picasso

Podane raporty FRST pochodzą z archiwum logów C:\FRST\Logs. Bieżące raporty są tworzone w katalogu z którego jest uruchamiany FRST, czyli w tym przypadku C:\Users\Krystrian\Downloads. Zakładam, że FRST został uruchomiony tylko raz, gdyż tylko w tym scenariuszu logi z archiwum są "bieżące". W raportach brak oznak aktywnej infekcji, po infekcji zostało tylko wyszczerbione zadanie "\Krystrian" w Harmonogramie. Czyli do usunięcia tylko szczątki + inne kosmetyczne akcje. 1. Ustaw w opcjach Windows jako domyślną przeglądarkę Google Chrome. Obecnie figuruje odinstalowana Opera. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Task: {0A3F8111-7534-4C22-BE84-A570C65F5CEF} - \Krystrian -> Brak pliku Task: {C63C8B64-14D0-4A91-AE52-0D0A97E30A4E} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku CHR HKLM\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton Security\Engine\22.12.1.15\Exts\Chrome.crx CHR HKLM-x32\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton Security\Engine\22.12.1.15\Exts\Chrome.crx DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Przeglądarka Opera.lnk C:\Users\Krystrian\AppData\Local\Opera Software C:\Users\Krystrian\AppData\Roaming\Opera Software C:\Users\Krystrian\AppData\Roaming\Microsoft\Word\pytanie306308990056472741\pytanie.docx.lnk Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.

