picasso

Tak, dokładnie o to chodzi.

janta, proszę jeszcze o nowy skan FRST, dostarcz oba pliki: FRST.txt i Addition.txt. Poza tym, wypowiedz się na ten temat:

Jump2Reg | Jump2RegTen Strona domowa Strona pobierania Platforma: Windows XP do Windows 11 32-bit i 64-bit * Licencja: freeware Jump2RegTen1.2.3.zip - Wersja dla Windows 7-11 Jump2regsetup4.0.0.zip - Wersja dla starszych systemów Jump2Reg - Prosty program przeznaczony do szybkiego otwierania wybranego klucza w regedit Windows, skonstruowany pod gusta i potrzeby autora. Występuje w formie stałego rozmiarem i nieprzesuwalnego paska narzędziowego przyklejonego "zawsze na wierzchu" Pulpitu (nie jest przysłaniany innymi otwartymi oknami). Pasek ten posiada: pole adresów do wklejania ścieżek, menu predefiniowanych przez autora lokalizacji które można rozszerzać o własne lokalizacje, bezpośredni eksport bieżącego klucza do formatu REG, prostą wyszukiwarkę słów kluczowych w rejestrze. W konfiguracji jest też opcja tworzenia punktu Przywracania systemu (przed ewentualnym wprowadzaniem zmian w rejestrze). Nie wszystkim przypadnie do gustu ta forma graficzna i niebieski kolor. Pasek ten może być też denerwujący w niektórych okolicznościach (przysłania paski tytułu innych okien, niekiedy są na nich opcje programów). Program jest instalowany w katalogu C:\Windows (starsze wersje) lub C:\Users\Użytkownik\AppData\Local (najnowsza wersja). Dodaje do menu kontekstowego tła Pulpitu i folderów opcję Jump2RegTen with key W rejestrze jest dodawany następujący wpis: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\background\shell\Jump2RegTen with key] "MUIVerb"="Jump2RegTen with key" "icon"="C:\\WINDOWS\\Jump2regTen.exe" "Position"="Top" "HasLUAShield"="" "NoWorkingDirectory"="" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\background\shell\Jump2RegTen with key\command] @="C:\\WINDOWS\\Jump2regTen.exe" Jeśli ktoś chciałby zmienić nazwę wyświetlaną w menu kontekstowym, wystarczy zedytować widoczną powyżej wartość MUIVerb wprowadzając dowolny wybrany przez siebie tekst (np. spolszczony "Otwórz klucz za pomocą Jump2Reg"). * Narzędzie jest 32-bitowe, ale ma dostosowanie do pracy na systemie 64-bit.

No właśnie mówię, że takie proste "przenoszenie" plików nie tworzy nośnika bootującego, należy użyć specjalny kreator który uczyni nośnik rozruchowym.

Raport główny FRST został wykonany na innych ustawieniach niż podają tu zasady: sekcje "MD5 sterowników", "Lista BCD" i "Pliki z 90 dni" nie miały być zaznaczone. Niepotrzebnie powstały duże logi, te informacje nic nie wnoszą do sprawy. Operacje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {7DA60238-A648-4909-A7C5-5A307D8C88C2} - System32\Tasks\{47FADC95-4A15-4D83-8ABF-23FD4188D3A4} => pcalua.exe -a C:\Users\tomek\AppData\Roaming\yoursearching\UninstallManager.exe -c -ptid=cor Task: {C5396C5F-F1EA-4A28-955A-236AA8F450E5} - System32\Tasks\PanegyrizeQuarantineV2 => Rundll32.exe VicaragesSandburrs.dll,main 7 1 CustomCLSID: HKU\S-1-5-21-1006898089-1827332220-2842327505-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\tomek\AppData\Local\Google\Update\1.3.27.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1006898089-1827332220-2842327505-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\tomek\AppData\Local\Google\Update\1.3.28.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1006898089-1827332220-2842327505-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\tomek\AppData\Local\Google\Update\1.3.28.13\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1006898089-1827332220-2842327505-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\tomek\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1006898089-1827332220-2842327505-1000_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\tomek\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku R3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X] S3 MSICDSetup; \??\F:\CDriver64.sys [X] SearchScopes: HKLM -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKLM-x32 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-1006898089-1827332220-2842327505-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = C:\Users\tomek\AppData\Local\AION C:\Users\tomek\AppData\Local\PanegyrizeQuarantine Reg: reg delete HKCU\Software\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome\Extensions /f Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\tomek\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 3. Zrób nowy log FRST z opcji Skanuj (Scan) skonfigurowany wg w/w wytycznych, z Addition ale bez Shortcut. Dołącz też plik fixlog.txt.

