picasso

Skoro AdwCleaner nic nie wykrył, to log nie jest oczywiście potrzebny. Zrób jeszcze jeden skan za pomocą Hitman Pro. Jeśli coś wykryje, dostarcz log wynikowy.

Naprawa Zmiennych przebiegła pomyślnie. Odczyty "Brak pliku" i "Nie można uzyskać dostępu do BCD" zniknęły. Kolejne działania: Uruchom FRST ponownie, w polu Szukaj wklej co poniżej i klik w Szukaj w rejestrze. Dostarcz wynikowy log. {F6BF8414-962C-40FE-90F1-B80A7E72DB9A}

O ile problem nadal aktualny: nie jestem w stanie obejrzeć głównego raportu FRST.txt, link wygasł, więc dostarcz ponownie.

Są tu ślady rozmaitych infekcji: trojan Ropest, infekcja szyfrująca dane CryptoWall (to te "dziwne" pliki, które pokazujesz na obrazku), usługa Tor oraz polityka IP blokującą aktywność sieciową. Jedna z przyczyn nabycia tego miotu to exploity Adobe, a w raporcie widać poważne grzechy. Będę także usuwać szczątki odinstalowanych programów. Działania wstępne do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {08C3216B-74FF-4A82-9238-1F6018AC69B6} - System32\Tasks\{C7D1C61A-A881-4E7A-B7AE-6EE13F6B5F42} => pcalua.exe -a C:\Users\Ewa\Downloads\sp55843.exe -d C:\Users\Ewa\Downloads Task: {0BD089E1-C774-4E66-8A81-966FD3808718} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {570F8FD4-21DD-4B9B-9F4A-FC5763A099B8} - System32\Tasks\Remediation\AntimalwareMigrationTask => C:\Program Files\Common Files\AV\Norton Internet Security\Upgrade.exe [2015-08-06] (Symantec Corporation) Task: {7A01A985-859F-4074-B684-944FD459DE96} - \AdobeFlashPlayerUpdate -> Brak pliku <==== UWAGA Task: {9FDC1A5A-F628-4899-BA7F-C0A7426BB0B1} - System32\Tasks\WSManHTTPConfig => C:\Users\Ewa\AppData\Roaming\Microsoft\Windows\IEUpdate\WSManHTTPConfig.exe <==== UWAGA Task: {A61FA2F7-553F-40D8-8C4E-06B45EE2450A} - System32\Tasks\{5B13B85D-F3F9-4CD4-BBED-60A85CBA1736} => pcalua.exe -a C:\Users\Ewa\Downloads\sp52212.exe -d C:\Users\Ewa\Downloads Task: {C4CCB51D-E46A-4338-A0EB-F4466214C617} - System32\Tasks\Hewlett-Packard\HP Support Assistant\WarrantyChecker_DeviceScan => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPWarrantyCheck\HPWarrantyChecker.exe Task: {DD0067E7-D68E-4F02-AD3B-9D2FCB523D54} - System32\Tasks\Hewlett-Packard\HP Support Assistant\WarrantyChecker_CN29P151HG05SZ => C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\Resources\HPWarrantyCheck\HPWarrantyChecker.exe Task: {F082FB45-D1F8-401A-8C8B-985604EEFEE7} - \AdobeFlashPlayerUpdate 2 -> Brak pliku <==== UWAGA Task: {F98C0926-31A3-4AEF-B923-6E10251F54EF} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe R2 tor; C:\Program Files (x86)\Tor\tor.exe [3233806 2013-09-11] () [Brak podpisu cyfrowego] <==== UWAGA S3 hpqwmiex; "C:\Program Files (x86)\Hewlett-Packard\Shared\hpqWmiEx.exe" [X] S2 UPDATESRV; "C:\Program Files\Bitdefender\Bitdefender 2016\updatesrv.exe" /service [X] U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 EraserUtilRebootDrv; \??\C:\Program Files (x86)\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [X] S3 ewusbnet; system32\DRIVERS\ewusbnet.sys [X] S3 ew_hwusbdev; system32\DRIVERS\ew_hwusbdev.sys [X] S3 ew_usbenumfilter; system32\DRIVERS\ew_usbenumfilter.sys [X] S3 huawei_cdcacm; system32\DRIVERS\ew_jucdcacm.sys [X] S3 huawei_enumerator; system32\DRIVERS\ew_jubusenum.sys [X] S3 huawei_ext_ctrl; system32\DRIVERS\ew_juextctrl.sys [X] S3 huawei_wwanecm; system32\DRIVERS\ew_juwwanecm.sys [X] S3 hwdatacard; system32\DRIVERS\ewusbmdm.sys [X] S3 hwusbfake; system32\DRIVERS\ewusbfake.sys [X] U3 fxldapow; \??\C:/Temp\fxldapow.sys [X] HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{2996d584-b7e4-4160-b873-aef041cfcb50} <======= UWAGA (Ograniczenia - IP) HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-2060724838-3934703078-1233277874-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = Toolbar: HKU\S-1-5-21-2060724838-3934703078-1233277874-1000 -> Brak nazwy - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - Brak pliku CHR HKLM-x32\...\Chrome\Extension: [fabcmochhfpldjekobfaaggijgohadih] - hxxps://clients2.google.com/service/update2/crx HKU\S-1-5-21-2060724838-3934703078-1233277874-1000\...\Run: [Bitdefender Wallet Agent] => "C:\Program Files\Bitdefender\Bitdefender 2016\bdwtxag.exe" DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Hewlett-Packard DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Remediation DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files\Windows Live RemoveDirectory: C:\Program Files\Common Files\AV\Norton Internet Security RemoveDirectory: C:\Program Files (x86)\Draco - Faktury VAT RemoveDirectory: C:\Program Files (x86)\Internet Mobilny RemoveDirectory: C:\Program Files (x86)\iPlus RemoveDirectory: C:\Program Files (x86)\Opera RemoveDirectory: C:\Program Files (x86)\Real RemoveDirectory: C:\Program Files (x86)\Temp RemoveDirectory: C:\Program Files (x86)\Tor RemoveDirectory: C:\Program Files (x86)\Windows Live RemoveDirectory: C:\ProgramData\Internet Mobilny RemoveDirectory: C:\ProgramData\Norton RemoveDirectory: C:\ProgramData\Real RemoveDirectory: C:\ProgramData\RealNetworks RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\CcpmSoft RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Draco - Faktury VAT RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Informator RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Online Services RemoveDirectory: C:\Qoobox RemoveDirectory: C:\Users\Ewa\AppData\Local\{1f6a284e-9b30-e06e-d9bb-ea65b9158f30} RemoveDirectory: C:\Users\Ewa\AppData\Local\AVworks RemoveDirectory: C:\Users\Ewa\AppData\Local\Facebook RemoveDirectory: C:\Users\Ewa\AppData\Local\ITKsoft RemoveDirectory: C:\Users\Ewa\AppData\Local\Microsoft\Messenger RemoveDirectory: C:\Users\Ewa\AppData\Local\Microsoft\Windows Live RemoveDirectory: C:\Users\Ewa\AppData\Local\Microsoft\Windows Live Mail RemoveDirectory: C:\Users\Ewa\AppData\Roaming\_MDLogs RemoveDirectory: C:\Users\Ewa\AppData\Roaming\iPlus RemoveDirectory: C:\Users\Ewa\AppData\Roaming\Opera Software RemoveDirectory: C:\Users\Ewa\AppData\Roaming\Real RemoveDirectory: C:\Users\Ewa\AppData\Roaming\RealNetworks RemoveDirectory: C:\Users\Ewa\AppData\Roaming\Microsoft\Windows\IEUpdate RemoveDirectory: C:\Users\Ewa\M-505045204205054050886045405080 RemoveDirectory: C:\Windows\SoftwareDistribution.old RemoveDirectory: C:\Windows\system32\CatRoot2Old RemoveDirectory: C:\Windows\system32\oldcatroot2 RemoveDirectory: C:\Windows\System32\Tasks\Hewlett-Packard RemoveDirectory: C:\Windows\System32\Tasks\Remediation RemoveDirectory: C:\Windows\SysWOW64\config\systemprofile\AppData\Local\Windows Internet Name Service RemoveDirectory: C:\Windows\SysWOW64\dfrg C:\ProgramData\Hewlett-Packard\HP Setup\launchreg.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\HP Help and Support\HP Connection Manager.lnk C:\Users\Ewa\AppData\Roaming\*.* C:\Users\Ewa\Desktop\GRAFIKI\grafik excel.lnk CMD: netsh advfirewall reset CMD: attrib -r -h -s C:\HELP_DECRYPT.* /s CMD: attrib -r -h -s D:\HELP_DECRYPT.* /s CMD: attrib -r -h -s E:\HELP_DECRYPT.* /s CMD: del /q /s C:\HELP_DECRYPT.* CMD: del /q /s D:\HELP_DECRYPT.* CMD: del /q /s E:\HELP_DECRYPT.* Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Odinstaluj niebezpieczne wersje oraz zbędne programy: Adobe Flash Player 11, Adobe Reader X (10.1.16) MUI, HP Deskjet 3520 series — badanie mające na celu poprawę produktów, SUPERAntiSpyware. 3. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Ewa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Plik fixlog.txt może być za duży i nie zmieścić się w załączniku, w takiej sytuacji shostuj go gdzieś i podaj link.

