Miszel03

Czy lewym, dolnym rogu przy znaczku klawiatury wybrany jest język Polski (programisty)? Jeśli nie to ustaw go. Nie włączyłeś przypadkiem klawiatury numerycznej? W takim razie powtórz tą akcję, a następnie potwórz resztę kroków po nim.

W porządku. Kliknij Tak i przejdź do następnych kroków.

Miło mi to słyszeć. Rozumiem, że MBAM już nic nie wykrywa? Jeśli tak to będziemy kończyć. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

W porządku, jeśli nie pisałeś tego w złości to nie ma żadnego problemu. Tak, emotikony są bardzo ważnym elementem w tego typu przekazach w Internecie. Jak już wcześnie mówiłeś - widoczne są aktywne infekcje adware / PUP. Tym będziemy zajmować się pierwszorzędnie, zaś później zajmiemy się innymi problemami. Pobocznym wątkiem jest również sprzątanie systemu z resztek po wcześniej odinstalowanym oprogramowaniu. Czy ustawienie Proxy jest celowe? 1. Przez Panel Sterownia odinstaluj adware / PUP: Browser-Security. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: C:\Program Files\ByteFence HKU\S-1-5-21-3101784868-3512781141-925727211-1000\...\Run: [safe_urls768] => "C:\Users\User\AppData\Roaming\Browser-Security\s768.exe" BHO: Brak nazwy -> {E6E66045-E911-4C01-961D-42487CE12089} -> C:\Users\User\AppData\LocalLow\Browser-Security\safe_url.dll [2016-06-20] () C:\Users\User\AppData\Roaming\Browser-Security C:\Users\User\AppData\LocalLow\Browser-Security AppInit_DLLs: C:\ProgramData\Viatax\Candox.dll => C:\ProgramData\Viatax\Candox.dll [257536 2016-02-28] () S2 Viatax; C:\ProgramData\\Viatax\\Viatax.exe shuz -f "C:\ProgramData\\Viatax\\Viatax.dat" -l -a' C:\ProgramData\Viatax C:\ProgramData\\Viatax SearchScopes: HKLM -> DefaultScope {ielnksrch} URL = HKU\S-1-5-21-3101784868-3512781141-925727211-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csD0_FpLuc1LI5bnAw0TIBoBrHu9MfnDE3RjohrvqTjMGgX80RM_iVm0UOcS4lGTnTuBLYsf4JACn2PEtCkyWkvEN2B3w1NKpZ4xJjOmqC5V2UChzgHIJeFd8J_eQQOOgGoToHXbmig6T2lpeyiwEI2xHCpSu_Y,&q={searchTerms} SearchScopes: HKLM -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csD0_FpLuc1LI5bnAw0TIBoBrHu9MfnDE3RjohrvqTjMGgX80RM_iVm0UOcS4lGTnTuBLYsf4JACn2PEtCkyWkvEN2B3w1NKpZ4xJjOmqC5V2UChzgHIJeFd8J_eQQOOgGoToHXbmig6T2lpeyiwEI2xHCpSu_Y,&q={searchTerms} SearchScopes: HKU\S-1-5-21-3101784868-3512781141-925727211-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csD0_FpLuc1LI5bnAw0TIBoBrHu9MfnDE3RjohrvqTjMGgX80RM_iVm0UOcS4lGTnTuBLYsf4JACn2PEtCkyWkvEN2B3w1NKpZ4xJjOmqC5V2UChzgHIJeFd8J_eQQOOgGoToHXbmig6T2lpeyiwEI2xHCpSu_Y,&q={searchTerms} 2016-02-28 11:56 - 2016-02-28 11:56 - 008003072 _____ () C:\Users\User\AppData\Roaming\agent.dat 2016-02-28 11:56 - 2016-02-28 11:56 - 000064752 _____ () C:\Users\User\AppData\Roaming\Config.xml 2016-02-28 11:55 - 2016-02-28 11:56 - 000011424 _____ () C:\Users\User\AppData\Roaming\InstallationConfiguration.xml 2016-02-28 11:56 - 2016-02-28 11:56 - 000127488 _____ () C:\Users\User\AppData\Roaming\Installer.dat 2016-02-28 11:56 - 2016-02-28 11:56 - 000018432 _____ () C:\Users\User\AppData\Roaming\Main.dat 2016-02-28 11:56 - 2016-02-28 11:56 - 000005568 _____ () C:\Users\User\AppData\Roaming\md.xml 2016-02-28 11:56 - 2016-02-28 11:56 - 000126464 _____ () C:\Users\User\AppData\Roaming\noah.dat 2016-02-28 11:56 - 2016-02-28 11:56 - 001894911 _____ () C:\Users\User\AppData\Roaming\RankCof.tst 2016-02-28 11:56 - 2016-02-28 11:56 - 000032038 _____ () C:\Users\User\AppData\Roaming\uninstall_temp.ico C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SequoiaView\Uninstall SequoiaView.lnk C:\Program Files (x86)\Google\Chrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\Users\User\AppData\Local\Google\Chrome DeleteKey: HKCU\Software\Google\Chrome DeleteKey: HKCU\Software\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} DeleteKey: HKCU\Software\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} DeleteKey: HKLM\SOFTWARE\Google\Chrome DeleteKey: HKLM\SOFTWARE\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} DeleteKey: HKLM\SOFTWARE\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Chrome DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Na czas zadania wyłącz COMODO - może blokować niektóre zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 4. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Spokojnie, przeoczyłem temat, ale nie trzeba od razu takim tonem się do mnie zwracać. Jestem tylko człowiekiem. Jutro zaczynam swoje obowiązki o 7:30, w domu będę po 15 - wtedy priorytetowo zajmie się tematem.