Komunikat Avast pokazuje próbę uruchomienia dziwnej strony przy udziale systemu skryptów Windows (wscript), co odpowiada opisowi zagrożenia VBS.Downloader.D. W raportach nie widać żadnego pasującego rekordu uruchamiającego tę akcję, tylko sam proces per se figuruje oraz katalog na dysku w którym potencjalnie jest skrypt VBS: ==================== Procesy (filtrowane) ================= (Microsoft Corporation) C:\Windows\System32\wscript.exe ==================== Jeden miesiąc - utworzone pliki i foldery ======== 2018-02-14 16:29 - 2018-03-14 14:24 - 000000000 ____D C:\Users\Milosz\AppData\Roaming\appmr Czy te zgłoszenia pojawiają się podczas określonych czynności, gdy jest aktywna konkretna przeglądarka lub są odwiedzane określone strony? Wstępnie usuniemy katalog "appmr", by sprawdzić jakie to będzie mieć skutki. 1. Przez Panel sterowania odinstaluj firmowy "PUP" Browser Configuration Utility. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Folder: C:\Users\Milosz\AppData\Roaming\appmr C:\Users\Milosz\AppData\Roaming\appmr C:\Users\Milosz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Games.lnk C:\Users\Milosz\Desktop\Programy\BlueStacks.lnk C:\Users\Milosz\Desktop\Programy\ROBLOX Player.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OBS Studio C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Razer HKU\S-1-5-21-3759080393-555216108-2508599083-1000\Software\Classes\regfile: regedit.exe "%1" <==== UWAGA HKU\S-1-5-21-3759080393-555216108-2508599083-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.wp.pl/?dp=20161210 SearchScopes: HKU\S-1-5-21-3759080393-555216108-2508599083-1000 -> DefaultScope {B647741E-7F89-4a4c-95AD-DCE867887740} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBD SearchScopes: HKU\S-1-5-21-3759080393-555216108-2508599083-1000 -> {604FCBFC-2B1D-48c8-99D8-4C70230AE667} URL = hxxp://www.google.com/custom?client=pub-3794288947762788&forid=1&channel=1975384696&ie=UTF-8&oe=UTF-8&safe=active&cof=GALT%3A%23008000%3BGL%3A1%3BDIV%3A%23336699%3BVLC%3A663399%3BAH%3Acenter%3BBGC%3AFFFFFF%3BLBGC%3A336699%3BALC%3A0000FF%3BLC%3A0000FF%3BT%3A000000%3BGFNT%3A0000FF%3BGIMP%3A0000FF%3BFORID%3A1&hl=pl&q={searchTerms} SearchScopes: HKU\S-1-5-21-3759080393-555216108-2508599083-1000 -> {B647741E-7F89-4a4c-95AD-DCE867887740} URL = hxxp://uk.search.yahoo.com/search?p={searchTerms}&fr=chr-devicevm&type=IEBD FF Plugin: @microsoft.com/GENUINE -> disabled [Brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Brak pliku] cmd: netsh advfirewall reset cmd: sc config "Origin Web Helper Service" start= demand Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Problemem jest szkodliwe zadanie w Harmonogramie. Przy okazji zostaną usunięte szczątki po programach. 1. Odinstaluj stare/zbędne skanery mks_vir Skaner Online, SUPERAntiSpyware. Następnie uruchom Program Install and Uninstall Troubleshooter i usuń za jego pomocą Google Update Helper. 2. FRST został uruchomiony z folderu Temp. Pobierz go ponownie na Pulpit i uruchom. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: Task: {AE8D384E-D604-4AFE-A0F1-F27F32BC6BD9} - System32\Tasks\zokidifcomkui => "C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE" zokidif.com/kui S3 MBAMSwissArmy; \SystemRoot\System32\Drivers\mbamswissarmy.sys [X] S3 MBAMWebProtection; \SystemRoot\system32\DRIVERS\mwac.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MBAMService => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MBAMService => ""="Service" HKLM\...\Run: [WindowsDefender] => "%ProgramFiles%\Windows Defender\MSASCuiL.exe" HKLM-x32\...\Run: [startCCC] => "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\amd64\CLIStart.exe" MSRun HKU\S-1-5-21-720719404-1911026811-3535350171-1001\...\Run: [ALLUpdate] => "C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe" "sleep" HKU\S-1-5-21-720719404-1911026811-3535350171-1001\...\Run: [Napisy24Update] => "C:\Program Files (x86)\Napisy24\Napisy24Update.exe" "sleep" HKU\S-1-5-21-720719404-1911026811-3535350171-1001\...\Run: [ALLPlayer WiFi Remote] => C:\Program Files (x86)\ALLPlayer Remote\ALLPlayerRemoteControl.exe BootExecute: autocheck autochk * sdnclean64.exe GroupPolicy: Ograniczenia GroupPolicy\User: Ograniczenia ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers5: [ACE] -> {5E2121EE-0300-11D4-8D3B-444553540000} => C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\atiacm64.dll -> Brak pliku ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files\Google C:\Program Files\Malwarebytes C:\Program Files\Common Files\AVG C:\Program Files (x86)\Google C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\Program Files (x86)\Common Files\hiaiQi.exe C:\ProgramData\ALLPlayerRemote C:\ProgramData\AVG C:\ProgramData\F-Secure C:\ProgramData\Mail.Ru C:\ProgramData\Spybot - Search & Destroy C:\Users\Marcin\AppData\Local\AVG C:\Users\Marcin\AppData\Local\ESET C:\Users\Marcin\AppData\Local\FSDART C:\Users\Marcin\AppData\Local\F-Secure C:\Users\Marcin\AppData\Local\Google C:\Users\Marcin\AppData\Local\Lite C:\Users\Marcin\AppData\Local\Mail.Ru C:\Users\Marcin\AppData\Local\WMI.ini C:\Users\Marcin\AppData\Roaming\wIVefiiO.exe C:\Users\Marcin\AppData\Roaming\Microsoft\Windows\SendTo\Android (ALLPlayer Pilot).lnk C:\Users\Marcin\Desktop\Desktop\Cleanup.lnk C:\Users\Marcin\Desktop\Desktop\Total Commander 64 bit.lnk C:\Users\Marcin\Desktop\Desktop\µTorrent.lnk C:\Windows\System32\Tasks\Safer-Networking cmd: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Z dostarczonych raportów nic nie wynika (ale są nieprecyzyjne, gdyż uprawnienia usług nie są pokazane). Jedyne co widać, to stan usług (nie są uruchomione). Jest aktywny ESET posiadający własną zaporę, systemowa jest w tej sytuacji deaktywowana i to stan naturalny. Czy na pewno systemowa Zapora nadal zwraca te same błędy po usunięciu ESET?

Ten sterownik wygląda na część programu związanego z dyskiem USB ("USB Flash Disk" / "USB Flash Memory Password Utility"), a oznaczenia "Intel" na VirusTotal nie odnoszą się do marki pliku lecz do typu procesora maszyny docelowej. Jest blokowany przez system, bo to stary 32-bitowy plik bez podpisu: Dziennik System: ============= Error: (02/12/2018 10:42:31 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi U3sHlpDr z powodu następującego błędu: Nastąpiło zablokowanie ładowania sterownika Error: (02/12/2018 10:42:31 PM) (Source: Application Popup) (EventID: 1060) (User: ) Description: Ładowanie sterownika \??\C:\Windows\SysWow64\Drivers\U3sHlpDr.sys zostało zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania w celu uzyskania zgodnej wersji sterownika. Czyli sterownik do usunięcia, ale z powodu tego że i tak nie działa.