Temat idzie do Windows. Brak oznak infekcji. Cytuję z innego tematu: To proces systemowy używany przez system m.in. podczas renderowania miniatur w eksploratorze. Problemy z nim mogą wynikać np. z kodeków. W Twoim przypadku najbardziej prawdopodobne jest, że zawieszenie procesu było powiązane z plikami filmowymi, bo widać w raporcie, że kręciłeś się na tym terenie. Wspominasz "wczoraj" - w tym czasie został utworzony plik MP4: 2016-01-31 18:14 - 2016-01-31 18:14 - 65857762 _____ C:\Users\tomicher\Desktop\lualmi_termy.mp4 2016-01-14 22:58 - 2016-01-14 23:37 - 1645725461 _____ C:\Users\tomicher\Desktop\Chochołowskie Termy DJI_0001.MOV 2016-01-14 22:04 - 2016-01-14 22:25 - 38610948 _____ C:\Users\tomicher\Desktop\lualmi4.mpg 2016-01-13 19:11 - 2016-01-13 19:11 - 29990474 _____ C:\Users\tomicher\Desktop\lualmi1.mp4 2016-01-13 14:24 - 2016-01-13 13:48 - 27213828 _____ C:\Users\tomicher\Desktop\lualmi1.mpg

W raportach nie widać żadnych oznak infekcji. Czy problem tych zgłoszeń nadal występuje? PS. Odinstaluj bardzo stary Adobe AIR oraz program wątpliwej reputacji Dll-Files.com Fixer wersja 3.0.81.2643.

Sterowniki Kasperskiego zostały pomyślnie usunięte. I ja w raportach nie widzę przyczyny dla opisywanego zachowania... Spróbuj jeszcze przeinstalować Avast: najpierw usuń go normalnie via Panel sterowania, następnie w Trybie awaryjnym zastosuj Avast Uninstall Utility. Podaj rezultaty.

Konkretnie, co i gdzie widzisz, jakie błędy? Wspominane komponenty są w stanie "uruchomiono": R2 MsMpSvc; c:\Program Files\Microsoft Security Client\MsMpEng.exe [23816 2015-04-30] (Microsoft Corporation) S3 NisSrv; c:\Program Files\Microsoft Security Client\NisSrv.exe [366544 2015-04-30] (Microsoft Corporation) R2 WinDefend; C:\Program Files\Windows Defender\mpsvc.dll [1011712 2013-05-27] (Microsoft Corporation) R0 MpFilter; C:\Windows\System32\DRIVERS\MpFilter.sys [280376 2015-03-04] (Microsoft Corporation) S3 NisDrv; C:\Windows\System32\DRIVERS\NisDrvWFP.sys [124568 2015-03-04] (Microsoft Corporation) Zapora systemu Windows [funkcja włączona] Jedyne co tu widzę powiązanego, to poniższy błąd w Dzienniku zdarzeń. I widzę, że już ręcznie próbowałeś ładować sygnatury, na dysku jest plik mpam-feX64.exe. Jaki błąd podczas ich instalacji otrzymałeś? Dziennik System: ============= Error: (02/02/2016 08:06:26 AM) (Source: Microsoft Antimalware) (EventID: 2001) (User: ) Description: Produkt %ZARZĄDZANIE NT60 napotkał błąd podczas próby aktualizacji podpisów. Nowa wersja podpisu: Poprzednia wersja podpisu: 0.0.0.0 Źródło aktualizacji: %ZARZĄDZANIE NT51 Etap aktualizacji: 4.8.0204.00 Ścieżka źródła: 4.8.0204.01 Typ podpisu: %ZARZĄDZANIE NT602 Typ aktualizacji: %ZARZĄDZANIE NT604 Użytkownik: ZARZĄDZANIE NT\USŁUGA SIECIOWA Bieżąca wersja aparatu: %ZARZĄDZANIE NT605 Poprzednia wersja aparatu: %ZARZĄDZANIE NT606 Kod błędu: %ZARZĄDZANIE NT607 Opis błędu: %ZARZĄDZANIE NT608 Nic tu nie wskazuje na problem czynnej infekcji, choć widzę na dysku dwa podejrzane ukryte foldery "numeryczne". Wstępnie: 1. Drobny skrypt czyszczący do wykonania. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {3AAE17F6-87EE-4088-8CBF-547677F5DC05} - \Windows -> Brak pliku <==== UWAGA U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 cpuz135; \??\C:\Users\Bartek\Desktop\pc-wizard_2012.2.11\pcwiz_x64.sys [X] GroupPolicy: Ograniczenia - Chrome <======= UWAGA CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-4060467696-4152469294-1706288102-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSSE HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSSE HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-4060467696-4152469294-1706288102-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-4060467696-4152469294-1706288102-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.msn.com/?pc=MSSE SearchScopes: HKU\S-1-5-21-4060467696-4152469294-1706288102-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-4060467696-4152469294-1706288102-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSSE DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main Folder: C:\ProgramData\621377 Folder: C:\ProgramData\621477 C:\ProgramData\621377 C:\ProgramData\621477 C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Haali Media Splitter C:\ProgramData\Microsoft\Windows\Start Menu\Programs\SpeedFan C:\Users\Bartek\AppData\Roaming\appdataFr2.bin C:\Users\Bartek\Desktop\Inne\*.lnk CMD: netsh advfirewall reset RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Bartek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Zrób nowe logi: FRST z opcji Skanuj (Scan), ponownie z Addition, oraz Farbar Service Scanner. Dołącz też plik fixlog.txt.