Nie wiem czy dobrze rozumiem pytanie, ale proste kopiowanie plików "z palca" z nośnika USB na płytę DVD nie utworzy bootowalnej płyty. Od tworzenia takiej płyty jest "Narzędzie do tworzenia nośnika" podane w jednym z linków.

Ja nie mówię o tym jak wykonałeś instalację, tylko komentuję ten "downloader" wykryty przez MBAM. Jego obecność świadczy, że szukałeś metody pobrania instalatora Windows 10, więc podałam jakie są oficjalne drogi pobierania Windows 10, inne niż Windows Update (np. by przygotować sobie na zapas też płytę DVD czy dysk USB).

Fix FRST pomyślnie wykonany. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. Ta instalacja została "przedatowana" - obecnie liczona od momentu instalacji Windows 10, mimo że była portowana ze starszego systemu. Ta Java była już przed aktualizacją do Windows 10. Twoje stare logi z Windows 7 ją pokazują. Plik "Windows 10 - instalator.exe" to na pewno nie jest oficjalny plik tylko jakiś śmieć pobrany z portalu zewnętrznego i próbujący instalować adware. Oficjalnymi mechanizmami innymi niż Windows Update są: KLIK / KLIK.

Nie wiem czego się spodziewać, ale być może te linki zostaną zachowane - to są instalacje "offline" a nie wrapper pobierany ze strony głównej: A przypuszczam, że zostaną zachowane, gdyż to one właśnie są podawane jako awaryjne instalatory w przypadku problemów: KLIK (sekcja "Still having problems?").

Rozwiń CodeIntegrity > prawy klik na Operational i wyczyść.

