picasso

DelFix wykonał robotę. Skasuj z dysku plik C:\delfix.txt. To wszystko. Temat zamykam.

Problem z niestartowaniem explorer tkwi w poniższym wpisie Windows szkodliwe zmodyfikowanym. Skan SFC nie rozwiązuje takich spraw w rejestrze, jest dedykowany do naprawy plików. HKLM\...\Winlogon: [userinit] wscript, Jeśli chodzi o reklamy, to w systemie widać szkodliwą modyfikację pliku Hosts oraz rozmaite szczątki instalacji adware. Działania do przeprowadzenia: 1. Odinstaluj zbędne App Explorer oraz McAfee Security Scan Plus (skaner zainstalowany jako sponsor Adobe Flash). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\...\Winlogon: [userinit] wscript, R2 Amazon 1Button App Service; c:\Program Files (x86)\Amazon\Amazon1ButtonApp\Amazon1ButtonService64.Exe [456000 2015-09-17] (Amazon Inc.) S1 SRepairDrv; \??\C:\Program Files (x86)\Tencent\QQPCMGR\Plugins\SRepairDrv [168568 2016-03-19] () S1 QMUdisk; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\QMUdisk64.sys [X] S1 softaal; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\softaal64.sys [X] S2 tsnethlpx64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.3.17201.218\TsNetHlpX64.sys [X] Task: {1169E2BE-845B-4CB0-ABD7-22BC9D1E6040} - System32\Tasks\Buvjautv => C:\PROGRA~1\SHOPPE~1\Qadjauwu.bat Task: {295AF920-0426-4757-9970-CFB003889A98} - System32\Tasks\App Explorer => C:\Users\Oskar\AppData\Local\Host App Service\Engine\HostAppServiceUpdater.exe [2016-03-11] (SweetLabs, Inc) Task: {6A075FAA-76B5-4395-8636-9609A2C1E6DE} - System32\Tasks\CreateExplorerShellUnelevatedTask => /NOUACCHECK Task: {6FA3B0CA-C183-4770-AA6B-24FFBC4AE184} - System32\Tasks\{95654311-0069-4773-A392-58FEA26F6E9E} => pcalua.exe -a "C:\Riot Games\League of Legends\lol.launcher.exe" -d "C:\Riot Games\League of Legends\" Task: {73912DE0-81D1-4B8F-8DFA-C73F4BBF1470} - System32\Tasks\Veosmez => C:\PROGRA~1\GROOVE~1\Kebsaala.bat HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank SearchScopes: HKU\S-1-5-21-4269906154-861978010-2852916401-1001 -> DefaultScope {D2AAF0B6-1F9B-4E8A-9212-21F6AEECBFC4} URL = SearchScopes: HKU\S-1-5-21-4269906154-861978010-2852916401-1001 -> {D2AAF0B6-1F9B-4E8A-9212-21F6AEECBFC4} URL = StartMenuInternet: IEXPLORE.EXE - iexplore.exe StartMenuInternet: FIREFOX.EXE - firefox.exe StartMenuInternet: Google Chrome - Chrome.exe CHR HomePage: Default -> hxxp://www.yoursearching.com/?type=hp&ts=1458370939&z=eea8eed0ac2015473a3d5cdgez1wbb9c8m1e9t5z3e&from=brd&uid=TOSHIBAXMQ02ABD100H_85VTC075TXX85VTC075T CHR StartupUrls: Default -> "hxxp://www.yoursearching.com/?type=hp&ts=1458370939&z=eea8eed0ac2015473a3d5cdgez1wbb9c8m1e9t5z3e&from=brd&uid=TOSHIBAXMQ02ABD100H_85VTC075TXX85VTC075T" CHR DefaultSearchURL: Default -> hxxp://yoursearching.com/web?type=ds&ts=1458370939&z=eea8eed0ac2015473a3d5cdgez1wbb9c8m1e9t5z3e&from=brd&uid=TOSHIBAXMQ02ABD100H_85VTC075TXX85VTC075T&q={searchTerms} CHR DefaultSearchKeyword: Default -> yoursearching C:\Program Files\Common Files\Tencent C:\Program Files (x86)\Amazon C:\Program Files (x86)\Tencent C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\3WdM3 C:\ProgramData\8WdM8 C:\ProgramData\SUPERSetup C:\ProgramData\QWdMQ C:\ProgramData\Tencent C:\ProgramData\TXQMPC C:\uninst C:\Users\Oskar\AppData\Local\app C:\Users\Oskar\AppData\Local\Tempfolder C:\Users\Oskar\AppData\LocalLow\Company C:\Users\Oskar\AppData\LocalLow\TSearch C:\Users\Oskar\AppData\Roaming\GiftBag.db C:\Users\Oskar\AppData\Roaming\Installer.dat C:\Users\Oskar\AppData\Roaming\BelpoLew C:\Users\Oskar\AppData\Roaming\Nuvoty C:\Users\Oskar\AppData\Roaming\Sowirykd C:\Users\Oskar\AppData\Roaming\Tencent C:\WINDOWS\system32\Drivers\TAOKernelEx64.sys C:\WINDOWS\system32\Drivers\TFsFltX64.sys C:\WINDOWS\SysWOW64\Drivers\TS888x64.sys C:\WINDOWS\SysWOW64\Number of results CMD: ipconfig /flushdns CMD: netsh advfirewall reset Hosts: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Entfernen (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj chińskie rozszerzenie wprowadzone przez Tencent 电脑管家上网防护. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 4. Zrób nowy log FRST z opcji Untersuchen (Scan) - ponownie z Addition, bez Shortcut. Dołącz też plik fixlog.txt. Podsumuj jak działa system i czy są jeszcze jakieś problemy.

Dostarcz raport z Emsisoft co konkretnie usuwał. Ponadto, zrób nowe logi FRST (wszystkie trzy) obrazujące zmiany.

Jesteś już tu po raz drugi z podobnymi problemami. Do czytania na co uważać: KLIK. 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware thirteen degrees, yessearches Uninstall. 2. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona), punkt 2: KLIK. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut.

Potrzebuję trochę więcej czasu na przejrzenie wyników Fixlog. Potem zedytuję tu swój post i odpowiem na resztę pytań.

