picasso

Podaj mi jeszcze listę wszystkich wystąpień tych plików. Uruchom FRST, w polu Szukaj wpisz nazwy rozdzielone średnikami: advapi32.dll;IERTUTIL.dll;WININET.dll Klik w Szukaj plików i dostarcz wynikowy plik Search.txt.

Jak mówiłam, muszę to wytypować, tzn. zorientować się po datach w logu która aktualizacja Windows Update przypuszczalnie była instalowana, następnie wyciągnąć pliki z tej konkretnej aktualizacji i przesłać Ci do podstawienia.

Brakuje pliku FRST Addition. Doczep go w poście powyżej. Analizą tematu zajmę się dopiero późnym wieczorem.

Jak zaznaczone w opisie, SFC uruchomione z poziomu środowiska zewnętrznego nie nagrywa do CBS.LOG. Nie jesteś więc w stanie zweryfikować co widzi narzędzie. Natomiast log z FRST podaje dokładnie informację które KnownDLL jest uszkodzone, jest to 5 plików: ==================== Known DLLs (Whitelisted) ========================= [2018-08-03 08:30] - [2018-08-19 12:51] - 000000000 _____ () C:\Windows\SysWOW64\advapi32.dll [2018-08-03 08:30] - [2018-06-16 08:38] - 000049664 _____ () C:\Windows\System32\IERTUTIL.dll [2018-08-03 08:30] - [2018-06-16 08:31] - 000576512 _____ () C:\Windows\SysWOW64\IERTUTIL.dll [2018-08-03 08:31] - [2018-08-03 08:31] - 000002908 _____ () C:\Windows\System32\WININET.dll [2018-08-03 08:30] - [2018-06-08 08:18] - 000004608 _____ () C:\Windows\SysWOW64\WININET.dll Ale pośrednio w raporcie widać, że uszkodzenia są szersze. Jedna z ostatnich instalacji Windows Update nie poszła poprawnie i jest dużo plików bez opisu "Microsoft Corporation". Czy podczas aktualizacji systemu komputer został gwałtownie wyłączony? Rozwiązaniem doraźnym jest wstawienie tych 5 plików KnownDLL, by w ogóle uruchomić system. Potrzebuję trochę czasu na to, by te pliki skompletować, gdyż nie mogą to być pliki wzięte na oko (muszą się zgadzać takie parametry jak dokładna wersja komponentu i suma kontrolna). Ale pozostanie problem reszty. SFC uruchomione spod Windows prawdopodobnie nie naprawi ich (brak kopii do naprawy). Nie ma punktu Przywracania systemu, by odkręcić stan.

Problem jest bardziej zorientowany na usterkę systemową niż infekcję i zostaje przeniesiony do działu Windows. W systemie jest owszem adware i to bardzo stare, ale to jawi się jako wątek poboczny. Poza tym dużo starego softu, w tym antywirus w wersji z roku 2014, który produkuje błędy. Problem zasadniczy, czyli niemożność instalacji SP1, wygląda na złożony, tzn. nie chodzi tu prawdopodobnie tylko o to, że usługa jest wyłączona. Są tu obce partycje - typ 83 i 82 to identyfikatory partycji Linuxa, a jedna z nich jest ustawiona jako partycja Aktywna, podczas gdy komponenty startowe Windows są zlokalizowane na partycji nie oznaczonej jako Aktywna. Co w ogóle jest na tych partycjach? Czy jest tu jakiś dual boot z Linuxem? ==================== Laufwerke ================================ Drive c: () (Fixed) (Total:261.08 GB) (Free:38.13 GB) NTFS ==>[System mit Startkomponenten (eingeholt von Laufwerk)] ==================== MBR & Partitionstabelle ================== ======================================================== Disk: 0 (Size: 298.1 GB) (Disk ID: 34C1D137) Partition 1: (Not Active) - (Size=261.1 GB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=17.9 GB) - (Type=83) Partition 3: (Active) - (Size=15.3 GB) - (Type=83) Partition 4: (Not Active) - (Size=3.8 GB) - (Type=82) Wygląda na to, że układ skutkuje tymi błędami: Applikationsfehler: ================== Error: (08/19/2018 04:40:56 PM) (Source: VSS) (EventID: 8193) (User: ) Description: Volumeschattenkopie-Dienstfehler: Beim Aufrufen von Routine "IVssAsrWriterBackup::GetDiskComponents" ist ein unerwarteter Fehler aufgetreten. hr = 0x80070057, Falscher Parameter. Vorgang: OnIdentify-Ereignis Generatordaten werden gesammelt Kontext: Ausführungskontext: ASR Writer Generatorklassen-ID: {be000cbe-11fe-4426-9c58-531aa6355fc4} Generatorname: ASR Writer Generatorinstanz-ID: {54a508ed-dace-464f-b51b-8e208355cc4f} Error: (08/19/2018 04:26:39 PM) (Source: VSS) (EventID: 8193) (User: ) Description: Volumeschattenkopie-Dienstfehler: Beim Aufrufen von Routine "IVssAsrWriterBackup::GetDiskComponents" ist ein unerwarteter Fehler aufgetreten. hr = 0x80070057, Falscher Parameter. Vorgang: OnIdentify-Ereignis Generatordaten werden gesammelt Kontext: Ausführungskontext: ASR Writer Generatorklassen-ID: {be000cbe-11fe-4426-9c58-531aa6355fc4} Generatorname: ASR Writer Generatorinstanz-ID: {01d6733c-101f-4e14-84b2-e9cc93ac8f6f} Instalacja Service Pack zgłasza następujące błądy: Systemfehler: ============= Error: (10/11/2014 06:03:45 PM) (Source: Microsoft-Windows-WindowsUpdateClient) (EventID: 20) (User: NT-AUTORITÄT) Description: Installationsfehler: Die Installation des folgenden Updates ist mit Fehler 0x80070643 fehlgeschlagen: Windows 7 Service Pack 1 für x64-basierte Systeme (KB976932) Error: (10/11/2014 06:03:43 PM) (Source: Microsoft-Windows-Service Pack Installer) (EventID: 8) (User: NT-AUTORITÄT) Description: Fehler bei der Service Pack-Installation. Fehlercode: 0x800f0a12. Jeden z nich wydaje się ściśle powiązany z obecnością partycji Linuxa i brakiem flagi Aktywna dla partycji z Windows. Podobny problem z forum: Rozpocznij od prostych czynności czyszczenia komputera z adware i starego oprogramowania, by przygotować grunt do dalszej diagnostyki. 1. Odinstaluj: Avira, Avira Free Antivirus, DAEMON Tools Lite, Java 7 Update 9, Mozilla Firefox 32.0.3 (x86 de), Mozilla Maintenance Service, OpenOffice.org 3.4.1, Skype™ 6.11, WindowsMangerProtect20.0.0.722, Windows Live Essentials, WinRAR 4.20 (64-Bit) oraz wszystkie programy których nie używasz. 2. Uruchom AdwCleaner i wybierz opcję czyszczenia z infekcji. 3. Zrób nowy log FRST z opcji Untersuchen, zaznacz pole Shortcut. Dołącz też log AdwCleaner. Odpowiedz szczegółowo na pytanie o co chodzi z Linuxem. 