jessica GreatDeals tworzy właśnie fałszywa przeglądarka chroomium Browser. Trik polega na tym, że zostały przekierowane skróty normalnego Google Chrome na fałszywą przeglądarkę. Użytkownik myśli, że uruchamia Google Chrome, a uruchamia się imitacja Google Chrome z wbudowanym adware. Komponenty profilu fałszywej przeglądarki nie są widoczne w raporcie FRST, gdyż FRST skanuje tylko i wyłącznie profil normalnego Google (%localappdata%\Google\Chrome) a nie jego klonów (w tym przypadku %localappdata%\chroomium). Shortcut: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome\Google Chrome.lnk -> C:\Program Files (x86)\chroomium Browser\chroomium\chrome.exe (The chroomium Authors) Shortcut: C:\Users\Public\Desktop\Google Chrome.lnk -> C:\Program Files (x86)\chroomium Browser\chroomium\chrome.exe (The chroomium Authors) Shortcut: C:\Users\Sara\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk -> C:\Program Files (x86)\chroomium Browser\chroomium\chrome.exe (The chroomium Authors) Shortcut: C:\Users\Sara\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\Google Chrome.lnk -> C:\Program Files (x86)\chroomium Browser\chroomium\chrome.exe (The chroomium Authors) Shortcut: C:\Users\Sara\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk -> C:\Program Files (x86)\chroomium Browser\chroomium\chrome.exe (The chroomium Authors) PS. AdwCleaner to już był stosowany, widać to w logu. I zaktualizuj sobie też "wklejki" - w AdwCleaner od dawna polska opcja to "Skanuj" a nie "Szukaj". Powycinałam też ze skryptu powielenia. Np. skoro przetwarzasz linie "Task:", to nie przetwarzaj linii z FRST.txt kierującej na te same pliki C:\Windows\system32\Tasks:

Nie widzę śladów tej infekcji, poza dodanymi wtórnie plikami związanymi z szyfrowaniem. Ale system wymagałby dużych interwencji i masowych porządków. Jest tu system XP w fatalnym stanie: krytyczna ilość wolnego miejsca na dysku, masa starych programów (a archaiczne wersje Adobe z lukami to prawie na pewno była przyczyna infekcji), różne naruszenia np. Winsock i ogólny śmietnik. Mogę się oczywiście podjąć tej roboty, ale moim zdaniem nie opłaca się. Tu szybciej i z lepszymi efektami zostałby wdrożony kompleksowy format, który usunąłby zresztą wszystkie skutki tej infekcji na partycji C. Druga sprawa: czy jest szansa na wymianę systemu XP nowszym?

Temat nie został zgłoszony w przyklejonym temacie "Zgłoszenia tematów bez odpowiedzi", więc nie wiem czy nadal aktualny. Jeśli nadal aktualny, to dostarcz świeże raporty FRST. Z tego co widzę w starych, to w starcie jest taki oto obiekt malware: InternetURL: C:\Users\pomyk_000\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\dfgbvweer.eu.url -> file:///C:\ProgramData\ererwerr\dfgbvweer.exe Zajmę się tym oraz innymi śmieciami po otrzymaniu nowych logów.

Nie odinstalowałeś wskazanych programów i to nadal aktualne. Poza tym wszystko gładko wykonane i nie widać już żadnych jawnych oznak infekcji. Teraz: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner. Autodesk udostępnia darmowe nowoczesne przeglądarki: A360 Viewer (online) lub DWG TrueView (do instalacji). U Ciebie widzę zainstalowaną strasznie starą wersję z ... 2006 (!): Autodesk DWF Viewer 7 (HKLM-x32\...\{9A346205-EA92-4406-B1AB-50379DA3F057}) (Version: 7.0.0 - Autodesk, Inc.) Pozbądź się jej i nie instaluj takich archaicznych programów na nowoczesnym Windows 10.