POPRZEDNI KOMPUTER: Skrypt FRST wykonał się poprawnie. Na zakończenie: 1. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. 2. Wymień Adobe Reader X (10.1.3) MUI najnowszą wersją. W w/w linku są szczegółowe informacje na ten temat. DRUGI KOMPUTER: Nic tu nie wskazuje na infekcję. Ale trzeba wymienić antywirusa. Ten ESET jest scrackowany i strasznie stary - komponenty z 2008! Na dodatek wiele komponentów jest wybrakowanych i nie jestem pewna czy to aby nie jest uszkodzona instalacja. Działania poboczne: 1. Odinstaluj stare programy i zbędne aplikacje: Adobe Flash Player 20 NPAPI, Adobe Flash Player 9 ActiveX, Adobe Flash Player ActiveX, Adobe Reader X (10.1.9), ESET NOD32 Antivirus, Gadu-Gadu 10, HP Customer Participation Program 9.0, Java 8 Update 51, Java 8 Update 60, Java 8 Update 65, Java 8 Update 71, OpenOffice.org 3.0, Windows Media Player Firefox Plugin. 2. Następnie wejdź w Tryb awaryjny Windows i popraw jeszcze narzędziem ESET Uninstaller. Opuść Tryb awaryjny. 3. Drobny skrypt kosmetyczny do FRST. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CustomCLSID: HKU\S-1-5-21-397784650-3541656921-2300468946-1006_Classes\CLSID\{321EB55A-EF5B-42B7-915D-ED4D2FFBFDD1}\InprocServer32 -> C:\Users\HENRYK~1\AppData\Local\ASKTOO~1\DOWNLO~1\NeroRom.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-397784650-3541656921-2300468946-1006_Classes\CLSID\{B6BB720C-25CB-11E0-B4E5-23EBDED72085}\InprocServer32 -> C:\Users\HENRYK~1\AppData\Local\ASKTOO~1\DOWNLO~1\NEROOE~1.DLL => Brak pliku Task: {3215535C-3ABF-491B-9DEC-4A4A52F3C14A} - System32\Tasks\{5EA0FCC4-3754-402E-882B-36147A459D14} => pcalua.exe -a "C:\Users\Henryka Sokołowska\Desktop\Opera_964_int_Setup.exe" -d "C:\Users\Henryka Sokołowska\Desktop" Task: {4597F865-18C9-47A5-83A0-60C39CC05409} - System32\Tasks\{0524DEDE-C7AF-4ECF-8F7E-53928B8BD202} => pcalua.exe -a "C:\Users\Henryka Sokołowska\Desktop\Pliki z internetu\winvista_15124.exe" -d "C:\Users\Henryka Sokołowska\Desktop\Pliki z internetu" Task: {4B7E744C-ED10-44EA-9E6B-7B883740C644} - System32\Tasks\Run RoboForm TaskBar Icon => C:\Program Files\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe Task: {544793BE-CAF3-4FC0-9FDD-0C22C09762D9} - System32\Tasks\{74B7C143-BE46-4B81-B784-A0EC301578C8} => pcalua.exe -a "C:\Users\Henryka Sokołowska\Desktop\Pliki z internetu\sp50969.exe" -d "C:\Users\Henryka Sokołowska\Desktop\Pliki z internetu" Task: {6A85B677-A97F-4216-B727-116CC5A5BBD5} - System32\Tasks\{C10690BA-670B-4653-8B18-C2264ABC3B9B} => pcalua.exe -a "C:\Users\Henryka Sokołowska\Desktop\MioC250_MioMap_EEU_Update_tool\MioC250_MioMap_EEU_Update_tool\install\usbdriver\installdriver1.exe" -d "C:\Users\Henryka Sokołowska\Desktop\MioC250_MioMap_EEU_Update_tool\MioC250_MioMap_EEU_Update_tool\install\usbdriver" Task: {A6F41F64-3734-45DF-B95E-C59419FB2D8A} - System32\Tasks\{89D5A7E8-2A3C-4E6B-9628-4AF203A44ACB} => pcalua.exe -a "C:\Users\Henryka Sokołowska\Desktop\Pliki z internetu\ie6setupOe.exe" -d "C:\Program Files\Mozilla Firefox" Task: {A8C29A49-B28D-4B2F-AEF6-3FC957CD49DE} - System32\Tasks\{7C3096B3-88DC-4DDA-B465-ADB4342DC635} => pcalua.exe -a D:\SASetup_1_2_1_0.exe -d D:\ Task: {C584ABAE-DD61-4AC8-A281-C5E945148D14} - System32\Tasks\{1771E109-6C7B-44D6-9BA4-25639E1047E3} => pcalua.exe -a D:\InstellBluetooth.exe -d D:\ Task: {D41B5638-EFD8-4984-AF29-A4EC15836CAB} - System32\Tasks\{99AD8138-4416-47C5-B7C9-8C7B63C84F8F} => pcalua.exe -a D:\SETUP.EXE -d D:\ Task: {DCDBD1C9-9064-4EB4-A112-16092E151259} - System32\Tasks\{5B977A99-0CB9-41E8-A0C7-E46F87A188F6} => pcalua.exe -a "C:\Users\Henryka Sokołowska\AppData\Local\Temp\Temp1_BlueSoleil 1.6.1.4 BLUETOOTH+Crack.zip\BlueSoleil 1.6.1.4 BLUETOOTH+Crack\Setup.exe" Task: {E5C6E94E-898B-4EEE-931D-195974486C31} - System32\Tasks\{EBC3258E-452B-4518-B3A8-AA7FE4A01BEE} => pcalua.exe -a "C:\Users\Henryka Sokołowska\Desktop\dotnetfx.exe" -d "C:\Users\Henryka Sokołowska\Desktop" S3 eapihdrv; C:\Users\Henryka Sokołowska\AppData\Local\Temp\ehdrv.sys [135760 2016-03-24] (ESET) U4 eabfiltr; Brak ImagePath S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X] S2 NOD32FiXTemDono; C:\Windows\system32\regedt32.exe /s C:\Windows\nod32fixtemdono.reg S2 VSCrDisk; \??\C:\Program Files\PZU SA\TitusPlus\VSCrDisk_2K.sys [X] HKLM\...\Run: [symantec PIF AlertEng] => "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\Al (dane wartości zawierają 11 znaków więcej). SearchScopes: HKLM -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-397784650-3541656921-2300468946-1006 -> {777AC010-9C63-4063-8C0E-335426B5CD82} URL = hxxp://websearch.ask.com/custom/java/redirect?client=ie&tb=ORJ&o=100000026&src=kw&q={searchTerms}&locale=&apn_ptnrs=U3&apn_dtid=OSJ000 BHO: Safe Money Plugin -> {9E6D0D23-3D72-4A94-AE1F-2D167624E3D9} -> C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 14.0.0\IEExt\OnlineBanking\online_banking_bho.dll => Brak pliku FF HKLM\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF HKU\S-1-5-21-397784650-3541656921-2300468946-1006\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AdobeARMservice DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AdobeFlashPlayerUpdateSvc DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gupdate DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gupdatem DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^Users^Henryka Sokołowska^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.0.lnk DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe ARM DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\egui DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gadu-Gadu 10 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ISTray DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\LightScribe Control Panel RemoveDirectory: C:\found.001 RemoveDirectory: C:\Program Files\Common Files\Symantec Shared RemoveDirectory: C:\Program Files\Mozilla Firefox\plugins RemoveDirectory: C:\ProgramData\AVAST Software RemoveDirectory: C:\ProgramData\Kaspersky Lab Setup Files RemoveDirectory: C:\Users\Henryka Sokołowska\AppData\Local\Google RemoveDirectory: C:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\ProgramData\LUInstall.LiveUpdate C:\ProgramData\SEC32C3.tmp C:\Program Files\Mozilla Firefoxsafeguard-secure-search.xml C:\Windows\pss\OpenOffice.org 3.0.lnk.Startup CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), włącznie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt.

