picasso

Nie. FRST skanuje tylko i wyłącznie istniejące obiekty na dysku w predefiniowanych lokalizacjach, nie notuje żadnych operacji usuwania (to niemożliwe do przedstawienia w skanie). FRST tylko tyle potwierdza, że w zakresie czasowym folderu nie ma na Pulpicie. Owszem, Przywracanie systemu wyłączone, więc nie ma magazynu cieniowego i ten trop całkowicie tu odpada. Na wszelki wypadek zapytam: czy w eksploratorze Windows wyszukiwałeś nie tylko na nazwę folderu ale też na przykładową nazwę pliku z tego folderu? Dla świętego spokoju mógłbyś jeszcze uruchomić SpaceSniffer, który pokazuje klikalną mapę dysku, by zweryfikować czy ten folder przypadkiem nie został przelokowany w inne miejsce. Co do Recuva niekoniecznie, już mogło nastąpić "zamazanie" jakimś kolejnym zapisem miejsca na dysku w którym był folder, co powoduje że żaden program do odzyskiwania może nie dać rady wykryć usuniętego obiektu. System od momentu operacji na Pulpicie działał aktywnie, co oznacza że wykonywały się zapisy na dysku i to nie tylko te robione prze Ciebie ręcznie. Takich programów jest chmara, tylko jest tu problem. Masz tylko jedną partycję C, a nie wolno instalować programów do odzyskiwania na tym samym dysku z którego się odzyskuje, ani nic na dysku C nowego zapisywać (wliczając próbę przywrócenia skasowanych danych), bo to redukuje szanse odzysku. Podcinanie gałęzi na której się siedzi. Należałoby wybrać program typu portable nie wymagający instalacji, który zostałby pobrany i uruchomiony z jakiegoś nośnika przenośnego typu pendrive, lub program który działa bezpośrednio z płyty CD. W każdym razie spróbuj tego: podepnij pendrive, zapisz i rozpakuj na nim DMDE. Sprawdź czy program wykrywa ten usunięty folder.

Raporty FRST skonfigurowane w inny sposób niż zalecone: opcje Lista BCD, MD5 sterowników i Pliki z 90 dni nie miały być zaznaczone. To są detekcje pod określone przypadki i prosi o taki skan prowadzący pomoc, domyślnie te dane tylko pogrubiają raporty i mało co wnoszą do sprawy. Usuwam też nadwyżkowe zbędne logi z E-Peek i FSS. Ogólnie, opisane problemy nie są wynikiem infekcji i temat jedzie do innego działu: Opis wskazuje, że należy szukać w innej sferze a nie systemie operacyjnym, skoro nawet jest problem z wejściem do BIOS. Temat przenoszę do działu Hardware. Dane wymagane działem: KLIK. Dodatkowo dostarcz pliki DMP lub ich już zdebugowaną postać: KLIK. Nawiasem mówiąc wg FRST system reinstalowany bardzo niedawno (2016-04-28 15:17:06). Jeśli on był reinstalowany właśnie po to, by rozwiązać w/w problemy, to dodatkowo klaruje sprawę. Zakładając że te konkretne problemy nie są powiązane z problemem sprzętowym, to być może ma coś do rzeczy ESET Smart Security.

Proszę nie edytuj już pierwszego posta, bo ciąg zdarzeń nie trzyma się kupy, brak materiałów skąd były brane dane. Przywróciłam do pierwszego posta pierwsze usunięte logi, a nowe wstawiłam do powyższego. Kolejne działania = logi w nowych postach. Na przyszłość: trzymaj się też konfiguracji FRST z przyklejonego tu na forum. Opcje Lista BCD, MD5 sterowników i Pliki z 90 dni nie miały być zaznaczone. To są opcje pod określone scenariusze, prosi się o nie w szczególnych okolicznościach, a MD5 sterowników to funkcja niejako "martwa" od kilku lat (skonstruowana była z myślą o bardzo starym wariancie ZeroAccess atakującym sterowniki systemowe) i nie są już nawet uzupełniane sumy kontrolne sterowników. Akcje wykonane. Drobne poprawki w spoilerze:

