dysku zakodowane pliki o rozszerzeniu *.ccc. Tego wariantu też nie da się odszyfrować, ale tu jest skomasowana niemożność dekodowania (Cryptowall > TeslaCrypt). Jedyne co mogę zrobić, to usunąć czynną infekcję, ale po tym sugeruję od razu zrobić kompleksowy format dysku, bo podwójne szyfrowanie to rozległa dewastacja i nie wszystkie uszkodzenia zrobione przez infekcje jestem w stanie naprawić. Poza tym, widać że ten system był w przeszłości poddawany działaniu innych inwazyjnych infekcji (np. ZeroAccess) i mam silne wątpliwości czy szkody po tej infekcji były w owym czasie zlikwidowane. Zaszyfrowanych danych niestety nie da się odzyskać. Doraźne usunięcie czynnej infekcji, by przygotować się do formatu: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: (Microsoft Corporation) C:\Windows\explorer.exe CreateRestorePoint: HKLM\...\Run: [aspnet_regsql] => C:\ProgramData\aspnet_regsql.exe [4096 2015-11-06] () HKLM-x32\...\Run: [mobilegeni daemon] => C:\Program Files (x86)\Mobogenie\DaemonProcess.exe HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [qewr2342] => C:\Users\Primol\AppData\Roaming\javcw-a.exe HKLM\...\Policies\Explorer: [TaskbarNoNotification] 1 HKLM\...\Policies\Explorer: [HideSCAHealth] 1 HKU\S-1-5-21-1571191598-4212959213-3768767430-1000\...\Run: [OpAgent] => "OpAgent.exe" /agent HKU\S-1-5-21-1571191598-4212959213-3768767430-1000\...\Run: [GalaxyClient] => [X] HKU\S-1-5-21-1571191598-4212959213-3768767430-1000\...\Run: [Akdworks] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\Primol\AppData\Local\Ahbhworks\cbdqutnw.dll HKU\S-1-5-21-1571191598-4212959213-3768767430-1000\...\Run: [Opfics] => regsvr32.exe C:\Users\Primol\AppData\Local\Opfics\qpmhudvp.dll HKU\S-1-5-21-1571191598-4212959213-3768767430-1000\...\Run: [qewr2342] => C:\Users\Primol\AppData\Roaming\javcw-a.exe HKU\S-1-5-21-1571191598-4212959213-3768767430-1000\...\Policies\Explorer: [] HKU\S-1-5-21-1571191598-4212959213-3768767430-1000\...\Policies\Explorer: [TaskbarNoNotification] 1 HKU\S-1-5-21-1571191598-4212959213-3768767430-1000\...\Policies\Explorer: [HideSCAHealth] 1 GroupPolicyScripts: Ograniczenia GroupPolicyScripts\User: Ograniczenia ShellIconOverlayIdentifiers: [0PerformanceMonitor] -> {3B5B973C-92A4-4855-9D3F-0F3D23332208} => Brak pliku ShellIconOverlayIdentifiers: [1MediaIconsOverlay] -> {1EC23CFF-4C58-458f-924C-8519AEF61B32} => Brak pliku Startup: C:\Users\Primol\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\fliptoast.lnk [2011-12-20] CustomCLSID: HKU\S-1-5-21-1571191598-4212959213-3768767430-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Primol\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1571191598-4212959213-3768767430-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Primol\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1571191598-4212959213-3768767430-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Primol\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1571191598-4212959213-3768767430-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Primol\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1571191598-4212959213-3768767430-1000_Classes\CLSID\{F6BF8414-962C-40FE-90F1-B80A7E72DB9A}\InprocServer32 -> C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}\acledit.dll () Task: {09F03BE8-6E4F-4610-A3B9-668AD9EBC1C8} - System32\Tasks\{CEDF1330-0C5A-44E4-AA75-592A848B1745} => pcalua.exe -a C:\Users\Primol\Desktop\Diablo-III-8370-plPL-Installer-downloader.exe -d C:\Users\Primol\Desktop Task: {1E22C2E3-6561-4497-99B3-E00C51AF888B} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe Task: {6CB06F2E-A2E0-420D-935D-BE104A20A03C} - System32\Tasks\{5A9547FB-9643-42E1-B1F5-075256CDFEBC} => pcalua.exe -a D:\Steam\steam.exe -c steam://uninstall/34030 Task: {B3ED0109-542A-43BC-8173-716170065817} - System32\Tasks\{1120A0E6-7B1D-475B-BCF3-331D089C76F1} => pcalua.exe -a "D:\GameJack 5\GameJack.exe" -d "D:\GameJack 5\" S3 ALSysIO; \??\C:\Users\Primol\AppData\Local\Temp\ALSysIO64.sys [X] S3 cpuz135; \??\C:\Windows\TEMP\cpuz135\cpuz135_x64.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] U3 awrdipob; \??\C:\Users\Primol\AppData\Local\Temp\awrdipob.sys [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.aartemis.com/web/?type=ds&ts=1387320947&from=cor&uid=SAMSUNGXHD502HJ_S20BJA0B902971&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.aartemis.com/web/?type=ds&ts=1387320947&from=cor&uid=SAMSUNGXHD502HJ_S20BJA0B902971&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.aartemis.com/web/?type=ds&ts=1387320947&from=cor&uid=SAMSUNGXHD502HJ_S20BJA0B902971&q={searchTerms} HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.aartemis.com/web/?type=ds&ts=1387320947&from=cor&uid=SAMSUNGXHD502HJ_S20BJA0B902971&q={searchTerms} BHO: Hotspot Shield Class -> {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} -> C:\Program Files (x86)\Hotspot Shield\HssIE\HssIE_64.dll => Brak pliku StartMenuInternet: IEXPLORE.EXE - iexplore.exe FF Plugin-x32: @esn/npbattlelog,version=2.3.2 -> C:\Program Files (x86)\Battlelog Web Plugins\2.3.2\npbattlelog.dll [brak pliku] FF Plugin-x32: @pandonetworks.com/PandoWebPlugin -> C:\Program Files (x86)\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] C:\Program Files\Common Files\WireHelpSvc.exe C:\ProgramData\aspnet_regsql.exe C:\ProgramData\RegComSrv.txt.ccc C:\ProgramData\taskeng.dll C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8} C:\Users\Primol\AppData\Local\Ahbhworks C:\Users\Primol\AppData\Local\Mobogenie C:\Users\Primol\AppData\Local\Opfics C:\Users\Primol\AppData\Roaming\Thumbs.db C:\Users\Primol\AppData\Roaming\Mozilla\Firefox\Profiles\m74d7t5z.default\Extensions\{85D5939E-85A9-5C88-43B7-612ABE9DADBA} RemoveDirectory: C:\Users\Primol\AppData\Local\{8c0f2b29-12c2-451d-2f6c-52ae1a624c64} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt.