POPRZEDNI KOMPUTER: Zadania wykonane. Na koniec: 1. Usuń drobny błąd WMI narzędziem Fix-it: KLIK. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK. DRUGI KOMPUTER: Czy to na pewno komputer, który był zainfekowany Brontokiem? Nie widzę w raportach żadnych śladów tej infekcji. Do usunięcia tylko drobne śmieci innego typu (szczątki po adware oraz inne odpadki): 1. Przez Dodaj/Usuń programy odinstaluj stare i zbędne programy: Adobe Flash Player 20 ActiveX, Adobe Flash Player 20 NPAPI, Adobe Flash Player 20 PPAPI, Adobe Shockwave Player 11.5, Java 7 Update 45. Wersje NPAPI (dla Firefox) i PPAPI (dla Opera) w ogóle nie są tu potrzebne, podane przeglądarki nie są zainstalowane. 2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Google Update Helper > Dalej. Chodzi o to wystąpienie, które jest opisane jako BonanzaDeals, nie ruszaj tego opisanego jako Google Inc.: Google Update Helper (Version: 1.3.23.0 - BonanzaDeals) Hidden Google Update Helper (Version: 1.3.29.5 - Google Inc.) Hidden 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: C:\WINDOWS\Tasks\APSnotifierCA.job => C:\Program Files\AnyProtectEx\AnyProtect.exe Task: C:\WINDOWS\Tasks\EPUpdater.job => C:\DOCUME~1\ADMINI~1\DANEAP~1\BABSOL~1\Shared\BabMaint.exe Task: C:\WINDOWS\Tasks\HPpromotions journeysoftware.job => C:\Program Files\hp\digital imaging\bin\hp promotions\journeysoftware\HPpromo.exe Task: C:\WINDOWS\Tasks\RealPlayerRealUpgradeLogonTaskS-1-5-21-117609710-854245398-1177238915-500.job => C:\Program Files\Real\RealUpgrade\realupgrade.exe Task: C:\WINDOWS\Tasks\RealPlayerRealUpgradeScheduledTaskS-1-5-21-117609710-854245398-1177238915-500.job => C:\Program Files\Real\RealUpgrade\realupgrade.exe S3 Ambfilt; system32\drivers\Ambfilt.sys [X] S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 Monfilt; system32\drivers\Monfilt.sys [X] HKLM\...\Run: [mobilegeni daemon] => C:\Program Files\Mobogenie\DaemonProcess.exe ShellExecuteHooks: - {AEB6717E-7E19-11d0-97EE-00C04FD91972} - Brak pliku [ ] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=HitachiXHTS543225L9A300_090206FB8F00YLG4ZEWAX&ts=1383837460&type=default&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://search.dosearches.com/web/?utm_source=b&utm_medium=cor&utm_campaign=rg&utm_content=ds&from=cor&uid=HitachiXHTS543225L9A300_090206FB8F00YLG4ZEWAX&ts=1383837460&type=default&q={searchTerms} HKU\S-1-5-21-117609710-854245398-1177238915-1004\Software\Microsoft\Internet Explorer\Main,Secondary Start Pages = hxxp://www.search.ask.com/?tpid=SGT2-V7&o=APN11006&pf=V7&trgb=CR&p2=%5EB3S%5EYYYYYY%5EYY%5EPL&gct=hp&apn_ptnrs=%5EB3S&apn_dtid=%5EYYYYYY%5EYY%5EPL&apn_dbr=Opera.exe_0_12.16.1860.0&apn_uid=75C488EA-BB53-4D84-AC3A-C4A2EEFE60F8&itbv=12.10.0.3323&doi=2014-01-22&psv=&pt= URLSearchHook: HKLM -> Domyślne = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D} URLSearchHook: HKU\S-1-5-21-117609710-854245398-1177238915-1004 - (Brak nazwy) - {D8278076-BC68-4484-9233-6E7F1628B56C} - Brak pliku HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs: "hxxp://rts.dsrlte.com/?m=tab" SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1438694748&z=8e733dbfa322d0e901494c8gbzfc7b1qdt8z8q0b5g&from=cornl&uid=HitachiXHTS543225L9A300_090206FB8F00YLG4ZEWAX&q={searchTerms} SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.istartsurf.com/web/?type=ds&ts=1438694748&z=8e733dbfa322d0e901494c8gbzfc7b1qdt8z8q0b5g&from=cornl&uid=HitachiXHTS543225L9A300_090206FB8F00YLG4ZEWAX&q={searchTerms} SearchScopes: HKLM -> {BB74DE59-BC4C-4172-9AC4-73315F71CFFE} URL = hxxp://websearch.searchdwebs.info/?l=1&q={searchTerms}&pid=630&r=2013/06/24&hid=1503236440&lg=EN&cc=PL&unqvl=22 SearchScopes: HKU\S-1-5-21-117609710-854245398-1177238915-1004 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=3219913727_67194_602F9F76&ts=1438694840&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-117609710-854245398-1177238915-1004 -> {E3109BAA-76F7-4D48-BC1E-570927110561} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=3219913727_67194_602F9F76&ts=1438694840&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-117609710-854245398-1177238915-1004 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://www.istartsurf.com/web/?utm_source=b&utm_medium=cornl&utm_campaign=install_ie&utm_content=ds&from=cornl&uid=3219913727_67194_602F9F76&ts=1438694840&type=default&q={searchTerms} BHO: PriceFountain -> {b608cc98-54de-4775-96c9-097de398500c} -> C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\PriceFountain\PriceFountainIE.dll [2014-11-27] () BHO: Brak nazwy -> {EE932B49-D5C0-4D19-A3DA-CE0849258DE6} -> Brak pliku Toolbar: HKU\S-1-5-21-117609710-854245398-1177238915-1004 -> Brak nazwy - {53475432-2D56-3700-76A7-7A786E7484D7} - Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.delta-homes.com/?type=sc&ts=1402571463&from=wpm0612&uid=HitachiXHTS543225L9A300_090206FB8F00YLG4ZEWAX StartMenuInternet: chrome.exe - C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Google\Chrome\Application\chrome.exe hxxp://www.delta-homes.com/?type=sc&ts=1402571463&from=wpm0612&uid=HitachiXHTS543225L9A300_090206FB8F00YLG4ZEWAX DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google\Chrome\Extensions DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BingSvc DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Update DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main C:\Documents and Settings\Administrator\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk C:\Documents and Settings\Administrator\Dane aplikacji\Mozilla C:\Documents and Settings\Administrator\Menu Start\Programy\GIMPshop C:\Documents and Settings\Administrator\Menu Start\Programy\Mobogenie C:\Documents and Settings\Administrator\Menu Start\Programy\PriceFountain C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Google\Chrome\User Data\Default\Extensions\*.crx C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mobogenie C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\Mozilla C:\Documents and Settings\Administrator\Ustawienia lokalne\Dane aplikacji\PriceFountain C:\Documents and Settings\Wychowawczyni\Moje dokumenty\Menu Start\Programy\GIMPshop C:\Documents and Settings\Wychowawczyni\Moje dokumenty\Menu Start\Programy\GoldWave C:\Documents and Settings\Wychowawczyni\Moje dokumenty\Menu Start\Programy\Mobogenie C:\Documents and Settings\Wychowawczyni\Moje dokumenty\Menu Start\Programy\PriceFountain C:\Documents and Settings\Wychowawczyni\Ustawienia lokalne\Dane aplikacji\Microsoft\BingSvc C:\Program Files\Mozilla Firefox C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Wyczyść Google Chrome z adware: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj adware Bing, Extended Protection, Quick start. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. Zresetuj cache wtyczek. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Są tu dwa konta: ==================== Konta użytkowników: ============================= Administrator (S-1-5-21-117609710-854245398-1177238915-500 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Administrator Wychowawczyni (S-1-5-21-117609710-854245398-1177238915-1004 - Administrator - Enabled) => %SystemDrive%\Documents and Settings\Wychowawczyni Logi z FRST (główny + Addition, bez Shortcut) muszą być zrobione z każdego po kolei. Dołącz też plik fixlog.txt.

