picasso

Ten sterownik wygląda na część programu związanego z dyskiem USB ("USB Flash Disk" / "USB Flash Memory Password Utility"), a oznaczenia "Intel" na VirusTotal nie odnoszą się do marki pliku lecz do typu procesora maszyny docelowej. Jest blokowany przez system, bo to stary 32-bitowy plik bez podpisu: Dziennik System: ============= Error: (02/12/2018 10:42:31 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi U3sHlpDr z powodu następującego błędu: Nastąpiło zablokowanie ładowania sterownika Error: (02/12/2018 10:42:31 PM) (Source: Application Popup) (EventID: 1060) (User: ) Description: Ładowanie sterownika \??\C:\Windows\SysWow64\Drivers\U3sHlpDr.sys zostało zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania w celu uzyskania zgodnej wersji sterownika. Czyli sterownik do usunięcia, ale z powodu tego że i tak nie działa.

Nieaktualne narzędzia do pobierania obrazów ISO Windows 10 ISO Download Tool Strona domowa Platforma: Windows 7 do Windows 11 32-bit i 64-bit Licencja: freeware Narzędzie posługuje się legalną metodą pobierania obrazów Windows 10. Jak zaznaczone wcześniej, oficjalna strona Microsoftu serwuje różne linki pobierania w zależności od tego z poziomu jakiego systemu/urządzenia jest otwierana. Linkowane narzędzie jest mini-przeglądarką z ustawionym stosownym user-agentem, umożliwiając ładowanie strony pokazującej linki do pełnych wersji ISO, a nie Narzędzia do tworzenia nośników. Jeśli język strony Microsoftu pokazanej w przeglądarce jest nieodpowiedni, a brak pasującego języka w menu programu, należy zjechać na spód strony i wybrać pasujący kraj. Aktualizacja: narzędzie nie jest już rozwijane i nie działa poprawnie, tzn. otwiera się całkowicie pusta strona. Alternatywne narzędzie HeiDoc.net Windows ISO Downloader posiada niepożądane mechanizmy. Obecnie są zintegrowane reklamy. Z FAQ: Q: Why have you integrated ads into the downloader? A: The cost for keeping the service up and running needs to be covered. See this forum discussion for details. The ads module is only active while you run the downloader, and does not install any components permanently on your computer. Wcześniejsza wersja wykorzystywała kopanie zasobów systemowych. FAQ posiadał następującą informację: Q: What's the deal with the Luminati network? A: Your use of the ISO downloader is free of charge in exchange for safely using some of your device's resources (WiFi and very limited cellular data), and only when you are not using your device. You may turn this off from the settings menu. Please see our TOS for further information. Participation in the Luminati network is entirely voluntary. Choosing to do so will give you prioritized access to Windows 7 and Office 2010 download links. However, it is no guarantee that your requested download can be made available. It also helps with covering development and hosting cost. Should you have any concerns with it whatsoever, feel free to opt out. If you decline the initial popup, your computer will not connect to the Luminati server.

Na temat tego procesu tutaj. Tymczasowe wysokie obciążenie może być normalne. Pozostaw go dopóki nie ukończą się operacje powiązane z aktualizacjami. Ten proces samoczynnie powinien zniknąć po wykonaniu zadania.

Usługa która odpala ten proces jako składową to MSI_ActiveX_Service: ==================== Procesy (filtrowane) ================= (Micro-Star INT'L CO., LTD.) C:\Program Files (x86)\MSI\MSI OC Kit\ActiveX_Service\MSI_ActiveX_Service.exe (Micro-Star INT'L CO., LTD.) C:\Program Files (x86)\MSI\MSI OC Kit\ActiveX_Service\VideoCardMonitorII.exe (Micro-Star INT'L CO., LTD.) C:\Program Files (x86)\MSI\MSI OC Kit\ActiveX_Service\EyeRest.exe (Micro-Star INT'L CO., LTD.) C:\Program Files (x86)\MSI\MSI OC Kit\ActiveX_Service\TriggerModeMonitor.exe (Micro-Star INT'L CO., LTD.) C:\Program Files (x86)\MSI\MSI OC Kit\ActiveX_Service\NahimicMonitor.exe ==================== Usługi (filtrowane) ==================== R2 MSI_ActiveX_Service; C:\Program Files (x86)\MSI\MSI OC Kit\ActiveX_Service\MSI_ActiveX_Service.exe [83616 2017-09-11] (Micro-Star INT'L CO., LTD.) Problem z obciążeniem WMI zgłoszony także na forum wsparcia MSI tutaj. Czyli możliwości są tu ograniczone do: zatrzymanie w/w procesów + wyłączenie tej konkretnej usługi via services.msc, wyszukanie aktualizacji oprogramowania MSI lub całkowite usunięcie tego oprogramowania.

Przypuszczalnie inny proces wpływa na obciążenie i nie jest tu wykluczony Bitdefender. Sprawdź następujące dane: 1. Prawy klik na przycisk Start > Podgląd zdarzeń > Dzienniki aplikacji i usług > Microsoft > Windows > WMI-Activity > Operational > sprawdź czy widnieją tam błędy. W przypadku błędów pobierz ich szczegóły. W szczegółach błędu powinien widnieć Identyfikator procesu klienta z numerem. Ten numer to PID obciążającej usługi. 2. Otwórz Menedżer procesów, wejdź do karty Usługi i wyszukaj numer pobrany w punkcie 1. Podaj dane jaka usługa jest z nim powiązana.