Problemem jest wyłączona usługa Instrumentacja zarządzania Windows, niezbędna do działania Centrum zabezpieczeń, Zapory systemu, Przywracania systemu i paru innych. Error: (12/28/2015 08:29:08 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Centrum zabezpieczeń zależy od usługi Instrumentacja zarządzania Windows, której nie można uruchomić z powodu następującego błędu: %%1058 winmgmt Service is not running. Checking service configuration: The start type of winmgmt service is set to Disabled. The default start type is Auto. The ImagePath of winmgmt: "%systemroot%\system32\svchost.exe -k netsvcs". The ServiceDll of winmgmt service is OK. Ustawię Automatyczny start usługi. Przy okazji usunę śmieci powstałe z aktualizacji do Windows 10 oraz drobne szczątki adware. Operacja do wdrożenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CMD: sc config winmgmt start= auto CMD: netsh advfirewall reset Task: {001A9B8F-4182-479A-84A5-7E7782125FAD} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {0171F0B8-02B1-46F2-B752-55088CDB7FB2} - System32\Tasks\SidebarExecute => C:\Program Files\Windows Sidebar\sidebar.exe Task: {0D70F1F7-8F7A-4F75-91D5-E59D2DA3BF34} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {0EC8D4FC-8D80-43B0-B4B8-73DEF9BC9AA0} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {0FACC785-4059-4998-B0F7-1AAFAA5E4C65} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {17923074-153A-48E5-85DB-56562CB1E765} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {1F2EDF92-EA41-456E-8C27-DD95D2F40854} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {2375E01A-8C55-4B80-8C63-33A29BC86D55} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {251DF3B5-CEAD-44A3-82E9-D56C783BA1B8} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {27F51064-1243-4730-B0EF-710912A4341C} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {28F2296C-89F4-46BF-B517-C74E97C7F175} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {2A2FA7BA-FA95-4EE9-8273-D4CB36524AA5} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {2AF6B35B-F81F-4AB6-9FD8-F9CCBD87D941} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {34642866-B291-4F68-B009-1E52014BFB1B} - System32\Tasks\{39880C34-AE18-408C-B021-2FA1659492C3} => pcalua.exe -a "C:\Program Files (x86)\Corel\Corel Paint Shop Pro Photo X2 - Installation Files\setup.exe" -d "C:\Program Files (x86)\Corel\Corel Paint Shop Pro Photo X2 - Installation Files" Task: {3A0BC6C5-D737-4DF5-ACCF-9570FD0E6124} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {3C5915DE-427C-42EB-9522-637D2BA4C9DC} - System32\Tasks\{646D268F-0B09-426D-B262-394C57AA8ADF} => pcalua.exe -a "C:\Users\Kasiarzynka\Desktop\ZOO_TYCOON_2_PL\ZOO 2 PL - dodatki\Zoo_Tycoon_2_Addon_Hotfix.exe" -d "C:\Users\Kasiarzynka\Desktop\ZOO_TYCOON_2_PL\ZOO 2 PL - dodatki" Task: {406D9FE1-A2D8-4B55-B3DB-4F221BDA6035} - System32\Tasks\{C8D26D62-1F22-4681-B2FC-3F2FFB660B79} => pcalua.exe -a "C:\Users\Kasiarzynka\Desktop\Adobe\Photoshop Lightroom 5.7.1\Install Lightroom 5.exe" -d "C:\Users\Kasiarzynka\Desktop\Adobe\Photoshop Lightroom 5.7.1" Task: {41263DDF-FA58-4CC3-82FB-023869D94518} - System32\Tasks\SONY\VAIO Wallpaper Setting Tool\VAIO Wallpaper Setting Tool => C:\Program Files (x86)\Sony\VAIO Wallpaper Setting Tool\VWSet.exe Task: {440446B4-2DEE-4B2E-9972-3E9929ECD746} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {49140EB1-1735-4C0B-B1C5-F9FF231892ED} - System32\Tasks\{B1948F05-A0A9-42B5-86D7-E3D37A18C731} => pcalua.exe -a C:\Users\Kasiarzynka\Desktop\ZOO_TYCOON_2_PL\Zoo_Tycoon_2_Addon_Hotfix.exe -d C:\Users\Kasiarzynka\Desktop\ZOO_TYCOON_2_PL Task: {61E815B3-9DEC-4B5F-9C55-C276E63F1CEE} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {677978DD-C171-480A-A88F-F60282A6A391} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {6AA45898-3DCD-46C7-B452-B46FBA8C6FD9} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {77B68D9E-83D1-489D-AC44-57423AE2EA09} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {7D1BA18F-DD11-4A40-8A6E-A51CE750D50A} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {809B4B14-8500-4F18-8676-9C1BD0350FBF} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {88A806D1-A3BA-4DFD-8565-5DED618B8870} - System32\Tasks\HPCeeScheduleForKasiarzynka => C:\Program Files (x86)\Hewlett-Packard\HP Ceement\HPCEE.exe Task: {940299DD-F528-4962-A88A-57F22ADCBB7A} - System32\Tasks\{940F26B3-C83D-4E2C-8048-96CAD8D8F0F0} => pcalua.exe -a D:\directx\dxsetup.exe -d D:\directx Task: {94FA0432-5102-4B8B-8E62-B04E5610FC21} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {9A506955-AC9C-4EDA-91C4-B7631387EA2B} - System32\Tasks\{AEEF624B-C476-4C06-BED1-8732CC3DCE47} => pcalua.exe -a C:\Users\Kasiarzynka\AppData\Roaming\omiga-plus\UninstallManager.exe -c -ptid=cor Task: {9AE89564-9106-43F4-AA24-77F307FD7E81} - System32\Tasks\{A8BD7A6B-90FC-49CC-9B96-0473C54BE8A2} => pcalua.exe -a "C:\Program Files (x86)\InstallShield Installation Information\{F9657EF6-C156-4CE9-A0A2-562CD3E94842}\Setup.exe" -d "C:\Program Files (x86)\Eidos Interactive\Beach Life" Task: {9BC3C1A1-FC1C-4331-8E61-7D4F6A573D3E} - System32\Tasks\{107F1BD6-05A3-459B-9E57-60FBEC1B03CC} => pcalua.exe -a "F:\Corel Paint Shop Pro Photo X2 v12.01 CZ PL\PSPP12_Corel_TBYB_CZ_PL_ESD\setup.exe" -d "F:\Corel Paint Shop Pro Photo X2 v12.01 CZ PL\PSPP12_Corel_TBYB_CZ_PL_ESD" Task: {A041E254-8634-4930-9A76-FDF435E768C1} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {A736298B-92E2-4F4B-AF61-605FDF970BB8} - System32\Tasks\{8932C48B-2392-4AE3-BE03-538F3E847DA2} => pcalua.exe -a "C:\Users\Kasiarzynka\Desktop\Zoo Tycoon 2 PL.exe" -d C:\Users\Kasiarzynka\Desktop Task: {B1AF5E3B-428A-4450-B014-471365233ED9} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {B4952F30-EB0E-42D1-8576-5883CC7DC0EF} - System32\Tasks\{E388F6B4-8865-4132-84B6-BA236AB1912B} => pcalua.exe -a C:\Users\Kasiarzynka\Downloads\jxpiinstall.exe -d C:\Users\Kasiarzynka\Downloads Task: {B65376A9-FA4D-45A2-BC28-8332BFDA90AC} - System32\Tasks\{D9BE421A-7B35-43DC-8200-0C22D8C5C8C7} => pcalua.exe -a D:\autorun.exe -d D:\ Task: {C0AF4BA2-6A39-40ED-84EC-7504C032637E} - System32\Tasks\{D9F8CFBB-32A3-4399-B221-909D2CF9EFD0} => pcalua.exe -a "C:\Users\Kasiarzynka\Desktop\Corel Paint Shop Pro Photo X2 v12.01 CZ PL\PSPP12_Corel_TBYB_CZ_PL_ESD\setup.exe" -d "C:\Users\Kasiarzynka\Desktop\Corel Paint Shop Pro Photo X2 v12.01 CZ PL\PSPP12_Corel_TBYB_CZ_PL_ESD" Task: {C1D966DC-64AE-4CA4-8F12-CB71C7B66CA3} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {C5E0E46F-948B-406B-A9C7-5B929FE6475B} - System32\Tasks\{0A8E30F1-B352-4E32-8753-2A5383E83F6C} => Firefox.exe hxxp://ui.skype.com/ui/0/6.3.0.105/pl/abandoninstall?page=tsProgressBar Task: {C8E36C1A-EF64-41AA-8F88-2E4395940920} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {C98C691B-EC45-47A5-971D-97458FE1799F} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {D6E59995-BC8E-461F-B265-8A428C3B1DE8} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {DCC4CCF0-EA03-4C16-A6D7-2CF34DCB2B97} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {DE349F28-E836-4A22-A97B-A59F534A209C} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {E14E4831-5517-42D1-BF55-B8345CB04333} - System32\Tasks\{1B1596F0-D99B-4027-879F-9BA33AAD49CD} => pcalua.exe -a "C:\Users\Kasiarzynka\Desktop\beach life\Setup.exe" -d "C:\Users\Kasiarzynka\Desktop\beach life" Task: {E16E0014-C6AB-4941-94A0-619B1B305B0F} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {E251D312-070E-4C1E-B589-285BCF75B603} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {E8DDE171-4E9A-4122-AB07-6B6E4686E7CF} - System32\Tasks\{F411FD4A-2576-4CF4-ACA6-7B179A502777} => Firefox.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=5.3.0.111.259&LastError=12002 Task: {EA140F4E-6C41-435D-B3A3-82D4845615EB} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {FAAACEF3-D74B-48BF-8B54-D7091065E879} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {FEF24019-2CE4-4DF9-A82A-7F3904F55E21} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: C:\WINDOWS\Tasks\HPCeeScheduleForKasiarzynka.job => C:\Program Files (x86)\Hewlett-Packard\HP Ceement\HPCEE.exe BootExecute: autocheck autochk * U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKU\S-1-5-21-56604747-4067415843-783896686-1000\SOFTWARE\Policies\Google: Ograniczenia CHR HKU\S-1-5-21-56604747-4067415843-783896686-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com HKU\S-1-5-21-56604747-4067415843-783896686-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://pl.search.yahoo.com/?&fr=hp-avast&type=odc414 SearchScopes: HKLM-x32 -> {9CB96984-43C3-4D44-90EF-01466EFCF7BB} URL = hxxp://pl.yhs4.search.yahoo.com/yhs/search?hspart=avast&hsimp=yhs-001&type=odc414&p={searchTerms} SearchScopes: HKLM-x32 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3072253 SearchScopes: HKU\S-1-5-21-56604747-4067415843-783896686-1000 -> DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9500325AS_5VEBJK1ZXXXX5VEBJK1Z&ts=1422383969&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-56604747-4067415843-783896686-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9500325AS_5VEBJK1ZXXXX5VEBJK1Z&ts=1422383969&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-56604747-4067415843-783896686-1000 -> {afdbddaa-5d3f-42ee-b79c-185a7020515b} URL = hxxp://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9500325AS_5VEBJK1ZXXXX5VEBJK1Z&ts=1422383969&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-56604747-4067415843-783896686-1000 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://isearch.omiga-plus.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST9500325AS_5VEBJK1ZXXXX5VEBJK1Z&ts=1422383969&type=default&q={searchTerms} BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku BHO-x32: Brak nazwy -> {E601996F-E400-41CA-804B-CD6373A7EEE2} -> Brak pliku BHO-x32: Brak nazwy -> {F5CC7F02-6F4E-4462-B5B1-394A57FD3E0D} -> Brak pliku Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku CustomCLSID: HKU\S-1-5-21-56604747-4067415843-783896686-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Kasiarzynka\AppData\Local\Google\Update\1.3.25.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-56604747-4067415843-783896686-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Kasiarzynka\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-56604747-4067415843-783896686-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Kasiarzynka\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-56604747-4067415843-783896686-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Kasiarzynka\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-56604747-4067415843-783896686-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Kasiarzynka\AppData\Local\Google\Update\1.3.24.15\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-56604747-4067415843-783896686-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Kasiarzynka\AppData\Local\Google\Update\1.3.26.9\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-56604747-4067415843-783896686-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Kasiarzynka\AppData\Local\Google\Update\1.3.25.11\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-56604747-4067415843-783896686-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\Kasiarzynka\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center RemoveDirectory: C:\Program Files (x86)\Mozilla Firefox\plugins RemoveDirectory: C:\ProgramData\Microsoft\Windows\GameExplorer\{A2672015-A91C-428D-B83E-FFF7EC4903A2} RemoveDirectory: C:\ProgramData\Microsoft\Windows\GameExplorer\PlayTasks RemoveDirectory: C:\ProgramData\Microsoft\Windows\GameExplorer\SupportTasks RemoveDirectory: C:\Users\Kasiarzynka\AppData\Local\Microsoft\Windows\GameExplorer\{A2672015-A91C-428D-B83E-FFF7EC4903A2} RemoveDirectory: C:\Windows\ehome RemoveDirectory: C:\Windows\System32\Tasks\Microsoft\Windows\Media Center EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy problemy ustąpiły.