Po zaznaczeniu opcji pojawiły się nowe dane wskazujące, że są dwa systemy. W BCD są aż dwa odniesienia do winload.exe: Windows Boot Loader ------------------- identifier {710f3369-1f91-4580-b0c8-0950c70d7ab2} device partition=C: path \Windows\system32\winload.exe description Windows 10 locale pl-PL inherit {bootloadersettings} {globalsettings} osdevice partition=C: systemroot \Windows resumeobject {40d2b69e-548f-4c66-96a0-caaeb9c04144} Windows Boot Loader ------------------- identifier {fdc64386-0bc1-11e6-b8c3-94de806b5115} device partition=D: path \Windows\system32\winload.exe description Windows 7 Ultimate locale pl-PL osdevice partition=D: systemroot \Windows resumeobject {13453802-0bbb-11e6-b73f-806e6f6e6963} bootmenupolicy Legacy Skoro rekordy winload.exe Windows 10 są poprawne, to nasuwa się że uszkodzenie tkwi właśnie w Windows 7. Na początek pytanie, które zdefiniuje co robić, czy usuwać wejścia Windows 7 z menedżera rozruchu, czy też próbować sprawdzać pliki winload.exe na innej partycji: czy Windows 7 to aktywny system który też ma się pokazywać w menu startowym? I czy FRST podczas uruchamiania wykrywa dwa systemy i zadaje pytanie który z nich przeskanować?

Temat założony w dziale diagnostyki infekcji, nie jest to właściwy dział dla tego problemu. Przenoszę do działu Windows. Na przyszłość: niekompletny zestaw raportów FRST (brak plików Addition i Shortcut), a log z USBFix zupełnie bezużyteczny w tym kontekście (to tylko analiza root dysków pod kątem infekcji z USB, Pulpit w ogóle nie jest skanowany). FRST pokazuje, że przez ostatni miesiąc na Pulpicie powstały lub odświeżały się tylko takie foldery: ==================== Jeden miesiąc - utworzone pliki i foldery ======== 2016-05-25 18:49 - 2016-05-25 18:50 - 00000000 ____D C:\Users\Sebastian\Desktop\Nowy folder 2016-05-25 18:45 - 2016-05-25 18:46 - 00000000 ____D C:\Users\Sebastian\Desktop\LFC, Schwein 2016-05-25 17:42 - 2016-05-25 17:42 - 00000000 ____D C:\Users\Sebastian\Desktop\Schweini 2016-05-24 17:39 - 2016-05-24 17:44 - 00000000 ____D C:\Users\Sebastian\Desktop\24.05 Koszulki 2016-05-20 18:47 - 2016-05-20 19:29 - 00000000 ____D C:\Users\Sebastian\Desktop\20.05 Koszulki 2016-05-06 16:32 - 2016-05-06 18:06 - 00000000 ____D C:\Users\Sebastian\Desktop\Zdjęcia 6,05 2016-04-29 22:07 - 2016-04-29 22:08 - 00000000 ____D C:\Users\Sebastian\Desktop\Fabregas 2016-04-29 06:02 - 2016-04-29 06:02 - 00000000 ____D C:\Users\Sebastian\Desktop\Einstein ==================== Jeden miesiąc - zmodyfikowane pliki i foldery ======== 2016-05-26 07:57 - 2015-04-05 09:17 - 00000000 ____D C:\Users\Sebastian\Desktop\Filmy Jeśli omyłkowo nie przesunąłeś zaginionego folderu do jednego z nich (lub do innej ścieżki), to raczej wygląda na to, że go rzeczywiście usunąłeś. I w tym przypadku już tylko soft do odzyskiwania danych, którego notabene nie powinno się uruchamiać z tego samego dysku z którego odzyskujesz + ogólnie na dysku w takim przypadku nie powinno się robić żadnych zapisów. Im więcej zapisów bieżących na dysku, tym szanse na odzysk czegokolwiek spadają. Na wszelki wypadek jeszcze sprawdź magazyn kopii cieniowych. Nie podałeś raportu FRST Addition, więc nie ma danych czy są punkty Przywracania systemu oraz z jakiego okresu (wymagany punkt z określonego przedziału czasowego między utworzeniem folderu a dzisiejszymi porządkami). W każdym razie sprawdź co mówi ShadowExplorer. Program pokaże coś w oknie tylko gdy były punkty Przywracania. I jeśli jest punkt z odpowiedniego przedziału czasowego, to przejdź do tej daty w ShadowExplorer do ścieżki Desktop, by sprawdzić czy folder jest w kopii cieniowej (wtedy wystarczy go tylko przekopiować). W przeciwnym wypadku niestety nie ma tu czego szukać.