Nieaktualne narzędzia do pobierania obrazów ISO Windows 10 ISO Download Tool nie jest już rozwijany i nie działa poprawnie, tzn. otwiera się całkowicie pusta strona. Jedyne co jeszcze działa w narzędziu, to link do otworzenia strony z pobieraniem Windows 11, co i tak nie ma sensu (Microsoft nie blokuje pobierania ISO Windows 11). Historyczne dane przesunięte do spoilera (w dalszej fazie post na kasację). HeiDoc.net Windows ISO Downloader jest obecnie martwy (też puste strony). Aczkolwiek on w tym temacie od początku był zbanowany ze względu na niepożądane mechanizmy. Wg FAQ zintegrowane reklamy: Q: Why have you integrated ads into the downloader? A: The cost for keeping the service up and running needs to be covered. See this forum discussion for details. The ads module is only active while you run the downloader, and does not install any components permanently on your computer. Wcześniejsza wersja wykorzystywała kopanie zasobów systemowych. FAQ posiadał następującą informację: Q: What's the deal with the Luminati network? A: Your use of the ISO downloader is free of charge in exchange for safely using some of your device's resources (WiFi and very limited cellular data), and only when you are not using your device. You may turn this off from the settings menu. Please see our TOS for further information. Participation in the Luminati network is entirely voluntary. Choosing to do so will give you prioritized access to Windows 7 and Office 2010 download links. However, it is no guarantee that your requested download can be made available. It also helps with covering development and hosting cost. Should you have any concerns with it whatsoever, feel free to opt out. If you decline the initial popup, your computer will not connect to the Luminati server.

Na temat tego procesu tutaj. Tymczasowe wysokie obciążenie może być normalne. Pozostaw go dopóki nie ukończą się operacje powiązane z aktualizacjami. Ten proces samoczynnie powinien zniknąć po wykonaniu zadania.

Usługa która odpala ten proces jako składową to MSI_ActiveX_Service: ==================== Procesy (filtrowane) ================= (Micro-Star INT'L CO., LTD.) C:\Program Files (x86)\MSI\MSI OC Kit\ActiveX_Service\MSI_ActiveX_Service.exe (Micro-Star INT'L CO., LTD.) C:\Program Files (x86)\MSI\MSI OC Kit\ActiveX_Service\VideoCardMonitorII.exe (Micro-Star INT'L CO., LTD.) C:\Program Files (x86)\MSI\MSI OC Kit\ActiveX_Service\EyeRest.exe (Micro-Star INT'L CO., LTD.) C:\Program Files (x86)\MSI\MSI OC Kit\ActiveX_Service\TriggerModeMonitor.exe (Micro-Star INT'L CO., LTD.) C:\Program Files (x86)\MSI\MSI OC Kit\ActiveX_Service\NahimicMonitor.exe ==================== Usługi (filtrowane) ==================== R2 MSI_ActiveX_Service; C:\Program Files (x86)\MSI\MSI OC Kit\ActiveX_Service\MSI_ActiveX_Service.exe [83616 2017-09-11] (Micro-Star INT'L CO., LTD.) Problem z obciążeniem WMI zgłoszony także na forum wsparcia MSI tutaj. Czyli możliwości są tu ograniczone do: zatrzymanie w/w procesów + wyłączenie tej konkretnej usługi via services.msc, wyszukanie aktualizacji oprogramowania MSI lub całkowite usunięcie tego oprogramowania.

Przypuszczalnie inny proces wpływa na obciążenie i nie jest tu wykluczony Bitdefender. Sprawdź następujące dane: 1. Prawy klik na przycisk Start > Podgląd zdarzeń > Dzienniki aplikacji i usług > Microsoft > Windows > WMI-Activity > Operational > sprawdź czy widnieją tam błędy. W przypadku błędów pobierz ich szczegóły. W szczegółach błędu powinien widnieć Identyfikator procesu klienta z numerem. Ten numer to PID obciążającej usługi. 2. Otwórz Menedżer procesów, wejdź do karty Usługi i wyszukaj numer pobrany w punkcie 1. Podaj dane jaka usługa jest z nim powiązana.

Z okazji Świąt Bożego Narodzenia najlepsze życzenia dla wszystkich użytkowników Fixitpc!

Wszystko zostało wykonane. Proszę wypowiedz się jaka jest obecnie sytuacja i co jeszcze wymaga naprawy.