Wyniki skanerów nie mają znaczenia i wpływu na pracę systemu. - AdwCleaner: To jest drobny odpadkowy rekord po rozszerzeniu Bing w preferencjach Google Chrome. - MBAM: "PUP.Optional.InstallCore" to jakiś downloader ręcznie pobrany przez Ciebie a nie poprawny instalator. Wszystkie typu "PUP.Optional.OpenCandy" to robota jakiejś instalacji sponsorowanej - np. uTorrent takie wpisy tworzy: KLIK. Nie tylko on, to mogła być także inna instalacja mająca taką interację sponsoringową. PS. Do usunięcia tylko puste / szczątkowe wpisy, w tym po świeżo wykonanej aktualizacji do Windows 10. 1. Odnstaluj starą wersję Java 7 Update 55. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {0F4A205D-482A-41FD-9569-5E52E55F0B08} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {14145DA8-1EB6-48C3-BCC1-635EA4BEC6C8} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {1C80D070-3469-44C4-AE61-8EDA1AA82551} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {1EFA475F-F33D-4B3B-A17E-4003310B4FC6} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {294BE283-60EE-4693-9E00-C5260AE5AD1B} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {2C03DB0A-8EB5-4837-8DA8-74B83CC0100A} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {363B5183-ADA9-41F0-80FB-0014A64D0131} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {36E48251-924E-4DA6-A790-56FCD14544B5} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {433A43EA-983C-4095-8DC7-323D0322BB0D} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {4884D6D1-6873-48FF-A88F-0EA2EE25E142} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {4A0501E8-E01F-412B-A293-AF4A3619A5B3} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {4B184682-C5B3-485A-B65B-F154C96F0F0D} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {4DE4160C-2E1E-495F-8F06-565351397E34} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {4E31D7F0-4CA0-40BF-BE9E-CA1CC0ED5CF7} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {537FF250-B94B-4FD9-8802-30F3ABC790BF} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {5B363DD5-6800-47E1-9263-B95DB39F7333} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {5FE061BB-BB8A-4892-99CD-016DC5F65DB1} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {7635C187-46E5-4486-9A6A-8FA4AF79EBAF} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {7D717E71-1E4A-4C13-8699-B793CE8DAB3F} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {827B031E-E8F8-46DA-B661-7FB143F2C830} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {8711925E-4F74-4F6A-A350-C2805C4F78D3} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {981ADDDB-5752-45D3-9F77-7A807AED837B} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {9AD9FF29-8EB6-4D5B-AC88-7F1139C01BAB} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {9D4ECE7E-6A4C-4622-ADC3-84DBD2D8B19D} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {A0679D82-1539-437D-8BA1-996E02640C9D} - System32\Tasks\avast! Emergency Update => D:\AVAST\AvastEmUpdate.exe [2015-11-19] (AVAST Software) Task: {A9A00A8D-6EF9-4755-82D1-235D10F32F40} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {C047A972-B098-4563-BCE7-448636309322} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {C580E2C0-4292-41F8-B242-20521C064EFA} - System32\Tasks\SidebarExecute => C:\Program Files\WINDOWS SIDEBAR\SIDEBAR.EXE Task: {C6DF5A63-EA0D-4E9D-8323-A47E0CD9EE42} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {CD6704D4-2EBD-4439-BC8B-00A3F5EF2F99} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {CF1000B4-F142-450C-8ABE-E8520E5D38B2} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {D3755F51-C8E6-4286-A652-832D30EB5073} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {D4C27972-6886-4FDD-BFAF-63AE84E63B2A} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {E87D4DF3-5251-4098-9B4F-5F6DC29C7C3C} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {F462B88B-64F3-4AA0-B054-7E0B069CC455} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {FDCA52BF-A16C-4080-A45B-4E17CBA7812D} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes U4 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath Winlogon\Notify\igfxcui: igfxdev.dll [X] ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D43} => Brak pliku HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - D:\AVAST\SafePrice\FF CHR HKLM\...\Chrome\Extension: [ngpampappnmepgilojfohadhhmbhlaek] - CHR HKU\S-1-5-21-2607209770-1367983800-1593430848-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx C:\Users\adamt\AppData\Roaming\.minecraft\resourcepacks\Pomywacz Texturepack [1000 subów]\assets\minecraft\textures\items\potion_bottle_empty.lnk C:\Users\keramti\AppData\Roaming\dll-files.com C:\Users\keramti\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Sound Recorder.lnk C:\Windows\ehome C:\Windows\System32\Tasks\Microsoft\Windows\Media Center CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są już potrzebne.

Skrypt FRST nie został wykonany. Otwórz plik Fixlog i porównaj formatowanie z moim postem. Wklejając do Notatnika skleiły się wszystkie linie, a przejścia do nowej linii muszą być identyczne jak w moim poście. Powtarzaj zadanie.

W niemieckim Windows to powinno być: - Gałąź Windows-Protokolle > Anwendung i System - Gałąź Anwendungs- und Dienstprotokolle > Microsoft > Windows > CodeIntegrity Prawoklik na Anwendung, System, CodeIntegrity i opcja Protokoll löschen..., padnie wybór czy tylko czyścić, czy czyścić i zapisać - wybierasz opcję tylko czyszczenia. Po wyczyszczeniu Dziennika, gdyż w FRST Addition chcę "złapać" ewentualne nowe błędy, stare nas już nie interesują.

