picasso

"Projekt" TeslaCrypt został zamknięty, o dziwo przestępcy upublicznili klucz i w dekoderach TeslaDecoder lub ESET TeslaCrypt decrypter jest już możliwe odkodowanie plików zakodowanych przez TeslaCrypt 3 i 4 (rozszerzenia .xxx, .ttt, .micro, .mp3 lub brak zmiany w rozszerzeniach).

To normalne, gdy określone klucze w rejestrze już mają ograniczony dostęp. Kontynuuj dalej kroki odbudowy, nawet jeśli będą występować jakieś błędy. Po akcji zresetuj system i podaj rezultaty czy nadal są błędy uruchomienia Zapory.

Opis wskazuje na infekcję CryptXXX. Owszem, tę infekcję w starszych wersjach mógł odszyfrować Kaspersky RannohDecryptor (próbowany już przez Ciebie), ale pod warunkiem posiadania oryginalnej niezaszyfrowanej kopii choć jednego pliku który podlegał szyfrowaniu: KLIK / KLIK. Niestety, w ostatnich dniach pojawił się nowy zimmunizowany wariant tej infekcji, którego dekoder Kasperskiego nie rozpoznaje i nie jest w stanie złamać. Obecnie nie ma żadnej możliwości odkodowania plików, nawet jeśli zapłacisz przestępcom (dekoder od nich też nie działa). W tym wątku ktoś wspomina, że przestępcy wysyłają dekoder do starszej wersji infekcji niedziałający z najnowszym formatem zakodowanych plików: KLIK. No skoro nawet przestępcy (najlepiej zorientowani w temacie) nie mają działającego dekodera, to co dopiero Kaspersky i spółka... Jedyne co pozostaje, to czekać w nadziei, że ktoś w przyszłości złamie to, choć szanse mogą być bliskie zeru. I nie zmieniaj zaszyfrowanym plikom rozszerzenia. To jest bez sensu i pogarsza tylko sprawę (w przyszłości, gdyby pojawił się nawet jakiś dekoder, może nie rozpoznać pliku). A tło Pulpitu skoryguj w opcjach. SpyHunter to program wątpliwej reputacji - do natychmiastowej deinstalacji. W przypadku problemów z deinstalacją oraz nawet po pomyślnej deinstalacji możesz zastosować SpyHunterCleaner. A Kaspersky Antivirus nie zainstaluje się, gdy jest inny aktywny antywirus - obecnie Avast Premier. I nie ma sensu instalować coraz to innych antywirusów, to w niczym nie pomoże. Obecnie infekcja nie jest już aktywna, więc tu się kończy rola antywirusów, a zaszyfrowane dane to "rozlane mleko" i nie ma za bardzo ratunku. W systemie do czyszczenia są tylko drobne odpadki adware, ale to nie ma znaczenia, akcja byłaby poziomu kosmetycznego. Ostatecznie mogę się tym zająć, jeśli nie zdecydujesz się na format C. Domyślnie i tak Przywracanie jest aktywne tylko i wyłącznie dla dysku systemowego. Pozostałe dyski nie mają aktywnej ochrony i nie można użyć tej funkcji do odzysku danych z innych dysków. Tak więc nawet gdyby był punkt Przywracania systemu, akcja dotyczyłaby tylko i wyłącznie dysku C. Nie, format to tylko spowoduje, że dysk systemowy będzie "super czysty". Zaszyfrowane pliki nadal pozostaną zaszyfrowane na innych dyskach. Proponuję jednak zrobić format dysku C na wszelki wypadek, by choć wyeliminować na dobre skutki pobytu tej infekcji przynajmniej z jednego dysku.