Ale pojawia się pomimo zainstalowania uBlock Origin? Jeśli tak to coś jeszcze gdzieś siedzi. Poproszę o nowy zestaw raportów FRST i walczymy dalej do wyeliminowania problemu w całości.

Być może jest, skoro infekcje nałożyły się z czasem instalacji Kmspico. Informacyjnie: Adres bieżący DNS: DNS Servers: 192.168.0.1 Adresy ustawione z poziomu routera: Tcpip\Parameters: [DhcpNameServer] 192.168.0.1 Tcpip\..\Interfaces\{525F312F-5533-4E64-82F4-D7F759C57967}: [DhcpNameServer] 82.163.143.176 Tcpip\..\Interfaces\{79DBD0AC-580A-406F-BABB-E8679BF23709}: [DhcpNameServer] 192.168.0.1 Na pomarańczowo adresy są w porządku, zaś na czerwono są infekcyjne. Adresy nakładające się są aktualne, infekcyjny jest martwy. Podsumowując wszystko zostało pomyślnie wykonane. Przechodzimy do czyszczenia resztek. 1. Zagrożenia wykryte przez AdwCleaner daj do kasacji (za pomocą opcji Oczyść), a następnie ponów skan, by upewnić się, że już nic nie wykrywa. 2. Niestety, ale preferencję Google Chrome wyglądają na zmodyfikowane przez adware, usuwanie ich ręcznie to mozolny proces, więc przeinstalujemy przeglądarkę na czysto. Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą stabilną wersję Google Chrome: KLIK. 3. Zrób nowy zestaw raportów FRST, jak poprzednio już bez Shortuct w celu oceny.

Wszystko pomyślnie wykonane, Malwarebytes wykrył już tylko resztki po infekcjach. 1. Zagrożenia wykryte przez Malwarebytes daj do kasacji. 2. Powtórz skan Malwarebytes, by upewnić się, że nic już nie wykrywa. 3. Poobserwuj system przez parę godzin i napisz czy problem na pewno ustąpił.