Skrypt usunął pliki *.ccc z dysku C:. Jak mówiłam, na własną rękę do zrobienia też porządki na pozostałych dyskach oraz ewentualne reinstalacje programów w przypadku jawnego wykracia jakiś braków. Kończymy temat: 1. Skasuj pobrane narzędzia i ich logi z folderu D:\Instalki\Cryptolocker 12.10.2015\Nowy folder oraz podobnych. Następnie zastosuj DelFix. 2. Sugeruję wyposażyć się w jeden z tych programów specjalizowanych w zabezpieczeniach przed infekcjami szyfrującymi dane: KLIK.

Temat przenoszę do działu Windows, problemy nie są wynikiem infekcji. Plik Addition jest urwany, prawdopodobnie w wyniku zawieszenia FRST. Brak też trzeciego pliku FRST Shortcut. I to ten delikwent jest najbardziej podejrzany, jeśli chodzi o opisywane objawy z długim zamykaniem oraz zawieszaniem. 1. Rozpocznij od deinstalacji wszystkich produktów McAfee: McAfee Security Scan Plus, McAfee WebAdvisor, McAfee® Total Protection. Ten pierwszy to zresztą instalacja niezależna, wślizgnęła się w system jako sponsor instalatorów Adobe. Po deinstalacji via Panel sterowania zastosuj jeszcze dla pewności McAfee Consumer Product Removal Tool. 2. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpisy Java™ SE Runtime Environment 6, Metric Collection SDK 35 > Dalej. Narzędzie należy uruchomić dwa razy, nie ma możliwości usunięcia wszystkich wpisów za jednym zamachem. 3. Zrób nowy log FRST z opcji Skanuj (Scan), z Addition i Shortcut. Wypowiedz się czy jest poprawa.