Zadania usuwające wykonane, ale mamy jeszcze prace. Masz uszkodzone Zmienne środowiskowe, dlatego w FRST są fałszywe adnotacje "Brak pliku" oraz komunikat o braku dostępu do "BCD": Path=C:\ProgramData\Oracle\Java\javapath;C:\Program Files (x86)\Skype\Phone\;C:\Program Files\Common Files\Microsoft Shared\Windows Live Kolejne działania do wdrożenia: 1. Panel sterowania > System i zabezpieczenia > System > Zaawansowane ustawienia systemu > Zmienne środowiskowe > w sekcji Zmienne systemowe zaznacz Path i klik w Edytuj. Przeklej całą ścieżkę do Notatnika, wstaw pomarańczowy blok jako pierwszy: %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\;C:\ProgramData\Oracle\Java\javapath;C:\Program Files (x86)\Skype\Phone\;C:\Program Files\Common Files\Microsoft Shared\Windows Live Zedytowaną ścieżkę przeklej z powrotem do okna i zapisz. Zresetuj system. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut, i nie zaznaczaj opcji "Lista BCD".

Jeśli problem z zamuleniem Chrome nadal ma miejsce, to sprawdź czy sytuacja ulegnie zmianie po tymczasowym wyłączeniu AVG. Zadania usuwające pomyślnie wykonane. Teraz jeszcze na wszelki wypadek uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Nazwy logów FRST wskazują, że je wyciągasz z folderu C:\FRST\Logs. To jest archiwum, bieżące powstają tam skąd uruchamiałeś FRST, czyli w tym przypadku w katalogu Pobrane. Zabrakło też trzeciego obowiązkowego pliku FRST Shortcut. Temat przenoszę do działu diagnostyki malware, to infekcja uruchamiana przez Harmonogram zadań, są też rozmaite inne obiekty adware. Całość nabyłeś uruchamiając jakiś "downloader", więcej na ten temat: KLIK. Log sugeruje, że stało się to po uruchomieniu pliku FreeDWGViewer (1).exe (skąd pobierany?): 2016-02-10 18:00 - 2016-02-10 18:00 - 00005160 _____ C:\WINDOWS\System32\Tasks\GoogleUpdateTaskAdminTask-1-5-21-4287834998-254447837-4126873412-1010Main 2016-02-10 18:00 - 2016-02-10 18:00 - 00005128 _____ C:\WINDOWS\System32\Tasks\GoogleUpdateTaskAdminTask-1-5-21-4287834998-254447837-4126873412-1010P 2016-02-10 18:00 - 2016-02-10 18:00 - 00005102 _____ C:\WINDOWS\System32\Tasks\AdGoogleUpdateTaskAdminTask-1-5-21-4287834998-254447837-4126873412-1010D 2016-02-10 18:00 - 2016-02-10 18:00 - 00005100 _____ C:\WINDOWS\System32\Tasks\GoogleUpdateTaskUserS-1-5-21-4287834998-254447837-4126873412-1000Main 2016-02-10 18:00 - 2016-02-10 18:00 - 00005100 _____ C:\WINDOWS\System32\Tasks\GoogleUpdateTaskAdminTask-1-5-21-4287834998-254447837-4126873412-1010 2016-02-10 18:00 - 2016-02-10 18:00 - 00005084 _____ C:\WINDOWS\System32\Tasks\GoogleUpdateTaskAdminS-1-5-21-4287834998-254447837-4126873412-1010 2016-02-10 18:00 - 2016-02-10 18:00 - 00005084 _____ C:\WINDOWS\System32\Tasks\DfGoogleUpdateTaskAdminTask-1-5-21-4287834998-254447837 2016-02-10 18:00 - 2016-02-10 18:00 - 00005070 _____ C:\WINDOWS\System32\Tasks\ZcGoogleUpdateTaskAdminTask-1-5-21-4287834998-254447837-4126873412 2016-02-10 18:00 - 2016-02-10 18:00 - 00000000 ____D C:\WINDOWS\system32\Express 2016-02-10 18:00 - 2016-02-10 18:00 - 00000000 ____D C:\Program Files\Task Server 2016-02-10 18:00 - 2016-02-10 18:00 - 00000000 ____D C:\Program Files\Task Host 2016-02-10 18:00 - 2016-02-10 18:00 - 00000000 ____D C:\Program Files\Svc Host 2016-02-10 18:00 - 2016-02-10 18:00 - 00000000 ____D C:\Program Files\IIS 2016-02-10 18:00 - 2016-02-10 18:00 - 00000000 ____D C:\Program Files\Explore 2016-02-10 17:59 - 2016-02-10 18:00 - 00000000 ____D C:\ProgramData\4WdM4 2016-02-10 17:59 - 2016-02-10 17:59 - 00000074 _____ C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat 2016-02-10 17:58 - 2016-02-10 18:54 - 00000000 ____D C:\Users\User\AppData\Roaming\istartpageing 2016-02-10 17:56 - 2016-02-10 17:56 - 00001100 _____ C:\Users\User\Desktop\Goodgame Empire.lnk 2016-02-10 17:56 - 2016-02-10 17:56 - 00000000 ____D C:\Users\User\AppData\Roaming\dlg 2016-02-10 17:52 - 2016-02-10 17:52 - 00553944 _____ C:\Users\User\Downloads\FreeDWGViewer (1).exe Działania wstępne: 1. Odinstaluj zbędny program Badanie mające na celu poprawę produktów HP Deskjet 1510 series oraz stare aplikacje QuickTime Alternative 1.65 + Real Alternative 1.46 (to produkcje z 2005!, luki). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 WdMan; C:\ProgramData\4WdM4\WdMan.exe [794376 2016-02-10] (TU-Funs LIMITED) Task: {15D2CBA2-4279-4BDF-A95F-08452878F2A8} - System32\Tasks\GoogleUpdateTaskUserS-1-5-21-4287834998-254447837-4126873412-1000Main => 15000,1 Task: {30B668C5-84AF-4523-AA75-E094A65E5CD4} - System32\Tasks\AdGoogleUpdateTaskAdminTask-1-5-21-4287834998-254447837-4126873412-1010D => C:\Program Files\Explore\iexloprer.exe Task: {8385325D-F003-462E-A21E-062307CEC9A5} - System32\Tasks\{0A017EBA-AD3B-4E28-A5B6-8E8C20DE64F6} => Chrome.exe hxxp://ui.skype.com/ui/0/6.13.73.104.456/pl/abandoninstall?page=tsWLM Task: {A24AA258-7249-4C6E-A896-6893B3340CE3} - System32\Tasks\{75D61F9B-C040-421C-9573-D13923BEC4F9} => Chrome.exe hxxp://ui.skype.com/ui/0/6.14.0.104/pl/abandoninstall?source=lightinstaller&amp;page=tsBing Task: {C01D0E67-6605-4720-AB5D-554B7FBCE928} - System32\Tasks\GoogleUpdateTaskAdminTask-1-5-21-4287834998-254447837-4126873412-1010P => C:\WINDOWS\system32\WindowsPowerShell\taskprocess.exe Task: {CF81464F-3575-44FA-A9EE-B281197B74B9} - System32\Tasks\GoogleUpdateTaskAdminTask-1-5-21-4287834998-254447837-4126873412-1010 => C:\Program Files\Task Host\taskhost.exe Task: {D214271E-0E7B-410E-A53A-AD2F3081B5CB} - System32\Tasks\GoogleUpdateTaskAdminS-1-5-21-4287834998-254447837-4126873412-1010 => C:\Program Files\Svc Host\svchost.exe Task: {F31512F0-50D7-4C06-8B2C-CAC4779BC42A} - System32\Tasks\DfGoogleUpdateTaskAdminTask-1-5-21-4287834998-254447837 => 15000 Task: {FB687C88-3B2A-4513-9299-2975016B3078} - System32\Tasks\ZcGoogleUpdateTaskAdminTask-1-5-21-4287834998-254447837-4126873412 => C:\Program Files\IIS\iis.exe [2016-02-10] (Microsoft) Task: {FFF1D61D-8AE0-47C8-B626-F4E416DFAD99} - System32\Tasks\GoogleUpdateTaskAdminTask-1-5-21-4287834998-254447837-4126873412-1010Main => C:\Users\User\AppData\Local\Temp\nskCFE5.tmp\ScreenCapture_Win8.exe <==== UWAGA HKLM-x32\...\Run: [] => [X] ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku SearchScopes: HKU\.DEFAULT -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = Toolbar: HKLM - avast! Online Security - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - Brak pliku StartMenuInternet: IEXPLORE.EXE - C:\Program Files\Internet Explorer\iexplore.exe hxxp://www.istartpageing.com/?type=sc&ts=1455123515&z=fa426dedd24c6476b08197cgbzaw1wcgbodc1wcg7c&from=pcs&uid=TOSHIBAXMQ01ABD050_X2NAS1IESXXX2NAS1IES CHR HomePage: Default -> hxxp://www.istartpageing.com/?type=hp&ts=1455123515&z=fa426dedd24c6476b08197cgbzaw1wcgbodc1wcg7c&from=pcs&uid=TOSHIBAXMQ01ABD050_X2NAS1IESXXX2NAS1IES CHR StartupUrls: Default -> "hxxp://www.istartpageing.com/?type=hp&ts=1455123515&z=fa426dedd24c6476b08197cgbzaw1wcgbodc1wcg7c&from=pcs&uid=TOSHIBAXMQ01ABD050_X2NAS1IESXXX2NAS1IES" CHR DefaultSearchURL: Default -> hxxp://istartpageing.com/web?type=ds&ts=1455123515&z=fa426dedd24c6476b08197cgbzaw1wcgbodc1wcg7c&from=pcs&uid=TOSHIBAXMQ01ABD050_X2NAS1IESXXX2NAS1IES&q={searchTerms} CHR DefaultSearchKeyword: Default -> istartpageing DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DisableService: PLAY ONLINE. RunOuc RemoveDirectory: C:\Program Files\Explore RemoveDirectory: C:\Program Files\IIS RemoveDirectory: C:\Program Files\Svc Host RemoveDirectory: C:\Program Files\Task Host RemoveDirectory: C:\Program Files\Task Server RemoveDirectory: C:\ProgramData\4WdM4 RemoveDirectory: C:\Spacekace RemoveDirectory: C:\Users\User\AppData\Local\FileViewPro RemoveDirectory: C:\Users\User\AppData\Roaming\dlg RemoveDirectory: C:\Users\User\AppData\Roaming\istartpageing RemoveDirectory: C:\Users\User\AppData\Roaming\Solvusoft RemoveDirectory: C:\WINDOWS\System32\Tasks\AVAST Software RemoveDirectory: C:\WINDOWS\system32\vbox RemoveDirectory: C:\WINDOWS\SysWOW64\vbox C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\Users\User\Desktop\Goodgame Empire.lnk C:\Users\User\Downloads\*-dp.* C:\Users\User\Downloads\FreeDWGViewer*.exe C:\Users\User\Downloads\pobierz*.* C:\Users\User\Downloads\Setup_FileViewPro_2016.exe C:\WINDOWS\system32\roboot64.exe C:\WINDOWS\system32\netcfg*.txt C:\WINDOWS\system32\Drivers\*.tmp C:\WINDOWS\system32\Drivers\aswNdisFlt.sys Folder: C:\WINDOWS\system32\Express EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść Google Chrome: Zresetuj synchronizację (o ile włączona): Otwórz Panel Google. Na dole kliknij Resetuj synchronizację. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. 4. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz pola Addition + Shortcut, by powstały trzy logi. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal widzisz komunikat z obrazka.