1. To jest problem strony kinoman. Jest sponsorowana przez reklamy i inne świństwa (i można się zainfekować z tych przekierowań). U mnie też występują różne przekierowania i nowe okna przy wyłączonym adbloku. Problem był już wcześniej zgłaszany w tym temacie: KLIK. Masz zainstalowany następujący bloker reklam: FF Extension: Element Hiding Helper for Adblock Plus - C:\Users\Agata\AppData\Roaming\Mozilla\Firefox\Profiles\tsfpm07w.default-1454336088848\Extensions\elemhidehelper@adblockplus.org.xpi [2016-02-18] FF Extension: Adblock Plus - C:\Users\Agata\AppData\Roaming\Mozilla\Firefox\Profiles\tsfpm07w.default-1454336088848\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2016-02-24] Sugeruję jego wymianę na uBlock Origin. U mnie po jego włączeniu na domyślnej konfiguracji jest spokój na kinomanie. 2. Ale usunięcie Video AdBlock też było zasadne. Nie wiadomo skąd rozszerzenie nabyte, nie występuje w Firefox Add-ons. Ponadto, instalatory w rejestrze dla Google Chrome to nienaturalna sprawa, w systemie musiał działać jakiś ogólny instalator, który to wstawił, na pewno instalacja nie była z Chrome Web Store. Na forum były też tematy w których rozszerzenie to w wersji dla Google Chrome produkowało reklamy.

Niestety to nie koniec zmagań. Wygląda na to, że jest zainfekowany router, poprzednio założyłam, że wielokrotne interfejsy sieciowe nie są bieżące. 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom ten test mający potwierdzić zabezpieczenie: KLIK. 2. Powtórz rekonfigurację serwerów DNS w opcjach Windows. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: ipconfig /flushdns RemoveDirectory: C:\ProgramData\{00a194f6-212c-1} RemoveDirectory: C:\ProgramData\{02900b57-012c-0} RemoveDirectory: C:\ProgramData\f5ff7da0-2801-1 RemoveDirectory: C:\ProgramData\f5ff7da0-47c3-0 RemoveDirectory: C:\Users\user\AppData\Local\Google\Chrome\User Data\Default RemoveDirectory: C:\Users\user\AppData\Local\Google\Chrome\User Data\Profile 2 Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart i powstanie kolejny fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan). Dołącz też plik fixlog.txt.

Prawie wszystko wykonane, ale dwa wystąpienia serwerów DNS nadal nie zostały zaktualizowane. Kolejna porcja czynności: 1. Otwórz Notatnik i wklej w nim: Tcpip\Parameters: [NameServer] 82.163.142.7 95.211.158.134 Tcpip\..\Interfaces\{E3F40742-A55E-4A7D-ADBF-B43015DE7D4D}: [DhcpNameServer] 82.163.142.7 RemoveDirectory: G:\Documents and Settings\All Users\Dane aplikacji\89cae59f-5df1-1 RemoveDirectory: G:\Documents and Settings\All Users\Dane aplikacji\89cae59f-7777-0 RemoveDirectory: G:\FRST\Quarantine Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Pokaż wynikowy fixlog.txt. 2. Wyczyść Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. 3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu G:\AdwCleaner.

Zadanie pomyślnie wykonane. Na koniec skorzystaj z DelFix plus wyczyść foldery Przywracania systemu: KLIK. Do wymiany także wersja Adobe Reader - wytyczne pod tym samym linkiem.

Być może bufor DNS zaktualizował się samodzielnie w międzyczasie. Wszystko wykonane. Na zakończenie: 1. Usuń drobny błąd WMI narzędziem Fix-it: KLIK. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Upewnij się, że został skasowany folder C:\FRST. Usuń log C:\delfix.txt. To wszystko. Temat rozwiązany. Zamykam.

Fix FRST pomyślnie wykonany. Na zakończenie zastosuj DelFix.