Poprosiłem o raport dot. stanu dysku z programu CrystalDiskInfo - masz na niebiesko podlinkowane instrukcje do niego w moim pierwszym poście w tym temacie. Dlaczego nie dostarczyłeś raportów FRST? Nie, nic nie sądzę na razie, bo przyczyn możne być mnóstwo. Pytałem tylko, ale skoro komputer był czyszczony ok. 3 miesiące tematu z kurzu to to raczej nie jest przyczyną. Czekam na raporty, by móc dalej diagnozować przyczynę.

Raporty dostarczone prawidłowo, więc przechodzimy do sedna sprawy. Posty dot. instrukcji wykonania raportów stąd kasuję. Wygląda na to, że tutaj to jest już po wojnie, tzn. resztki sugerują tutaj większy bałagan niż jest teraz. To nie znaczy, że nadal nie ma aktywnych infekcji, bo są - m.in infekcja w Harmonogramie Zadań i skrótach przeglądarek, ale i też w sekcji ustawień DNS spod Windows (ustawione są zagraniczne, zarażone adresy - KLIK / KLIK). Od razu przechodzimy do działań. 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: VirusTotal: C:\Users\Dom\AppData\Roaming\server\runhosts.exe VirusTotal: C:\Users\Dom\AppData\Roaming\server\runhosts.exe VirusTotal: C:\Users\Dom\AppData\Roaming\server\runhosts.exe Task: {187DAC5F-80E9-48B1-B671-51DC1102FD8D} - System32\Tasks\MJngPdQe2oVw => mjngpdqe2ovw.exe Task: {74DA3DAB-7645-46EA-AFD4-6CA54D582A15} - System32\Tasks\OneSystemCare Task => C:\PROGRA~2\ONESYS~1\SYSTEM~1.EXE C:\Users\Dom\Desktop\Programy\Gооglе Сhrоmе.lnkC:\PROGRA~2\ONESYS~1 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gооglе Сhrоmе.lnk C:\Users\Dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplikacje Chrome\Рulрit zdаlny Сhrоmе.lnk C:\Users\Dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\Intеrnеt Ехрlоrеr.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Моzillа Firеfох.lnk HKLM\...\Run: [sERVICE] => [X] HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia HKU\S-1-5-21-1803833564-911489967-1141370572-1001\...\Policies\Explorer: [] GroupPolicy: Ograniczenia - Chrome Tcpip\..\Interfaces\{ead3e037-d335-4f19-80e0-17a6315727ee}: [NameServer] 82.163.142.8,95.211.158.136 C:\Users\Dom\AppData\Local\minergate C:\Program Files (x86)\UCBrowser C:\Users\Dom\AppData\Local\installer.dat C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Моzillа Firеfох.lnk C:\Users\Dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Autodesk\Install Now Autodesk® AutoCAD® 2018.lnk C:\Users\Dom\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Autodesk\Zainstaluj teraz dla programu Autodesk® Advance Steel 2018.lnk Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Na czas zadania wyłącz COMODO - może blokować niektóre zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Po tym zadaniu znikną zainfekowane skróty przeglądarek - należy utworzyć nowe. 2. Wyczyść przeglądarkę Google Chrome. Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Wyczyść przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. 4. Całościowo przeskanuj system za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

A co z Malwarebytes? Czy wykrył jakieś zagrożenia ponownie (patrz pkt. 1)?

Zadanie pomyślnie wykonane. Zamykam na prośbę autora.