Poprawiłam formatowanie posta. Wiele podejrzanych: - Owszem, widać w raportach aktywne adware Monarch Find (plus inne niepożądane ingerencje, w tym zainfekowany Firefox) i jest to jedna z możliwych przyczyn problemów. - Aczkolwiek tu zwraca też uwagę modyfikacja Winsock wprowadzona przez świeżo zainstalowane oprogramowanie Winfast. - I niepokoi mnie zakreślony serwer DNS pobierany z routera, mimo że to teoretycznie polski adres: KLIK. Ale on nie odpowiada dostawcy IP pod jakim widać Cię na forum, oraz to szczególne sparowanie z adresem Google budzi podejrzenia, taki układ jest charakterystyczny dla infekcji routera... No i posiadasz router TP-Link (zainstalowane oprogramowanie TL-WN721N/TL-WN722N Driver). Tcpip\Parameters: [DhcpNameServer] 91.189.248.66 8.8.8.8 Operacje do wykonania: 1. Na wszelki wypadek zmień ustawienia DNS routera. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Deinstalacje: ----> Przez Panel sterowania odinstaluj: - Adware: Monarch Find, Picexa. - Stare wersje i zbędniki: Adobe Flash Player 17 NPAPI, Adobe Flash Player 17 PPAPI, Bing Bar, HP Deskjet 1050 J410 series — badanie mające na celu poprawę produktów, Mozilla Firefox 39.0.3 (x86 pl), Mozilla Maintenance Service, Visual Studio 2012 x64 Redistributables, Visual Studio 2012 x86 Redistributables (te dwie instancje Visual Studio to odpadki po odinstalowanym AVG). Przy deinstalacji Firefox potwierdź usuwanie profilu z dysku. ----> Widać też na liście odpadek Norton Internet Security, więc zastosuj narzędzie Norton Removal Tool. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-1687086191-1766106099-2116064288-1000 -> DefaultScope {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = StartMenuInternet: IEXPLORE.EXE - iexplore.exe StartMenuInternet: (HKLM) OperaStable - C:\Program Files (x86)\Opera\Launcher.exe hxxp://www.delta-homes.com/?type=sc&ts=1442922687&z=00cfbeb7cfa4e6b4da75c59g8z2z1o7t6o7o7qabab&from=ient07031&uid=WDCXWD10EZEX-08M2NA0_WD-WMC3F281549915499 R2 IhPul; C:\Users\Mikołaj\AppData\Roaming\TSv\TSvr.exe [396944 2015-09-21] (tsvr.com) S2 AODDriver4.2.0; \??\C:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [X] S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] HKLM-x32\...\Run: [] => [X] Startup: C:\Users\Mikołaj\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Powiadomienia monitorowania tuszu - HP Deskjet 1050 J410 series.lnk [2015-09-24] Task: {8544BECD-DAC2-4836-87C5-54C5157CE170} - System32\Tasks\{8E6FEE63-0839-4370-BB85-19DB3776E470} => pcalua.exe -a C:\Users\Mikołaj\Desktop\Downloads\ATRAC3\atrac3.exe -d C:\Users\Mikołaj\Desktop\Downloads\ATRAC3 Task: {C6DACE99-4A63-4EF0-B318-EDEDB5EC65DF} - System32\Tasks\{E89BCD4F-D5D9-4AAF-A94E-55FE9FA2ABDE} => pcalua.exe -a C:\Users\Mikołaj\Desktop\Downloads\ASIO4ALL_2_9_English.exe -d C:\Users\Mikołaj\Desktop\Downloads Task: {F3209651-0958-49DD-8652-0DCA7902C4F4} - System32\Tasks\{C2D6D357-69B7-4F4F-AC90-30998891EDEC} => pcalua.exe -a C:\Users\Mikołaj\Desktop\Downloads\Metin2Mod_2013SF_13012015.exe -d C:\Users\Mikołaj\Desktop\Downloads C:\Program Files (x86)\AVG C:\Program Files (x86)\Monarch Find C:\Program Files (x86)\Picexa C:\Program Files (x86)\Vuze C:\Program Files (x86)\Common Files\6b8a269e-46ff-4899-a3e6-0e20ae670c9b C:\ProgramData\6b8a269e-46ff-4899-a3e6-0e20ae670c9b C:\ProgramData\AVG C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Vuze.