Infekcja dodała nową pozycję startową Windows Fast Mode (zgłaszaną przez Ciebie na zrzucie ekranu z msconfig) powiązaną z dwoma fałszywymi plikami "Microsoftu" cytowanymi przeze mnie powyżej: Moduł ładujący rozruchu systemu Windows --------------------------------------- Identyfikator {default} device partition=C: path \Windows\system32\osloader.exe description Windows Fast Mode inherit {bootloadersettings} recoveryenabled Yes osdevice partition=C: systemroot \Windows kernel ntkrnlmp.exe resumeobject {12d7614e-af7c-11e7-aa78-806e6f6e6963} nx OptIn 1. Start > w polu szukania wpisz msconfig > z prawokliku Uruchom jako administrator. W karcie Rozruch podświetl pozycję "Windows 7" i kliknij Ustaw jako domyślne. Następnie podświetl pozycję Windows Fast Mode i kliknij w Usuń. Zresetuj system, by zweryfikować naprawę rozruchu. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: Task: {02A87268-D054-4BF3-9498-E960654F0618} - System32\Tasks\{D729A34A-4E63-43ED-9915-7E80F68DBE09} => C:\Program Files\Malwarebytes Anti-Malware\mbam.exe Task: {07F4C288-08ED-45E1-A51E-CBA49E5E95C3} - System32\Tasks\{DC1475FA-5460-4B87-89F0-E7D216FBB415} => C:\Windows\system32\pcalua.exe -a C:\Users\Agata\Downloads\windirstat1_1_2_setup.exe -d C:\Users\Agata\Downloads Task: {23B63F3E-1A83-4A59-906C-FA51F4D55B97} - System32\Tasks\{7E4349BD-F604-4FE3-9F0E-DBE4D263ABC5} => C:\Program Files\Malwarebytes Anti-Malware\mbam.exe Task: {3C0F6439-588F-49FC-BA0F-9836F2148267} - System32\Tasks\{778711A2-51A4-40BF-856D-ACC826CF2597} => C:\Windows\system32\pcalua.exe -a "C:\Users\Agata\Downloads\FC MpTool(04.03.08)\FC MpTool.exe" -d "C:\Users\Agata\Downloads\FC MpTool(04.03.08)" Task: {68DF0F1D-4413-495E-A32D-51761E0522BE} - System32\Tasks\{CA190B01-7F80-449C-918C-05B2ED748B1D} => C:\Windows\system32\pcalua.exe -a "C:\Users\Agata\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\PWMQ8V52\JavaSetup8u111.exe" -d C:\Users\Agata\Desktop Task: {77E60949-61D7-4280-AA71-E6E08EDC975B} - System32\Tasks\JetCleanLoginCheckUpdate => C:\Users\Agata\Desktop\JetCleanPortable_1.5.0.129\AutoUpdate.exe Task: {78629897-A6F3-4B1D-B2C4-AD9FEF67E17D} - System32\Tasks\{BCF316B5-84B8-4058-97CE-C63F16F12A0F} => C:\Windows\system32\pcalua.exe -a "C:\Users\Agata\JetCleanPortable_1.5.0.129 program do czyszczenia\Install.exe" -d "C:\Users\Agata\JetCleanPortable_1.5.0.129 program do czyszczenia" TTask: {EAF1649C-8C9F-4688-83F8-39831ADA17F0} - System32\Tasks\{F0E04983-07AF-44DB-ADCB-B3AAACF7E1CB} => C:\Program Files\Malwarebytes Anti-Malware\mbam.exe MSCONFIG\startupreg: Spotify => "C:\Users\Agata\AppData\Roaming\Spotify\Spotify.exe" -autostart -minimized MSCONFIG\startupreg: Spotify Web Helper => "C:\Users\Agata\AppData\Roaming\Spotify\SpotifyWebHelper.exe" DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google C:\ProgramData\TEMP C:\ProgramData\hgf.3dew C:\Users\Agata\AppData\Roaming\Duo-Dox.bin C:\Users\Agata\AppData\Roaming\Transex.exe C:\Windows\system32\ntkrnlmp.exe C:\Windows\system32\osloader.exe Folder: C:\Windows\SysWOW64\.ipfs C:\Windows\SysWOW64\.ipfs Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Loaderem systemu Windows 7 jest winload.exe a nie osloader.exe. Ten plik wygląda na malware pomimo opisu "Microsoft Corporation", pierwszy log pokazywał że plik został utworzony w grupie malware: ==================== Jeden miesiąc - utworzone pliki i foldery ======== 2017-10-12 20:39 - 2017-10-12 20:39 - 000000266 __RSH C:\Users\Agata\ntuser.pol 2017-10-12 17:52 - 2017-10-13 01:28 - 000000008 _____ C:\ProgramData\hgf.3dew 2017-10-12 17:52 - 2017-10-13 01:20 - 000000000 ____D C:\Windows\SysWOW64\.ipfs 2017-10-12 17:51 - 2017-10-12 21:33 - 000000000 ____D C:\ProgramData\ad8a42d0-6cd7-1 2017-10-12 17:51 - 2017-10-12 21:33 - 000000000 ____D C:\ProgramData\ad8a42d0-4af5-0 2017-10-12 17:51 - 2017-10-12 17:51 - 001370624 _____ C:\Windows\windefender.exe 2017-10-12 17:51 - 2017-10-12 17:51 - 000024312 _____ C:\Windows\System32\Tasks\{7D7A7E47-0A0D-0A7E-0511-0B7E087D1178} 2017-10-12 17:51 - 2017-10-12 17:51 - 000021540 _____ C:\Windows\System32\Tasks\L0qObltTFUur 2017-10-12 17:50 - 2017-10-12 17:51 - 005547752 _____ (Microsoft Corporation) C:\Windows\system32\ntkrnlmp.exe 2017-10-12 17:50 - 2017-10-12 17:51 - 000633296 _____ (Microsoft Corporation) C:\Windows\system32\osloader.exe 2017-10-12 17:49 - 2017-10-12 17:49 - 000016706 _____ C:\Windows\System32\Tasks\Moon Manager 2017-10-12 17:48 - 2017-10-13 01:19 - 000000000 ____D C:\Program Files\8ZCB25VOSK 2017-10-12 17:47 - 2017-10-13 01:20 - 000000000 ____D C:\Users\Agata\AppData\Roaming\nt0qd4ngbvo 2017-10-12 17:47 - 2017-10-13 01:19 - 000000000 ____D C:\Program Files (x86)\L0qObltTFUur 2017-10-12 17:47 - 2017-10-13 01:19 - 000000000 ____D C:\Program Files (x86)\fbg33l1j5hc 2017-10-12 17:46 - 2017-10-13 01:20 - 000000000 ____D C:\Users\Agata\AppData\Roaming\qtbfehtpxob 2017-10-12 17:46 - 2017-10-12 17:46 - 000003474 _____ C:\Windows\System32\Tasks\8f5924d3f0decf6b4ab73c990a7a077b 2017-10-12 17:46 - 2017-10-12 17:45 - 002904064 _____ (Adobe Systems Incorporated) C:\ProgramData\KeService.exe 2017-10-12 17:45 - 2017-10-13 01:19 - 000000000 ____D C:\Program Files\129TZA7WHV 2017-10-12 17:45 - 2017-10-12 17:50 - 000003158 _____ C:\Windows\System32\Tasks\3ff2108d7185625d7293e4213106116d 2017-10-12 10:14 - 2017-10-13 02:30 - 000000000 ____D C:\Users\Agata\Desktop\Agata 2017-10-11 21:45 - 2017-10-11 21:45 - 000358400 _____ C:\Windows\0c27bc2489ccbd6abf90736157684dfa.exe 2017-10-11 21:45 - 2017-10-11 21:45 - 000037170 _____ C:\Windows\uninstaller.dat Był też przecież robiony skan SFC i to dwa razy, w żadnym skanie ten plik nie jest wykrywany jako naruszony, a byłby gdyby należał do plików systemowych. Poproszę o nowy skan FRST z zaznaczoną opcją Lista BCD, Addition i Shortcut niepotrzebne. Dodatkowo, wklej w polu Szukaj ntkrnlmp.exe i klik w Szukaj plików.