Rozumiem, że problemy już nie występują? Jeśli tak to kończymy. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Są tutaj dwa poziomy infekcji. Kilka infekcji adware widać z poziomu systemu, ale i również z poziomu Routera (adresy zarówno spod Windows jak i spod Routera są izrealskie = zarażone) - KLIK / KLIK. Postaram się jak najszybciej zaprowadzić tutaj porządek. 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers3: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku Task: {42EF2F96-44E7-4107-9F69-62B2CDF1EA9D} - System32\Tasks\{AD99B610-1A32-01BB-7F71-9B7B25ABD530} => C:\ProgramData\{170E59BA-A0A5-EE11-EADC-D497A63F9F1B}\59D8132D-EE73-A486-894A-66D0B074001A.exe [2017-11-08] () Task: {676B6C96-76D4-4386-AFFE-6DCA71E758A8} - System32\Tasks\{3859E2C7-8FF2-556C-7305-20A31A95BD72} => C:\ProgramData\{85CDBD5C-3266-0AF7-5682-849B609AD620}\B545E2B7-02EE-551C-70FA-8669F646B852.exe [2017-11-08] () Task: {8F9A8496-6499-452A-9D3E-4E16AC0A9DEA} - System32\Tasks\{05050D47-0909-7E04-7E11-087D7D04117E} => C:\Windows\system32\WindowsPowershell\v1.0\powershell.exe -nologo -executionpolicy bypass -noninteractive -windowstyle hidden -EncodedCommand OwA7ADsAJABFAHIAcgBvAHIAQQBjAHQAaQBvAG4AUAByAGUAZgBlAHIAZQBuAGMAZQA9ACIAcwB0AG8AcAAiADsAJABzAGMAPQAiAFMAaQBsAGUAbgB0AGwAeQBDAG8AbgB0AGkAbgB1AGUAIgA7ACQAVwBhAHIAbgBpAG4AZwBQAHIAZQBmAGUAcgBlAG4AYwBlAD0AJABzAGMAOwAkAFAA (dane wartości zawierają 9568 znaków więcej). Task: {97FD474E-3FAA-4181-BE7F-3B147ED19AB9} - System32\Tasks\{199558BB-4AA8-B909-7AAD-99A7C0282361} => C:\Windows\system32\regsvr32.exe /s /n /i:"/rt" "C:\PROGRA~3\44735fb8\3bda4fdf.dll" C:\PROGRA~3\44735fb8 C:\ProgramData\{170E59BA-A0A5-EE11-EADC-D497A63F9F1B} C:\ProgramData\{85CDBD5C-3266-0AF7-5682-849B609AD620} HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia InternetURL: C:\Users\fenix\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Winhost.url -> URL: file:///C:\Users\fenix\AppData\Roaming\1.exe C:\Users\fenix\AppData\Roaming\1.exe Tcpip\Parameters: [NameServer] 82.163.143.176 82.163.142.178 Tcpip\..\Interfaces\{525F312F-5533-4E64-82F4-D7F759C57967}: [NameServer] 82.163.143.176 82.163.142.178 Tcpip\..\Interfaces\{79DBD0AC-580A-406F-BABB-E8679BF23709}: [NameServer] 82.163.143.176 82.163.142.178 2017-10-12 11:47 - 2017-10-12 11:47 - 007327744 _____ () C:\Users\fenix\AppData\Local\agent.dat 2017-10-12 11:47 - 2017-10-12 11:47 - 001899389 _____ () C:\Users\fenix\AppData\Local\Apit.tst 2017-10-12 11:47 - 2017-10-12 11:47 - 000070800 _____ () C:\Users\fenix\AppData\Local\Config.xml 2017-10-12 11:47 - 2017-10-12 11:47 - 000278508 _____ () C:\Users\fenix\AppData\Local\FinSanin.tst 2017-10-12 11:47 - 2017-10-12 11:47 - 000016464 _____ () C:\Users\fenix\AppData\Local\InstallationConfiguration.xml 2017-10-12 11:47 - 2017-10-12 11:47 - 000140800 _____ () C:\Users\fenix\AppData\Local\installer.dat 2017-10-12 11:47 - 2017-10-12 11:47 - 000018432 _____ () C:\Users\fenix\AppData\Local\Main.dat 2017-10-12 11:47 - 2017-10-12 11:47 - 000005568 _____ () C:\Users\fenix\AppData\Local\md.xml 2017-10-12 11:47 - 2017-10-12 11:47 - 001895382 _____ () C:\Users\fenix\AppData\Local\MedJoytech.bin 2017-10-12 11:47 - 2017-10-12 11:47 - 000126464 _____ () C:\Users\fenix\AppData\Local\noah.dat C:\Users\fenix\Documents\Euro Truck Simulator 2\readme.rtf.lnk DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\fenix\AppData\Local\Mozilla C:\Users\fenix\AppData\Roaming\Mozilla C:\Users\fenix\AppData\Roaming\Profiles Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarkę Google Chrome. Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj wszystkie nieznane i niepotrzebne Ci rozszerzenia. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Uruchom przeglądarkę Opera, wykonaj kombinacje klawiszy CTRL + SHIFT + E. Otworzy się Panel rozszerzeń - odinstaluj wszystkie, które Ci są nieznane i niepotrzebne. 5. Uruchom AdwCleaner z opcji Skanuj (nie stosuj Oczyść). Po zakończeniu zadania wydobądź raport znajdujący się w C:\AdwCleaner. 6. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Cześć. Dostarcz raport z CrystalDiskInfo w celu analizy dysku. Kiedy ostatni raz czyściłeś komputer z kurzu? Komputer nie bucha ciepłym powietrzem? Dodatkowo dostarcz zestaw raportów FRST.