Na ten temat: KLIK. A ogólnie to nie za duża partycja na system x64, przy założeniu że jeszcze masę programów się na niej instaluje: Drive c: () (Fixed) (Total:55.8 GB) (Free:6.6 GB) NTFS Natomiast do wykonania jeszcze poboczne deinstalacje i czyszczenie śmieci (szczątki adware / wpisy puste). W spoilerze instrukcje:

zbigg47 ta informacja o module przyczynowym MSHTML.dll to już była mi znana od drugiego zestawu FRST Addition. Informacja sama w sobie nic mi nie mówi, a uprzednio sfc /scannow nie wykrył naruszeń. Na początku podejrzewałam KIS, ale wyraźnie stwierdziłeś że kompletna deinstalacja nic nie wniosła do sprawy. Nie było wprawdzie raportów FRST z momentu deinstalacji poświadczającej jej kompletność, ale załóżmy że się wykonała poprawnie. Ten fakt spowodował, że zmieniłam kierunek myślenia na kartę graficzną. Poleciłam przetestować podaną opcję GPU, by sprawdzić wstępnie ten trop. Brak rezultatów. Mam więc pytania: - Na jakich konkretnie stronach wykłada się IE, czy one mają coś wspólnego ze sobą, czy ładują jakiś content video, czy to https://? - Czy na pewno masz zainstalowane wszystkie bieżące aktualizacje z Windows Update? Tutaj ktoś raportuje podobny błąd IE11 i komentuje, że problem ustąpił po instalacji określonych łat, z wymienionych tylko KB3140245 (opcjonalna) ewentualnie wydaje się powiązania z funkcjonowaniem IE11.

Może ten problem wynika z niedomyślnych rozszerzeń eksploratora. Zrób test. Uruchom ShellExView x64. Poprzez klik na kolumnę Company posortuj wpisy, by ułożyć niedomyślne (wyróżnione na różowym tle) w jednym bloku. Z wciśniętym CTRL zaznacz wszystkie różowe, z prawokliku opcja Save Selected Items, by zapisać log, następnie wszystkie zaznaczone wyłącz i zresetuj komputer. Podaj czy jest zmiana oraz doczep wyeksportowany log tekstowy.

Dodam: - Przestępcy co dopiero zaktualizowali swój dekoder i już wysyłają poprawny (do odkodowania najnowszej wersji): KLIK. Ale płacenie okupu nie jest działaniem polecanym. - Widoki na odkodowanie plików narzędziem niemacierzystym są bardzo marne: KLIK / KLIK.