Z okazji Świąt Bożego Narodzenia najlepsze życzenia dla wszystkich użytkowników Fixitpc!

Wszystko zostało wykonane. Proszę wypowiedz się jaka jest obecnie sytuacja i co jeszcze wymaga naprawy.

Infekcja dodała nową pozycję startową Windows Fast Mode (zgłaszaną przez Ciebie na zrzucie ekranu z msconfig) powiązaną z dwoma fałszywymi plikami "Microsoftu" cytowanymi przeze mnie powyżej: Moduł ładujący rozruchu systemu Windows --------------------------------------- Identyfikator {default} device partition=C: path \Windows\system32\osloader.exe description Windows Fast Mode inherit {bootloadersettings} recoveryenabled Yes osdevice partition=C: systemroot \Windows kernel ntkrnlmp.exe resumeobject {12d7614e-af7c-11e7-aa78-806e6f6e6963} nx OptIn 1. Start > w polu szukania wpisz msconfig > z prawokliku Uruchom jako administrator. W karcie Rozruch podświetl pozycję "Windows 7" i kliknij Ustaw jako domyślne. Następnie podświetl pozycję Windows Fast Mode i kliknij w Usuń. Zresetuj system, by zweryfikować naprawę rozruchu. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść: Task: {02A87268-D054-4BF3-9498-E960654F0618} - System32\Tasks\{D729A34A-4E63-43ED-9915-7E80F68DBE09} => C:\Program Files\Malwarebytes Anti-Malware\mbam.exe Task: {07F4C288-08ED-45E1-A51E-CBA49E5E95C3} - System32\Tasks\{DC1475FA-5460-4B87-89F0-E7D216FBB415} => C:\Windows\system32\pcalua.exe -a C:\Users\Agata\Downloads\windirstat1_1_2_setup.exe -d C:\Users\Agata\Downloads Task: {23B63F3E-1A83-4A59-906C-FA51F4D55B97} - System32\Tasks\{7E4349BD-F604-4FE3-9F0E-DBE4D263ABC5} => C:\Program Files\Malwarebytes Anti-Malware\mbam.exe Task: {3C0F6439-588F-49FC-BA0F-9836F2148267} - System32\Tasks\{778711A2-51A4-40BF-856D-ACC826CF2597} => C:\Windows\system32\pcalua.exe -a "C:\Users\Agata\Downloads\FC MpTool(04.03.08)\FC MpTool.exe" -d "C:\Users\Agata\Downloads\FC MpTool(04.03.08)" Task: {68DF0F1D-4413-495E-A32D-51761E0522BE} - System32\Tasks\{CA190B01-7F80-449C-918C-05B2ED748B1D} => C:\Windows\system32\pcalua.exe -a "C:\Users\Agata\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\PWMQ8V52\JavaSetup8u111.exe" -d C:\Users\Agata\Desktop Task: {77E60949-61D7-4280-AA71-E6E08EDC975B} - System32\Tasks\JetCleanLoginCheckUpdate => C:\Users\Agata\Desktop\JetCleanPortable_1.5.0.129\AutoUpdate.exe Task: {78629897-A6F3-4B1D-B2C4-AD9FEF67E17D} - System32\Tasks\{BCF316B5-84B8-4058-97CE-C63F16F12A0F} => C:\Windows\system32\pcalua.exe -a "C:\Users\Agata\JetCleanPortable_1.5.0.129 program do czyszczenia\Install.exe" -d "C:\Users\Agata\JetCleanPortable_1.5.0.129 program do czyszczenia" TTask: {EAF1649C-8C9F-4688-83F8-39831ADA17F0} - System32\Tasks\{F0E04983-07AF-44DB-ADCB-B3AAACF7E1CB} => C:\Program Files\Malwarebytes Anti-Malware\mbam.exe MSCONFIG\startupreg: Spotify => "C:\Users\Agata\AppData\Roaming\Spotify\Spotify.exe" -autostart -minimized MSCONFIG\startupreg: Spotify Web Helper => "C:\Users\Agata\AppData\Roaming\Spotify\SpotifyWebHelper.exe" DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google C:\ProgramData\TEMP C:\ProgramData\hgf.3dew C:\Users\Agata\AppData\Roaming\Duo-Dox.bin C:\Users\Agata\AppData\Roaming\Transex.exe C:\Windows\system32\ntkrnlmp.exe C:\Windows\system32\osloader.exe Folder: C:\Windows\SysWOW64\.ipfs C:\Windows\SysWOW64\.ipfs Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Loaderem systemu Windows 7 jest winload.exe a nie osloader.exe. Ten plik wygląda na malware pomimo opisu "Microsoft Corporation", pierwszy log pokazywał że plik został utworzony w grupie malware: ==================== Jeden miesiąc - utworzone pliki i foldery ======== 2017-10-12 20:39 - 2017-10-12 20:39 - 000000266 __RSH C:\Users\Agata\ntuser.pol 2017-10-12 17:52 - 2017-10-13 01:28 - 000000008 _____ C:\ProgramData\hgf.3dew 2017-10-12 17:52 - 2017-10-13 01:20 - 000000000 ____D C:\Windows\SysWOW64\.ipfs 2017-10-12 17:51 - 2017-10-12 21:33 - 000000000 ____D C:\ProgramData\ad8a42d0-6cd7-1 2017-10-12 17:51 - 2017-10-12 21:33 - 000000000 ____D C:\ProgramData\ad8a42d0-4af5-0 2017-10-12 17:51 - 2017-10-12 17:51 - 001370624 _____ C:\Windows\windefender.exe 2017-10-12 17:51 - 2017-10-12 17:51 - 000024312 _____ C:\Windows\System32\Tasks\{7D7A7E47-0A0D-0A7E-0511-0B7E087D1178} 2017-10-12 17:51 - 2017-10-12 17:51 - 000021540 _____ C:\Windows\System32\Tasks\L0qObltTFUur 2017-10-12 17:50 - 2017-10-12 17:51 - 005547752 _____ (Microsoft Corporation) C:\Windows\system32\ntkrnlmp.exe 2017-10-12 17:50 - 2017-10-12 17:51 - 000633296 _____ (Microsoft Corporation) C:\Windows\system32\osloader.exe 2017-10-12 17:49 - 2017-10-12 17:49 - 000016706 _____ C:\Windows\System32\Tasks\Moon Manager 2017-10-12 17:48 - 2017-10-13 01:19 - 000000000 ____D C:\Program Files\8ZCB25VOSK 2017-10-12 17:47 - 2017-10-13 01:20 - 000000000 ____D C:\Users\Agata\AppData\Roaming\nt0qd4ngbvo 2017-10-12 17:47 - 2017-10-13 01:19 - 000000000 ____D C:\Program Files (x86)\L0qObltTFUur 2017-10-12 17:47 - 2017-10-13 01:19 - 000000000 ____D C:\Program Files (x86)\fbg33l1j5hc 2017-10-12 17:46 - 2017-10-13 01:20 - 000000000 ____D C:\Users\Agata\AppData\Roaming\qtbfehtpxob 2017-10-12 17:46 - 2017-10-12 17:46 - 000003474 _____ C:\Windows\System32\Tasks\8f5924d3f0decf6b4ab73c990a7a077b 2017-10-12 17:46 - 2017-10-12 17:45 - 002904064 _____ (Adobe Systems Incorporated) C:\ProgramData\KeService.exe 2017-10-12 17:45 - 2017-10-13 01:19 - 000000000 ____D C:\Program Files\129TZA7WHV 2017-10-12 17:45 - 2017-10-12 17:50 - 000003158 _____ C:\Windows\System32\Tasks\3ff2108d7185625d7293e4213106116d 2017-10-12 10:14 - 2017-10-13 02:30 - 000000000 ____D C:\Users\Agata\Desktop\Agata 2017-10-11 21:45 - 2017-10-11 21:45 - 000358400 _____ C:\Windows\0c27bc2489ccbd6abf90736157684dfa.exe 2017-10-11 21:45 - 2017-10-11 21:45 - 000037170 _____ C:\Windows\uninstaller.dat Był też przecież robiony skan SFC i to dwa razy, w żadnym skanie ten plik nie jest wykrywany jako naruszony, a byłby gdyby należał do plików systemowych. Poproszę o nowy skan FRST z zaznaczoną opcją Lista BCD, Addition i Shortcut niepotrzebne. Dodatkowo, wklej w polu Szukaj ntkrnlmp.exe i klik w Szukaj plików.