Detekcje Malwarebytes to raczej same elementy adware i resztki. W skrypcie również je doczyszczam, bo niektórych MBAM nie wyłapał. Taki problem, który Ty zgłaszasz jest tutaj powielany kilka razy dziennie, wcześniej był tutaj napływ infekcji (i na to jest przygotowany), a nie na "powolne działanie" systemu - trudno mi ustalić przyczynę, bo tych może być ogrom. Póki co standardowa procedura: sprzątamy system, sprawdzamy dysk i Integralność Windows. 1. Zagrożenia wykryte przez Malwarebytes daj do kasacji, a następnie wykonaj ponowy skan, by upewnić się, że nic już nie wykrywa. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: HKU\S-1-5-21-2359066601-1373365521-515010662-1000\...\ChromeHTML: -> ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers3: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku Task: {0762B4A7-A4E1-42AE-AACE-5FCD70D8556B} - Brak ścieżki do pliku Task: {089FE444-E939-4CAD-A006-38296A509E34} - Brak ścieżki do pliku Task: {0A525EC0-E9DC-485D-8576-0A11EF41A3F2} - Brak ścieżki do pliku Task: {1D0AADBA-88EE-4273-BD5F-2083EFD752F0} - Brak ścieżki do pliku Task: {2C6F756C-B673-4EAD-A889-9F4CDA1A6E2A} - Brak ścieżki do pliku Task: {40219C92-EBB0-4BA3-9946-C59816196D45} - Brak ścieżki do pliku Task: {421DCFA1-0B99-4189-894C-59D8AAFE3868} - Brak ścieżki do pliku Task: {69598EA3-FB8F-4E47-ABB5-4A7AF089A989} - Brak ścieżki do pliku Task: {6FFCFC28-9E08-4C4D-84E6-44737D3B6192} - Brak ścieżki do pliku Task: {72211567-0555-4B44-8BF2-2788BEDB0109} - Brak ścieżki do pliku Task: {DBADC19F-4843-4B37-BD21-BC979C53E1B9} - Brak ścieżki do pliku Task: {E86F812A-87A7-461A-B48E-57D3A7CA5236} - Brak ścieżki do pliku Task: {DEFBE486-326E-4C77-B144-2CC8FEBB200F} - \{93E130C1-901E-4BCF-B0E3-204D1CE1D7F9} -> Brak pliku Task: {1E12C501-E91D-4F9D-B755-F7D9D06B4D41} - \{634EF791-AA75-440B-95CB-96AE352D0C1D} -> Brak pliku VirusTotal: C:\Users\Picek\AppData\Roaming\The.Elder.Scrolls.V.Skyrim.Legendary.Edition.With.update1.9+ALLDLCs\auujqq.exe GroupPolicyScripts-x32: Ograniczenia U0 aswVmm; Brak ImagePath S3 cpuz136; \??\C:\Windows\TEMP\cpuz136\cpuz136_x64.sys [X] S3 GPUZ; \??\C:\Windows\TEMP\GPUZ.sys [X] S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X] S3 Synth3dVsc; System32\drivers\synth3dvsc.sys [X] S3 tsusbhub; system32\drivers\tsusbhub.sys [X] S3 VGPU; System32\drivers\rdvgkmd.sys [X] S3 X6va029; \??\C:\Windows\SysWOW64\Drivers\X6va029 [X] DeleteKey: HKCU\Software\Mozilla\Firefox DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Picek\AppData\Local\Mozilla\Firefox C:\Users\Picek\AppData\Roaming\Mozilla\Firefox C:\Users\Picek\AppData\Roaming\Profiles Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Dostarcz przefiltrowany raport z opcji sfc /scannow. 4. Dostarcz raport z CrystalDiskInfo w celu analizy dysku. 5. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Wszystko pomyślnie wykonane, system wyczyszczony. Mówisz o przeglądarce Mozilla FireFox? Bo jeśli tak to te reklamy nie mają już raczej podłoża infekcyjnego, nie widzę zainstalowanego żadnego blokera reklam (= po jego instalacji reklamy powinny ustać) co w tej dobie Internetu może doprowadzić do wizyty w wariatkowie. Detekcja AdwCleaner to fałszywy alarm, zignorować.