Wydaje mi się, że problemem jest mimo wszystko typ przeglądarki i prawdopodobnie chodzi o to zgłoszenie na trackerze Chromium. Na moim telefonie Samsunga z Androidem domyślna przeglądarka telefonu, czyli Samsung Internet 7.2 (jest to klon oparty na Chromium 59), nie ma problemu z "Text scaling". W tej przeglądarce nie występuje też opcja "Force". Przykładowo, suwak ustawiony na 150% i skaluje cały tekst tak jak tego oczekujesz: Na tym samym telefonie przeglądarka Chrome 68 nie skaluje wcale. Z kolei na moim drugim telefonie iPhone opcja "Text scaling" w ogóle nie jest dostępna w Chrome.

Domyślnie jest ustawiana opcja, by honorować tematy przyklejone w tym widoku. Przestawiłam ją.

Aktualizacja do: Automatyczne zastępowanie tekstu przez Emoji/Emotikony zostało tu zdeaktywowane ze względu na niepożądane podmiany. Np. litery dysków C: i D: (stosowane w komendach naprawczych) były konwertowane na buźki. Nadal jest aktywne automatyczne uzupełnianie :krótkich kodów: Emoji.

Fix pomyślnie wykonany. Jeszcze drobna poprawka. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: RemoveDirectory: C:\WINDOWS\{C0DBEF00-2BEB-4F04-B2D3-8007390D5C0B} RemoveDirectory: C:\WINDOWS\{9313CB30-7832-4851-AF74-A21456C4EF2A} RemoveDirectory: C:\WINDOWS\{7CB0BBD3D374-4DEA-9751-2D08BC721AA7} Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy Fixlog.txt.

W systemie rezyduje malware, w postaci szkodliwych zadań w Harmonogramie opisanych jako rzekomy "Microsoft". To one powodują, że wyszukiwanie nazw programów usuwających skutkuje zamknięciem przeglądarki. Na dysku są też ślady Bitcoin Minera (folder oraz autoryzacje w Zaporze). Istotnie, linia czasowa w raporcie wskazuje, że winowajcą była paczka uTorrent. Prócz malware, będą też usuwane różne nieszkodliwe szczątki. Operacje do przeprowadzenia: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: GroupPolicy: Ograniczenia ? <==== UWAGA S3 cpuz143; C:\Users\krzysztof\AppData\Local\Temp\cpuz143\cpuz143_x64.sys [48960 2018-08-04] (CPUID) <==== UWAGA S4 NVHDA; \SystemRoot\system32\drivers\nvhda64v.sys [X] Task: {16E2883A-4A2C-4DBF-B002-650B9B367D2D} - System32\Tasks\HWiNFO => C:\Program Files\HWiNFO64\HWiNFO64.EXE Task: {4732B0DA-23A3-4B56-A927-C5B4CDA288AD} - System32\Tasks\Microsoft\Windows\Setup\Notifier => C:\WINDOWS\system32\Notifier.exe Task: {476EA66C-9625-4D1B-A9CC-64FB363F839D} - System32\Tasks\{C5417074-36DF-1E13-EFC8-2E8A8C665E6E} => C:\Users\krzysztof\AppData\Local\EUOuJo.exe [2018-04-12] (Microsoft Corporation) Task: {64A8D018-EADD-4096-BC25-3B473F98A2C4} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA Task: {93E670AB-0958-4DF2-B264-9F8E33D555B5} - System32\Tasks\{E49375D7-9671-3F15-CB94-EA9AD4E5FB6E} => C:\Users\krzysztof\YEByePsA.exe [2018-04-12] (Microsoft Corporation) Task: {A4BF238C-8F56-40FD-863F-BD02AAB3B787} - System32\Tasks\cFos\Registration Tasks\Open Browser => c:\windows\system32\launchwinapp.exe "hxxp://www.cfos.de/pl/traffic-shaping/calibration.htm?reg-10.10.2238-asrock&tsa=" Task: {E15FD7D3-AEA7-4E8A-A9CE-9B273073D200} - System32\Tasks\{8DC18D73-E6FA-209D-D55D-C6BEB84EFB78} => "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" hxxp://puklusi.ru/cl/?guid=obwvy0m4z2scscgq5wm314f5jfdzstt7&prid=1&pid=4_1324_0 ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Brak pliku ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} => -> Brak pliku ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} => -> Brak pliku HKLM\...\StartupApproved\Run: => "XFast LAN" HKLM\...\StartupApproved\Run32: => "Sound Blaster Cinema 3" HKLM\...\StartupApproved\Run32: => "LogMeIn Hamachi Ui" HKU\S-1-5-21-518638446-864889298-562796940-1001\...\StartupApproved\Run: => "OneDriveSetup" C:\Users\krzysztof\EjurYxUEojy.exe C:\Users\krzysztof\YEByePsA.exe C:\Users\krzysztof\AppData\Local\EUOuJo.exe C:\Users\krzysztof\AppData\Local\imw.ini C:\Users\krzysztof\AppData\Local\Tempbannercash.tmp C:\Users\krzysztof\AppData\Local\Tempnewscash.tmp C:\Users\krzysztof\AppData\Local\Wow64Cache C:\Users\krzysztof\AppData\Roaming\FiraxisLive C:\Users\Default\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk C:\Users\defaultuser0\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk C:\Users\krzysztof\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\OneDrive.lnk C:\Users\krzysztof\Desktop\CivilizationVI_DX12 — skrót .lnk C:\Users\krzysztof\Links\OneDrive.lnk Folder: C:\WINDOWS\{C0DBEF00-2BEB-4F04-B2D3-8007390D5C0B} Folder: C:\WINDOWS\{9313CB30-7832-4851-AF74-A21456C4EF2A} Folder: C:\WINDOWS\{7CB0BBD3D374-4DEA-9751-2D08BC721AA7} cmd: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Fix wykonany pomyślnie. Problem z reklamami zlikwidowany, ale co z "ogólnym spowolnieniem komputera"?