Przecież wyraźnie powiedziałam dwa razy co podejrzewam. Tylko pierwszy rozruch jest zdefektowany, gdy laptop jest "zimny", dlatego podejrzewam sprzęt a nie soft. Wątku tego w ogóle nie rozwinęłam, bo nie jestem specjalistą od sprzętu. Zaznaczyłam tylko, że prawdopodobnie temat przesunę do Hardware, a miałam to zrobić po załatwieniu innych rzeczy: Natomiast podejmuję odrębne dodatkowe działania na danych z raportu, bo to co widzę moim zdaniem wymaga interwencji i czuję się zobowiązana zareagować (niezależnie od tego co sądzi użytkownik). Wg Ciebie wszystko jest w porządku, bo "działa" / jesteś zadowolony. Ja natomiast uważam, że Twój układ nie jest optymalny, nie jest w porządku i wykazuje cechy, które narażają Cię na określone nieprzyjemności, a nawet infekcje, a może to wystąpić wtedy gdy nie będziesz się niczego spodziewał (bo jesteś przekonany o doskonałości dobranego oprogramowania). - Ogólnie: Stare wersje ładujące sterowniki datowane na wiele lat wstecz w miarę możliwości ogranicza się, m.in. też po to by przyśpieszyć system oraz zapobiec konfliktom. Tu mowa o tak dużej skali lat, że reaguję. - Stare sterowniki Symantec: Znany delikwent (nie raz rozwiązywałam w przeszłości problemy wynikłe z obecności starych sterowników Norton SystemWorks), potencjalne BSODy i konflikty z inymi sterownikami. Problem może się ujawnić np. w przypadku innych instalacji. - Stare programy zabezpieczające: To nie w czasach gdy hulają takie infekcje, że nie radzą sobie z nimi nawet nowoczesne rozwiązania, które posiadają lepsze immunizacje niż Twoje stare programy. - Stare kodeki: Mogą powodować problemy w powłoce eksploratora. Na forum do szukania tu parę przykładowych wątków obrazujących problem. Ogólnie też posiadasz programy, w których występuje powielanie określonych funkcji. - Apple / Quick Time: Wycofane ostatnio wsparcie dla Windows ze względu na groźną lukę w oprogramowaniu. Apple się wypięło, nie załata luk i zaleca deinstalację. Nie wspominając o tym, że wersja dla XP i tak jest starsza niż dla Vista i Windows 7 (w których łatano już pewne rzeczy i które są właśnie i tak polecane do deinstalacji). - Java: Raj exploitów i infekcji ransomware. Posiadasz stare wersje. Było ich o zgrozo znacznie więcej, z tego co widzę z akcji na innym forum. - Obie wersje Gadu: To programy poprzedniego producenta, w nich nie działają już żadne funkcje związane z usługami spółki GG Networks. Na temat GG i historii funkcji obszarny opis tutaj. Doskonałe chudziutkie zastępstwo portable = WTW. "Dalsze czyszczenie" było tu w rozumieniu "po deinstalacji programów usunąć co po nich pozostało" i zająć się innymi szczątkami widzianymi w raporcie. Ja doskonale wiem do czego służą te programy, a ich deinstalacja była zalecona z innych powodów niż stricte funkcyjne. Dodatkowo, używanie tak starej wersji do zabezpieczenia ważnych danych budzi mój sprzeciw, im coś jest starsze, tym większe prawdopodobieństwo, że to jest mniej bezpieczne niż kilka lat temu. I obecnie są nowocześniejsze programy dostępne. Np. Macrium Reflect Free (zamiast Ghost) czy Partition Master Free lub GParted (zamiast Partition Magic). Cały Norton SystemWorks można rozbić na nowsze specjalistyczne aplikacje, czego konkretnie potrzebujesz? Tak, wszystko było w raporcie jak na dłoni (status sterowników, uruchomione procesy, etc.). Konstrukcja bez sensu. Skoro jeden wyłączony, ochrona zerowa *, po co trzymać na dysku. I dziwna logika w doborze nadrzędnego aktywnego zabezpieczenia - wyłączona o wiele nowsza Avira, aktywny za to i uruchomiony w procesach starszy mniej odporny Dr. Web z 2008. Pomysł ładowania replikujących się zabezpieczeń na wypadek gdyby drugie "nie działało" jest nietrafiony. * Są infekcje które atakują wszystkie popularne kombinacje hurtem (np. taka), czyli w Twoim układzie deaktywacji podlegałyby wszystkie kopie. Pierwszy się nie uruchomi, drugiego nie dasz rady już włączyć, trzeciego też już nie zainstalujesz z powodu blokady. Ja nie widzę sensu w takich karkołomnych układach, to nie jest dobre zabezpieczenie i nic nie gwarantuje. Zamiast mnożyć podobne rozwiązania (a jedno z nich i tak wyłączone), warto rozważyć zmianę własnej perspektywy i wyposażyć się w nowoczesne zabezpieczenia. A do takich akcji "gdy jeden nie działa" są programy "jednorazowego użytku", które wraz z rozwojem mają dodatkowe procedury umożliwiające uruchomienie gdy blokuje infekcja, nie spodziewaj się tych samych obejść w sofcie sprzed kilku lat. I ogólnie to mierna ochrona. Posiadasz wersje (nie licząc Aviry i MBAM) które skonstruowano w czasach, gdy nie znano nowocześniejszych form malware. Od tego czasu powstało tyle różnych sprytnych form malware (a niektóre takie, że bój się Boga = utrata wszystkich danych i dostępu do komputera), że widziane tu "zabezpieczenia" nie mogą się sprawdzić. Poza tym, sam soft jest dziurawy i posiada luki, które można wykorzystać. Masz więcej szczęścia niż Twój system realnych zabezpieczeń. Na dodatek dochodzi tu jeszcze inny aspekt - to system XP, w którym nic już nie jest łatane od dwóch lat i zabezpieczenia muszą nadrobić to czego brakuje w systemie per se (np. EMET do exploitów). Tego nie jest w stanie zabezpieczyć stary antywirus i stara zapora, które nie znają nowoczesnych form malware i ataków, nie są na nie przygotowane i nie potrafią im przeciwdziałać. Np. ten Twój Dr. Web. to jest tylko antywirus oparty na sygnaturach (i tu mnie jeszcze ciekawi jak daleko są one "posunięte" i co w nich naprawdę jest, skoro to wersja sprzed 8 lat), co w obecnych czasach jest metodą przestarzałą i odchodzi się od tego na rzecz innych form ochrony - obecnie nazwa "antywirus" to jest już historyczna konotacja, dzisiejszy "antywirus" implementuje bardziej zaawansowane formy ochrony. Dla porównania dodam, że Dr. Web tak bardzo ewoluował, iż najnowsze edycje mają integracje Katana. EDIT: Na śmierć zapomniałam. Avira to tu też "dummy" zabezpieczenie do wywalenia. Od kwietnia 2016 koniec aktualizacji definicji dla systemu XP. W każdym razie, jeśli nie zgadzasz się z przyjętą linią, to nic na to nie poradzę. Nie będę nikogo zmuszać. To Twój komputer.