1. Za późno poprawiłam literówkę w skrypcie. Ostatni skrypt do FRST o postaci: DeleteKey: HKU\S-1-5-18\Software\HQ Video Pro 3.1cV20.04-nv-ie 2. Na koniec przez SHIFT+DEL (omija Kosz) skasuj pobrany FRST i jego logi z D:\DIAGNOSTYKA. Popraw za pomocą DelFix

Tylko drobne poprawki kosmetyczne pod kątem wpisów pustych. 1. Odinstaluj COMODO System-Cleaner, to stary program z 2010. Dodatkowo, zastosuj narzędzie SPTDinst w celu usunięcia sterownika SPTD - w systemie brak widocznego programu z niego korzystającego. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Krisu\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Otwórz Notatnik i wklej w nim: CloseProcesses: Task: {3847BFEF-B488-4EF2-A79D-603AE11CA3A8} - \ShopperPro3 -> Brak pliku Task: {4A825F5A-347D-4932-8158-054A820F6B0C} - \task Update -> Brak pliku Task: {67D5F319-6ABE-4D8B-B92C-7CC619DB060D} - \SPDriver -> Brak pliku Task: {A7212489-759D-4517-B39A-DC0A7B4A692D} - \SPBIW_UpdateTask_Time_343233313138343832312d4137345a376c453278345a41 -> Brak pliku Task: {F031031A-2B5A-4E3D-8F86-751C16D409F5} - \Inst_Rep -> Brak pliku Task: {F7512CFC-6244-4CEA-8DA0-C27A4FF1E9EE} - \ShopperProJSUpd -> Brak pliku HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\81882277.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\81882277.sys => ""="Driver" HKU\S-1-5-21-2664372736-3809392050-2341891308-1000\...\Run: [] => C:\Program Files (x86)\Samsung\Kies\External\FirmwareUpdate\KiesPDLR.exe HKU\S-1-5-21-2664372736-3809392050-2341891308-1000\...\MountPoints2: {6d307dd0-a768-11e5-bb78-806e6f6e6963} - H:\Run.exe FF DefaultSearchEngine: Google FF DefaultSearchUrl: hxxp://www.bing.com/search FF SearchEngineOrder.1: Bing (Microsoft) FF SelectedSearchEngine: Bing (Microsoft) FF Keyword.URL: hxxp://www.bing.com/search FF SearchPlugin: C:\Users\Krisu\AppData\Roaming\Mozilla\Firefox\Profiles\g7txyxbn.default\searchplugins\bing-avast.xml [2016-01-20] FF SearchPlugin: C:\Users\Krisu\AppData\Roaming\Mozilla\Firefox\Profiles\41A66E7E5EE1\searchplugins\bing-avast.xml [2016-01-20] FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF R3 ALSysIO; \??\D:\Temp\Temp\ALSysIO64.sys [X] S3 gdrv; \??\C:\Windows\gdrv.sys [X] RemoveDirectory: C:\KVRT_Data RemoveDirectory: C:\Users\Krisu\AppData\Roaming\dlg CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są mi potrzebne.

Upłynęło sporo czasu. Poproszę o serię świeżych raportów FRST (włącznie z Addition), potwierdzających jak na dzień dzisiejszy wygląda sprawa po pomyślnym usuwaniu.

Przepraszam, nie zauważyłam tego zdania z rvkl.exe na końcu. Raporty są limitowane i orientowane na określone zagadnienia. Infekcji tu nie widać. Rozwiń tę myśl, na czym konkretnie polegała blokada Opery? I czy ona nadal ma miejsce? Z raportów nic nie wynika. W dzienniku tylko jakieś bezpłciowe błędy: Error: (01/26/2016 02:49:36 PM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: opera.exe, wersja: 34.0.2036.25, sygnatura czasowa: 0x5660f702 Nazwa modułu powodującego błąd: opera.dll, wersja: 0.0.0.0, sygnatura czasowa: 0x5660f655 Kod wyjątku: 0x80000003 Przesunięcie błędu: 0x0008e599 Identyfikator procesu powodującego błąd: 0xb48 Godzina uruchomienia aplikacji powodującej błąd: 0xopera.exe0 Ścieżka aplikacji powodującej błąd: opera.exe1 Ścieżka modułu powodującego błąd: opera.exe2 Identyfikator raportu: opera.exe3

Temat przenoszę do działu Windows. To nie jest problem infekcji. Z raportów nic konkretnego nie wynika, ale w Dzienniku zdarzeń jest błąd zawieszenia usługi AVG, co pasowałoby do objawów: Dziennik System: ============= Error: (02/03/2016 09:18:09 AM) (Source: Service Control Manager) (EventID: 7011) (User: ) Description: Upłynął limit czasu (30000 ms) podczas oczekiwania na odpowiedź transakcji z usługi avgsvc. 1. Rozpocznij od próbnej deinstalacji całego majdanu AVG (AVG, AVG Protection, AVG Web TuneUp, Visual Studio 2010 x64 Redistributables, Visual Studio 2012 x64 Redistributables, Visual Studio 2012 x86 Redistributables). Przy okazji pozbądź się też starych wersji: Adobe AIR, Adobe Reader X (10.1.16) MUI, Bonjour. 2. W spoilerze doczyszczanie drobnostek, bez związku z objawami. 3. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy po deinstalacji AVG jest poprawa.

Wygląda to na fałszywy komunikat jakiejś infekcji. Poproszę o zrobienie raportów z FRST.

Temat przenoszę do działu Windows. To nie jest problem infekcji. Usługa Windows Update jest jedną z instancji podmontowanych na procesie svchost.exe, więc skoro zachodzi proces wyszukiwania aktualizacji, to wygląda na to, że to właśnie działanie powoduje obciążenie svchost.exe. Co do długiego szukania aktualizacji - czy na pewno jest to problem i dałeś szansę procesowi na ukończenie? W ostatnich miesiącach rzeczywiście wystąpiły pewne zmiany w obsłudze Windows Update i na systemach Vista szukanie może bardzo długo trwać. Ostatnio nawet aktualizowałam Vistę przyjaciela i zajęło mi to kilka dni, rundy z wyszukiwaniem aktualizacji trwały po kilka godzin. Komputer musiałam zostawić na bezczynności, bo obciążenie było wysokie i nie dało się nic innego robić.

