picasso

Temat przenoszę do właściwego działu Windows. To nie jest problem infekcji. Temat założony dawno, więc mogę mieć już nieadekwatne dane. Odnosząc się do stanu widocznego w raportach z tamtego okresu czasowego: 1. Był uruchamiany GMER, więc od razu sprawdź transfer dysku. Skutki uboczne skanu GMER (dyski w trybie IDE, głównie system XP): KLIK. 2. Tragiczny próg wolnego miejsca na dysku systemowym, co jest jedną z głównych przyczyn dla zawieszania, zamulenia i innych fajerwerków: Drive c: () (Fixed) (Total:14.65 GB) (Free:1.5 GB) NTFS ==>[drive with boot components (Windows XP)] To musi zostać rozwiązane w pierwszej kolejności. Został zadany Fix zawierający komendę EmptyTemp:, co pewnie nieco zmieniło statystyki. Dokładniejsza analiza stanu bieżącego za pomocą programu SpaceSniffer . 3. W Dzienniku zdarzeń kupa błędów: ----> Zawieszenia usługi Microsoft LifeCam, co jak najbardziej może produkować objawy z haltem startu: System errors: ============= Error: (08/16/2015 10:43:42 AM) (Source: Service Control Manager) (EventID: 7022) (User: ) Description: Usługa MSCamSvc zawiesiła się podczas uruchamiania. W raporcie FRST jej nie widać, ale FRST ma domyślnie bardzo mocne filtrowanie i zapewne usługa jest ukryta. Tu nie za bardzo jest pole do manewru, jeśli oprogramowanie ma być aktywne. Na razie przetestuj czy deaktywacja tej usługi w services.msc poprawia kondycję startową. ----> Problemy z ładowaniem konta systemowego: Application errors: ================== Error: (08/15/2015 03:37:54 PM) (Source: Userenv) (EventID: 1500) (User: ZARZĄDZANIE NT) Description: System Windows nie może wykonać logowania, ponieważ nie można załadować Twojego profilu. Jeśli ten problem będzie się powtarzać, skontaktuj się z administratorem sieci. SZCZEGÓŁY - Proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces. Error: (08/15/2015 03:37:54 PM) (Source: Userenv) (EventID: 1508) (User: ZARZĄDZANIE NT) Description: System Windows nie może załadować rejestru. Najczęstszą tego przyczyną jest za mało pamięci lub brak wystarczających praw zabezpieczeń. SZCZEGÓŁY - Proces nie może uzyskać dostępu do pliku, ponieważ jest on używany przez inny proces. for C:\Documents and Settings\LocalService.ZARZĄDZANIE NT\Ustawienia lokalne\Dane aplikacji\Microsoft\Windows\\UsrClass.dat Nie jest tu wykluczony wpływ małej ilości miejsca na dysku lub interferencji Avast. 4. No i wreszcie, sam Avast per se może powodować te objawy startowe. Masz zainstalowaną wersję PPAPI, która współpracuje tylko z przeglądarkami operującymi na silniku Blink/Chromium (czyli tu Opera): Adobe Flash Player 17 PPAPI (HKLM\...\Adobe Flash Player PPAPI) (Version: 17.0.0.134 - Adobe Systems Incorporated) Aplikacje używające innych silników potrzebują albo wersji ActiveX, albo NPAPI. Popatrz do przyklejonego: KLIK.

Gedo ShellBags to inny obszar niż raportowany. tada44 Temat przenoszę do właściwego działu, czyli Windows. To nie jest problem infekcji. PS. Do deinstalacji Ace Stream Media - ten program ma wbudowany moduł adware w playerze, aktywowany po predefiniowanym czasie. Program ten nie ma nic wspólnego z Twoim problemem głównym. Offline files to natywny wpis Windows i nie zależy go ruszać. Tutaj eksport rejestru z mojego systemu Windows 10: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\ShellEx\ContextMenuHandlers] [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\ShellEx\ContextMenuHandlers\7-Zip] @="{23170F69-40C1-278A-1000-000100020000}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\ShellEx\ContextMenuHandlers\BriefcaseMenu] @="{85BBD920-42A0-1069-A2E4-08002B30309D}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\ShellEx\ContextMenuHandlers\Library Location] @="{3dad6c5d-2167-4cae-9914-f99e41c12cfa}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\ShellEx\ContextMenuHandlers\Offline Files] @="{474C98EE-CF3D-41f5-80E3-4AAB0AB04301}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\ShellEx\ContextMenuHandlers\PintoStartScreen] @="{470C0EBD-5D73-4d58-9CED-E91E22E23282}" [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\ShellEx\ContextMenuHandlers\{a2a9545d-a0c2-42b4-9708-a0b2badd77c8}] @="Start Menu Pin" To samo, lecz widziane w Autoruns w karcie Explorer po odznaczeniu w menu Options pozycji Hide Windows Entries: Jeśli chodzi o inne zgłaszane wpisy, które nie są domyślne: - Klasa {4A7C4306-57E0-4C0C-83A9-78C1528F618C} należy do Real Player Cloud. - Raportujesz obecność 7-zip oraz Notepad++ (ANotepad++64), które ponoć nie były instalowane. Obecność wpisów "znikąd" wydaje mi się niemożliwa. Na razie nie widzę innej możliwości, niż ta te programy były jednak kiedyś instalowane i zostały usunięte, a to co jest w CCleaner to szczątki. Czy ten Windows 10 to czysta instalacja czy upgrade z wcześniejszego systemu? Podaj precyzyjne dane na temat menu kontekstowych, bo FRST w ogóle nie skanuje tej strefy, a w opisie jest mocny chaos: 1. W CCleaner w karcie Menu kontekstowe podświetl wszystkie wpisy i zapisz do pliku TXT, raport przeklej do posta. 2. Zrób log z Autoruns - w menu zapisu pliku przestaw z arn na format TXT. 3. I jeszcze dodatkowy eksport kluczy. Otwórz Notatnik i wklej w nim: Reg: reg query HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers /s Reg: reg query HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers /s Reg: reg query HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers /s Reg: reg query HKLM\SOFTWARE\Classes\Drive\shellex\ContextMenuHandlers /s Reg: reg query HKLM\SOFTWARE\Classes\Folder\ShellEx\ContextMenuHandlers /s Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy fixlog.txt.