1. Hitman wykrył jako "malware" cracka aktywacji systemu KMSPico (widziałam go już w raportach), przypuszczalnie jest to fałszywy alarm, ale miej to na uwadze i w miarę możliwości usuń cracki.... Bezpośrednio w Hitman do usunięcia tylko wyniki opisane jako "Potential Unwanted Programs" i "Cookies". 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To wszystko.

Spróbuj odinstalować Cyberlink LabelPrint przy udziale narzędzia Wise Program Uninstaller. Po akcji zrób nowe raporty FRST (FRST.txt + Addition.txt). To może być związane z wersją sterownika Elantech do obsługi touchpad. Wejdź na stronę ASUS i wyszukaj czy są jakieś aktualizacje dla Twojego modelu.

Fix FRST pomyślnie wykonany. Kolejna porcja czynności: 1. Otwórz Notatnik i wklej: Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /v "C:\programdata\microsoft\network\dsq\network\sysnetwk.exe.FriendlyAppName" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /v "C:\programdata\microsoft\network\dsq\network\sysnetwk.exe.ApplicationCompany" /f Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt. 2. Przeprowadź skanowanie za pomocą Hitman Pro. Dostarcz wynikowy raport, o ile program wykryje coś innego niż FRST64.exe jako "podejrzany plik" (to fałszywy alarm).

Prawie wszystko zrobione, z wyjątkiem jednej komendy resetu Hosts (przypuszczanie Avira zablokowała zmiany). Drobne poprawki: 1. Na czas operacji wyłącz Avira. Otwórz Notatnik i wklej w nim: Hosts: RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\QuickTime RemoveDirectory: C:\Users\Penturion\AppData\rundir CMD: del /q C:\Users\Penturion\Downloads\ovgszeoj.exe Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Uruchom FRST, w polu Szukaj wklej co poniżej, klik w Szukaj w rejestrze i dostarcz wynikowy log. sysnetwk.exe