Temat przenoszę do działu Windows. To nie jest problem infekcji, w systemie tylko szczątki adware, co nie ma związku. Używany był ComboFix, niepotrzebnie, na ten temat: KLIK. Z raportów nic nie wynika. Jedyne co się wyraźnie rzuca w oczy, to kilka błędów w Dzienniku oraz ślady po starych niepoprawnie usuniętych komponentach paska AVG, nadal aktywne i skombinowane z tworem je zastępującym "AVG Web TuneUp". Sugestie: 1. Deinstalacje: - Odinstaluj stare wersje i zbędniki: Adobe Reader XI - Polish, AVG Web TuneUp, Java 7 Update 11 (64-bit), Java 7 Update 11, Opera 12.17, Qtrax Player. - Uruchom Program Install and Uninstall Troubleshooter i usuń Metric Collection SDK (pozostałość po niechcianej instalacji aplikacji Lenovo). 2. Doczyszczanie różnych śmieci w spoilerze. 3. Uzupełnij wszystkie aktualizacje z Windows Update. Jest tu podejrzenie braku wielu z nich, bo jest stary niewspierany IE8 (obecnie jest wymagana instalacja IE11, by mieć zapewnione dalsze łaty): Platform: Windows 7 Home Premium Service Pack 1 (X64) Język: Polski (Polska) Internet Explorer Wersja 8 (Domyślna przeglądarka: Chrome) 4. Błędy w Dzienniku zdarzeń: Error: (02/09/2016 07:45:23 PM) (Source: Windows Backup) (EventID: 4103) (User: ) Description: Wykonanie kopii zapasowej nie zostało zakończone z powodu błędu zapisu w lokalizacji kopii zapasowej G:\. Błąd: Nie można odnaleźć lokalizacji kopii zapasowej lub jest ona nieprawidłowa. Przejrzyj ustawienia kopii zapasowej i sprawdź lokalizację kopii zapasowej. (0x81000006). W Panelu sterowania zrekonfiguruj opcje Kopii zapasowej, usuwając odnośnik do nieistniejącego dysku. Error: (02/10/2016 05:43:13 PM) (Source: WinMgmt) (EventID: 10) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Ten błąd nie ma znaczenia w kontekście problemów, ale usuń go posługując się instrukcjami: KLIK. 5. Po wykonaniu powyższych: - Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator. Rozwiń sekcję Dzienniki systemu Windows i z prawokliku wyczyść gałęzie Aplikacja i System. Następnie rozwiń Dzienniki aplikacji i usług > Microsoft > Windows > CodeIntegrity > z prawokliku wyczyść Operational. Zresetuj system, by nagrały się nowe błędy. - Na koniec zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy jest jakaś poprawa.

Temat przenoszę do działu Windows. Nie ma tu żadnych oznak infekcji. Z raportów nic nie wynika konkretnego. Sugestie: 1. Na partycji D jest krytyczny poziom wolnego miejsca, co może być związane z widocznym spowolnieniem. Ogarnij teren. ==================== Dyski ================================ Drive c: () (Fixed) (Total:58.59 GB) (Free:7.9 GB) NTFS ==>[dysk z komponentami startowymi (pozyskano odczytując BCD)] Drive d: () (Fixed) (Total:137.27 GB) (Free:0.01 GB) NTFS Drive e: () (Fixed) (Total:134.95 GB) (Free:36.99 GB) NTFS Drive f: () (Fixed) (Total:134.95 GB) (Free:8.96 GB) NTFS I jest też powiązany z brakiem miejsca na którymś dysku błąd Kopii zapasowej: Error: (01/31/2016 07:14:14 PM) (Source: Windows Backup) (EventID: 4104) (User: ) Description: Wykonanie kopii zapasowej nie powiodło się. Błąd: Na tym dysku jest za mało miejsca, aby zapisać kopię zapasową. Zwolnij miejsce, usuwając starsze kopie zapasowe albo niepotrzebne dane, lub zmień ustawienia kopii zapasowej. (0x81000005). 2. W Dzienniku zdarzeń jest sporo błędów związanych z oprogramowaniem nVidia. Sprawdź czy coś da reinstalacja / aktualizacja całego majdanu nVidia. Dziennik Aplikacja: ================== Error: (02/08/2016 09:05:38 PM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcNvVAD initialization failed [6] Error: (02/08/2016 09:05:38 PM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcFailed to set NvVAD endpoint as default Audio endpoint [0] Error: (02/08/2016 01:48:29 PM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcNvVAD initialization failed [6] Error: (02/08/2016 01:48:29 PM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcFailed to set NvVAD endpoint as default Audio endpoint [0] Error: (02/06/2016 07:54:56 AM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: NvBackend.exe, wersja: 10.11.15.0, sygnatura czasowa: 0x52a6776c Nazwa modułu powodującego błąd: ole32.dll, wersja: 6.1.7601.18915, sygnatura czasowa: 0x55981b9e Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x00033a96 Identyfikator procesu powodującego błąd: 0x830 Godzina uruchomienia aplikacji powodującej błąd: 0xNvBackend.exe0 Ścieżka aplikacji powodującej błąd: NvBackend.exe1 Ścieżka modułu powodującego błąd: NvBackend.exe2 Identyfikator raportu: NvBackend.exe3 Error: (02/06/2016 07:54:36 AM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: NvBackend.exe, wersja: 10.11.15.0, sygnatura czasowa: 0x52a6776c Nazwa modułu powodującego błąd: nvspcap.dll_unloaded, wersja: 0.0.0.0, sygnatura czasowa: 0x52a67618 Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x100be510 Identyfikator procesu powodującego błąd: 0x830 Godzina uruchomienia aplikacji powodującej błąd: 0xNvBackend.exe0 Ścieżka aplikacji powodującej błąd: NvBackend.exe1 Ścieżka modułu powodującego błąd: NvBackend.exe2 Identyfikator raportu: NvBackend.exe3 Error: (02/01/2016 06:17:04 PM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcNvVAD initialization failed [6] Error: (02/01/2016 06:17:03 PM) (Source: NvStreamSvc) (EventID: 1) (User: ) Description: NvStreamSvcFailed to set NvVAD endpoint as default Audio endpoint [0] 3. Inne uwagi: - DAEMON Tools Lite działa na starym sterowniku SPTD. Deinstalację tego sterownika i jego aktualizację opisuje ten temat: KLIK. - Odinstaluj zbędny program HP Deskjet 3520 series — badanie mające na celu poprawę produktów oraz stary SUPERAntiSpyware (wersja na sterownikach z 2011). - Zaktualizuj Avast do najnowszej wersji. PS. W spoilerze małe doczyszczenie drobnostek, co nie powinno mieć żadego wpływu na poprawę stanu systemu.