Problemem nie jest infekcja i temat zostanie przeniesiony do działu Windows. Defekt jest ulokowany w kontach. Konto Julia stało się kontem tymczasowym przekierowanym na inną ścieżkę, ze względu na nieokreśloną "Odmowę dostępu". Problemem może być uszkodzenie trwałe konta, błędy dysku i podobne sytuacje. Uruchomiony z C:\Windows\System32\config\systemprofile\Desktop\Nowy folder Załadowane profile: False (Dostępne profile: Julia & UpdatusUser & Gość) <==== UWAGA (Profil tymczasowy?) ==================== Konta użytkowników: ============================= Administrator (S-1-5-21-3165617500-2676056306-2059482004-500 - Administrator - Disabled) Gość (S-1-5-21-3165617500-2676056306-2059482004-501 - Limited - Enabled) => C:\Users\Gość HomeGroupUser$ (S-1-5-21-3165617500-2676056306-2059482004-1005 - Limited - Enabled) Julia (S-1-5-21-3165617500-2676056306-2059482004-1000 - Administrator - Enabled) => C:\Users\TEMP.Julia-Komputer UpdatusUser (S-1-5-21-3165617500-2676056306-2059482004-1002 - Limited - Enabled) => C:\Users\TEMP Dziennik Aplikacja: ================== Error: (12/04/2017 07:40:04 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1505) (User: Julia-Komputer) Description: System Windows nie może załadować profilu użytkownika, ale wykonał logowanie przy użyciu domyślnego profilu systemowego. SZCZEGÓŁY - Odmowa dostępu. Error: (12/04/2017 07:37:25 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1500) (User: Julia-Komputer) Description: System Windows nie może wykonać logowania, ponieważ nie można załadować Twojego profilu. Sprawdź, czy masz połączenie z siecią i czy sieć działa poprawnie. SZCZEGÓŁY - Odmowa dostępu. Zostanie podjęta próba odzyskania konta, a gdy się nie powiedzie, opcją będzie założenie nowego. Działania do przeprowadzenia: 1. Potrzebne konto pośrednie do przeprowadzenia operacji. Włącz wbudowane konto Administrator. Start > w polu szukania wpisz lusrmgr.msc > z prawokliku Uruchom jako Administrator. Dwuklik w Użytkownicy > dwuklik w Administratora i włącz konto. 2. Wyloguj się całkowicie z obecnego tymczasowego konta poprzez pełny restart komputera a nie opcje Wyloguj / Przełącz użytkownika. Zaloguj się na Administratora. Uruchom na nim Reprofiler. Rozłącz konto Julia opcją Detach, a następnie połącz z folderem C:\Users\Julia. 3. Zresetuj komputer. Zaloguj się na Julia. Jeśli logowanie nastąpi pomyślnie i nie będzie komunikatu o logowaniu via profil tymczasowy, zrób nowe raporty z FRST (wszystkie trzy).