Problemem nie jest infekcja i temat zostanie przeniesiony do działu Windows. Defekt jest ulokowany w kontach. Konto Julia stało się kontem tymczasowym przekierowanym na inną ścieżkę, ze względu na nieokreśloną "Odmowę dostępu". Problemem może być uszkodzenie trwałe konta, błędy dysku i podobne sytuacje. Uruchomiony z C:\Windows\System32\config\systemprofile\Desktop\Nowy folder Załadowane profile: False (Dostępne profile: Julia & UpdatusUser & Gość) <==== UWAGA (Profil tymczasowy?) ==================== Konta użytkowników: ============================= Administrator (S-1-5-21-3165617500-2676056306-2059482004-500 - Administrator - Disabled) Gość (S-1-5-21-3165617500-2676056306-2059482004-501 - Limited - Enabled) => C:\Users\Gość HomeGroupUser$ (S-1-5-21-3165617500-2676056306-2059482004-1005 - Limited - Enabled) Julia (S-1-5-21-3165617500-2676056306-2059482004-1000 - Administrator - Enabled) => C:\Users\TEMP.Julia-Komputer UpdatusUser (S-1-5-21-3165617500-2676056306-2059482004-1002 - Limited - Enabled) => C:\Users\TEMP Dziennik Aplikacja: ================== Error: (12/04/2017 07:40:04 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1505) (User: Julia-Komputer) Description: System Windows nie może załadować profilu użytkownika, ale wykonał logowanie przy użyciu domyślnego profilu systemowego. SZCZEGÓŁY - Odmowa dostępu. Error: (12/04/2017 07:37:25 PM) (Source: Microsoft-Windows-User Profiles Service) (EventID: 1500) (User: Julia-Komputer) Description: System Windows nie może wykonać logowania, ponieważ nie można załadować Twojego profilu. Sprawdź, czy masz połączenie z siecią i czy sieć działa poprawnie. SZCZEGÓŁY - Odmowa dostępu. Zostanie podjęta próba odzyskania konta, a gdy się nie powiedzie, opcją będzie założenie nowego. Działania do przeprowadzenia: 1. Potrzebne konto pośrednie do przeprowadzenia operacji. Włącz wbudowane konto Administrator. Start > w polu szukania wpisz lusrmgr.msc > z prawokliku Uruchom jako Administrator. Dwuklik w Użytkownicy > dwuklik w Administratora i włącz konto. 2. Wyloguj się całkowicie z obecnego tymczasowego konta poprzez pełny restart komputera a nie opcje Wyloguj / Przełącz użytkownika. Zaloguj się na Administratora. Uruchom na nim Reprofiler. Rozłącz konto Julia opcją Detach, a następnie połącz z folderem C:\Users\Julia. 3. Zresetuj komputer. Zaloguj się na Julia. Jeśli logowanie nastąpi pomyślnie i nie będzie komunikatu o logowaniu via profil tymczasowy, zrób nowe raporty z FRST (wszystkie trzy).