Nie podałeś linka do tematu w którym wykonywano "fixlist" - tak, to obowiązek podać tu link, jeśli przetwarzano coś na innym forum, gdyż musi być wgląd całościowy. Jak mówię, tylko pierwsze uruchomienie raczej sugeruje trop sprzętowy (być może przeniosę temat do działu Hardware). Ale jeśli rzecz o sofcie, to dzieje się tu. Dawno nie widziałam systemu o takich "parametrach". Jakieś potwornie stare softy ładujące masowo usługi/sterowniki, podwójny firewall (Outpost z 2002 + ZoneAlarm z 2004), podwójny antywirus (nowa Avira + Dr. Web z 2008!). Jeśli rzecz o "zabezpieczeniach", to nie dość, że przeinwestowane instalacje, to takie próchna nie mogą mieć statusu "zabezpieczenia". Dodatkowo, widzę uszkodzenie jednego pliku Windows: S3 Wmi; C:\WINDOWS\System32\advapi32.dll [617472 2012-08-29] (Microsoft Corporation) [brak podpisu cyfrowego] 1. Zacznij redukować bardzo stare oprogramowanie obcinając ilość uruchamianych elementów i rozszerzeń powłoki. A konkretnie do deinstalacji: ----> Softy ładujące stare usługi/sterowniki: Agnitum Outpost Firewall 1.0, CloneCD, CloneDVD2, Dr.Web, G Data TopSecret 4.1, Ghost 2003 PL, LiveReg (Symantec Corporation), LiveUpdate 1.80, Norton SystemWorks 2004 Professional, PowerQuest PartitionMagic 8.0, Seagate Dashboard, TopSecret Biometrics Components, Ulead DVD MovieFactory 2, Ulead DVD Workshop 2, Ulead MediaStudio Pro 7.0, ZoneAlarm Pro ----> Mniejsze wagowo, ale też istotne stare wersje (luki w oprogramowaniu i niebezpieczne wersje, stare kodeki mogące produkować problemy): Apple Software Update, DivX Setup, ffdshow [rev 2228], Gadu-Gadu 10, Indeo® software, K-Lite Codec Pack 6.2.0 (Basic), Lame ACM MP3 Codec, Java 7 Update 60, Java 8 Update 31, Nowe Gadu-Gadu, Obsługa programów Apple, QuickTime, QuickTime 7, Real Alternative 1.9.0 Lite, Spybot - Search & Destroy, XviD MPEG4 Video Codec (remove only), Xvid Video Codec, YouTube Downloader Toolbar v4.7 (adware) ----> Ogólnie sugeruję też w końcu przejrzeć co używasz i odinstalować wszystkie zbędne / nieużywane softy. Masa staroci... Jakąś nowszą zaporę to zainstalujesz potem. 2. Wyczyść Dzienniki zdarzeń: Start > Uruchom > eventvwr.msc > z prawokliku wyczyść gałęzie Aplikacja i System. Zresetuj system, by złapać nowe błędy. 3. Zrób nowe raporty FRST (FRST.txt + Addition.txt) mające udokumentować zmiany wykonane deinstalacjami. Na podstawie tego materiału będzie dalsze czyszczenie.