Jak mówię, problemu svchost tu w ogóle nie widzę. Notowane na obrazkach jego użycie pamięci jest mierne: "najgrubszy" ze svchostów zjadł tylko ~18MB pamięci, co nie jest niczym zadziwiającym (u mnie są "grubaski" nawet po 50MB na łeb), a sama liczba w kontekście całkowitej dostępnej pamięci fizycznej jest śmiesznie niska. W menedżerze zadań widać wyraźnie, że najwięcej pamięci zjadła po prostu sama gra - proces GTA pożarł około 3.5 GB, a reszta procesów to drobnica która po zsumowaniu na oko (nie liczyłam tego) nie daje chyba nawet pełnego 1GB. Moim zdaniem jest to problem tej gry. Jeszcze tak zapytam, czy są załadowane jakieś patche w niej, oraz jak masz skonfigurowaną pamięć wirtualną w Windows? W menedżerze zadań jest informacja "97% pamięci fizycznej". Wg FRST zainstalowana pamięć fizyczna ~8GB. Za każdym razem FRST pokazywał niejednakową liczbę dostępnej pamięci fizycznej, skala oscylowała wokół ~5.3 - 6GB dostępnej. Raporty nie pochodzą z momentu uruchomienia gry, czyli w momencie uruchomienia gry prawdopodobne statystyki to: "ta dostępna minus dodatkowa pamięć zajęta przez GTA" i już ciasno się zaczyna robić. Nie wiem czy te błędy były jednorazowe, czy też może będą się powtarzać. Trudno zalecić tu aktualizację sterownika w ciemno, jeśli nie notujesz wyraźnych problemów z urządzeniem.

Na zakończenie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Na koniec zastosuj DelFix. To wszystko.

W raportach konsekwentnie brak oznak infekcji i nie jest ona w ogóle przyczyną bieżących problemów. Jeśli chodzi użycie pamięci, istnieje drugi temat dedykowany zagadnieniu i tam kontynuuj wątek. (posty przeklejone). Od razu tu zaznaczę, że może to być równie dobrze problem sprzętowy lub doładowanych jakiś "patchy" do gry, a problemu svchost to ja wcale nie widzę na obrazkach (wielokrotność procesu to normalna sprawa, a żadne z wystąpień nie wykazuje wysokiego zużycia pamięci, u mnie w systemie są nawet wyższe "numery"). I w FRST Addition pojawiły się błędy wskazuje też na problemy z grafiką: Error: (05/20/2016 07:29:37 PM) (Source: nvlddmkm) (EventID: 13) (User: ) Description: \Device\Video7Graphics Exception: ESR 0x408030=0x80000003 Error: (05/20/2016 07:29:37 PM) (Source: nvlddmkm) (EventID: 13) (User: ) Description: \Device\Video7Graphics Exception: Const out of Bound Załączyłam go poprzednio, bo błędnie go oceniłam jako odpadkowa pochodna instalacji Orbit. Tymczasem teraz sprawdziłam na Google co jeszcze może go tworzyć i wygląda na to, że Far Cry (zainstalowany). Więc go nie będę ruszać ponownie. Odtworzył się też "chiński" plik, być może to też powiązane z którąś grą. Ale to nie ma związku z problemami.

Właśnie w tym skrypcie FRST było planowane usuwanie kwarantanny FRST, ale z jakiegoś nieznanego mi powodu FRST nie mógł jej zlikwidować, dlatego też wystąpił wymuszony restart którego nie miało być... Być może antywirus zablokował akcję. Przejdź w Tryb awaryjny Windows i przez SHIFT+DEL (omija Kosz) spróbuj skasować folder C:\FRST z dysku.

To komputer firmowy, prawda? Jeśli ta instalacja Adobe Reader jest zablokowana, wprawdzie mogłabym wymusić jej usunięcie, ale nie wiem czy to dobry pomysł na komputerze prekonfigurowanym administracyjnie, gdyż może istnieć konkretny powód wyboru takiej a nie innej wersji. A jeśli rzecz o infekcji, to pomyślnie usunięta i problem powinien ustąpić. Drobne poprawki na wpisy szczątkowe. Otwórz Notatnik i wklej w nim: BHO: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files\Java\jre1.8.0_40\bin\ssv.dll => No File BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre1.8.0_40\bin\jp2ssv.dll => No File DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\MATS RemoveDirectory: C:\Users\pljarda\AppData\Local\Google\Chrome\User Data\Default\Extensions\felcaaldnbdncclmgdcncolpebgiejap RemoveDirectory: C:\Users\pljarda\AppData\LocalLow\Sun RemoveDirectory: C:\Windows\System32\Tasks\Lenovo Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Ja raczej tu podejrzewam DNS - dane pobierane z zewnętrznego urządzenia, reinstalacja systemu nie ma wpływu na zmianę DNS, o ile się nie wymusi innej konfiguracji jak tu wdrażane. Możesz sprawdzić co się stanie po przywróceniu poprzedniej konfiguracji DNS, tzn. wymazać te dodane adresy Google i ustawić pobieranie automatyczne > restart > w linii poleceń (administrator) ipconfig /flushdns > restart.