Types Strona domowa Platforma: Windows XP, Vista, Windows 7 Licencja: GPL (open source) Types - Lekkie narzędzie konfiguracyjne obsługujące zarządzanie typami plików, o wiele lepsze i czytelniejsze niż natywna zakładka typów plików w Windows. Aplikacja umożliwia: kasowanie typów plików, edytowanie skojarzeń programowych, modyfikowanie ikon / menu kontekstowych i innych skorelowanych danych. Ma purystycznie lecz zgrabnie rozwiązany cały interfejs z podziałem na klasy i typy. We właściwościach rozszerzenia więcej danych. Narzędzie nie wymaga instalacji. Windows XP: wymagane .NET Framework 2.0.

Komunikat z obrazka jest związany ze zintegrowanym w FRST ERUNT i nic w tej kwestii nie można zdziałać. Niestety ostatni Fix również nieskuteczny. Kolejne podejście: 1. Panel sterowania > Programy > zainstalowane aktualizacje > upewnij się że nie ma tam pozycji KB3004394. Jeśli jest. Odinstaluj. 2. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: StartBatch: net stop cryptsvc esentutl /p C:\Windows\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb /o net start cryptsvc EndBatch: Folder: C:\Windows\system32\catroot2 Folder: C:\Windows\system32\catroot2.OLD Folder: C:\Windows\system32\catroot2.bak Folder: C:\Windows\system32\catroot Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

O ile wpisy "Brak pliku" zostały poprawnie ukryte po naprawie Path, niestety masowy "Brak podpisu cyfrowego" od góry do dołu. Kolejne podejście: 1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: StartBatch: net stop CryptSvc ren C:\Windows\System32\catroot2 catroot2.OLD EndBatch: Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Nastąpi restart i powstanie kolejny fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Shortcut). Dostarcz też fixlog.txt.

Nic już nie przywracaj przy pomocy Jv16 PowerTools. Teraz po skanie chkdsk ponów te działania: Narzędzie wcześniej było już pobrane, ale czy na pewno zostało poprawnie uruchomione? W ostatnim logu FRST nie było świeżo utworzonego folderu "Catroot2.bak", który powstaje gdy się uruchamia opcję agresywną. Nie zapomnij wybrać trybu "Aggressive".

Szukasz w Eksploratorze Windows, a ja mówiłam o Dzienniku zdarzeń. Start > w polu szukania wpisz eventvwr.msc > rozwiń gałąź Dzienniki systemu Windows > Aplikacja > w kolumnie Źródło szukaj "Wininit". Jakie wpisy? Usunięte wpisy "Brak pliku", o których tu mówiłam, zostały już odtworzone w moim skrypcie FRST, a fałszywe zgłoszenie "Brak pliku" zniknęło poprzez stworzenie zmiennej Path (o ile wykonałeś). Ten C:\Documents and settings to link symboliczny zapętlony zwrotnie, dlatego ścieżka tak długa. Ta ścieżka Cię nie interesuje, to link, ścieżka zasadnicza to C:\Users.

Punkt 1 nie był związany ze skanem. Co z punktem 2? Detekcja custmon32i.dll wygląda na fałszywy alarm. Ten plik jest używany przez różne aplikacje (poprawne i szkodliwe), u Ciebie prawdopodobnie pochodna instalacji PDF Creator. A Kingsoft jako taki i tak był planowany przeze mnie do deinstalacji (po naprawie systemu), bo to stary program i już nierozwijany. Więcej tutaj: KLIK. Co masz na myśli?

Wpisy uprzednio usunięte za pomocą skryptu FRST zostały pomyślnie przywrócone (widać je ponownie jako "Brak pliku"). Path definitywnie jest naruszone, tzn. w ogóle brak tej zmiennej, stąd fałszywe odczyty "Brak pliku". W kwestii masowego "Braku podpisu cyfrowego", brak zmian po użyciu Fix It. I problem uszkodzenia bazy Catroot2 wygląda na powiązany z uszkodzeniami struktury plików, o czym mówi zarówno ekran ze sprawdzaniem spójności, jak i komunikat FRST o uszkodzeniu. Uszkodzenia dysku mogą być też przyczyną spowolnienia systemu. Nie jest wykluczone, że jest ogólny problem z dyskiem. Wstępnie: 1. Panel sterowania > System i konserwacja > System > Zaawansowane ustawienia systemu > Zmienne środowiskowe > w sekcji Zmienne systemowe klik w "Nowa", jako nazwę wprowadź Path, a jako wartość zmiennej następujący ciąg: %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem Zresetuj system, by zmiany weszły w życie. 2. Start > w polu szukania wpisz cmd > z prawokliku "Uruchom jako administrator" > w oknie wklej komendę i ENTER: chkdsk /f /r Zatwierdź uruchomienie przy następnym starcie i resetuj system, by checkdisk wykonał pracę. Wynik zostanie nagrany w Dzienniku zdarzeń w gałęzi Aplikacja w postaci rekordu z Wininit. Pobierz szczegóły tego rekordu, skopiuj i wklej do posta statystyki. 3. Na razie pomijam naruszenie Catroot2, trzeba obejrzeć wyniki z naprawiania checkdisk. PS. A temat przenoszę do działu Windows, problemy w ogóle nie są pochodną infekcji.