Raporty FRST skonfigurowane wg innych wytycznych niż podane tu na forum w przyklejonym: opcje Lista BCD, MD5 sterowników, Pliki z 90-dni nie miały być zaznaczone. A system jest zainfekowany adware / malware oraz jest wprowadzone szkodliwe proxy. Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Proramy i funkcje > odinstaluj adware Touch Image oraz stare wersje i zbędne programy Akamai NetSession Interface, Apple Software Update, Obsługa programów Apple, QuickTime 7. Zestaw Apple / QuickTime zalecony do deinstalacji, gdyż ostatnio wykryte poważne luki które nie zostaną już załatane, Apple usunęło wsparcie dla Windows zalecając deinstalację... 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 SkypeUpdateEx; C:\Program Files (x86)\SkypeUpdateEx\SkypeUpdateEx.exe [168376 2016-05-05] (skype.cog.cc) R2 WindowsSecurity; C:\ProgramData\Windows Security\winsecurity.exe [1699800 2016-05-14] (Microsoft Corporation) R2 WMPNetworkAcSvc; C:\Users\Penturion\AppData\Roaming\WMPNetworkAcSvc\WMPNetworkAcSvc.exe [4984448 2016-03-15] () R3 ALSysIO; \??\C:\Users\PENTUR~1\AppData\Local\Temp\ALSysIO64.sys [X] S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X] R3 GPU-Z; \??\C:\Users\PENTUR~1\AppData\Local\Temp\GPU-Z.sys [X] S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X] Task: {7EE8804A-39F9-45F0-8547-AA7E5709DFD1} - System32\Tasks\Touch Image => Rundll32.exe "C:\Users\Penturion\AppData\Local\Touch Image\{2A5147E9-6398-65E4-1814-9CB52E10114E}\TouchImage.dll",#1 Task: {B62450E4-64B8-403F-8D13-60A408EAC3DA} - System32\Tasks\WindowsUpda2ta => C:\Users\Penturion\AppData\Roaming\MICROSOFT\home.vbe Task: {C95D98D0-FCE1-42E4-BCC7-5FBF2D0B33C6} - System32\Tasks\{502F612B-FF64-404F-A9C3-B32FE59A8E46} => pcalua.exe -a C:\Users\Penturion\AppData\Roaming\mysites123\UninstallManager.exe -c -ptid=amt Task: {FE3C3C1F-60CB-4910-BCB1-EEB120FBE6ED} - System32\Tasks\Touch Image2 => Rundll32.exe "C:\Users\Penturion\AppData\Local\Touch Image\{2A5147E9-6398-65E4-1814-9CB52E10114E}\bal.dll",#1 HKLM-x32\...\Run: [Wondershare Helper Compact.exe] => C:\Program Files (x86)\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe [2087264 2014-09-11] (Wondershare) HKLM-x32\...\Run: [ospd_us_013010180] => [X] HKU\S-1-5-21-856143659-1512072669-1544710830-1001\...\Policies\Explorer: [] HKU\S-1-5-21-856143659-1512072669-1544710830-1001\Control Panel\Desktop\\SCRNSAVE.EXE -> C:\Windows\system32\lol.scr Tcpip\..\Interfaces\{C717BE35-9D39-4338-B921-AAC30B073776}: [DhcpNameServer] 7.254.254.254 GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia ShortcutWithArgument: C:\Users\Penturion\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Explorer.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=mbtkplv3&uid=Z4YAPD5X_ST1000DM003-1ER162&tm=1450523238 ShortcutWithArgument: C:\Users\Penturion\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Launch Internet Explorer Browser.lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> www.aqovd.com?oem=mbtkplv3&uid=Z4YAPD5X_ST1000DM003-1ER162&tm=1450523238 HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.avira.net/#web/result?source=art&q= HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.avira.net/#web/result?source=art&q= HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://search.avira.net/#web/result?source=art&q= HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://search.avira.net/#web/result?source=art&q= HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://search.avira.net/#web/result?source=art&q= HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://search.avira.net/#web/result?source=art&q= HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxps://search.avira.net/#web/result?source=art&q= HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxps://search.avira.net/#web/result?source=art&q= HKU\S-1-5-21-856143659-1512072669-1544710830-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.avira.net/#web/result?source=art&q= HKU\S-1-5-21-856143659-1512072669-1544710830-1001\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxps://search.avira.net/#web/result?source=art&q= HKU\S-1-5-21-856143659-1512072669-1544710830-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxps://search.avira.net/#web/result?source=art&q= FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [2014-05-21] (Microsoft Corporation) DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google C:\Program Files (x86)\Google C:\Program Files (x86)\SkypeUpdateEx C:\Program Files (x86)\Common Files\Wondershare C:\Program Files (x86)\Mozilla Firefox\plugins C:\ProgramData\Windows Security C:\ProgramData\Wondershare C:\ProgramData\Microsoft\Network\Dsq C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Handbrake C:\ProgramData\Microsoft\Windows\Start Menu\Programs\R.G. Gamblers C:\Users\Administrator\AppData\Local\Google C:\Users\Administrator\AppData\Local\Wondershare C:\Users\Administrator\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Administrator\Desktop\Google Chrome.lnk C:\Users\Penturion\AppData\Local\ACCCx3_5_1_209.zip.aamdownload C:\Users\Penturion\AppData\Local\ACCCx3_5_1_209.zip.aamdownload.aamd C:\Users\Penturion\AppData\Local\Highdom.exe.config C:\Users\Penturion\AppData\Local\Google C:\Users\Penturion\AppData\Local\Touch Image C:\Users\Penturion\AppData\Local\Wondershare C:\Users\Penturion\AppData\Roaming\sc C:\Users\Penturion\AppData\Roaming\WMPNetworkAcSvc Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Wondershare Helper Compact.exe" /f CMD: netsh advfirewall reset Hosts: RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, już bez Shortcut. Dołącz też plik fixlog.txt.