Types Strona domowa Platforma: Windows XP, Vista, Windows 7 Licencja: GPL (open source) Types - Lekkie narzędzie konfiguracyjne obsługujące zarządzanie typami plików, o wiele lepsze i czytelniejsze niż natywna zakładka typów plików w Windows. Aplikacja umożliwia: kasowanie typów plików, edytowanie skojarzeń programowych, modyfikowanie ikon / menu kontekstowych i innych skorelowanych danych. Ma purystycznie lecz zgrabnie rozwiązany cały interfejs z podziałem na klasy i typy. We właściwościach rozszerzenia więcej danych. Narzędzie nie wymaga instalacji. Windows XP: wymagane .NET Framework 2.0.

Komunikat z obrazka jest związany ze zintegrowanym w FRST ERUNT i nic w tej kwestii nie można zdziałać. Niestety ostatni Fix również nieskuteczny. Kolejne podejście: 1. Panel sterowania > Programy > zainstalowane aktualizacje > upewnij się że nie ma tam pozycji KB3004394. Jeśli jest. Odinstaluj. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: StartBatch: net stop cryptsvc esentutl /p C:\Windows\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb /o net start cryptsvc EndBatch: Folder: C:\Windows\system32\catroot2 Folder: C:\Windows\system32\catroot2.OLD Folder: C:\Windows\system32\catroot2.bak Folder: C:\Windows\system32\catroot Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

O ile wpisy "Brak pliku" zostały poprawnie ukryte po naprawie Path, niestety masowy "Brak podpisu cyfrowego" od góry do dołu. Kolejne podejście: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: StartBatch: net stop CryptSvc ren C:\Windows\System32\catroot2 catroot2.OLD EndBatch: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Nastąpi restart i powstanie kolejny fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Shortcut). Dostarcz też fixlog.txt.

Nic już nie przywracaj przy pomocy Jv16 PowerTools. Teraz po skanie chkdsk ponów te działania: Narzędzie wcześniej było już pobrane, ale czy na pewno zostało poprawnie uruchomione? W ostatnim logu FRST nie było świeżo utworzonego folderu "Catroot2.bak", który powstaje gdy się uruchamia opcję agresywną. Nie zapomnij wybrać trybu "Aggressive".

Szukasz w Eksploratorze Windows, a ja mówiłam o Dzienniku zdarzeń. Start > w polu szukania wpisz eventvwr.msc > rozwiń gałąź Dzienniki systemu Windows > Aplikacja > w kolumnie Źródło szukaj "Wininit". Jakie wpisy? Usunięte wpisy "Brak pliku", o których tu mówiłam, zostały już odtworzone w moim skrypcie FRST, a fałszywe zgłoszenie "Brak pliku" zniknęło poprzez stworzenie zmiennej Path (o ile wykonałeś). Ten C:\Documents and settings to link symboliczny zapętlony zwrotnie, dlatego ścieżka tak długa. Ta ścieżka Cię nie interesuje, to link, ścieżka zasadnicza to C:\Users.

Punkt 1 nie był związany ze skanem. Co z punktem 2? Detekcja custmon32i.dll wygląda na fałszywy alarm. Ten plik jest używany przez różne aplikacje (poprawne i szkodliwe), u Ciebie prawdopodobnie pochodna instalacji PDF Creator. A Kingsoft jako taki i tak był planowany przeze mnie do deinstalacji (po naprawie systemu), bo to stary program i już nierozwijany. Więcej tutaj: KLIK. Co masz na myśli?