Przepraszam, zaćmiło mnie. Oczywiście nakładka tylko spod działającego Windows i to tutaj definitywnie odpada. To już omówione przez mnie. Skan w trybie "offline" nie nagrywa logów i nie ma żadnych danych poza tym co już wykryte. Skan z FRST jest ograniczony tylko do wybranych plików i nie jest w żadnym wypadku odpowiednikiem skanu SFC. Jak mówiłam, moim zdaniem naprawa, sprowadzona do podstawiania pliku za plikiem w odpowiedniej wersji z alternatywnego systemu, nie wydaje się opłacalna, a wyniki reperacji nie mają gwarancji. Jawne 48 plików do podmiany, reszta plików też budzi podejrzenia i jeszcze nie wiadomo ile jest takich uszkodzeń. W związku z tym proponuję skopiować z poziomu płyty ważne dane z tego systemu na alternatywny nośnik i system postawić od nowa. Dla jasności, mogę się podjąć tego podstawiania plików, ale wydaje mi się to po prostu nie warte zachodu.

Skan SFC na razie opuść. Widać dwa typy uszkodzeń nienaprawialne via SFC: 1. Prawdopodobne naruszenie zmiennej Path ("Brak pliku" na wpisach relatywnych Microsoftu). Niestety niektóre zostały przetworzone w skrypcie FRST i trzeba to odkręcić. S3 WinHttpAutoProxySvc; winhttp.dll [X] HKLM\...\Providers\Internet Print Provider: inetpp.dll HKLM\...\Providers\LanMan Print Services: win32spl.dll HKLM\...\Run: [OA001Cfg.exe] => OA001Cfg.exe Filter: application/octet-stream - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll Brak pliku Filter: application/x-complus - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll Brak pliku Filter: application/x-msdownload - {1E66F26B-79EE-11D2-8710-00C04F79ED0D} - mscoree.dll Brak pliku ContextMenuHandlers1: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => syncui.dll -> Brak pliku ContextMenuHandlers1: [Sharing] -> {f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} => ntshrui.dll -> Brak pliku ContextMenuHandlers2: [Sharing] -> {f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} => ntshrui.dll -> Brak pliku ContextMenuHandlers4: [Sharing] -> {f81e9010-6ea4-11ce-a7ff-00aa003ca9f6} => ntshrui.dll -> Brak pliku ContextMenuHandlers6: [BriefcaseMenu] -> {85BBD920-42A0-1069-A2E4-08002B30309D} => syncui.dll -> Brak pliku Task: {C8B3025B-D21E-4527-BBC6-CDFBFEB026E1} - System32\Tasks\Microsoft\Windows\Bluetooth\UninstallDeviceTask => BthUdTask.exe UWAGA: ==> Nie można uzyskać dostępu do BCD. 2. Masowy "Brak podpisu cyfrowego" wynika z dysfunkcji Usług kryptograficznych. Log sugeruje uszkodzenie bazy Catroot2, gdyż w Dzienniku widać następujący błąd: Dziennik Aplikacja: ================== Error: (11/18/2017 08:54:39 PM) (Source: Microsoft-Windows-CAPI2) (EventID: 257) (User: ) Description: Zainicjowanie bazy danych wykazu przez Usługi kryptograficzne nie powiodło się. Błąd ESENT: -583. 1. Wstępnie skrypt pobierający dane o zmiennej Path, importujący wcześniej usunięte wpisy z rejestru oraz usuwający drobne śmieci. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: U5 AppMgmt; C:\Windows\system32\svchost.exe [21504 2008-01-21] (Microsoft Corporation) [Brak podpisu cyfrowego] <==== UWAGA (Brak ServiceDLL) HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys => ""="Driver" MSCONFIG\startupreg: HP Software Update => FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF Extension: (Microsoft .NET Framework Assistant) - c:\Windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension [2013-01-17] [Przestarzałe] [Brak podpisu cyfrowego] CHR HKU\S-1-5-21-129483142-3514389360-151311165-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [apdfllckaahabafndbhieahigkjlhalf] - C:\Users\jan\AppData\Local\Google\Drive\apdfllckaahabafndbhieahigkjlhalf_live.crx <nie znaleziono> DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main CMD: set StartRegedit: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\BriefcaseMenu] @="{85BBD920-42A0-1069-A2E4-08002B30309D}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\Sharing] @="{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Drive\shellex\ContextMenuHandlers\Sharing] @="{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\Sharing] @="{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\BriefcaseMenu] @="{85BBD920-42A0-1069-A2E4-08002B30309D}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85BBD920-42A0-1069-A2E4-08002B30309D}] @="Briefcase" "InfoTip"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,\ 6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,\ 00,73,00,68,00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,\ 2d,00,32,00,32,00,39,00,31,00,37,00,00,00 "LocalizedString"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,\ 