Uwagi w kwestii używanych narzędzi: - Shadow Explorer nie nadaje się pod system XP i nic na nim nie robi, to program dla systemów Vista i nowszych, które mają inny bardziej zaawansowany mechanizm Przywracania systemu. - SpyHunter to skaner z czarnej listy, naciągacz. Trzymać się z daleka od niego. Stosowałeś też wątpliwe produkty marki Paretologic. Jak już powiedziałam, z zaszyfrowanymi plikami przemienionymi przez CryptoWall w takie oto "alfanumeryczne" ciągi nie da się nic zrobić: 2015-12-02 19:28 - 2015-12-02 19:28 - 03079072 _____ C:\Documents and Settings\slawek\Moje dokumenty\mted5.w0 2015-12-02 19:28 - 2015-12-02 19:28 - 00544688 _____ C:\Documents and Settings\slawek\Moje dokumenty\gh9wr3jb3.1v 2015-12-02 19:28 - 2015-12-02 19:28 - 00300588 _____ C:\Documents and Settings\slawek\Moje dokumenty\3o9l14uee5.2ev64 2015-12-02 19:28 - 2015-12-02 19:28 - 00054156 _____ C:\Documents and Settings\slawek\Moje dokumenty\wv3jujl.5kou9 2015-12-02 19:28 - 2015-12-02 19:28 - 00053596 _____ C:\Documents and Settings\slawek\Moje dokumenty\00pj570f32.8d6 2015-12-02 19:28 - 2015-12-02 19:28 - 00023884 _____ C:\Documents and Settings\slawek\Moje dokumenty\9txl16l6a8.946q Infekcja nie jest już czynna, ale są do usunięcia pliki HELP_YOUR_FILES* z wszystkich dysków oraz inne drobne korekty. 1. Odinstaluj stare wersje: Java 8 Update 60, RealPlayer. Problemem jest też stary Adobe Reader XI (11.0.08) - Polish, nowsze wersje nie mają wsparcia dla XP, tę wersję którą masz co najwyżej można ręcznie zaktualizować do wersji 11.0.13 i to wszystko co się da na XP. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 EsgScanner; C:\WINDOWS\System32\DRIVERS\EsgScanner.sys [19984 2015-12-03] () S3 GMSIPCI; \??\I:\INSTALL\GMSIPCI.SYS [X] AlternateDataStreams: C:\Documents and Settings\slawek\Local Settings:init RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files\ParetoLogic RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\HitmanPro RemoveDirectory: C:\Documents and Settings\All Users\Dane aplikacji\ParetoLogic RemoveDirectory: C:\Documents and Settings\slawek\Dane aplikacji\7f30610 RemoveDirectory: C:\Documents and Settings\slawek\Dane aplikacji\7164054 RemoveDirectory: C:\Documents and Settings\slawek\Dane aplikacji\www.shadowexplorer.com RemoveDirectory: C:\Documents and Settings\slawek\Ustawienia lokalne\Dane aplikacji\www.shadowexplorer.com RemoveDirectory: C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension CMD: del /q "C:\Documents and Settings\slawek\Dane aplikacji\cc3e11" CMD: del /q "C:\Documents and Settings\slawek\Dane aplikacji\a7905487f" CMD: del /q "C:\Documents and Settings\slawek\Dane aplikacji\Microsoft\Office\Niedawny\*.LNK" CMD: del /q "C:\Documents and Settings\slawek\SendTo\Android (ALLPlayer Pilot).lnk" CMD: del /q C:\WINDOWS\system32\Drivers\EsgScanner.sys CMD: attrib -r -h -s C:\HELP_YOUR_FILES.* /s CMD: attrib -r -h -s D:\HELP_YOUR_FILES.* /s CMD: attrib -r -h -s E:\HELP_YOUR_FILES.* /s CMD: attrib -r -h -s F:\HELP_YOUR_FILES.* /s CMD: attrib -r -h -s G:\HELP_YOUR_FILES.* /s CMD: attrib -r -h -s H:\HELP_YOUR_FILES.* /s CMD: attrib -r -h -s I:\HELP_YOUR_FILES.* /s CMD: attrib -r -h -s J:\HELP_YOUR_FILES.* /s CMD: attrib -r -h -s K:\HELP_YOUR_FILES.* /s CMD: del /q /s C:\HELP_YOUR_FILES.* CMD: del /q /s D:\HELP_YOUR_FILES.* CMD: del /q /s E:\HELP_YOUR_FILES.* CMD: del /q /s F:\HELP_YOUR_FILES.* CMD: del /q /s G:\HELP_YOUR_FILES.* CMD: del /q /s H:\HELP_YOUR_FILES.* CMD: del /q /s I:\HELP_YOUR_FILES.* CMD: del /q /s J:\HELP_YOUR_FILES.* Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Mozilla\Firefox\Extensions /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Plik fixlog.txt może być przeogromny, jeżeli plików HELP_YOUR_FILES jest nadal spora ilość. Gdyby się nie zmieścił do załącznika, po prostu shostuj gdzieś log i dostarcz link.

1. Zadania pomyślnie wykonane. Drobna poprawka. Otwórz Notatnik i wklej w nim: HKLM-x32\...\Run: [Adobe Reader Speed Launcher] => "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe" HKU\S-1-5-21-1090459358-1029853955-1922827071-1002\...\Run: [Akamai NetSession Interface] => "C:\Users\Monika\AppData\Local\Akamai\netsession_win.exe" SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = BHO: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files\Java\jre6\bin\jp2ssv.dll => Brak pliku BHO-x32: Java(tm) Plug-In 2 SSV Helper -> {DBC80044-A445-435b-BC74-9C25C1C588A9} -> C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll => Brak pliku DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Wyłącz Comodo. Uruchom FRST i kliknij w Napraw (Fix). Pokaż wynikowy fixlog.txt. 2. Jeśli chodzi o BSOD 0x0000001e, to na pewno nie jest to powiązane z infekcjami, prędzej z oprogramowaniem zabezpieczającym. I czy na pewno masz wszystkie aktualizacje Windows zainstalowane? Diagnostyka BSOD w punkcie 5 ogłoszenia: KLIK.