Problem pachnie tropem sprzętowym. Szczerze wątpię w "usługi systemowe", bo wtedy problem byłby przy każdym uruchomieniu, a nie tylko pierwszym. W każdym razie, nie podałeś raportów z FRST, które przedstawią składniki niedomyślne i błędy z Dziennika zdarzeń. Wg samych nazw to są poprawne usługi: http://www.bleepingcomputer.com/startups/nlssrv32.exe-27024.html http://www.bleepingcomputer.com/startups/PCA-17998.html Podaj link do tematu co wykonano oraz dostarcz świeże raporty z FRST.

W tej kwestii proponuję skontaktować się bezpośrednio z supportem gry.

Problem nie jest pochodną infekcji. Temat przenoszę do innego działu, na razie Windows ale być może i do Hardware trafi. 1. Widać że jest tu niekompletne Windows Update. Stoi stara niewspierana już wersja IE9. Czy przypadkiem procesora nie obciąża tu właśnie svchost od Windows Update? Co widać w menedżerze zadań? Jeśli występuje wysokie obciążenie svchost hostującego Windows Update (prawoklik na obciążony svchost > Przejdź do usług > w podświetlonych wynikach m.in. Windows Update), z tym nic nie da się zrobić, dopóki nie ukończy się proces wyszukiwania i instalacji aktualizacji. Jeśli to jednak nie ta wersja wydarzeń, to sprawdź jak sytuacja wygląda na tzw. "czystym rozruchu": KLIK. 2. W raporcie FRST Addition stoi poniższy błąd charakterystyczny dla starych sterowników ATI: Dziennik Aplikacja: ================== Error: (05/22/2016 11:12:38 PM) (Source: ATIeRecord) (EventID: 16398) (User: ) Description: ATI EEU failed to post message to CCC vs. ==================== Zainstalowane programy ====================== ATI Catalyst Install Manager (HKLM\...\{574634E2-87F7-1DC7-082B-483C41E4989E}) (Version: 3.0.816.0 - ATI Technologies, Inc.) Udaj się na stronę AMD (dawne ATI) i wyszukaj aktualizację sterowników.

Nic z tego dla mnie nie wynika, a ten odczyt ze Skype wygląda normalnie. Proponuję wdrożyć tę koncepcję reinstalacji systemu z zupełnie innego nośnika: 1. Na wszelki wypadek obecną partycję Recovery możesz skopiować za pomocą narzędzia typu Macrium Reflect Free na zewnętrzny nośnik. Partycja Recovery jest ogromna, ponad 15 GB. Jeśli masz jakieś inne cenne dane, ewentualnie ręcznie je zachować na dodatkowym nośniku zewnętrznym, ale danych tych nie ładować na świeżym systemie. 2. Przygotować instalatory, które zostaną uruchomione zaraz po świeżej instalacji Windows bez dostępu do internetu. Na osobnym pendrive zapisać następujące instalatory: - Update for Windows 7 for x64-based Systems (KB3125574) - Instaluje prawie wszystkie łaty wydane od czasu SP1 do kwietnia 2016. By pobrać tę paczkę, stronę musisz uruchomić z poziomu Internet Explorer a nie Firefox, podczas jej uruchamiania padnie pytanie o instalację ActiveX, którą należy zatwierdzić, by pokazała się zawartość katalogu. - Internet Explorer 11 (dla systemu 64-bit) - Instalator typu "offline". - Dodatkowe programy zabezpieczające. W kontekście Twojego problemu przede wszystkim program specjalizowany w detekcji loggerów SpyShelter (sugeruję zainwestować w komercyjną wersję Premium lub nawet Firewall), a jeśli nie zdecydujesz się na komercyjny SpyShelter Firewall to prócz SpyShelter dodatkowy firewall np. może to być Comodo Firewall. Programy wyliczane w tym spisie: KLIK. 3. Zrobić nową płytę instalacyjną Windows 7 Home Premium SP1 (x64) z obrazu pobranego z TechBench wg podanych wskazówek. Odpiąć kabel sieciowy / zdeaktywować całkowicie fizyczny dostęp do sieci na czas instalacji systemu oraz jego wstępnej konfiguracji. Podczas instalacji usunąć wszystkie partycje, wliczając Recovery, oraz założyć konto użytkownika o innej nazwie i haśle niż poprzednio. O aktywacji już mówiłam, i przy braku dostępu do sieci trzeba odłożyć ten punkt. 4. Na świeżym systemie: - Bez dostępu do sieci: Z pendrive zainstalować KB3125574 i IE11 oraz programy zabezpieczające. - Podłączyć sieć, skonfigurować jej dane logowania w inny sposób niż poprzednio. - Uruchomić Windows Update i dociągnąć resztę brakujących łat. - Zmienić wszystkie hasła logowania (Skype, konto synchronizacji Firefox, poczta, serwisy społecznościowe i wszelkie inne hasła dostępowe). - Nie kopiować żadnych danych z poprzedniego systemu (np. profilu Firefox, zachowanych gdzieś instalatorów, dokumentów, etc). Nie instalować VPN, HotspotShield ani żadnych innych tego typu wynalazków. Zainstalować tylko niezbędne używane programy pobierając ich instalatory na świeżo.