W raporcie MBAM nie ma identyfikatora pasującego do wcześniej typowanego przeze mnie zadania, są tam inne zadania których w logu FRST nie było. Skoro problem nagle ustąpił, czy podejmowałeś jakieś inne czynności w międzyczasie, np. wyłączanie rozszerzeń Opery, lub usuwanie profilu Opery z dysku? Fix FRST wykonany pomyślnie. Możesz usunąć ten 17.08.2018_09.03.31.zip z Pulpitu, skoro problemu już nie ma.

Zakładam, że nie omsknęła Ci się ręka i te foldery nie zostały omyłkowo przeniesione do podfolderu (lub nawet przeklejone na inny dysk), oraz że robiłeś wyszukiwanie na dysku pod kątem plików które były w tych folderach. Przenoszę temat do działu Hardware, w kwestii utraconych danych na dyskach specjalistą jest u nas Groszexxx.

W raportach nie widzę żadnych obiektów pasujących do funkcjonalności trojana lub innego monitoringu. PS. Możesz uruchomić kosmetyczny skrypt usuwający szczątki po aktualizacji z Windows 7 do Windows 10, oraz odinstalowanych programach. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:  CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-2399471354-2781755390-4139130681-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://search.yahoo.com/?fr=vmn&type=auslog_ya_hp SearchScopes: HKU\S-1-5-21-2399471354-2781755390-4139130681-1000 -> DefaultScope {76DEFAE6-09B2-40B2-8F8A-5A6A5D5CE4EB} URL = hxxps://search.yahoo.com/search/?toggle=1&cop=mss&ei=UTF-8&fr=vmn&type=auslog_ya_ch&p={searchTerms} SearchScopes: HKU\S-1-5-21-2399471354-2781755390-4139130681-1000 -> {76DEFAE6-09B2-40B2-8F8A-5A6A5D5CE4EB} URL = hxxps://search.yahoo.com/search/?toggle=1&cop=mss&ei=UTF-8&fr=vmn&type=auslog_ya_ch&p={searchTerms} HKLM\...\StartupApproved\Run: => "vdcss" HKLM\...\StartupApproved\Run: => "tvncontrol" HKLM\...\StartupApproved\Run: => "UnlockerAssistant" HKLM\...\StartupApproved\Run: => "HP Software Update" HKU\S-1-5-21-2399471354-2781755390-4139130681-1000\...\StartupApproved\Run: => "Uninstall C:\Users\Piotr\AppData\Local\Microsoft\OneDrive\17.3.5892.0626" HKU\S-1-5-21-2399471354-2781755390-4139130681-1000\...\StartupApproved\Run: => "uTorrent" HKU\S-1-5-21-2399471354-2781755390-4139130681-1000\...\StartupApproved\Run: => "GoogleChromeAutoLaunch_555C9C84E87400ED348C4CD617569470" U3 aswbdisk; Brak ImagePath ShellIconOverlayIdentifiers: [ OverlayExcluded] -> {4433A54A-1AC8-432F-90FC-85F045CF383C} => -> Brak pliku ShellIconOverlayIdentifiers: [ OverlayPending] -> {F17C0B1E-EF8E-4AD4-8E1B-7D7E8CB23225} => -> Brak pliku ShellIconOverlayIdentifiers: [ OverlayProtected] -> {476D0EA3-80F9-48B5-B70B-05E677C9C148} => -> Brak pliku Task: {1A1121A1-08F0-4942-BBA5-31DFDFB089C3} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\WINDOWS\ehome\ehrec.exe Task: {1A98F843-9700-46D9-B47E-5A0B17653020} - System32\Tasks\IObitSelfCheckTask => C:\Program Files\IObit\Smart Defrag\IObitSelfCheck.exe Task: {1ACB854E-E0CF-4341-8D2D-75BBB958BC20} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\WINDOWS\ehome\ehPrivJob.exe Task: {2EC6C6BC-C517-4514-BC85-D35ADCC346F7} - System32\Tasks\Avast Software\Overseer => C:\Program Files\AVAST Software\Avast\setup\overseer.exe Task: {39B1A940-F6AB-4957-878E-403DAEA2F90D} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\WINDOWS\ehome\ehPrivJob.exe Task: {5AF24127-A8EF-4D41-8089-5909BFFAB13F} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\WINDOWS\ehome\ehrec.exe Task: {65AC2595-1FD2-493D-8920-8B699ABE48E6} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\WINDOWS\ehome\ehPrivJob.exe Task: {72001CCE-615B-4525-AD47-C65773853DAB} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\WINDOWS\ehome\ehPrivJob.exe Task: {8D1E148B-48BA-4F95-BA99-D39D5895368D} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\WINDOWS\ehome\ehPrivJob.exe Task: {8EE43131-902E-4597-B76D-8598710666F2} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe Task: {916BA7FD-A5E6-4F6C-9CD1-A7021817A082} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe Task: {977012BC-715A-4E89-87A4-44A7EA454052} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe Task: {98FFE0D5-FC49-46E7-9F91-B9DC9D19C5AC} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\WINDOWS\ehome\ehPrivJob.exe Task: {9AE90ADC-AC65-4A10-96DB-CAE8DF88CEF8} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\WINDOWS\ehome\ehPrivJob.exe Task: {9BFB8F36-5F82-4B87-9462-45D30A8B346E} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\WINDOWS\ehome\ehPrivJob.exe Task: {A901EADA-7274-4037-AE9D-8DFEFA5630AC} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\WINDOWS\ehome\ehPrivJob.exe Task: {AC5E7E33-4E1D-4EE5-AF3E-AF524C98C7C4} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\WINDOWS\ehome\ehPrivJob.exe Task: {B3037A25-B8E8-4C3F-B5DF-F3E05B4E9E80} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\WINDOWS\ehome\ehPrivJob.exe Task: {BCDD542D-7506-4C2B-91F7-BF4B57E6199E} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\WINDOWS\ehome\mcupdate.exe Task: {BDA8EBF5-6289-4824-923E-BA8DEAFF743B} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\WINDOWS\ehome\mcupdate.exe Task: {C3A24FBB-73A9-48BB-AD49-A125AD889504} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\WINDOWS\ehome\mcupdate.exe Task: {C63FBABA-983F-44D4-8081-8ABB3C2BE749} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\WINDOWS\ehome\ehPrivJob.exe Task: {E0E57650-35B3-49CA-9053-A3F7C158CD08} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\WINDOWS\ehome\MCUpdate.exe Task: {EC983AE2-8277-43E5-8615-D0D3D9047EC2} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\WINDOWS\ehome\ehPrivJob.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg C:\Users\Piotr\AppData\Roaming\Microsoft\Office\Niedawny\*.LNK C:\Users\Piotr\Desktop\chapters — skrót .lnk C:\WINDOWS\Reimage.ini C:\WINDOWS\ehome C:\Windows\System32\accesschk.exe Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.  Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Raporty nie wykazują, by w systemie była aktywna infekcja. Możesz wykonać poboczne działania polegające na doczyszczeniu szczątkowych wpisów po malware i odinstalowanych programach. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-290078031-2182304185-614061559-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=190 HKU\S-1-5-21-290078031-2182304185-614061559-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-08092018191829374\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=190 SearchScopes: HKU\S-1-5-21-290078031-2182304185-614061559-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = HKLM-x32\...\Run: [] => [X] Task: {0F2EB741-331C-4226-AC26-DA208A01D808} - System32\Tasks\{F6F2AB38-77F4-4A82-9020-3A89D073DE19} => C:\Windows\system32\pcalua.exe -a F:\HTCDrivers\HTCDriverInstaller.exe -d F:\HTCDrivers Task: {5415B4D5-4552-49B0-BA32-C86FBBC6E041} - System32\Tasks\{1E55891B-B67B-3FAD-4842-2944A9A9A645} => C:\Users\Angela\AppData\Roaming\{1E558~1\Sync.exe <==== UWAGA Task: {5F8004A0-DE79-4BFD-89E1-F764B5ADCF9C} - System32\Tasks\AutoKMSDaily => C:\Windows\AutoKMS.exe Task: {D95A4504-08A5-4E71-AD9D-61D0793C08ED} - System32\Tasks\{C983BCBA-9876-4938-814C-4638FCFA1FC4} => C:\Windows\system32\pcalua.exe -a "C:\Users\Angela\Downloads\HP Deskjet Ink Advantage 3545 e-All-in-One - sterownik.exe" -d C:\Users\Angela\Downloads Task: {F5AE2441-70F1-40E5-B459-EB8B45021950} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS.exe Task: C:\Windows\Tasks\AutoKMS.job => C:\Windows\AutoKMS.exe Task: C:\Windows\Tasks\AutoKMSDaily.job => C:\Windows\AutoKMS.exe Task: C:\Windows\Tasks\{1E55891B-B67B-3FAD-4842-2944A9A9A645}.job => C:\Users\Angela\AppData\Roaming\{1E558~1\Sync.exe <==== UWAGA ContextMenuHandlers1: [ANotepad++64] -> {B298D29A-A6ED-11DE-BA8C-A68E55D89593} => -> Brak pliku DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Mozilla DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Angela\AppData\Local\Mozilla C:\Users\Angela\AppData\LocalLow\Mozilla C:\Users\Angela\AppData\Roaming\Mozilla C:\Users\Angela\Desktop\Programy\Notepad++.lnk cmd: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikato wy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw ten plik.