Wygląda na to, że ta instalacja to już tylko klucz resztkowy. Używałeś jednak, AdwCleaner - poproszę o raport z niego (folder C:\AdwCleaner), dziwne by było gdyby coś znalazł.

Być może one zniknęły tylko z historii umieszczonej w Twoim profilu - my na pewno nie kasuje rozwiązanych tematów, bo takie stanowią wartość merytoryczną. Zapytam picasso i dam znać. Tak, na koniec finalizacja. System jest czysty i zostały przeprowadzone zabiegi kosmetycznie, ale ciężko ustalić co może być przyczyną wolnego działania FF. Jeśli chcesz przerzucić się na inna przeglądarkę to polecam Google Chrome. Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows.

Dysk wygląda wg mnie w porządku. Raport SFC nie wykazał żadnych naruszeń / uszkodzeń Windows. Na analizę Windows Performance Recorder (możesz go też spróbować wykonać dokładnie w momencie kiedy dochodzi do ścinek) musisz trochę poczekać. Jak Groszek znajdzie czas na Twój temat to z pewnością odpowie. Ja go poinformowałem.

Ja mam podobnie zdanie, jakie ma picasso. To jest raczej forum w stylu "Dzień dobry" i "Do widzenia" taka dosłowna pomoc techniczna. Codziennie kilku użytkowników prosi o pomoc - głównie pomocnikami są moderatorzy, ale i różni użytkownicy. Tacy są zaufani, ale inni, którzy dopiero co zarejestrowali się na forum mogą być problematyczni. Wbrew pozorom na forum część użytkowników proszących o pomoc to też nieletni w wieku 12-14 lat. Nie mówię, że są źli, bo wielu nastolatków wykazuję większą dojrzałość niż nie jeden dorosły, ale jako moderator muszę na to patrzeć ze strony tych mniej "ogarniętych". Nawiązując do pomocy, którą świadczymy: pomimo, że jesteśmy odpowiedzialni tu za bezpieczeństwo to najwięcej czasu pochłaniają odpowiedzi. Do czego zmierzam? Ano do tego, że takie przedsięwzięcie wymaga rekrutacji nowych moderatorów do chatu, a nie ukrywam, że wolelibyśmy by tacy moderatorzy od razu byli powiązani z jakimś działem technicznym. Nadmiaru wiadomości na tym chacie nie będzie, bo tak jak mówiłem wcześniej tutaj jest świadczona pomoc techniczna / dla wielu użytkowników jednorazowa lub w razie nagłego wypadku z komputerem. Zabezpieczenie limitu postów może jeszcze dodatkowo skusić delikwentów do tzw. "nabijania" postów. Jeśli picasso zgodziłaby się na Shoutbox to raczej byłoby to ostro limitowane. Przykładowo, aby pisać na chacie należałoby np. napisać 5 wartościowo merytorycznie postów w aktywnych tematach (oczywiście nie w dziale Pomocy doraźnej) i jakiś moderator musiałby to zweryfikować po uprzedniej prośbie od użytkownika (np. w masowym temacie do tego). Kiedyś moderatorzy mieli dostęp do chatu, ale ostatecznie chyba się z