1. Gdzie leży plik "VirtualMT2", w jakiej ścieżce dostępu? 2. Miałam na myśli, byś spróbował przenieś pobraną grę do tej właśnie krótkiej ścieżki dostępu i podał rezultaty czy ten sam błąd występuje.

Temat założony w niewłaściwym dziale diagnostyki infekcji, to nie jest problem tego rodzaju. Temat przenoszę do działu Hardware na diagnostykę. Dostarcz dane wymagane działem (KLIK) oraz pliki DMP lub ich zdebugowaną już postać (KLIK).

Rucek, one nie są potrzebne przy uBlock (wystarczy manipulacja w filtrach). uBlock ma też filtry Disconnect, które można opcjonalnie załadować. Nawet to ostatnio sprecyzowałam w przyklejonym: https://www.fixitpc.pl/topic/29208-lista-darmowych-i-komercyjnych-programów-zabezpieczających/#entry179658 Chodzi m.in. o to, by ograniczać ilość ładowanych rozszerzeń z nakładającą się funkcjonalnością, by nie "zamulać" przeglądarki bardziej niż potrzebne.

Polecam zastąpić Adblocka + NoScript przez uBlock Origin. To ogólny bloker i może zastąpić też działanie NoScript po wdrożeniu dodatkowej konfiguracji: KLIK.

Pobrałam tę grę, rzeczywiście plik ma taką dziwną nazwą, ale u mnie się uruchamia. Pytania: - Czy ten błąd "nie można odznaleźć pliku" pojawia się TYLKO podczas próby uruchomienia Metka2, czy innych programów też? - Czy błąd występuje po przeniesieniu folderu na dysk D do krótszej ścieżki dostępu: D:\Metek2_pl?

Dokładnie o to mi chodziło. Kiedy ten błąd się pojawia, podczas próby uruchomienia tego pliku ręcznie? Co to w ogóle za paczka "Metek2_pl", skąd pobrana, czy bezpieczna (ten plik exe to dziwnie wygląda)? Jeśli ten błąd występuje tylko podczas uruchomienia tego konkretnego pliku, to nasuwa się że coś jest nie tak z tą paczką, a konkretnie nazwą, która na obrazku zawiera różne dziwne znaki. Czy można ten folder "Metek2_pl" z dysku całkowice usunąć? PS. Wykonaj czynności poboczne nie związane z problemem, tzn. usunięcie określonych programów i adware Bing w starcie oraz Chrome. W spoilerze instrukcje:

Fix FRST wykonany. Przez SHIFT+DEL (omija Kosz) skasuj folder C:\FRST + z Pobranych folder "Farbar Recovery Scan Tool (FRST)" z narzędziem i jego logami. Na koniec wyczyść foldery Przywracania systemu: KLIK. Przypominam o Windows Update - ten proces będzie trwał długo i obciąży tymczasowo procesor (niestety obecnie to "normalne").