Wpisy uprzednio usunięte za pomocą skryptu FRST zostały pomyślnie przywrócone (widać je ponownie jako "Brak pliku"). Path definitywnie jest naruszone, tzn. w ogóle brak tej zmiennej, stąd fałszywe odczyty "Brak pliku". W kwestii masowego "Braku podpisu cyfrowego", brak zmian po użyciu Fix It. I problem uszkodzenia bazy Catroot2 wygląda na powiązany z uszkodzeniami struktury plików, o czym mówi zarówno ekran ze sprawdzaniem spójności, jak i komunikat FRST o uszkodzeniu. Uszkodzenia dysku mogą być też przyczyną spowolnienia systemu. Nie jest wykluczone, że jest ogólny problem z dyskiem. Wstępnie: 1. Panel sterowania > System i konserwacja > System > Zaawansowane ustawienia systemu > Zmienne środowiskowe > w sekcji Zmienne systemowe klik w "Nowa", jako nazwę wprowadź Path, a jako wartość zmiennej następujący ciąg: %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem Zresetuj system, by zmiany weszły w życie. 2. Start > w polu szukania wpisz cmd > z prawokliku "Uruchom jako administrator" > w oknie wklej komendę i ENTER: chkdsk /f /r Zatwierdź uruchomienie przy następnym starcie i resetuj system, by checkdisk wykonał pracę. Wynik zostanie nagrany w Dzienniku zdarzeń w gałęzi Aplikacja w postaci rekordu z Wininit. Pobierz szczegóły tego rekordu, skopiuj i wklej do posta statystyki. 3. Na razie pomijam naruszenie Catroot2, trzeba obejrzeć wyniki z naprawiania checkdisk. PS. A temat przenoszę do działu Windows, problemy w ogóle nie są pochodną infekcji.

Przepraszam, zaćmiło mnie. Oczywiście nakładka tylko spod działającego Windows i to tutaj definitywnie odpada. To już omówione przez mnie. Skan w trybie "offline" nie nagrywa logów i nie ma żadnych danych poza tym co już wykryte. Skan z FRST jest ograniczony tylko do wybranych plików i nie jest w żadnym wypadku odpowiednikiem skanu SFC. Jak mówiłam, moim zdaniem naprawa, sprowadzona do podstawiania pliku za plikiem w odpowiedniej wersji z alternatywnego systemu, nie wydaje się opłacalna, a wyniki reperacji nie mają gwarancji. Jawne 48 plików do podmiany, reszta plików też budzi podejrzenia i jeszcze nie wiadomo ile jest takich uszkodzeń. W związku z tym proponuję skopiować z poziomu płyty ważne dane z tego systemu na alternatywny nośnik i system postawić od nowa. Dla jasności, mogę się podjąć tego podstawiania plików, ale wydaje mi się to po prostu nie warte zachodu.