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\STAR WARS Battlefront Beta C:\Users\Mikołaj\AppData\Local\Avg C:\Users\Mikołaj\AppData\Roaming\appdataFr3.bin C:\Users\Mikołaj\AppData\Roaming\PLZQ C:\Users\Mikołaj\AppData\Roaming\WISZARM C:\Users\Mikołaj\AppData\Roaming\AVG C:\Users\Mikołaj\AppData\Roaming\Azureus C:\Users\Mikołaj\AppData\Roaming\OpenCandy C:\Users\Mikołaj\AppData\Roaming\RPEng C:\Users\Mikołaj\AppData\Roaming\TSv C:\Windows\SysWOW64\pl.html Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Mikołaj\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się jak sprawy wyglądają oraz potwierdź mi, że w Google Chrome i Operze nie występują reklamy "Monarch Find", bo jeśli tak, to jest tu globalna modyfikacja niewidzialna w raporcie i trzeba będzie podjąć inne kroki.

1. FRST zadanie jednak wykrył i częściowo usunął, w międzyczasie zadanie bowiem zmieniło identyfikator rejestru. Nadal widzę je w Harmonogramie, ale już w postaci zupełnie zdewastowanej. Kolejna poprawka. Otwórz Notatnik i wklej w nim: Task: {F8A026DC-D6B7-4FA3-A818-D3E21CB700A2} - \AutoKMS -> Brak pliku CMD: set Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Druga sprawa, czy przypadkiem w Autoruns nie ruszałeś czegoś więcej niż zadane? Widzę nową i to niekorzystną zmianę, otóż nagle z niewiadomych powodów masa sterowników (uprzednio filtrowana) się ujawniła pokazując "brak pliku", co nie jest normalne. Fix FRST w ogóle nie ruszał tego obszaru, więc powstaje pytanie skąd ta usterka. W powyższym fixie zadałam komendę sprawdzania Zmiennych środowiskowych, może tam coś się uszkodziło. R3 1394ohci; \SystemRoot\System32\drivers\1394ohci.sys [X] S3 acpipagr; \SystemRoot\System32\drivers\acpipagr.sys [X] S3 AcpiPmi; \SystemRoot\System32\drivers\acpipmi.sys [X] S3 acpitime; \SystemRoot\System32\drivers\acpitime.sys [X] R1 AFD; \SystemRoot\system32\drivers\afd.sys [X] S3 AmdK8; \SystemRoot\System32\drivers\amdk8.sys [X] S3 AmdPPM; \SystemRoot\System32\drivers\amdppm.sys [X] S3 AppID; \SystemRoot\system32\drivers\appid.sys [X] R1 AVGIDSShim; \SystemRoot\system32\DRIVERS\avgidsshimw8x.sys [X] R1 Avgwfpx; \SystemRoot\system32\DRIVERS\avgwfpx.sys [X] R3 b57nd60x; \SystemRoot\system32\DRIVERS\b57nd60x.sys [X] R1 BasicDisplay; \SystemRoot\System32\drivers\BasicDisplay.sys [X] R1 BasicRender; \SystemRoot\System32\drivers\BasicRender.sys [X] R3 BCM43XX; \SystemRoot\system32\DRIVERS\bcmwl63l.sys [X] S3 bcmfn2; \SystemRoot\System32\drivers\bcmfn2.sys [X] S3 BthAvrcpTg; \SystemRoot\System32\drivers\BthAvrcpTg.sys [X] S3 BthHFEnum; \SystemRoot\System32\drivers\bthhfenum.sys [X] S3 bthhfhid; \SystemRoot\System32\drivers\BthHFHid.sys [X] S3 BTHMODEM; \SystemRoot\System32\drivers\bthmodem.sys [X] R1 cdrom; \SystemRoot\System32\drivers\cdrom.sys [X] S3 circlass; \SystemRoot\System32\drivers\circlass.sys [X] R3 CmBatt; \SystemRoot\System32\drivers\CmBatt.sys [X] R3 CompositeBus; \SystemRoot\System32\drivers\CompositeBus.sys [X] S3 dmvsc; \SystemRoot\System32\drivers\dmvsc.sys [X] S3 drmkaud; \SystemRoot\system32\drivers\drmkaud.sys [X] R3 DXGKrnl; \SystemRoot\System32\drivers\dxgkrnl.sys [X] S3 E1G60; \SystemRoot\system32\DRIVERS\E1G60I32.sys [X] S3 ErrDev; \SystemRoot\System32\drivers\errdev.sys [X] S3 