Powstrzymaj się z tym skryptem podanym przez Miszela. Ta komenda działa rekursywnie, czyli listuje wszystkie obiekty na dysku. Dysk ma zajęte około 400GB i ponad 300 tysięcy plików. Skrypt do FRST się totalnie zawiesi na listowaniu zawartości i prawdopodobnie w ogóle nie ukończy. A jeśli nawet, to log będzie tak koszmarny, że dostarczyć go i otworzyć w Notatniku będzie sztuką. Na wszelki wypadek zapytam, nie zapomniałeś o opcji Ukryj chronione pliki systemu operacyjnego? Jeśli wszystkie opcje ukrywania są ustawione poprawnie, a foldery nagle zniknęły, to problem kwalifikuje się raczej do innego działu i wątek krąży wokół sprawdzania błędów dysku i odzyskiwania danych.

Czyszczenie resztek, wliczając też usuwanie błędów od przestarzałych sterowników zabezpieczenia StarForce: Dziennik System: ============= Error: (08/10/2018 08:37:52 PM) (Source: Service Control Manager) (EventID: 7026) (User: ) Description: Nie można załadować następujących sterowników startu rozruchowego lub systemowego: prodrv06 prohlp02 prosync1 sfhlp01 Error: (08/10/2018 08:36:47 PM) (Source: Application Popup) (EventID: 1060) (User: ) Description: Ładowanie sterownika \SystemRoot\SysWow64\drivers\prodrv06.sys zostało zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania w celu uzyskania zgodnej wersji sterownika. 1. Przez Panel sterowania odinstalu: Dll-Files.com Fixer (wątpliwy program) oraz zestaw Apple Software Update, QuickTime 7 i Obsługa programów Apple (luki bezpieczeństwa). 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: GroupPolicy: Ograniczenia ? <==== UWAGA HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA HKU\S-1-5-21-1848013157-3754207559-1183874988-1000\...\MountPoints2: F - F:\setup.exe HKU\S-1-5-21-1848013157-3754207559-1183874988-1000\Software\Microsoft\Internet Explorer\Main,Start Page = FF HKLM-x32\...\Firefox\Extensions: [youcam@cyberlink.com] - C:\Program Files (x86)\CyberLink\YouCam7\BrowserExtension\Firefox => nie znaleziono FF Plugin: @microsoft.com/GENUINE -> disabled [Brak pliku] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Brak pliku] BootExecute: autocheck autochk * ROBoot64 \??\C:\Windows\system32\ASOROSet.binsdnclean64.exe MSCONFIG\startupreg: BitTorrent => "C:\Users\TheRadioVoiceGuy\AppData\Roaming\BitTorrent\BitTorrent.exe" /MINIMIZED Task: {207CBC84-11B4-4EF2-AC6A-0F50FE0377A0} - System32\Tasks\{1CDFC075-1844-47CA-945F-F6863DB21D30} => C:\Windows\system32\pcalua.exe -a "E:\Gry ściągnięte\Pizza\BF\OriginSetup.exe" -d "E:\Gry ściągnięte\Pizza\BF" Task: {85BECEC9-36B1-4D86-81D5-C5CC7504D84C} - System32\Tasks\Driver Booster SkipUAC (TheRadioVoiceGuy) => C:\Program Files (x86)\IObit\Driver Booster\5.3.0\DriverBooster.exe Task: {A0DABCA7-C8AB-42B0-B4B8-18CA57EF6BDB} - System32\Tasks\Driver Booster Beta SkipUAC (TheRadioVoiceGuy) => C:\Program Files (x86)\IObit\Driver Booster Beta\4.0.1\DriverBooster.exe Task: {B321F9CB-9306-4A84-98FC-1811C0F7042E} - System32\Tasks\Update Manager => C:\Users\TheRadioVoiceGuy\AppData\Roaming\Stronghold.3.Gold.Edition.v1.12.1.Incl.6DLC-ALI213\Upgrade.exe Task: {BDE7508D-CAD0-44FA-951F-861ADDD01386} - System32\Tasks\{735A4A51-B9C5-46CF-9B73-7A6A1A695278} => C:\Windows\system32\pcalua.exe -a G:\OriginSetup.exe -d G:\ DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking S1 prodrv06; C:\Windows\SysWOW64\drivers\prodrv06.sys [54368 2004-11-25] (Protection Technology) [Brak podpisu cyfrowego] S0 prohlp02; C:\Windows\SysWOW64\drivers\prohlp02.sys [77248 2004-11-25] (Protection Technology) [Brak podpisu cyfrowego] S0 prosync1; C:\Windows\SysWOW64\drivers\prosync1.sys [6944 2003-09-06] (Protection Technology) [Brak podpisu cyfrowego] S0 sfhlp01; C:\Windows\SysWOW64\drivers\sfhlp01.sys [4832 2003-12-01] (Protection Technology) [Brak podpisu cyfrowego] S4 LMIRfsClientNP; Brak ImagePath S3 CLMirrorDriver; system32\DRIVERS\CLMirrorDriver.sys [X] S3 clwvd7; system32\DRIVERS\clwvd7.sys [X] S3 dbx; system32\DRIVERS\dbx.sys [X] S2 LMIInfo; \??\C:\Program Files (x86)\LogMeIn\x64\RaInfo.sys [X] S3 NTLiveGuardN64; \??\D:\CreationMu\LiveGuard\NTLiveGuardN64.sys [X] S3 VGAOCTool; \??\C:\Users\THERAD~1\AppData\Local\Temp\VGAOCTool.sys [X] <==== UWAGA S1 ZAM; \??\C:\Windows\System32\drivers\zam64.sys [X] S1 ZAM_Guard; \??\C:\Windows\System32\drivers\zamguard64.sys [X] AlternateDataStreams: C:\Windows\system32\D3DCompiler_33.dll:$CmdTcID [130] AlternateDataStreams: C:\Windows\system32\D3DCompiler_34.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\D3DCompiler_35.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\D3DCompiler_36.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\D3DCompiler_37.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\D3DCompiler_38.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\D3DCompiler_39.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\D3DCompiler_40.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\D3DCompiler_41.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\D3DCompiler_42.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\D3DCompiler_43.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\d3dcsx_42.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\d3dcsx_43.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\d3dx10.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\d3dx10_33.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\d3dx10_34.dll:$CmdTcID [130] AlternateDataStreams: C:\Windows\system32\d3dx10_35.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\d3dx10_36.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\d3dx10_37.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\d3dx10_38.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\d3dx10_39.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\d3dx10_40.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\d3dx10_41.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\d3dx10_42.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\d3dx10_43.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\d3dx11_42.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\d3dx11_43.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\d3dx9_24.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\d3dx9_25.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\d3dx9_26.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\d3dx9_27.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\d3dx9_28.dll:$CmdTcID [130] AlternateDataStreams: C:\Windows\system32\d3dx9_29.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\d3dx9_30.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\d3dx9_31.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\d3dx9_32.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\d3dx9_33.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\d3dx9_34.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\d3dx9_35.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\d3dx9_36.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\D3DX9_37.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\D3DX9_38.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\D3DX9_39.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\D3DX9_40.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\D3DX9_41.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\D3DX9_42.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\D3DX9_43.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\DevManagerCore.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\LogiDPP.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\LogiDPPApp.exe:$CmdTcID [130] AlternateDataStreams: C:\Windows\system32\lvco1351823.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\lvcod64.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\LVUI64.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\LVUIRC64.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\x3daudio1_0.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\x3daudio1_1.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\X3DAudio1_2.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\X3DAudio1_3.dll:$CmdTcID [130] AlternateDataStreams: C:\Windows\system32\X3DAudio1_4.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\X3DAudio1_5.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\X3DAudio1_6.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\X3DAudio1_7.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\XAPOFX1_0.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\XAPOFX1_1.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\XAPOFX1_2.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\XAPOFX1_3.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\XAPOFX1_4.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\XAPOFX1_5.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\xinput1_1.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\xinput1_2.dll:$CmdTcID [130] AlternateDataStreams: C:\Windows\system32\xinput1_3.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\D3DCompiler_33.