Pierwszy obrazek: brak napisu "Administrator" na belce, a linia komend otworzona na ścieżce C:\Users, co wskazuje, że nie uruchomiłeś linii komend jako administrator. To wygląda na linię komend działającą na niższym uprawnieniu użytkownika. Poza tym, wklepałeś niepoprawne polecenie flushdns - to ma być ipconfig /flushdns (i jest tylko jedna spacja, / jest "przyklejone" do flushdns). Drugi obrazek: Jakoś dziwnie wyglądają te pola u Ciebie, są gołe, a ja mam w moim Windows 10 Wersja 1511 kropki separujące kolejne numery...

Zrób test czy mają coś do rzeczy adresy DNS: 1. Ustaw na sztywno z poziomu Windows inne DNS, co "przebija" DNS pobieranie z zewnętrznego urządzenia. Prawy klik na Start > Połączenia sieciowe > prawy klik na używane połączenie > Właściwości > podświetl Protokół IPv4 > Właściwości > ustaw opcję "Użyj następujących adresów DNS" i wklep adresy Google: 8.8.8.8 (Preferowany) + 8.8.4.4 (Alternatywny). Restart systemu. 2. Wyczyść bufor DNS. Prawy klik na Start > Wiersz polecenia (administrator) > wklep ipconfig /flushdns i ENTER > Zresetuj system. 3. Uruchom Sklep Windows i podaj co widzisz.

EDIT: Wszystkie logi dostarczone. Odpowiadasz mi już w nowym poście, nie edytuj pierwszego. Problem stanowią wpisy "Quotenamron", rzekomo usuwane (są jak najbardziej aktywne) i "Logic Handler". Prócz tego więcej odpadków adware w systemie. Działania do przeprowadzenia: 1. Deinstalacje: - Przez Panel sterowania usuń stare wersje: Adobe Flash Player 17 ActiveX, Adobe Flash Player 17 NPAPI, Adobe Reader XI, Adobe Shockwave Player 12.1, Java 8 Update 40 (64-bit), Java 8 Update 40. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 backlh; C:\ProgramData\Logic Handler\set.exe [2089472 2016-05-15] () [File not signed] U2 Quotenamron; C:\ProgramData\\Quotenamron\\Quotenamron.exe [947712 2016-05-25] () [File not signed] AppInit_DLLs: C:\ProgramData\Quotenamron\Vilait.dll => C:\ProgramData\Quotenamron\Vilait.dll [363008 2016-05-25] () AppInit_DLLs-x32: C:\ProgramData\Quotenamron\Tam-Dex.dll => C:\ProgramData\Quotenamron\Tam-Dex.dll [257536 2016-05-25] () HKLM-x32\...\Run: [] => [X] Task: {1DAAB754-00C8-4F91-94C4-48FCE8436D7D} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe Task: {647A39F0-723A-4882-94BC-66D6DB76D689} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2014-02-13] (Lenovo) Task: {7A33DF18-7BE3-4E44-A461-D2A18BC37B8E} - System32\Tasks\pljardaTreatiesButtressedV2 => Rundll32.exe MetatarsalSlows.dll,main 7 1 Task: {C5C323D1-6895-4BD1-8414-1F73501E2516} - System32\Tasks\{12E43934-F32F-21E8-D449-11CCFD7A970F} => C:\Users\pljarda\AppData\Roaming\{12E43~1\Updater.exe Task: C:\Windows\Tasks\{12E43934-F32F-21E8-D449-11CCFD7A970F}.job => C:\Users\pljarda\AppData\Roaming\{12E43~1\Updater.exe HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction HKU\S-1-5-21-321930979-3402162066-1190322147-8181\SOFTWARE\Policies\Microsoft\Internet Explorer: Restriction SearchScopes: HKLM-x32 -> DefaultScope {ielnksrch} URL = SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-321930979-3402162066-1190322147-8181 -> DefaultScope {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} SearchScopes: HKU\S-1-5-21-321930979-3402162066-1190322147-8181 -> {ielnksrch} URL = hxxp://www.bing.com/search?q={searchTerms} DPF: HKLM-x32 {B94C2238-346E-4C5E-9B36-8CC627F35574} DPF: HKLM-x32 {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} CHR HKLM-x32\...\Chrome\Extension: [jidkebcigjgheaahopdnlfaohgnocfai] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Mozilla Firefox C:\ProgramData\Logic Handler C:\ProgramData\Quotenamron C:\ProgramData\Quotenamrons C:\Users\pljarda\AppData\Local\Exact.Update.OA.exe.log C:\Users\pljarda\AppData\Local\TreatiesButtressed C:\Users\pljarda\AppData\Roaming\*.* C:\Users\pljarda\AppData\Roaming\Mozilla C:\Windows\SysWOW64\findit.xml EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zresetuj Google Chrome (zamieszanie w preferencjach): Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko zwyjątkiem Google. 4. Zrób nowy log FRST z opcji Skanuj (Scan), już bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Jak mówię, to jest typowy objaw zmienionych ustawień językowych / geolokalizacji. Mam pytanie: a jakie adresy IP DNS stoją w routerze (jeśli masz do niego dostęp)? W raporcie FRST widać tylko wewnętrzne adresy routera, co jednak nie jest 100% dowodem co naprawdę jest ustawione na poziomie routera.