6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,\ 00,5c,00,73,00,68,00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,\ 2c,00,2d,00,32,00,32,00,39,00,37,00,38,00,00,00 "FriendlyTypeName"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,\ 00,6f,00,6f,00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,\ 32,00,5c,00,73,00,68,00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,\ 00,2c,00,2d,00,32,00,32,00,39,00,37,00,38,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85BBD920-42A0-1069-A2E4-08002B30309D}\DefaultIcon] @=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\ 00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,79,00,\ 6e,00,63,00,75,00,69,00,2e,00,64,00,6c,00,6c,00,2c,00,30,00,00,00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85BBD920-42A0-1069-A2E4-08002B30309D}\InProcServer32] @="syncui.dll" "ThreadingModel"="Apartment" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85BBD920-42A0-1069-A2E4-08002B30309D}\shellex] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85BBD920-42A0-1069-A2E4-08002B30309D}\shellex\PropertySheetHandlers] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85BBD920-42A0-1069-A2E4-08002B30309D}\shellex\PropertySheetHandlers\{1f2e5c40-9550-11ce-99d2-00aa006e086c}] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{85BBD920-42A0-1069-A2E4-08002B30309D}\ShellFolder] "Attributes"=dword:70000136 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}] @="Shell extensions for sharing" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f81e9010-6ea4-11ce-a7ff-00aa003ca9f6}\InProcServer32] @="ntshrui.dll" "ThreadingModel"="Apartment" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinHttpAutoProxySvc] "DisplayName"="@%SystemRoot%\\system32\\winhttp.dll,-100" "ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,4c,00,6f,00,63,00,61,00,6c,00,53,00,65,00,72,00,76,00,69,00,63,\ 00,65,00,00,00 "Description"="@%SystemRoot%\\system32\\winhttp.dll,-101" "ObjectName"="NT AUTHORITY\\LocalService" "ErrorControl"=dword:00000001 "Start"=dword:00000003 "Type"=dword:00000020 "DependOnService"=hex(7):44,00,68,00,63,00,70,00,00,00,00,00 "ServiceSidType"=dword:00000001 "RequiredPrivileges"=hex(7):53,00,65,00,43,00,68,00,61,00,6e,00,67,00,65,00,4e,\ 00,6f,00,74,00,69,00,66,00,79,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,\ 67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,00,61,00,74,00,65,00,47,00,6c,\ 00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,\ 65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,6e,00,61,\ 00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,\ 00,00 "FailureActions"=hex:00,5c,26,05,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\ 00,01,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinHttpAutoProxySvc\Parameters] "ServiceDll"=hex(2):77,00,69,00,6e,00,68,00,74,00,74,00,70,00,2e,00,64,00,6c,\ 00,6c,00,00,00 "ServiceMain"="WinHttpAutoProxySvcMain" "ServiceDllUnloadOnStop"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinHttpAutoProxySvc\Security] "Security"=hex:01,00,14,80,a0,00,00,00,ac,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,70,00,05,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,14,00,14,00,00,00,01,01,00,00,00,00,00,05,04,00,00,00,00,00,14,00,14,00,\ 00,00,01,01,00,00,00,00,00,05,06,00,00,00,01,01,00,00,00,00,00,05,12,00,00,\ 00,01,01,00,00,00,00,00,05,12,00,00,00 EndRegedit: Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Powstanie kolejny fixlog.txt. 2. Uruchom narzędzie Fix It 50202: KLIK. Zaznacz tryb agresywny - opcja uwzględnia reset bazy Catroot2. 3. Zresetuj system. Zrób nowy log FRST z opcji Skanuj (Scan) (bez Shortcut). Dostarcz też fixlog.txt.

Duplikaty łączę. Dostarcz dane wymagane działem: https://www.fixitpc.pl/forum-38/announcement-3-wa%C5%BCne-zak%C5%82adanie-tematu-obowi%C4%85zkowe-logi/

Temat założony w złym dziale (publikacja tutoriali), przenoszę. Tytuł dopasowuję do treści. Nie, ComboFix nie obsługuje systemów Windows 8.1 i Windows 10. Jeśli potrzebujesz pomocy z malware, dostarcz wymagane działem dane; https://www.fixitpc.pl/forum-38/announcement-3-wa%C5%BCne-zak%C5%82adanie-tematu-obowi%C4%85zkowe-logi/

Wszystko wykonane. Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj z dysku: C:\FRST C:\WINDOWS\ZAM_Guard.krnl.trace C:\WINDOWS\ZAM.krnl.trace ... oraz AdwCleaner, FRST i jego logi z katalogu Pobrane. 2. Wyczyść foldery Przywracania systemu: KLIK. Po wykonaniu w/w czynności nowy log nie wykazuje poprzednich błędów. Gdyby coś się jednak działo (dla porównania ten wątek) możesz odinstalować wymieniony program.