W systemie jest dużo aktywnych obiektów adware. Działania do przeprowadzenia: 1. Odinstaluj stare wersje i zbędne programy: HP Customer Participation Program 14.0, Java 7 Update 79 (64-bit), Java 8 Update 45, Java 8 Update 74. Sugeruję też pozbyć się wszystkich co dopiero doinstalowanych produktów marki IOBit - firma niegodna zaufania. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs-x32: C:\ProgramData\Konksolex\Voltip.dll => C:\ProgramData\Konksolex\Voltip.dll [257536 2016-03-25] () HKLM\...\RunOnce: [WINDOWS_SCREEN_MANAGER_UPDATER_1] => C:\Program Files\Windows Screen Manager\Windows screen manage updater.exe [16896 2016-03-25] (Wizzservices) HKLM-x32\...\Run: [uSB Gamepad] => C:\Windows\USB Vibration\7906\USB Gamepad.exe -boot HKLM-x32\...\Run: [win_en_77] => [X] HKLM-x32\...\Run: [rec_pl_235] => [X] HKLM-x32\...\Run: [rec_pl_236] => [X] R2 nuferoqezbt; C:\Program Files (x86)\00000000-1458867027-0000-0000-D43D7EF14507\knsuA446.tmp [223232 2016-03-25] () [brak podpisu cyfrowego] S2 Winsere; C:\Program Files (x86)\Winsere\Winsere\Winsere.exe [306736 2016-03-15] () R2 xugexuvezbt; C:\Program Files (x86)\00000000-1458867027-0000-0000-D43D7EF14507\knsj8737.tmp [203264 2016-03-25] () [brak podpisu cyfrowego] S2 bykusicizbt; Brak ImagePath S2 gerocyni; C:\Program Files (x86)\00000000-1458867027-0000-0000-D43D7EF14507\jnsuA0BE.tmp [X] S2 wucotusy; C:\Program Files (x86)\00000000-1458867027-0000-0000-D43D7EF14507\hnsuB52A.tmp [X] R1 cherimoya; C:\Windows\System32\drivers\cherimoya.sys [82752 2016-03-25] (Cherimoya Ltd) R1 HssDRV6; C:\Windows\System32\DRIVERS\hssdrv6.sys [41704 2012-07-24] (AnchorFree Inc.) S1 Uim_VIM; C:\Windows\System32\Drivers\uim_vimx64.sys [390352 2012-11-23] (Paragon) S1 {44543b60-e1c1-4173-be0b-81c96bac3d41}Gw64; Brak ImagePath S1 {62611343-fb69-48a6-a290-da8f48638e55}Gw64; Brak ImagePath S1 iSafeKrnlKit; \??\C:\Program Files (x86)\Elex-tech\YAC\iSafeKrnlKit.sys [X] S3 iusb3hub; system32\DRIVERS\iusb3hub.sys [X] S3 iusb3xhc; system32\DRIVERS\iusb3xhc.sys [X] S1 MPCKpt; system32\DRIVERS\MPCKpt.sys [X] S3 MSICDSetup; \??\D:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X] Task: {0870BA8B-EDEF-4710-AAC0-1CC6420DA30C} - System32\Tasks\WinTaske => C:\Program Files (x86)\WinTaske\WinTaske\WinTaske.exe [2016-03-15] () Task: {241A6E2A-6BFF-4F4D-A18E-E03122B123DC} - System32\Tasks\Mibaigyu => C:\PROGRA~1\YLAOQC~1\Bujfoj.bat Task: {5B5BD80C-4280-4A01-9A97-2DC5DA18FA3B} - System32\Tasks\{18822A28-589E-4B42-89E1-9C5FDE97C924} => pcalua.exe -a C:\Users\Kamil\AppData\Roaming\GameRanger\GameRanger\GameRanger.exe -c /uninstall Task: {84022BD4-3572-4BF8-A24F-818EA84E71EC} - System32\Tasks\{4AA1D5AC-D1B3-47D7-87A8-B7FEEF1FF230} => pcalua.exe -a C:\ProgramData\WildWestCoupon\WildWestCoupon.exe -c /progname=WildWestCoupon /progver=3.4.2 /progpub=WildWestCoupon /proguninstallurl=asdahjka.com /deleteappfolder=0 /deletefile1="C:\Users\Kamil\AppData\RoamingappdataFr2.bin" /VERYSILENT Task: {84378677-07AA-4DD7-AEF2-E724D97AA219} - System32\Tasks\{77F35940-FD7A-465D-ABEA-4E10C6FE01BC} => pcalua.exe -a "F:\Downloads\Nero [10.0.13200][EXE][PL]+ [sERIAL]\Nero.10.0.13200\Nero-10.0.13200.setup.exe" -d "F:\Downloads\Nero [10.0.13200][EXE][PL]+ [sERIAL]\Nero.10.0.13200" Task: {85E730DC-9D59-4D05-8D18-6176D3DFF6D7} - System32\Tasks\{4F3242B4-78BA-4124-AC28-A20B582F4AFA} => pcalua.exe -a "G:\Gry\Steel Armor\uninstall.exe" Task: {9155AD8C-C298-4B88-AFB3-28A4BAC347DF} - System32\Tasks\{323D5668-B1BF-4EF0-A082-7F449835ECB3} => pcalua.exe -a C:\Windows\UnWSetup.exe Task: {A03ADDF8-466A-4926-879F-DC7425040726} - System32\Tasks\{DE30CE4C-7F42-455A-9D1C-15C030F99CB5} => pcalua.exe -a "F:\Downloads\Metal Gear Solid.exe" -d F:\Downloads Task: {A56643FA-74A9-4BB6-B2E0-DF61E5ED7080} - System32\Tasks\{8B00C4F3-6A5B-4696-880C-4D92A14B0D4F} => pcalua.exe -a "G:\Gry\Steam\SteamApps\common\arma 2 operation arrowhead\BEsetup\Setup_BattlEyeARMA2OA.exe" -d "G:\Gry\Steam\SteamApps\common\arma 2 operation arrowhead\BEsetup" Task: {B04BF9B7-8C0B-4370-9225-D1F9B04632C7} - System32\Tasks\{56899679-9AEB-4D4E-A6A4-FA9C6719CDB3} => pcalua.exe -a "G:\Gry\Steam\SteamApps\common\Arma 2\BEsetup\setup_BattlEyeARMA2.exe" -d "G:\Gry\Steam\SteamApps\common\Arma 2\BEsetup" Task: {BC651A17-5481-44D2-8786-E4A6267D789E} - System32\Tasks\{B7564AA2-09E7-4049-B284-39B2A6EE61D4} => pcalua.exe -a H:\redist\DirectX8_nt.exe -d H:\redist Task: {CA8ADDBA-EE6E-4FFA-B39E-F0D2E2265561} - System32\Tasks\{CDE8DEBC-4BCE-4327-BDF0-2FBEDF699F39} => pcalua.exe -a H:\setup.exe -d H:\ Task: {CC0C37DC-8D09-43E6-9A61-70F5117E639E} - System32\Tasks\IBUpd2 => C:\Users\Kamil\AppData\Local\BrowserAir\47.0.0.5\updater.exe Task: {F677913C-6B91-4275-8BDC-ED2D1BE81EB5} - System32\Tasks\{562B90D6-652F-4625-9D74-7B75585D9B31} => pcalua.exe -a C:\Users\Kamil\Downloads\dotnetfx35.exe -d C:\Users\Kamil\Downloads Tcpip\..\Interfaces\{846ee342-7039-11de-9d20-806e6f6e6963}: [NameServer] 104.197.191.4 ManualProxies: ShortcutWithArgument: C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools\Internet Explorer (No Add-ons).lnk -> C:\Program Files\Internet Explorer\iexplore.exe (Microsoft Corporation) -> hxxp://www%2dsearching.com/?prd=set_epc&s=G3Pzamobl14007BC,d8d95166-ce3a-4d27-ab88-402147150a7f, GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130984604818620155&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130984604818620155&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-2862859738-4015273650-266452962-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PeGKoXymT9-6o80WL8_3a-V_HQh-tVi42tPsBFRKBb2dR2l197mbSac39MMS2AAXeotF5yxmJ39YE7mTEW5l8EoNfhJ98khvWGbna4U_gzETpcCvMRH-k9YOBMLVQpDJjmoa0zdIxEzNOPPRB3cZ4CHIYaY&q={searchTerms} HKU\S-1-5-21-2862859738-4015273650-266452962-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PeGKoXymT9-6o80WL8_3a-V_HQh-tVi42tPsBFRKBb2dR2l197mbSac39MMS2AAXeotF5yxmJ39YE7mTEW5l8EoNfhJ98khvWGbna4U_gzETpcCvMRH-k9YOBMLVQpDJjmoa0zdIxEzNOPPRB3cZ4CHIYaY&q={searchTerms} HKU\S-1-5-21-2862859738-4015273650-266452962-1000\Software\Microsoft\Internet Explorer\Main,SearchAssistant = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PeGKoXymT9-6o80WL8_3a-V_HQh-tVi42tPsBFRKBb2dR2l197mbSac39MMS2AAXeotF5yxmJ39YE7mTEW5l8EoNfhJ98khvWGbna4U_gzETpcCvMRH-k9YOBMLVQpDJjmoa0zdIxEzNOPPRB3cZ4CHIYaY&q={searchTerms} URLSearchHook: HKLM-x32 -> Domyślne = {CCC7B151-1D8C-11E3-B2AD-F3EF3D58318D} SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKLM-x32 -> ielnksrch URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PeGKoXymT9-6o80WL8_3a-V_HQh-tVi42tPsBFRKBb2dR2l197mbSac39MMS2AAXeotF5yxmJ39YE7mTEW5l8EoNfhJ98khvWGbna4U_gzETpcCvMRH-k9YOBMLVQpDJjmoa0zdIxEzNOPPRB3cZ4CHIYaY&q={searchTerms} SearchScopes: HKU\S-1-5-21-2862859738-4015273650-266452962-1000 -> {4187F0FC-AF41-4E4B-AE67-84C8FD35A0AE} URL = hxxp://terra.im/search?sid=101&q={searchTerms} SearchScopes: HKU\S-1-5-21-2862859738-4015273650-266452962-1000 -> {ielnksrch} URL = hxxp://%66%65%65%64.%73%6F%6E%69%63-%73%65%61%72%63%68.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBSiA1rEAocN4PQUDpRKkKqLhA2_PeGKoXymT9-6o80WL8_3a-V_HQh-tVi42tPsBFRKBb2dR2l197mbSac39MMS2AAXeotF5yxmJ39YE7mTEW5l8EoNfhJ98khvWGbna4U_gzETpcCvMRH-k9YOBMLVQpDJjmoa0zdIxEzNOPPRB3cZ4CHIYaY&q={searchTerms} FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKLM-x32\...\Firefox\Extensions: [deskCutv2@gmail.com] - C:\Users\Kamil\AppData\Roaming\Mozilla\Firefox\Profiles\gyyam9g4.default-1435084558809\extensions\deskCutv2@gmail.com => nie znaleziono FF HKU\S-1-5-21-2862859738-4015273650-266452962-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 Hosts: DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\extensions C:\Program Files\Diebbahkyntibmu C:\Program Files\ktip C:\Program Files\REACHit C:\Program Files\Windows Screen Manager C:\Program Files\Common Files\Soobzo C:\Program Files\Common Files\Tencent C:\Program Files\Common Files\uur1ja1u C:\Program Files (x86)\00000000-1453152276-0000-0000-D43D7EF14507 C:\Program Files (x86)\00000000-1458867027-0000-0000-D43D7EF14507 C:\Program Files (x86)\badu C:\Program Files (x86)\Google C:\Program Files (x86)\SearchesToYesbnd C:\Program Files (x86)\Winsere C:\Program Files (x86)\WinTaske C:\ProgramData\*.* C:\ProgramData\CloudPrinter C:\ProgramData\dlohsi C:\ProgramData\dlohsis C:\ProgramData\Konksolex C:\ProgramData\Konksolexs C:\ProgramData\Thunder Network C:\ProgramData\TXQMPC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Resident Evil 6.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA GAMES C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Gothic III C:\ProgramData\Microsoft\Windows\Start Menu\Programs\NokiaFREE Calculator C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ONESOFTPERDAY C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PDFCreator\Licenses C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Point of Existence 2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Qualcomm Atheros C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Elder Scrolls V Skyrim C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WorldUnlock Calculator C:\uninst C:\Users\Kamil\AppData\Local\*.* C:\Users\Kamil\AppData\Local\00000000-1458873769-0000-0000-D43D7EF14507 C:\Users\Kamil\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108 C:\Users\Kamil\AppData\Local\app C:\Users\Kamil\AppData\Local\brsrv C:\Users\Kamil\AppData\Local\Chromium C:\Users\Kamil\AppData\Local\com_tuto_1 C:\Users\Kamil\AppData\Local\Google C:\Users\Kamil\AppData\Local\ospd_us_013010277 C:\Users\Kamil\AppData\Local\Tempfolder C:\Users\Kamil\AppData\LocalLow\Company C:\Users\Kamil\AppData\LocalLow\HPAppData C:\Users\Kamil\AppData\LocalLow\Tv-Plug-In C:\Users\Kamil\AppData\Roaming\*.* C:\Users\Kamil\AppData\Roaming\DufeRumosos C:\Users\Kamil\AppData\Roaming\Elex-tech C:\Users\Kamil\AppData\Roaming\Fatgycm C:\Users\Kamil\AppData\Roaming\MCorp C:\Users\Kamil\AppData\Roaming\UPUpdata C:\Users\Kamil\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Internet Quick Access.lnk C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\腾讯软件 C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Internet Quick Access C:\Users\Kamil\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Benchmark Sims C:\Users\Public\Thunder Network C:\Users\Public\Documents\dmp C:\Windows\system32\Google Chrome.lnk C:\Windows\system32\adhg C:\Windows\system32\kab C:\Windows\system32\log C:\Windows\system32\Drivers\cherimoya.sys C:\Windows\System32\Drivers\hssdrv6.sys C:\Windows\System32\Drivers\uim_vimx64.sys C:\Windows\system32\Drivers\etc\hp.bak CMD: ipconfig /flushdns CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition ale już bez Shortcut. Dołącz też plik fixlog.txt.