Kwarantanna FRST okazała się zablokowana, choć nie powinna być, stąd ten restart. Wszystkie zadania czyszczące wykonane. Kończymy: Zastosuj DelFix, następnie wyczyść foldery Przywracania systemu: KLIK. Na czas pobierania i uruchamiania DelFix zdeaktywuj AVG, bo będzie się go czepiał i blokował.

W raportach nie widziałam żadnego wpisu pasującego do uruchamiania okna cmd, a jedyna instalacja która mi się kojarzy z uruchamianiem linii komend to AMD. To wystąpiło tylko raz i już się nie pojawia przy kolejnym restarcie? Gdyby jednak efekt się powtarzał, możesz dodać nowe raporty FRST.

Poprawkowe podejście wykonało się jak należy. Problem powinien być całkowicie rozwiązany. Na zakończenie: 1. Przez SHIFT+DEL (omija Kosz) skasuj folder C:\MATS utworzony przez deinstalator Microsoftu. 2. Zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Kolejna porcja czynności: 1. Operacje związane z Firefox: - Zainstaluj Firefox: KLIK. Proponuję od razu doładować dodatek uBlock Origin blokujący reklamy: KLIK. - By Firefox wykrył wtyczkę Adobe Flash, trzeba ją na nowo przeinstalować: odinstaluj pozycję Adobe Flash Player 19 NPAPI, następnie uruchom ten instalator: KLIK. Uwaga na przyszłość: nie instaluj żadnych innych wtyczek w Firefox typu Java czy Silverlight, o ile to nie okaże się niezbędne, do końca 2016 obsługa tych wtyczek w Firefox i tak zostanie wycofana. 2. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\AppDataLow\Software\JavaSoft DeleteKey: HKCU\Software\AppDataLow\Software\pdfforge DeleteKey: HKCU\Software\AppDataLow\Software\SuperLyrics DeleteKey: HKCU\Software\AppDataLow\Software\Yahoo DeleteKey: HKCU\Software\Applications\Zps.exe DeleteKey: HKCU\Software\Local AppWizard-Generated Applications DeleteKey: HKLM\SOFTWARE\Wow6432Node\ActMask Virtual Printer SDK DeleteKey: HKLM\SOFTWARE\Wow6432Node\AdwCleaner DeleteKey: HKLM\SOFTWARE\Wow6432Node\Apple Computer, Inc. DeleteKey: HKLM\SOFTWARE\Wow6432Node\Apple Inc. DeleteKey: HKLM\SOFTWARE\Wow6432Node\ArcSoft DeleteKey: HKLM\SOFTWARE\Wow6432Node\Ashampoo DeleteKey: HKLM\SOFTWARE\Wow6432Node\BCL Technologies DeleteKey: HKLM\SOFTWARE\Wow6432Node\Brother DeleteKey: HKLM\SOFTWARE\Wow6432Node\CyberLink DeleteKey: HKLM\SOFTWARE\Wow6432Node\DivX DeleteKey: HKLM\SOFTWARE\Wow6432Node\DivXNetworks DeleteKey: HKLM\SOFTWARE\Wow6432Node\Emsisoft DeleteKey: HKLM\SOFTWARE\Wow6432Node\Eset DeleteKey: HKLM\SOFTWARE\Wow6432Node\Global IP Solutions DeleteKey: HKLM\SOFTWARE\Wow6432Node\GPL Ghostscript DeleteKey: HKLM\SOFTWARE\Wow6432Node\HDTune DeleteKey: HKLM\SOFTWARE\Wow6432Node\HPS DeleteKey: HKLM\SOFTWARE\Wow6432Node\Iceni