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\D3DCompiler_34.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\D3DCompiler_35.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\D3DCompiler_36.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\D3DCompiler_37.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\D3DCompiler_38.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\D3DCompiler_39.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\D3DCompiler_40.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\D3DCompiler_41.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\D3DCompiler_42.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\D3DCompiler_43.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\d3dcsx_42.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\d3dcsx_43.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\d3dx10.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\d3dx10_33.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\d3dx10_34.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\d3dx10_35.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\d3dx10_36.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\d3dx10_37.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\d3dx10_38.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\d3dx10_39.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\d3dx10_40.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\d3dx10_41.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\d3dx10_42.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\d3dx10_43.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\d3dx11_42.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\d3dx11_43.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\d3dx9_24.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\d3dx9_25.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\d3dx9_26.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\d3dx9_27.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\d3dx9_28.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\d3dx9_29.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\d3dx9_30.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\d3dx9_31.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\d3dx9_32.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\d3dx9_33.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\d3dx9_34.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\d3dx9_35.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\d3dx9_36.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\D3DX9_37.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\D3DX9_38.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\D3DX9_39.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\D3DX9_40.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\D3DX9_41.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\D3DX9_42.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\D3DX9_43.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\DevManagerCore.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\LogiDPP.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\lvcodec2.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\LVUI2.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\LVUI2RC.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\PnkBstrB.ex0:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\WISPTIS.EXE:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\x3daudio1_0.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\x3daudio1_1.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\X3DAudio1_2.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\X3DAudio1_3.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\X3DAudio1_4.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\X3DAudio1_5.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\X3DAudio1_6.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\X3DAudio1_7.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\xactengine2_0.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\xactengine2_1.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\xactengine2_10.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\xactengine2_2.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\xactengine2_3.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\xactengine2_4.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\xactengine2_5.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\xactengine2_6.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\xactengine2_7.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\xactengine2_8.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\xactengine2_9.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\xactengine3_0.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\xactengine3_1.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\xactengine3_2.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\xactengine3_3.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\xactengine3_4.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\xactengine3_5.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\xactengine3_6.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\xactengine3_7.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\XAPOFX1_0.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\XAPOFX1_1.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\XAPOFX1_2.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\XAPOFX1_3.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\XAPOFX1_4.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\XAPOFX1_5.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\XAudio2_0.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\XAudio2_1.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\XAudio2_2.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\XAudio2_3.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\XAudio2_4.dll:$CmdTcID [130] AlternateDataStreams: C:\Windows\SysWOW64\XAudio2_5.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\XAudio2_6.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\XAudio2_7.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\xinput1_1.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\SysWOW64\xinput1_2.dll:$CmdTcID [130] AlternateDataStreams: C:\Windows\SysWOW64\xinput1_3.dll:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\Drivers\ffusb2audio.sys:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\Drivers\lvrs64.sys:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\Drivers\lvuvc64.sys:$CmdTcID [64] AlternateDataStreams: C:\Windows\system32\Drivers\tap0901t.sys:$CmdTcID [64] C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\Program Files (x86)\Zemana AntiMalware C:\ProgramData\Spybot - Search & Destroy C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AnkhHeart\AnkhBotR2\AnkhBotR2.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AnkhHeart\AnkhBotR2\UELA.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Black & White 2 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Caesar III C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FreeMouseAutoClicker C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hard Time C:\ProgramData\Microsoft\Windows\Start Menu\Programs\LogMeIn Control Panel.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Native Instruments\Service Center\Native Instruments Homepage.lnk C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mount&Blade Warband C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OBS Studio C:\ProgramData\Microsoft\Windows\Start Menu\Programs\The Sims 3 Complete Collection C:\Users\Public\Desktop\Wiedźmin® 3 - Dziki Gon.lnk C:\Users\TheRadioVoiceGuy\AppData\Local\Zemana C:\Users\TheRadioVoiceGuy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ableton Live 10 Suite.lnk C:\Users\TheRadioVoiceGuy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Celemony\Melodyne Editor C:\Users\TheRadioVoiceGuy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FabFilter\Pro-Q 2\Uninstall.lnk C:\Users\TheRadioVoiceGuy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Ark Survival!.lnk C:\Users\TheRadioVoiceGuy\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\ModManager C:\Users\TheRadioVoiceGuy\Desktop\Gierki\nwmain — skrót.lnk C:\Users\TheRadioVoiceGuy\Desktop\Gierki\Wow — skrót.lnk C:\Users\TheRadioVoiceGuy\Desktop\Programy\Driver Booster 4.lnk C:\Users\TheRadioVoiceGuy\Documents\Euro Truck Simulator 2\readme.rtf.lnk C:\Windows\ZAM_Guard.krnl.trace C:\Windows\ZAM.krnl.trace C:\Windows\system32\lmimirr.dll C:\Windows\system32\lmimirr2.dll C:\Windows\system32\Drivers\hamachi.sys C:\Windows\system32\Drivers\lmimirr.sys C:\Windows\System32\Tasks\Safer-Networking C:\Windows\SysWOW64\drivers\prodrv06.sys C:\Windows\SysWOW64\drivers\prohlp02.sys C:\Windows\SysWOW64\drivers\prosync1.sys C:\Windows\SysWOW64\drivers\sfhlp01.sys cmd: netsh advfirewall reset Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