Skan SFC na razie opuść. Widać dwa typy uszkodzeń nienaprawialne via SFC: 1. Prawdopodobne naruszenie zmiennej Path ("Brak pliku" na wpisach relatywnych Microsoftu). Niestety niektóre zostały przetworzone w skrypcie FRST i trzeba to odkręcić. S3 WinHttpAutoProxySvc; winhttp.dll [X] HKLM\...\Providers\Internet Print Provider: inetpp.dll HKLM\...\Providers\LanMan Print Services: win32spl.dll HKLM\...\Run: [OA001Cfg.exe] => OA001Cfg.exe Filter: application/octet-stream - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll Brak pliku Filter: application/x-complus - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll Brak pliku Filter: application/x-msdownload - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll Brak pliku ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => syncui.dll -> Brak pliku ContextMenuHandlers1: [Sharing] -> {f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} => ntshrui.dll -> Brak pliku ContextMenuHandlers2: [Sharing] -> {f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} => ntshrui.dll -> Brak pliku ContextMenuHandlers4: [Sharing] -> {f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} => ntshrui.dll -> Brak pliku ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => syncui.dll -> Brak pliku Task: {C8B3025B-D21E-4527-BBC6-CDFBFEB026E1} - System32\Tasks\Microsoft\Windows\Bluetooth\UninstallDeviceTask => BthUdTask.exe UWAGA: ==> Nie można uzyskać dostępu do BCD. 2. Masowy "Brak podpisu cyfrowego" wynika z dysfunkcji Usług kryptograficznych. Log sugeruje uszkodzenie bazy Catroot2, gdyż w Dzienniku widać następujący błąd: Dziennik Aplikacja: ================== Error: (11/18/2017 08:54:39 PM) (Source: Microsoft-Windows-CAPI2) (EventID: 257) (User: ) Description: Zainicjowanie bazy danych wykazu przez Usługi kryptograficzne nie powiodło się. Błąd ESENT: -583. 1. Wstępnie skrypt pobierający dane o zmiennej Path, importujący wcześniej usunięte wpisy z rejestru oraz usuwający drobne śmieci. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: U5 AppMgmt; C:\Windows\system32\svchost.exe [21504 2008-01-21] (Microsoft Corporation) [Brak podpisu cyfrowego] <==== UWAGA (Brak ServiceDLL) HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" MSCONFIG\startupreg: HP Software Update => FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF Extension: (Microsoft .NET Framework Assistant) - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2013-01-17] [Przestarzałe] [Brak podpisu cyfrowego] CHR HKU\S-1-5-21-129483142-3514389360-151311165-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\jan\AppData\Local\Google\Drive\apdfllckaahabafndbhieahigkjlhalf_live.crx <nie znaleziono> DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main CMD: set StartRegedit: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\BriefcaseMenu] @="{85BBD920-42A0-1069-A2E4-08002B30309D}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\Sharing] @="{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shellex\ContextMenuHandlers\Sharing] @="{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing] @="{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\BriefcaseMenu] @="{85BBD920-42A0-1069-A2E4-08002B30309D}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85BBD920-42A0-1069-A2E4-08002B30309D}] @="Briefcase" "InfoTip"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,\ 6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,\ 00,73,00,68,00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,\ 2d,00,32,00,32,00,39,00,31,00,37,00,00,00 "LocalizedString"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,\ 6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,\ 00,5c,00,73,00,68,00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,\ 2c,00,2d,00,32,00,32,00,39,00,37,00,38,00,00,00 "FriendlyTypeName"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,\ 00,6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,\ 32,00,5c,00,73,00,68,00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,\ 00,2c,00,2d,00,32,00,32,00,39,00,37,00,38,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85BBD920-42A0-1069-A2E4-08002B30309D}\DefaultIcon] @=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,79,00,\ 6e,00,63,00,75,00,69,00,2e,00,64,00,6c,00,6c,00,2c,00,30,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85BBD920-42A0-1069-A2E4-08002B30309D}\InProcServer32] @="syncui.dll" "ThreadingModel"="Apartment" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85BBD920-42A0-1069-A2E4-08002B30309D}\shellex] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85BBD920-42A0-1069-A2E4-08002B30309D}\shellex\PropertySheetHandlers] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85BBD920-42A0-1069-A2E4-08002B30309D}\shellex\PropertySheetHandlers\{1f2e5c40-9550-11ce-99d2-00aa006e086c}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85BBD920-42A0-1069-A2E4-08002B30309D}\ShellFolder] "Attributes"=dword:70000136 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}] @="Shell extensions for sharing" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}\InProcServer32] @="ntshrui.dll" "ThreadingModel"="Apartment" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinHttpAutoProxySvc] "DisplayName"="@%SystemRoot%\\system32\\winhttp.dll,-100" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\ 00,65,00,00,00 "Description"="@%SystemRoot%\\system32\\winhttp.dll,-101" "ObjectName"="NT AUTHORITY\\LocalService" "ErrorControl"=dword:00000001 "Start"=dword:00000003 "Type"=dword:00000020 "DependOnService"=hex(7):44,00,68,00,63,00,70,00,00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\ 00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,00,6c,\ 00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,00,61,\ 00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "FailureActions"=hex:00,5c,26,05,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinHttpAutoProxySvc\Parameters] "ServiceDll"=hex(2):77,00,69,00,6e,00,68,00,74,00,74,00,70,00,2e,00,64,00,6c,\ 00,6c,00,00,00 "ServiceMain"="WinHttpAutoProxySvcMain" "ServiceDllUnloadOnStop"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinHttpAutoProxySvc\Security] "Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,70,00,05,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,14,00,14,00,00,00,01,01,00,00,00,00,00,05,04,00,00,00,00,00,14,00,14,00,\ 00,00,01,01,00,00,00,00,00,05,06,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\ 00,01,01,00,00,00,00,00,05,12,00,00,00 EndRegedit: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Powstanie kolejny fixlog.txt. 2. Uruchom narzędzie Fix It 50202: KLIK. Zaznacz tryb agresywny - opcja uwzględnia reset bazy Catroot2. 3. Zresetuj system. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Shortcut). Dostarcz też fixlog.txt.

Duplikaty łączę. Dostarcz dane wymagane działem: https://www.fixitpc.pl/forum-38/announcement-3-wa%C5%BCne-zak%C5%82adanie-tematu-obowi%C4%85zkowe-logi/

Temat założony w złym dziale (publikacja tutoriali), przenoszę. Tytuł dopasowuję do treści. Nie, ComboFix nie obsługuje systemów Windows 8.1 i Windows 10. Jeśli potrzebujesz pomocy z malware, dostarcz wymagane działem dane; https://www.fixitpc.pl/forum-38/announcement-3-wa%C5%BCne-zak%C5%82adanie-tematu-obowi%C4%85zkowe-logi/