Problemem jest szkodliwy wpis startowy "explorer". Przy okazji, widać błędy i nadprodukcję plików Intel z błędami. Na razie przestawię tylko powiązane usługi na Ręczny i usunę pliki logów. Jeśli nie pomoże, odinstalujesz Intel® Driver Update Utility. Działania do przeprowadzenia: 1. Odinstaluj zbędny program HP Customer Participation Program 14.0. 2. W Firefox odinstaluj rozszerzenie Youtube Downloader - 4K Download, powiązane z dystrybucją adware. Szukaj go w sekcji "Przestarzałych rozszerzeń". W Chrome pozbądź się analogicznej produkcji tej samej marki Flash Video Downloader. 3. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik fixlist.txt. Wklej do pliku następującą treść: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-77619612-1921695928-275116232-1001\...\Run: [ROG] => explorer.exe hxxp://ozirizsoos.info Task: {6854DAAD-B69D-43DC-800E-814316C6A7E1} - System32\Tasks\ROG => cmd.exe /c REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /f /v ROG /t REG_SZ /d "explorer.exe hxxp://ozirizsoos.info" Task: {FD384B4C-B997-43CA-93B1-41F6E64C9D34} - System32\Tasks\Driver Booster SkipUAC (ROG) => C:\Program Files (x86)\IObit\Driver Booster\4.1.0\DriverBooster.exe ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku R1 ZAM; C:\Windows\System32\drivers\zam64.sys [203680 2016-12-20] (Zemana Ltd.) R1 ZAM_Guard; C:\Windows\System32\drivers\zamguard64.sys [203680 2016-12-20] (Zemana Ltd.) DeleteKey: HKLM\SOFTWARE\Google\Chrome\Extensions C:\Users\ROG\AppData\Roaming\r.cmd C:\WINDOWS\ZAM.krnl.trace C:\WINDOWS\ZAM_Guard.krnl.trace C:\WINDOWS\system32\default_error_stack-*.txt C:\Windows\System32\drivers\zam64.sys C:\Windows\System32\drivers\zamguard64.sys Hosts: CMD: sc config ESRV_SVC_QUEENCREEK start= demand CMD: sc config SystemUsageReportSvc_QUEENCREEK start= demand CMD: sc config USER_ESRV_SVC_QUEENCREEK start= demand Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Shortcut. Dołącz też plik fixlog.txt.