To zadanie rzeczywiście zniknęło. W raportach nie widać żadnych jawnych elementów samoczynnie włączających Operę i produkujących reklamy w tej konkretnej przeglądarce. Na dysku są tylko dwa foldery po infekcji typu Bitcoin Miner (NET.Framework SDK + Peer.Net) i nie widać, by były one zdefiniowane w elementach startowych. Czy problem dotyczy tylko Opery, a nie innych przeglądarek? 1. Sprawdź czy wystąpią jakieś zmiany po wyłączeniu wszystkich rozszerzeń Opery i restarcie przeglądarki. W spisie rozszerzeń nie widać nic podejrzanego, ale infekcja w poprawnym rozszerzeniu jest nie do wykrycia z poziomu raportu FRST. 2. Skrypt czyszczący resztki. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - hxxps://clients2.google.com/service/update2/crx CHR HKLM-x32\...\Chrome\Extension: [ofoeigeaodhbjogdigckajfhjbonaofg] - hxxps://clients2.google.com/service/update2/crx HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\...\StartupApproved\Run: => "RTHDVCPL" HKLM\...\StartupApproved\Run32: => "WidgetPodatnikInfo" HKU\S-1-5-21-3244572619-1344660955-1707226054-1001\...\StartupApproved\Run: => "Steam" HKU\S-1-5-21-3244572619-1344660955-1707226054-1001\...\StartupApproved\Run: => "Screenpresso" Task: {A0784DAA-45C3-433C-A00F-35051F546818} - System32\Tasks\Microsoft\Windows\Setup\Notifier => C:\WINDOWS\system32\Notifier.exe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Grinding Gear Games C:\Users\user\AppData\Local\NET.Framework SDK C:\Users\user\AppData\Local\Peer.Net C:\Users\user\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\395fbb84ca74fb25\Comodo Dragon.lnk Zip: C:\Users\user\AppData\Roaming\Opera Software\Opera Stable Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich s ystemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt, przedstaw go. Poza tym, na Pulpicie powstanie plik Opera.zip, shostuj go gdzieś i podaj link do paczki.

Fixlog zwraca, że obiekt nie istnieje na dysku. Poproszę o świeże raporty z FRST, które mają zdowodować jakie zmiany wystąpiły.