niego wycofali (za czasów starej ekipy to forum miało jeden z najbardziej zżytych ekip moderacyjnych - szpicluję stare tematy w dziale dla moderatorów ). Od strony technicznej się nie wypowiadam bo nie wiem jak to wygląda. Podsumowując: z mojego punktu widzenia, jeśli reszta moderatorów i administratorów nie będzie miała słowa sprzeciwu jestem za, ale nie w sposób ogólnie dostępy. Teoretycznie mógłbym się w przyszłości podjąć moderacji, ale na razie priorytetem jest dział Pomocy doraźnej i skończenie mojego szkolenia (bo nieprzygotowania u picasso mi się już chyba dawno skończyły ). Ja wiem, że chat to coś innego - fajniejszego tak na prosty rozum, ale zainteresowanie takim chatem można porównać do ruchu w dziale relaksu - kilka postów na tydzień to nic

Może przy pierwszym logowaniu zaptaszkowałeś opcję "Zapamiętaj mnie"? Jak z tą deinstalacją poszło?

Spróbuj deinstalacji za pomocą Program Install and Uninstall Troubleshooter, jeśli ta się nie powiedzie będzie to świadczyło o uszkodzeniu instalacji (resztka). Odpowiedz na pytanie z pkt. 3.

Oprogramowanie marki Kaspersky to solidne produkty, wydajne, skuteczne (na testach z reguły 100% wykrywalności). Wbrew powszechnej opinii: mi na naprawdę przeciętnym komputerze w ogóle nie idzie odczuć działania tego programu. Wcale nie musi być to oprogramowanie płatne. Ja korzystam z Kaspersky Free, Kaspersky Software Updater oraz z automatycznego Windows Update. Ważne jest by pracować na koncie z uprawnieniami użytkownika (nie administratora!) z krytycznym poziomie UAC - by dokonać modyfikacji systemu w jakikolwiek sposób trzeba znać hasło do konta administratora. Router i połączenie sieciowe zabezpieczam w następujący sposób: solidne hasło, trudne, a zarazem łatwe do zapamiętania. Automatyczne aktualizacje oprogramowania Routera, korzystanie z zaufanych serwerów DNS i zamknięty panel zarządzania od strony Internetu. Uważam to, że naprawdę silną ochronę. Są spełnione jej wszystkie podstawowe aspekty. Jakie? O tej aferze z USA nawet nie wspominaj, bo to bzdura.

W przeglądarce Mozilla FireFox jest zainstalowane rozszerzenie xRocket Toolbar - to infekcja adware, powodująca wyświetlenie reklam. Problemami z niewydajnym działaniem systemu będziemy zajmować się po wyczyszczeniu systemu. 1. Przez Panel Sterowania odinstaluj adware / PUP: WeatherBlink Internet Explorer Toolbar. 2. Wyczyść przeglądarkę Mozilla FireFox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść historię przeglądania. Po tych akcjach będzie wymagana ponowna instalacja AdBlock, choć ja zamiast niego polecam uBlock Origin. 3. Napisz czy problem z reklamami w przeglądarce ustąpił.