Są też inne drobne śmieci (puste wpisy, inne wpisy utworzone przez ComboFix, śmieci Asystenta kompatybilności, niepodpisane cyfrowo rozszerzenia FF, etc.) do usunięcia. Wykonaj fixlist.txt o następującej zawartości: U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 NAVENG; \??\C:\Program Files (x86)\Norton Internet Security\NortonData\22.7.0.76\Definitions\SDSDefs\20160628.037\ENG64.SYS [X] S3 NAVEX15; \??\C:\Program Files (x86)\Norton Internet Security\NortonData\22.7.0.76\Definitions\SDSDefs\20160628.037\EX64.SYS [X] MSCONFIG\Services: SDScannerService => 2 MSCONFIG\Services: SDUpdateService => 2 MSCONFIG\Services: SDWSCService => 2 MSCONFIG\Services: ServiceLayer => 3 Task: {1182B16F-B8D8-4140-A621-7C2FE8B6D2EF} - System32\Tasks\{1A9D120A-E5E8-409E-8C2C-CF76BB62E3DE} => C:\Users\Asus\Desktop\R120ODD1.EXE Task: {126A863A-55D3-476E-9767-461F6C6D30BC} - System32\Tasks\{4C839ED5-B831-4E68-BD7F-7944BB47B2F5} => C:\Windows\system32\pcalua.exe -a C:\Users\Asus\Desktop\jxpiinstall(1).exe -d C:\Users\Asus\Desktop Task: {336E5313-1A02-4520-BFA3-7CD289971A72} - System32\Tasks\{B62370DB-A6D2-488E-A8C0-24BE605C53E1} => C:\Windows\system32\pcalua.exe -a C:\Users\Asus\Desktop\rmclock_235_bin.exe -d C:\Users\Asus\Desktop Task: {42DD5195-B710-4211-8E40-F1F3A969690E} - System32\Tasks\{EEE6898E-0F12-4FCB-8BC3-D6E230FAC236} => C:\Users\Asus\Desktop\R410ODD1.EXE Task: {458BF3B1-0D09-489B-87BE-4895917CAFA7} - System32\Tasks\{A69C8ADD-7E09-4D8B-89D4-A3C343039A0A} => C:\Program Files (x86)\DVBT\AVCapture.exe Task: {6AE47AE8-CABC-4E6A-9EAA-9892048C8C66} - System32\Tasks\{9B3478AC-B743-4272-8C95-762194BF5685} => C:\Windows\system32\pcalua.exe -a C:\Users\Asus\Desktop\irfanview_plugins_430_setup.exe -d C:\Users\Asus\Desktop Task: {7017B731-C6F5-49C1-BDD7-E05784B8C8EA} - System32\Tasks\{85439239-48E0-4D56-BC32-3BAF080FAB54} => C:\Windows\system32\pcalua.exe -a E:\Software\RE-7500_Driver\Driver\FTDIUNIN.EXE -d E:\Software\RE-7500_Driver\Driver Task: {8137B42C-5678-4360-986F-B2D1B4FB11E2} - System32\Tasks\{48EA677F-2A64-42ED-A00C-CCA682AF1E16} => C:\Users\Asus\Desktop\R160VOL2.EXE Task: {87C01D68-5A71-408D-96D0-ACCD63DA5975} - System32\Tasks\{0A2F6E7C-E9C4-43B4-AB67-553EB4174CA4} => C:\Windows\system32\pcalua.exe -a C:\Users\Asus\Desktop\epson324599eu.exe -d C:\Users\Asus\Desktop Task: {8F8D67D1-79F2-4356-8CA0-3A5DACC79F53} - System32\Tasks\{E837B853-47C2-4F05-93A1-1D18FEAD69AF} => C:\Windows\system32\pcalua.exe -a C:\Users\Asus\Desktop\sp52461.exe -d C:\Users\Asus\Desktop Task: {B85373ED-EED4-4B01-B708-E07E32537E09} - System32\Tasks\{DA456E5D-2ADC-4A3A-9F16-8BA1E4C1A6BD} => C:\Users\Asus\Desktop\R160VOL2.EXE Task: {CE426B1F-7B8B-421F-B116-F5D730E93FB5} - System32\Tasks\{75EC2E16-9100-41CC-9137-12008542B49E} => C:\Windows\system32\pcalua.exe -a "C:\Users\Asus\Desktop\kamerka Liftec\Medion\SETUP.EXE" -d "C:\Users\Asus\Desktop\kamerka Liftec\Medion" Task: {EB6DBCB5-B2BA-4B8A-AFB7-D6186EDA6A0E} - System32\Tasks\{E12FBCCA-EDF5-4957-90E8-8E596C97EE54} => C:\Windows\system32\pcalua.exe -a C:\Users\Asus\Desktop\irfanview_lang_polski.exe -d C:\Users\Asus\Desktop Task: {D3E0D1BF-C810-4BBF-A28B-8115CC5FC60A} - System32\Tasks\Norton Identity Safe\Norton Error Processor => C:\Program Files (x86)\Norton Identity Safe\Engine\2013.4.0.10\SymErr.exe Task: {EE5CF97D-EF44-4783-86A6-FBF7BD235A41} - System32\Tasks\Norton Identity Safe\Norton Error Analyzer => C:\Program Files (x86)\Norton Identity Safe\Engine\2013.4.0.10\SymErr.exe Task: {F31402AF-0FE2-4238-90B7-DE1C4666ABA9} - System32\Tasks\{688B642D-622B-4E00-A14D-E9217759A7D3} => C:\Users\Asus\Desktop\EEPROM.exe Task: {FB4CF6EA-73D7-4AAC-B171-AED22AFE1827} - System32\Tasks\{AB74D821-6E27-4E84-BABD-D100B5761601} => C:\Users\Asus\Desktop\EEPROM.exe HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-96536358-3161396084-2614321931-1000 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = hxxp://www.google.com/search?q={sear CHR HKLM\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton Security\Engine\22.11.0.41\Exts\Chrome.crx CHR HKLM-x32\...\Chrome\Extension: [cjabmdjcfcfdmffimndhafhblfmpjdpe] - C:\Program Files\Norton Security\Engine\22.11.0.41\Exts\Chrome.crx FF HKLM-x32\...\Firefox\Extensions: [{F003DA68-8256-4b37-A6C4-350FA04494DF}] - C:\Program Files\Logitech\SetPointP\LogiSmoothFirefoxExt DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Norton Identity Safe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Program Files (x86)\Spybot - Search & Destroy 2 RemoveDirectory: C:\ProgramData\Malwarebytes' Anti-Malware (portable) RemoveDirectory: C:\ProgramData\Spybot - Search & Destroy RemoveDirectory: C:\ProgramData\Temp RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Game Park RemoveDirectory: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RAR Password Cracker RemoveDirectory: C:\Qoobox RemoveDirectory: C:\Users\Asus\AppData\Roaming\AVAST Software RemoveDirectory: C:\Users\Asus\AppData\Roaming\TomTom RemoveDirectory: C:\Windows\System32\Tasks\Norton Identity Safe RemoveDirectory: C:\Windows\System32\Tasks\Safer-Networking StartBatch: del /q C:\ProgramData\mntemp del /q C:\Users\Asus\Downloads\antimalwaresetup.exe del /q C:\Windows\system32\Drivers\25C68225.sys netsh advfirewall reset EndBatch: Przedstaw wynikowy fixlog.txt. PS. I na przyszłość czego nie pobierać: Avenger (przestarzały), HijackThis (przestarzały, natywnie niezgodny z systemem 64-bit), Plumbytes (lewy program). Przy okazji, właściwości lecznicze ComboFix są na dzień dzisiejszy słabe, program nie ma specjalizacji w infekcjach adware/PUP i coraz mniej osób go używa w procedurach dezynfekcji (a ja ostatni raz zaleciłam go ... kilka lat temu). Pokasuj z Pobranych ostatnie narzędzia.

Tu nie ma uszkodzenia. Mamy do czynienia z następującym systemem: Platform: Windows 7 Home Premium Service Pack 1 (X64) Język: Polski (Polska) Na edycjach Home usługa AppMgmt nie występuje. Dzięki temu wpisowi w logach od razu można się zorientować jakie narzędzie używano. To skutek użycia ComboFix, który błędnie "przywraca" wpis tej usługi w rejestrze na edycjach na których jej nie ma być. To niepoprawny i niedziałający element, który należy całkowicie usunąć, a nie "naprawiać". PS. Odczyt "Brak ServiceDLL" odnosi się do rejestru, a nie do obecności pliku na dysku. SFC w ogóle nie zajmuje się reperacjami rejestru, więc nawet gdyby to było rzeczywiste uszkodzenie, poza skalą SFC.