fdc; \SystemRoot\System32\drivers\fdc.sys [X] S3 flpydisk; \SystemRoot\System32\drivers\flpydisk.sys [X] S3 FxPPM; \SystemRoot\System32\drivers\fxppm.sys [X] S3 gencounter; \SystemRoot\System32\drivers\vmgencounter.sys [X] S3 GPIO; \SystemRoot\System32\drivers\iaiogpio.sys [X] S3 HdAudAddService; \SystemRoot\system32\drivers\HdAudio.sys [X] R3 HDAudBus; \SystemRoot\System32\drivers\HDAudBus.sys [X] S3 HidBatt; \SystemRoot\System32\drivers\HidBatt.sys [X] S3 HidBth; \SystemRoot\System32\drivers\hidbth.sys [X] S3 hidi2c; \SystemRoot\System32\drivers\hidi2c.sys [X] S3 HidIr; \SystemRoot\System32\drivers\hidir.sys [X] R3 HidUsb; \SystemRoot\System32\drivers\hidusb.sys [X] S3 hyperkbd; \SystemRoot\System32\drivers\hyperkbd.sys [X] S3 HyperVideo; \SystemRoot\system32\DRIVERS\HyperVideo.sys [X] R3 i8042prt; \SystemRoot\System32\drivers\i8042prt.sys [X] S3 iaioi2c; \SystemRoot\System32\drivers\iaioi2c.sys [X] R3 igfx; \SystemRoot\system32\DRIVERS\igdkmd32.sys [X] R3 IntcAzAudAddService; \SystemRoot\system32\drivers\RTKVHDA.sys [X] R3 intelppm; \SystemRoot\System32\drivers\intelppm.sys [X] S3 IPMIDRV; \SystemRoot\System32\drivers\IPMIDrv.sys [X] R2 irda; \SystemRoot\system32\DRIVERS\irda.sys [X] S3 iScsiPrt; \SystemRoot\System32\drivers\msiscsi.sys [X] R3 kbdclass; \SystemRoot\System32\drivers\kbdclass.sys [X] S3 kbdhid; \SystemRoot\System32\drivers\kbdhid.sys [X] R3 kdnic; \SystemRoot\system32\DRIVERS\kdnic.sys [X] R2 lltdio; \SystemRoot\system32\DRIVERS\lltdio.sys [X] R2 luafv; \SystemRoot\system32\drivers\luafv.sys [X] R3 monitor; \SystemRoot\System32\drivers\monitor.sys [X] R3 mouclass; \SystemRoot\System32\drivers\mouclass.sys [X] R3 mouhid; \SystemRoot\System32\drivers\mouhid.sys [X] S3 MRxDAV; \SystemRoot\system32\drivers\mrxdav.sys [X] S3 MsBridge; \SystemRoot\system32\DRIVERS\bridge.sys [X] S3 msgpiowin32; \SystemRoot\System32\drivers\msgpiowin32.sys [X] S3 mshidkmdf; \SystemRoot\System32\drivers\mshidkmdf.sys [X] S3 mshidumdf; \SystemRoot\System32\drivers\mshidumdf.sys [X] S3 MSKSSRV; \SystemRoot\system32\drivers\MSKSSRV.sys [X] S3 MsLldp; \SystemRoot\system32\DRIVERS\mslldp.sys [X] S3 MSPCLOCK; \SystemRoot\system32\drivers\MSPCLOCK.sys [X] S3 MSPQM; \SystemRoot\system32\drivers\MSPQM.sys [X] R1 mssmbios; \SystemRoot\System32\drivers\mssmbios.sys [X] S3 MSTEE; \SystemRoot\system32\drivers\MSTEE.sys [X] S3 MTConfig; \SystemRoot\System32\drivers\MTConfig.sys [X] R2 NativeWifiP; \SystemRoot\system32\DRIVERS\nwifi.sys [X] S3 NdisCap; \SystemRoot\system32\DRIVERS\ndiscap.sys [X] S3 NdisImPlatform; \SystemRoot\system32\DRIVERS\NdisImPlatform.sys [X] S3 NdisTapi; \SystemRoot\system32\DRIVERS\ndistapi.sys [X] R3 Ndisuio; \SystemRoot\system32\DRIVERS\ndisuio.sys [X] R3 NdisVirtualBus; \SystemRoot\System32\drivers\NdisVirtualBus.sys [X] S3 NdisWan; \SystemRoot\system32\DRIVERS\ndiswan.sys [X] S3 NdisWanLegacy; \SystemRoot\system32\DRIVERS\ndiswan.sys [X] S3 netvsc; \SystemRoot\System32\drivers\netvsc63.sys [X] R1 npsvctrig; \SystemRoot\System32\drivers\npsvctrig.sys [X] R3 NSCIRDA; \SystemRoot\system32\DRIVERS\nscirda.sys [X] S3 Parport; \SystemRoot\System32\drivers\parport.sys [X] S2 Parvdm; \SystemRoot\System32\drivers\parvdm.sys [X] S3 Processor; \SystemRoot\System32\drivers\processr.sys [X] R1 Psched; \SystemRoot\system32\DRIVERS\pacer.sys [X] S3 QWAVEdrv; \SystemRoot\system32\drivers\qwavedrv.sys [X] S3 RasPppoe; \SystemRoot\system32\DRIVERS\raspppoe.sys [X] R3 rdpbus; \SystemRoot\System32\drivers\rdpbus.sys [X] R2 rspndr; \SystemRoot\system32\DRIVERS\rspndr.sys [X] S3 s3cap; \SystemRoot\System32\drivers\vms3cap.sys [X] R3 sdbus; \SystemRoot\System32\drivers\sdbus.sys [X] S3 sdstor; \SystemRoot\System32\drivers\sdstor.sys [X] S3 Serenum; \SystemRoot\System32\drivers\serenum.sys [X] S3 Serial; \SystemRoot\System32\drivers\serial.sys [X] S3 sermouse; \SystemRoot\System32\drivers\sermouse.sys [X] S3 sfloppy; \SystemRoot\System32\drivers\sfloppy.sys [X] R3 SrvHsfHDA; \SystemRoot\system32\DRIVERS\VSTAZL3.SYS [X] R3 SrvHsfV92; \SystemRoot\system32\DRIVERS\VSTDPV3.SYS [X] R3 SrvHsfWinac; \SystemRoot\system32\DRIVERS\VSTCNXT3.SYS [X] R3 swenum; \SystemRoot\System32\drivers\swenum.sys [X] S3 TCPIP6; \SystemRoot\system32\DRIVERS\tcpip.sys [X] R1 tdx; \SystemRoot\system32\DRIVERS\tdx.sys [X] S3 terminpt; \SystemRoot\System32\drivers\terminpt.sys [X] R3 tifm21; \SystemRoot\system32\drivers\tifm21.sys [X] S3 TPM; \SystemRoot\system32\drivers\tpm.sys [X] S3 TsUsbGD; \SystemRoot\System32\drivers\TsUsbGD.sys [X] R3 tunnel; \SystemRoot\system32\DRIVERS\tunnel.sys [X] S3 UASPStor; \SystemRoot\System32\drivers\uaspstor.sys [X] S3 UCX01000; \SystemRoot\System32\drivers\ucx01000.sys [X] S3 UEFI; \SystemRoot\System32\drivers\UEFI.sys [X] R3 umbus; \SystemRoot\System32\drivers\umbus.sys [X] S3 UmPass; \SystemRoot\System32\drivers\umpass.sys [X] R3 usbaudio; \SystemRoot\system32\drivers\usbaudio.sys [X] R3 usbccgp; \SystemRoot\System32\drivers\usbccgp.sys [X] S3 usbcir; \SystemRoot\System32\drivers\usbcir.sys [X] R3 usbehci; \SystemRoot\System32\drivers\usbehci.sys [X] R3 usbhub; \SystemRoot\System32\drivers\usbhub.sys [X] S3 USBHUB3; \SystemRoot\System32\drivers\UsbHub3.sys [X] S3 usbohci; \SystemRoot\System32\drivers\usbohci.sys [X] S3 usbprint; \SystemRoot\System32\drivers\usbprint.sys [X] S3 USBSTOR; \SystemRoot\System32\drivers\USBSTOR.SYS [X] R3 usbuhci; \SystemRoot\System32\drivers\usbuhci.sys [X] S3 USBXHCI; \SystemRoot\System32\drivers\USBXHCI.SYS [X] S3 vhdmp; \SystemRoot\System32\drivers\vhdmp.sys [X] S3 ViaC7; \SystemRoot\System32\drivers\viac7.sys [X] S3 VMBusHID; \SystemRoot\System32\drivers\VMBusHID.sys [X] R3 vwifibus; \SystemRoot\System32\drivers\vwifibus.sys [X] R1 vwififlt; \SystemRoot\system32\DRIVERS\vwififlt.sys [X] S3 WacomPen; \SystemRoot\System32\drivers\wacompen.sys [X] S3 WdBoot; \SystemRoot\system32\drivers\WdBoot.sys [X] S3 WdFilter; \SystemRoot\system32\drivers\WdFilter.sys [X] S3 WinUsb; \SystemRoot\system32\DRIVERS\WinUsb.sys [X] R3 WmiAcpi; \SystemRoot\System32\drivers\wmiacpi.sys [X] S4 ws2ifsl; \SystemRoot\system32\drivers\ws2ifsl.sys [X] S3 WUDFRd; \SystemRoot\System32\drivers\WUDFRd.sys [X] S3 WUDFWpdFs; \SystemRoot\system32\DRIVERS\WUDFRd.sys [X] S3 WUDFWpdMtp; \SystemRoot\system32\DRIVERS\WUDFRd.sys [X]