Technology Limited DeleteKey: HKLM\SOFTWARE\Wow6432Node\Infix PDF DeleteKey: HKLM\SOFTWARE\Wow6432Node\Infonaut_1.10.0.13 DeleteKey: HKLM\SOFTWARE\Wow6432Node\IObit DeleteKey: HKLM\SOFTWARE\Wow6432Node\JavaSoft DeleteKey: HKLM\SOFTWARE\Wow6432Node\JL6_DECODE DeleteKey: HKLM\SOFTWARE\Wow6432Node\JreMetrics DeleteKey: HKLM\SOFTWARE\Wow6432Node\Lake DeleteKey: HKLM\SOFTWARE\Wow6432Node\LogMeInRescueCallingCard DeleteKey: HKLM\SOFTWARE\Wow6432Node\Malwarebytes' Anti-Malware DeleteKey: HKLM\SOFTWARE\Wow6432Node\Malwarebytes' Anti-Malware (Trial) DeleteKey: HKLM\SOFTWARE\Wow6432Node\MathGame DeleteKey: HKLM\SOFTWARE\Wow6432Node\MaxPower DeleteKey: HKLM\SOFTWARE\Wow6432Node\Maxthon3 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Netscape DeleteKey: HKLM\SOFTWARE\Wow6432Node\Opera Software DeleteKey: HKLM\SOFTWARE\Wow6432Node\pdfforge DeleteKey: HKLM\SOFTWARE\Wow6432Node\PDFPrint DeleteKey: HKLM\SOFTWARE\Wow6432Node\RealNetworks DeleteKey: HKLM\SOFTWARE\Wow6432Node\Skype DeleteKey: HKLM\SOFTWARE\Wow6432Node\Symantec DeleteKey: HKLM\SOFTWARE\Wow6432Node\Systweak DeleteKey: HKLM\SOFTWARE\Wow6432Node\The Silicon Realms Toolworks DeleteKey: HKLM\SOFTWARE\Wow6432Node\Xing Technology Corp. DeleteKey: HKLM\SOFTWARE\Wow6432Node\Yahoo DeleteKey: HKU\S-1-5-18\Software\592dd8cb56feb12 DeleteKey: HKU\S-1-5-18\Software\Brother DeleteKey: HKU\S-1-5-18\Software\Foxit Software DeleteKey: HKU\S-1-5-18\Software\Malwarebytes' Anti-Malware DeleteKey: HKU\S-1-5-18\Software\Opera Software DeleteKey: HKU\S-1-5-18\Software\SetID RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files\Windows Live RemoveDirectory: C:\Program Files (x86)\Windows Live RemoveDirectory: C:\Program Files (x86)\Common Files\Windows Live CMD: netsh winsock reset Reg: reg query HKCU\Software\Clients /s Reg: reg query HKCU\Software\RegisteredApplications Reg: reg query HKLM\SOFTWARE\Clients /s Reg: reg query HKLM\SOFTWARE\RegisteredApplications Reg: reg query HKLM\SOFTWARE\Wow6432Node\RegisteredApplications EmptyTemp: 3. Uruchom narzędzie Fix-it likwidujące drobny błąd WMI: KLIK. 4. Wyczyść Dzienniki zdarzeń: Start > w polu szukania wklep eventvwr.msc > z prawokliku Uruchom jako Administrator > w gałęzi Dzienniki systemu Windows z prawokliku wyczyść Aplikacja i System, następnie w gałęzi Dzienniki aplikacji i usług > Microsoft > Windows > wyczyść CodeIntegrity. 5. Zrób nowy log FRST z opcji Untersuchen (Scan), ponownie z Addition, ale bez Shortcut. Dołącz też plik fixlog.txt. Podsumuj jak obecnie działa system i świeży Firefox. I po tej fazie zaczniemy się zastanawiać o co chodzi z aktualizacją do Windows 10.