O ile problem nadal aktualny: infekcja po prostu ukryła foldery przy udziale atrybutów HS ("ukryty systemowy") i one byłyby widoczne po odznaczeniu w Opcjach folderów Ukryj chronione pliki systemu operacyjnego. Naprawa polega na zdjęciu atrybutów HS. 1. Zakładam że urządzenie nadal jest zmapowane pod literą H, w przeciwnym wypadku podmień we wszystkich komendach punktujących H właściwą. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: attrib /d /s -s -h H:\* RemoveDirectory: H:\FOUND.000 RemoveDirectory: H:\System Volume Information RemoveDirectory: H:\RECYCLER Task: {7BC79BEE-47EF-4A11-B9A9-CE1644C87362} - System32\Tasks\{19CEDB7E-AEF5-4C38-905D-8AA08F4195B2} => Chrome.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=7.2.0.103&LastError=12002 Task: {B18CD52B-B8A3-4448-A600-378E607CD69B} - System32\Tasks\{E05D7EC6-9B23-4354-A0CB-C9254F1D90BF} => pcalua.exe -a C:\Users\Pejper\Downloads\chromeinstall-8u73.exe -d C:\Users\Pejper\Downloads C:\Program Files (x86)\GUTA850.tmp EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log USBFix z opcji Listing, ale odznacz skan rekursywny. Dołącz też plik fixlog.txt.

Objaśnij czy masz jakieś konkretne problemy, co Cię niepokoi. W raportach nie widać żadnych oznak infekcji (te oznaczenia "UWAGA" w Addition to fałszywe alarmy). Był też wcześniej używany AdwCleaner - czy on w ogóle coś usuwał? Pokaż logi z folderu C:\AdwCleaner.

Temat przenoszę do działu Windows, problem nie jest pochodną infekcji. Rozpocznij od sprawdzenia ewentualnej interferencji Avast: wyłączenie osłony sieciowej, wyłączenie ogólne programu. Poza tym, masz zainstalowaną starszą werję 10.3.2225, więc klaruje się ogólna aktualizacja programu. PS. Odinstaluj też stare wersje i zbędne produkty: Adobe Reader X (10.1.16) MUI, Bing Bar, HP Customer Participation Program 14.0, Java 8 Update 25. A w spoilerze doczyszczanie pustych wpisów, szczątków i Tempów.