Usuwam dwa posty. Proszę nie wklejać logów w poście! Proszę dołączyć trzy oryginalne pliki (FRST.txt, Addition.txt, Shortcut.txt) jako załączniki forum (opcja dostępna w pełnym edytorze).

Na temat używania ComboFix: KLIK. W ogóle nie jest potrzebne jego uruchamianie. Proszę dostarcz raporty z FRST: KLIK.

Na przyszłość: do sprawdzania infekcji służy inny dział (Dział pomocy doraźnej). W raportach nie ma śladów aktywnej infekcji (tylko jeden odpadek adware na liście zainstalowanych i małe śmieci w Chrome). Czyli głównie "kosmetyczne" i poboczne działania do wykonania: 1. Uruchom narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 2. Deinstalacje: - Przez Panel sterowania pozbądź się starych wersji: Facebook Video Calling 3.1.0.521, Java 7 Update 40 - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Google Update Helper opisany jako BonanzaDeals (nie ruszaj tego drugiego z metką "Google Inc.") > Dalej. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Natalia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files (x86)\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S1 nxfvoevz; \??\C:\Windows\system32\drivers\nxfvoevz.sys [X] Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk [2014-06-04] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-3001060660-586572579-3893861945-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} HKU\S-1-5-21-3001060660-586572579-3893861945-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006 HKU\S-1-5-21-3001060660-586572579-3893861945-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006 SearchScopes: HKLM-x32 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = hxxp://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} SearchScopes: HKU\S-1-5-21-3001060660-586572579-3893861945-1000 -> {632F07F3-19A1-4d16-A23F-E6CE9486BAB5} URL = hxxp://www.bing.com/search?q={searchTerms}&FORM=AVASDF&PC=AV01 SearchScopes: HKU\S-1-5-21-3001060660-586572579-3893861945-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms} BHO-x32: Brak nazwy -> {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} -> Brak pliku BHO-x32: Java(tm) Plug-In SSV Helper -> {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -> C:\Program Files (x86)\Java\jre7\bin\ssv.dll => Brak pliku BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll => Brak pliku CHR HomePage: Default -> hxxp://www.msn.com/?pc=AV01 CHR StartupUrls: Default -> "hxxps://www.google.com/?trackid=sp-006" CHR DefaultSearchURL: Default -> hxxps://www.google.de/search?q={searchTerms}?trackid=sp-006 FF Keyword.URL: FF Plugin-x32: @Microsoft.com/NpCtrl,version=1.0 -> C:\Program Files (x86)\Microsoft Silverlight\5.1.30514.0\npctrl.dll [brak pliku] FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF FF HKU\S-1-5-21-3001060660-586572579-3893861945-1000\...\Firefox\Extensions: [{e4f94d1e-2f53-401e-8885-681602c0ddd8}] - C:\ProgramData\McAfee Security Scan\Extensions\{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi => nie znaleziono C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee Security Scan Plus C:\Users\Natalia\AppData\Local\BITD307.tmp C:\Users\Natalia\AppData\Local\{7B3662B6-2915-46B2-8023-BAFA801DD9BC} C:\Users\Natalia\AppData\Local\{8FDC570B-138F-4D8B-A265-AFFD60332E08} C:\Users\Public\Desktop\McAfee Security Scan Plus.lnk DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. 5. Na dalszą metę kompleksowa aktualizacja Windows - stoi tu stara niespierana już wersja IE8.

Checksur.persist nie jest potrzebny, to archiwalna kopia. Bieżącym logiem jest główny Checksur. Uszkodzenia typu "CSI Manifest Missing" + "CBS MUM Missing" pomyślnie naprawione, zostały rekordy typu "CSI Payload File Missing". Tu musisz poczekać, bo nie mam takich wersji plików w swoich maszynach i muszę je dopiero skołować. Gdy pozyskam pliki, dam znać. I to jest dopiero połowa napraw. Po likwidacji wszystkich usterek notowanych przez Checksur trzeba będzie ponowić skan SFC, by uzyskać świeże wyniki (już bez rekordów o uszkodzonych manifestach) i zająć się resztą naruszeń. Ale to potem, na razie nie rób żadnych skanów SFC.