Tak, "Wersja 1511" to jest nowa wersja systemu, a pytałam czy widać szczególny błąd, gdyż z tą aktualizacją są różne problemy. Udało się ją zrobić w inny sposób, więc OK. W systemie powstał C:\Windows.old trzymający stary system. W ustawieniach jest teraz widoczna nowa opcja: Ustawienia > System > Aktualizacje i zabezpieczenia > Odzyskiwanie > Wróć do poprzedniej kompilacji. Opcja ta będzie widoczna, dopóki istnieje Windows.old. Windows samoczynnie usuwa ten katalog po predefiniowanym czasie, ale proces można przyśpieszyć posługując się narzędziem Oczyszczania dysku: klik w ikonkę wyszukiwania na pasku zadań > wklep Oczyszczanie dysku > klik w Oczyść pliki systemowe > zaznacz Poprzednie instalacje systemu Windows > OK. Zanim zakończymy temat podaj nowe raporty FRST (główny + Addition), bo do usunięcia były wcześniej drobne szczątki po aktualizacji Windows 7 > Windows 10. Nowe raporty udowodnią czy po tej grubej aktualizacji do Windows 10 Wersja 1511 nadal jest co czyścić.

Prawdopodobnie Kaspersky Internet Security uniemożliwił pracę FRST. Niestety, ale coś poszło nie tak przy przetwarzaniu Fix FRST, większość wyników "Niepowodzenie przy usuwaniu. Odmowa dostępu." Wprawdzie pliki infekcji i innych zadań zostały przesunięte przez FRST, ale nie wygląda na to, by rejestr został wyczyszczony, pomimo, że logi końcowe nie pokazują większości wpisów zadanych do usunięcia. Wykonaj poniższy fixlist.txt FRST z poziomu Trybu awaryjnego Windows i dostarcz wynikowy fixlog.txt: Task: {102A5008-3AC5-4616-99EA-B6EEDE983A51} - System32\Tasks\Opera N Saturday => C:\Program Files\Opera\launcher.exe Task: {43D0089E-7B3E-4964-A1A0-3AFA77A4D1C1} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program => C:\Program Files\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe Task: {74C782B3-8BB3-4CCE-ADD8-DA670FACD892} - System32\Tasks\ThermoregulationPhosphorescentlyV2 => Rundll32.exe DiscasedSmelts.dll,main 7 1 Task: {998CF027-087A-495C-A5F7-7A45F8B8C9C9} - System32\Tasks\Opera N Sunday => C:\Program Files\Opera\launcher.exe Task: {E4C98E12-FB3C-4749-A76D-B0A40B715649} - System32\Tasks\{CBBCB78F-484E-46EB-A604-90117A71D313} => pcalua.exe -a C:\Users\oem\AppData\Roaming\istartpageing\UninstallManager.exe -c -ptid=cor Task: {EDCE68E4-A1B5-4621-B164-095847416F6B} - \Price Fountain -> Brak pliku DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo HKLM\...\Run: [] => [X] HKU\S-1-5-21-2912906232-2957793955-1344214718-1000\...\Run: [GalaxyClient] => [X] S3 DAUpdaterSvc; C:\Program Files\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe [X] S3 gdrv; \??\C:\Windows\gdrv.sys [X]

Plik na pewno nie został przez Ciebie usunięty ręcznie i był na dysku przed użyciem skryptu FRST, bo skrypt FRST wydrukował zawartość pliku oraz plik usunął. Ale już nie potrzebuję tego pliku, otrzymałam podobny w innym temacie. Wszystkie zadania wykonane. Skasuj pobrane narzędzia i ich logi z folderu D:\Moje. Następnie poczęstuj się DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

To ścieżki w kawarantannie, nie ma w oknie widocznej oryginalnej lokalizacji pliku? I trudno tu cokolwiek powiedzieć co się działo w tle i co ten plik robił, bo w raportach nie ma żadnych oznak, by były jakiekolwiek wpisy startowe tworzone. Może skończyło się to tylko na próbie uruchomienia procesu, który zatrzymał Windows Defender? Odcięcie od internetu też nie jasne. Zastanawiam się czy to na pewno była ingerencja infekcji, a nie innego programu który zareagował na jakieś próby ze strony pliku infekcji (piję do NetBalancer ograniczającego ruch). I nie podałeś jaki kod błędu jest widoczny przy próbie aktualizacji do Windows 10.