Wyszukiwanie z rejestru zwróciło drobne śmieci po Tencent. Otwórz Notatnik i wklej w nim: DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{DA624F8F-98BF-4B03-AD11-A12D07119E81} DeleteKey: HKLM\SOFTWARE\Microsoft\RADAR\HeapLeakDetection\DiagnosedApplications\QQPCMgr_Setup.exe DeleteKey: HKLM\SOFTWARE\WOW6432Node\Tencent DeleteKey: HKLM\SYSTEM\VritualRoot\MACHINE\SOFTWARE\Classes\TypeLib\{DA624F8F-98BF-4B03-AD11-A12D07119E81} DeleteKey: HKLM\SYSTEM\VritualRoot\MACHINE\SOFTWARE\Microsoft\RADAR\HeapLeakDetection\DiagnosedApplications\QQPCMgr_Setup.exe DeleteKey: HKLM\SYSTEM\VritualRoot\MACHINE\SOFTWARE\WOW6432Node\Tencent DeleteKey: HKLM\SYSTEM\VritualRoot\USER\S-1-5-21-1487593702-3916242759-977676160-1000\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Tencent DeleteKey: HKLM\SYSTEM\VritualRoot\USER\S-1-5-21-1487593702-3916242759-977676160-1000\Software\Tencent DeleteKey: HKLM\SYSTEM\VritualRoot\USER\S-1-5-18\Software\Tencent DeleteKey: HKU\S-1-5-18\Software\Tencent DeleteKey: HKU\S-1-5-21-1487593702-3916242759-977676160-1000\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Tencent Reg: reg delete "HKLM\SYSTEM\VritualRoot\USER\S-1-5-21-1487593702-3916242759-977676160-1000\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\Uninst.exe" /f Reg: reg delete "HKLM\SYSTEM\VritualRoot\USER\S-1-5-21-1487593702-3916242759-977676160-1000\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\UninstallTips.exe" /f Reg: reg delete "HKU\S-1-5-21-1487593702-3916242759-977676160-1000\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\Program Files (x86)\Tencent\QQPCMgr\11.4.17339.217\Uninst.exe" /f Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Wyłącz COMODO na czas operacji. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Jak już powiedziałam, Twoje raporty wskazują, że infekcja nie jest już aktywna. Nie istnieje element startowy który mógłby ją odnawiać. Proces szyfrowania się już w pełni ukończył na Twoim komputerze. Pliki *.crypt to tylko zaszyfrowane dane i nie mogą zainfekować komputera. Można je zgrać na inny nośnik lub zostawić na bieżących dyskach. Wg raportów nie ma widocznych elementów tej infekcji, a zaszyfrowane pliki to są "tylko" skutki infekcji. Mówiłam, że w systemie pozostały "drobne odpadki adware", czyli zupełnie inny typ śmieci w ogóle nie powiązany z omawianą tu infekcją CryptXXX. Należy je usunąć. Zaznaczałam, że mogę się tym zająć, jeśli nie wybierzesz opcji formatowania C. Czyli mam podać te instrukcje? Infekcja CryptXXX jest ładowana via exploit Angler, tzn. odwiedzona została szkodliwa strona która wykonuje instrukcje detekcji luk w zainstalowanym oprogramowaniu i dzięki znalezieniu ich załadowanie malware na komputer. Ta szczególna infekcja używa "timera" (opóżnienia) między momentem infekcji z odwiedzonej strony a rozpoczęciem procesu szyfrowania, by utrudnić identyfikację witryny z której nastąpiła infekcja. Reinstalacja Firefox nie ma tu nic do rzeczy. W kwestii zabezpieczeń, pomijając oczywiste aktualizacje aplikacji i Windows oraz wykonywanie kopii zapasowych cennych danych, pomocą służą dodatkowe programy z listy:

Temat przenoszę do innego działu. Stronę (Hodowla kotów brytyjskich) otwieram bez problemu. 1. Błąd ogólnie jest wynikiem konfiguracji strony serwerowej. Przykładowe kroki jakie się wykonuje w takich przypadkach. Skoro koleżanka "nie zna się", to kto ma dostęp do panelu zarządzania i konfiguracji serwera? 2. Aczkolwiek może być też wynikiem próby otwierania niedostępnego fragmentu URL. "wchodząc w zakładki" - jaki konkretnie URL jest w zakładkach, tylko http://www.mibrimi.pl/ (otwiera się poprawnie), czy nie jest aby coś tam "dopisane", np. http://www.mibrimi.pl/index.php (błąd 403)? Gdyby adres wyglądał podobnie do drugiego wariantu, po prostu usunąć zakładkę, otworzyć stronę w pierwszym wariancie i zapisać zakładkę ponownie...

W raportach nie ma ani śladu infekcji, co jest spodziewane po reinstalacji Windows. ComboFix jest już nieco "przestarzały", w zasadzie od lat nie używam go już na forum, bo praktycznie wszystko da się załatwić bez jego użycia. Nie jest też wybitnie specjalizowany w temacie z którym miałeś do czynienia (adware/PUP), ani nie służy do rozwiązywania opisywanego tu problemu. Nawet gdybyś go uruchomił, problemu by to wcale nie rozwiązało. To nie jest problem infekcji tylko przestawionych preferencji regionalnych i językowych. Prawy klik na przycisk Start > Panel sterowania > Zegar, Język i Region > Region > Zmień lokalizację > jaki kraj jest ustawiony? W przypadku zmiany tego ustawienia trzeba zresetować system. Oraz w sekcji Języki jaki jest ustawiony jako "preferowany" i czy są inne pakiety? Gdyby były inne pakiety obecne, zredukować je.

Ewentualnie zamiast USB spróbować nagrać płytę CD. Ale od razu mówię, że format jest na pewno lepszym rozwiązaniem. Nawet po pomyślnym leczeniu z Ramnit system raczej nie wraca do dawnej sprawności, a od zakresu uszkodzeń zależy jak bardzo jest to widoczne (i tak reinstalacja Windows + programów może być wymagana).