Wypada zadać pytanie z którego miejsca pobierasz tę liczbę (pokaż zrzut ekranu), gdyż: To pożądany stan. System Idle Proces (Proces bezczynności systemu) jest interpretowany odwrotnie niż pozostałe procesy, gdyż oznacza jaką część jest "w spoczynku". Im wyższe zasoby procesora są tu przypisane, tym lepiej. PS. W spoilerze drobne doczyszczenie pustych wpisów. Operacja nie ma znaczenia w kontekście wydajności, to kosmetyka.

Temat przenoszę do działu Sieci. Nie ma co szukać tu infekcji. Nawiasem mówiąc, wspominasz o "reinstalacji systemu", podczas gdy system był co dopiero instalowany (2016-03-03 09:24:32). Zacznij od sprawdzenia ustawień ESET Endpoint Security i konfiguracji związanej z osłoną HTTPS. Zbliżony temat z forum: KLIK.

Temat przenoszę do działu Windows. Brak oznak infekcji, choć nie podałeś GMER. W raportach FRST nie widać też nic oczywistego, co pomogłoby nakierować. - Wolniejszy system: Wstępnie sprawdź czy robi różnicę redukcja procesów metodą czystego rozruchu. Już wyłączyłeś elementy startu za pomocą systemowego Menedżera zadań, ale to działanie nie adresuje usług. Instrukcje: KLIK. - Powiadomienia Facebook: Jak mówię, nie widzę żadnych syndromów infekcji. Sprawdź na wszelki wypadek na koncie Facebook listę autoryzowanych tam aplikacji, usuń wszystko czego nie rozpoznajesz. PS. W spoilerze drobne doczyszczanie wpisów pustych i Tempów, to działanie nie ma związku z problemami i nie pomoże ich rozwiązać.

Temat przenoszę do działu Windows. Brak podstaw, by szukać infekcji. Jeśli chodzi o zgłoszony problem, to z raportów FRST nic kompletnie nie wynika. Nie mam punktu zaczepienia. Ale mam pytanie: czy przypadkiem tu ostatnio nie było jakiejś masowej aktualizacji sterowników (np. przy udziale zewnętrznego automatu)? W raporcie FRST jest dużo ostatnio odświeżonych elementów tego typu... Natomiast widzę tu inny problem, tzn. kombinatoryka z aktywacją Windows. Różne ślady crackowania, a jeden z obiektów zgłasza notoryczne błędy w Dzienniku zdarzeń: Dziennik Aplikacja: ================== Error: (04/04/2016 08:58:52 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: AutoKMS.exe, wersja: 2.5.3.0, sygnatura czasowa: 0x54c2b458 Nazwa modułu powodującego błąd: KERNELBASE.dll, wersja: 10.0.10586.162, sygnatura czasowa: 0x56cd45b4 Kod wyjątku: 0xe0434352 Przesunięcie błędu: 0x0000000000071f28 Identyfikator procesu powodującego błąd: 0x1ad0 Godzina uruchomienia aplikacji powodującej błąd: 0xAutoKMS.exe0 Ścieżka aplikacji powodującej błąd: AutoKMS.exe1 Ścieżka modułu powodującego błąd: AutoKMS.exe2 Identyfikator raportu: AutoKMS.exe3 Pełna nazwa pakietu powodującego błąd: AutoKMS.exe4 Identyfikator aplikacji względem pakietu powodującego błąd: AutoKMS.exe5 Error: (04/04/2016 08:58:52 PM) (Source: .NET Runtime) (EventID: 1026) (User: ) Description: Aplikacja: AutoKMS.exe Wersja architektury: v4.0.30319 Opis: proces został przerwany z powodu nieobsłużonego wyjątku. Informacje o wyjątku: System.UnauthorizedAccessException w System.IO.__Error.WinIOError(Int32, System.String) w System.IO.FileInfo.Delete() w ..(System.String) w ..() w ..(., System.String, Boolean, System.String, Int32, System.String, System.String, Boolean, Boolean, Boolean, Boolean, Boolean, Boolean, System.String, System.String) w ..(Boolean, Boolean, System.String, System.String, System.String, Boolean, Boolean, ., System.String, Int32, Boolean, Boolean, Boolean, System.String) w ..(.) w ..() Usuwanie elementów aktywatorów (przy okazji drobne odpadki innego typu). Otwórz Notatnik i wklej w nim: CloseProcesses: IFEO\SppExtComObj.exe: [Debugger] C:\Windows\SECOH-QAD.exe Task: {4617354F-2998-4098-AFB2-5A6594239735} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2016-03-25] () S3 ALSysIO; C:\Users\lukasz\AppData\Local\Temp\ALSysIO64.sys [17416 2016-04-01] (Arthur Liberman) HKU\S-1-5-21-1838996699-4052688192-114811678-1001\...\Policies\Explorer: [] C:\Program Files\KMSpico C:\Program Files (x86)\Temp C:\ProgramData\TEMP C:\Windows\AutoKMS C:\Windows\SECOH-QAD.exe C:\Windows\SECOH-QAD.dll CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik. PS. Drobnostka adware w Google Chrome. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie adresy.

Z podanych raportów nic nie wynika, a problemy wydają się być bardziej sprzętowe. Temat przenoszę na diagnostykę do działu Hardware. Dostarcz dane wymagane działem: KLIK. PS. Są tu błędy po odinstalowanej komercyjnej wersji Avast: Dziennik System: ============= Error: (03/28/2016 10:45:20 PM) (Source: Service Control Manager) (EventID: 7026) (User: ) Description: Nie można załadować następujących sterowników startu rozruchowego lub systemowego: aswKbd aswNdisFlt Error: (03/28/2016 10:45:16 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi avast! Firewall z powodu następującego błędu: %%1053 Error: (03/28/2016 10:45:16 PM) (Source: Service Control Manager) (EventID: 7009) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na połączenie się z usługą avast! Firewall. W Trybie awaryjnym uruchom Autoruns i w karcie Drivers usuń te dwie pozycje: S1 aswKbd; \??\C:\Windows\system32\drivers\aswKbd.sys [X] S1 aswNdisFlt; system32\DRIVERS\aswNdisFlt.sys [X]