W Dzienniku zdarzeń jest następujący zestaw będów: Dziennik Aplikacja: ================== Error: (08/11/2018 10:18:03 AM) (Source: Windows Backup) (EventID: 4100) (User: ) Description: Wykonanie kopii zapasowej nie powiodło się, ponieważ nie można utworzyć kopii w tle. Zwolnij miejsce w stacji dysków kopii zapasowej, usuwając niepotrzebne pliki, i ponów próbę. Error: (08/11/2018 10:18:03 AM) (Source: SPP) (EventID: 16387) (User: ) Description: Tworzenie kopii w tle nie powiodło się, ponieważ obiekt ASR Writer zgłosił błąd. Więcej informacji: Partycja systemowa (oznaczona jako „aktywna”) jest ukryta lub zawiera nierozpoznany system plików. Kopia zapasowa nie obsługuje tej konfiguracji. (0x80042416). Error: (08/11/2018 10:18:03 AM) (Source: VSS) (EventID: 8193) (User: ) Description: Błąd Usługi kopiowania woluminów w tle: nieoczekiwany błąd podczas wywoływania procedury IVssAsrWriterBackup::GetAsrMetadata. hr = 0x80042416, Partycja systemowa (oznaczona jako „aktywna”) jest ukryta lub zawiera nierozpoznany system plików. Kopia zapasowa nie obsługuje tej konfiguracji. Lista Twoich partycji: ==================== MBR & Tablica partycji ================== ======================================================== Disk: 0 (MBR Code: Windows 7 or Vista) (Size: 232.9 GB) (Disk ID: 3D261E93) Partition 1: (Active) - (Size=232.9 GB) - (Type=07 NTFS) ======================================================== Disk: 1 (Size: 931.5 GB) (Disk ID: C48AC48A) Partition 1: (Active) - (Size=244.1 GB) - (Type=17) Partition 2: (Not Active) - (Size=353.7 GB) - (Type=07 NTFS) Partition 3: (Not Active) - (Size=333.7 GB) - (Type=07 NTFS) ======================================================== Disk: 2 (MBR Code: Windows XP) (Size: 465.8 GB) (Disk ID: 58F2CB30) Partition 1: (Not Active) - (Size=273.7 GB) - (Type=07 NTFS) Partition 2: (Not Active) - (Size=192 GB) - (Type=07 NTFS) ==================== Koniec Addition.txt ============================ Do czego służy "Dysk 1" - czy tam był lub jest jakiś system? Na tym dysku jest partycja Aktywna typu 17 (ukryty NTFS lub inny) i wydaje mi się, że właśnie ta partycja stanowi tu problem.

Podejrzany produkujący reklamy to rozszerzenie "Easy YouTube mp3" zamontowane w Firefox. To rozszerzenie zostało sklasyfikowane jako niepożądane i obecnie jest na czarnej liście Mozilla. Firefox powinien więc je automatycznie wyłączyć, czy ono nadal jest aktywne?! FF Extension: (Easy YouTube mp3) - C:\Users\TheRadioVoiceGuy\AppData\Roaming\Mozilla\Firefox\Profiles\4ddb8szo.default\Extensions\d.lehr@chello.at.xpi [2018-07-07] Odinstaluj to rozszerzenie z poziomu opcji Firefox i podaj czy są jakieś zmiany w kwestii pojawiających się reklam. Potem zadam drobne czyszczenie szczątków po odinstalowanych programach.

Jedyny element pasujący do automatycznego uruchamiania Opery, to pierwsze z zadań, ale komenda zadania jest teoretycznie poprawna: ==================== Zaplanowane zadania (filtrowane) ============= Task: {48A034D7-56D3-48D6-B06F-E9747CF1ACCA} - System32\Tasks\{C9210D93-324F-8502-E6D9-D3D6660BF30B} => C:\Program Files\Opera\Launcher.exe [2018-08-07] (Opera Software) Task: {8917F021-FBBF-4B6A-A65F-6A1B87C705C8} - System32\Tasks\Opera scheduled Autoupdate 1532751693 => C:\Program Files\Opera\launcher.exe [2018-08-07] (Opera Software) Na moim testowym komputerze Opera tworzy tylko jedno zadanie, czyli "Opera scheduled Autoupdate". W związku z tym podaj mi więcej detali na temat tego pierwszego zadania, tzn: Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: cmd: type C:\Windows\System32\Tasks\{C9210D93-324F-8502-E6D9-D3D6660BF30B} Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Temat założony w nieodpowiednim dziale, przenoszę do Windows 10. Problemem jest zadanie w Harmonogramie wstawione przez DriverSetupUtility: DriverSetupUtility (HKLM\...\{2B51C83A-465D-4EA9-9CDC-1ED95ED09AC6}) (Version: 1.00.3011 - Acer Incorporated) Task: {381FEBCD-8C21-4E5F-8F43-110C24C6FDF1} - System32\Tasks\ACC => C:\Program Files\DriverSetupUtility\FUB\FUB_Send.bat [2015-06-22] () <==== UWAGA Klawisz z flagą Windows + R > w polu Uruchom taskschd.msc > w menu Widok upewnij się, że jest zaznaczone Pokaż ukryte zadania > zadanie "ACC" powinno być w głównym widoku Biblioteki > wyłącz je. Ten sam problem zgłoszony i rozwiązany wcześniej w tym temacie:

Duże ciemne paski są po bokach, gdyż domyślnie jest ustawiana statyczna szerokość w stylu, a nie typ płynny. Przestawiłam tę opcję. Naprawiłam też te dwie ikonki w edytorze.

Stałe napisy w miejscu w którym nie zostały przewidziane to jeszcze grubsza robota. Na wszelki wypadek zapytam autora stylu co o tym myśli, ale nie sądzę że uzyskam zadawalającą odpowiedź. Działania polegające na wyłączeniu integralnego komponentu forum (Font Awesome) nie są brane pod uwagę. O jakim urządzeniu mowa? Czy wyłączenie opcji "Force enable zoom" wnosi coś do sprawy? Ten problem nie występuje na Desktopie z Chrome 68 i Chromium 68 przy oknie zdegradowanym do poziomu widocznego w poście. I nasza strona nie blokuje zoomowania.