Temat (po posprzątaniu ze zbędnych postów) przenoszę do działu Windows, to nie jest problem infekcji. Podstawowa sprawa, tu działają wspólnie Avast i ESET Smart Security, co jest przypuszczalną przyczyną problemów. ESET jest niepoprawnie odinstalowany i uszkodzony, nie ma wejść na liście zainstalowanych programów, ale aktywnie ładuje usługi i sterowniki. Po drugie, chyba za mocno "czyściłeś" system próbując rozwiązać problemy, bo Twoja aktywnie używana przeglądarka Google Chrome też nie ma deinstalatora... Wykonaj następujące działania: 1. Przejdź w Tryb awaryjny Windows i zastosuj narzędzie firmowe ESET Uninstaller. 2. Opuść tryb awaryjny i doczyść drobniejsze śmieci. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 McComponentHostServiceSony; C:\Program Files (x86)\Sony\MSS\3.0.271\McCHSvc.exe [237328 2012-03-30] (McAfee, Inc.) S3 EagleX64; \??\C:\Windows\system32\drivers\EagleX64.sys [X] Task: {0A933656-F211-42F1-ADF3-43C3A6116BAD} - System32\Tasks\{FE7F974D-2DDA-430D-A22C-080863746A93} => pcalua.exe -a "D:\Rise of Nations\Rise Of Nations spolszczenie.exe" -d "D:\Rise of Nations" Task: {16565698-ACDA-4BCD-98C0-58D2CC9C7E9A} - System32\Tasks\{D12DD7B7-FA17-4F84-A346-0E81B277031C} => pcalua.exe -a "C:\Users\Pawel\AppData\Local\Temp\Temp1_VAIO_Control_Center_4.1_4.1.0.10160.zip\VAIO Control Center 4.1 - 4.1.0.10160\setup.exe" Task: {3B48A647-14BA-450B-A562-38F3423E365E} - System32\Tasks\{1E039450-BF3B-4C7E-8F61-B620C1921175} => pcalua.exe -a "D:\Rise of Nations\Rise of Nations Thrones and Patriots spolszczenie.exe" -d "D:\Rise of Nations" Task: {EB02381F-D652-4B1C-894A-712498C62C51} - \Microsoft\Windows\MUI\LPRemove -> Brak pliku <==== UWAGA HKU\S-1-5-21-297010708-480915151-2761616004-1000\...\Run: [RGSC] => D:\Rockstar Games Social Club\RGSCLauncher.exe /silent HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Sony MSS.lnk DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\AdwCleaner RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox RemoveDirectory: C:\Program Files (x86)\QuickTime RemoveDirectory: C:\ProgramData\Arcabit RemoveDirectory: C:\ProgramData\Microsoft\Windows\GameExplorer\{B5ABDC04-B3E0-499A-ABDB-A179C20816B5} RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Picasa 3 RemoveDirectory: C:\Users\Pawel\AppData\Roaming\mIRC RemoveDirectory: C:\Users\Pawel\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\IVMP C:\ProgramData\*.bin C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Rockstar Games\Rockstar Games Social Club.lnk C:\Users\Pawel\AppData\Local\{36E9900A-1C98-45A2-B268-BFAFE6629D23} C:\Users\Pawel\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Picasa 3.lnk C:\Windows\pss\Sony MSS.lnk.CommonStartup C:\Windows\system32\Drivers\arcafsav.sys C:\Windows\system32\Drivers\arcawfp.sys EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie zaznacz pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt. Wypowiedz się czy jest poprawa.

Log Addition jest urwany, brak statystyk dysków i nie wiadomo ile wolnego miejsca jest. Temat przenoszę do działu Windows. Owszem, są tu niedoczyszczone obiekty adware (w tym aktywna usługa adware TheCalendarService), ale zgłaszany problem startu około 5 minut nie wygląda na powiązany. Natomiast podejrzana sprawa to datowanie w Dzienniku zdarzeń. Ostatnie nagrane błędy pochodzą z sierpnia 2015, co wygląda niewiarygodnie w kontekście systemu który jest zgłaszany jako niesprawny. Być może tu właśnie jest problem z Dziennikiem zdarzeń (wyłączona / niesprawna usługa, lub uszkodzone pliki Dziennika). Podobnie jest na liście punktów Przywracania systemu, raptownie spis kończy się. Będę sprawdzać stan usług. Sugestie wstępne: 1. Na wszelki wypadek sprawdź transfer dysku. Start > w polu szukania wpisz devmgmt.msc > z prawokliku Uruchom jako Administrator. W menu Widok ustaw "Urządzenia wg połączeń". Rozwiń gałąź urządzeń tak, by wyszukać gdzie jest dysk twardy. Z prawokliku na kanał na którym jest dysk pobierz Właściwości > Ustawienia zaawansowane > zweryfikuj "Bieżący tryb transferu". 2. Deinstalacje adware (pozycje oznaczone ATTENTION), starych wersji i niektórych preintegrowanych na Acer aplikacji. To wszystko można odinstalować, pomiń te aplikacje Acer z których rzeczywiście korzystasz: ==================== Installed Programs ====================== Acer GameZone Console (HKLM-x32\...\{ABEE079E-648E-488B-8301-0C3DB48C1BCE}_is1) (Version: 6.1.0.2 - Oberon Media, Inc.) Acer Registration (HKLM-x32\...\Acer Registration) (Version: 1.03.3002 - Acer Incorporated) Acer ScreenSaver (HKLM-x32\...\Acer Screensaver) (Version: 1.1.0105.2010 - Acer Incorporated) Acer Updater (HKLM-x32\...\{EE171732-BEB4-4576-887D-CB62727F01CA}) (Version: 1.02.3001 - Acer Incorporated) Acrobat.com (HKLM-x32\...\{287ECFA4-719A-2143-A09B-D6A12DE54E40}) (Version: 1.6.65 - Adobe Systems Incorporated) Advanced Calendar 2.0 (HKLM\...\{D9BAB2C9-5236-48c3-AF02-67E799F09BBD}) (Version: 2.0.0.10764 - TopTools100) <==== ATTENTION Coupon Printer for Windows (HKLM-x32\...\Coupon Printer for Windows5.0.0.0) (Version: 5.0.0.0 - Coupons.com Incorporated) CyberLink PowerDVD 9 (HKLM-x32\...\InstallShield_{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8}) (Version: 9.0.2719.50 - CyberLink Corp.) eBay Worldwide (HKLM-x32\...\{E0B19DF7-B1C7-4937-82C4-0E4B1E346965}) (Version: 2.1.0901 - OEM) HP Customer Participation Program 14.0 (HKLM\...\HPExtendedCapabilities) (Version: 14.0 - HP) Java™ 6 Update 24 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83216022FF}) (Version: 6.0.240 - Oracle) MyWinLocker Suite (HKLM-x32\...\InstallShield_{738BF5C3-AF7B-4BB0-B7EF-E505EFC756BE}) (Version: 3.1.206.0 - Egis Technology Inc.) NTI Backup Now 5 (HKLM-x32\...\InstallShield_{12EFA1A4-AC3B-443C-8143-237EDE760403}) (Version: 5.1.2.628 - NewTech Infosystems) NTI Media Maker 8 (HKLM-x32\...\InstallShield_{2413930C-8309-47A6-BC61-5EF27A4222BC}) (Version: 8.0.12.6630 - NewTech Infosystems) Shop for HP Supplies (HKLM\...\Shop for HP Supplies) (Version: 14.0 - HP) Tools Update Platform (HKLM-x32\...\{6A128791-4857-4484-9BB2-71D4C1257200}) (Version: 1.1.0.15773 - Beijing Zhihuimen Techology co,.Ltd) <==== ATTENTION Welcome Center (HKLM-x32\...\Acer Welcome Center) (Version: 1.01.3002 - Acer Incorporated) Windows Live Essentials (HKLM-x32\...\WinLiveSuite) (Version: 15.4.3502.0922 - Microsoft Corporation) Windows Live Sync (HKLM-x32\...\{84EBDF39-4B33-49D7-A0BD-EB6E2C4E81C1}) (Version: 14.0.8089.726 - Microsoft Corporation) 3. Doczyszczanie śmieci: 4. Zrób nowy log FRST z opcji Skanuj (Scan) na następujących ustawieniach: odznacz pola Drivers i Services, zaznacz pole Addition. Dołącz też plik fixlog.txt. Podsumuj czy wykonane działania coś wniosły do sprawy.