Temat przenoszę do działu Windows. To nie jest problem infekcji. Ów "Fix" kompletnie bez znaczenia dla opisywanego stanu systemu: usunięcie wybrakowanej usługi firewalla ESET, usunięcie plików DMP generowanych przez BSOD (nie da się już zdiagnozować poprzednich BSOD) i czyszczenie Tempów. Ale ten wpis ESET prawdopodobnie nie powinien być usuwany przy czynnym ESET. Nie zostałeś poproszony o wyniki Fixlog, które by pokazały czy w ogóle coś się wykonało. 1. Zwykle w przypadkach z problemami wydajności oraz operatywności sieci podejrzane jest oprogramowanie zabezpieczające ingerujące w te strefy. Tu ESET NOD32 Antivirus. Upewnij się, że nie jest on przyczyną problemów wykonując testową deinstalację. Deinstalacja to pełny test ucinający. 2. "Laptop nie jest przeładowany" - TOSHIBA, więc z biegu dużo zintegrowanych aplikacji TOSHIBA, które nie występują w standardowych niebrandowanych systemach. Mógłbyś rozważyć czy z wszystkich korzystasz i ewentualnie część odinstalować. Na razie jednak sugeruję skupić się na ESET, bo występują problemy z ładowaniem stron.

W instrukcji tworzenia raportu FRST w przyklejonym jest wyraźnie powiedziane, by nie zaznaczać opcji MD5 sterowniki, Pliki z 90 dni i Lista BCD. Logi są niepotrzebnie tak duże, więcej informacji nie wnosi nic do sprawy. W raportach brak oznak infekcji mogącej powodować to obciążenie i problem w ogóle nie wygląda na pochodną infekcji. Tylko drobnostki do wykonania: Na razie temat przenoszę do działu Windows, ale być może to problem sprzętowy. Sugestie pod kątem oprogramowania: 1. Koniecznie odinstaluj Spyware Doctor doinstalowany w celu "rozwiązywania problemów". To archaiczna (na dodatek scrackowana) wersja z ... 2008/2009 (!), bezużyteczna pod kątem bieżących zagrożeń, a tak stara, że może tworzyć duże problemy z operatywnością Windows. 2. Skoro jesteśmy przy oprogramowaniu zabezpieczającym, to bardzo inwazyjny Kaspersky Internet Security jest tu podejrzanym dla opisywanych efektów - może w trakcie bezczynności wykonywać jakieś operacje. Poza tym, posiadasz wersję 2015, która ma limitowane możliwości na Windows 10: KLIK. Czyli pierwszy krok to upewnienie się, że KIS nie jest przyczyną problemów. Najlepsza metoda weryfikacji to testowa deinstalacja. Kaspersky Internet Security (HKLM-x32\...\InstallWIX_{02FECEE0-16B2-43DB-BC3B-C844477FC142}) (Version: 15.0.2.361 - Kaspersky Lab) 3. Powyłączaj ze startu więcej elementów. Widzę, że na razie są wyłączone te: HKLM\...\StartupApproved\Run32: => "DivXUpdate" HKLM\...\StartupApproved\Run32: => "DivXMediaServer" HKLM\...\StartupApproved\Run32: => "LWS" HKU\S-1-5-21-3907122352-1245817153-3586606959-1001\...\StartupApproved\StartupFolder: => "Logitech . Rejestracja produktu.lnk" HKU\S-1-5-21-3907122352-1245817153-3586606959-1001\...\StartupApproved\Run: => "Skype" HKU\S-1-5-21-3907122352-1245817153-3586606959-1001\...\StartupApproved\Run: => "join.me.launcher" W Menedżerze zadań Windows mógłbyś jeszcze wyłączyć te pozycje: HKLM\...\Run: [AdobeAAMUpdater-1.0] => C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe [508240 2015-08-05] (Adobe Systems Incorporated) HKU\S-1-5-21-3907122352-1245817153-3586606959-1001\...\Run: [DAEMON Tools Lite Automount] => C:\Program Files\DAEMON Tools Lite\DTAgent.exe [4468056 2015-06-18] (Disc Soft Ltd) HKU\S-1-5-21-3907122352-1245817153-3586606959-1001\...\Run: [GoogleChromeAutoLaunch_92B141E5EA674B0870358FF1AF506704] => C:\Program Files (x86)\Google\Chrome\Application\chrome.exe [815944 2015-09-24] (Google Inc.) HKU\S-1-5-21-3907122352-1245817153-3586606959-1001\...\Run: [EADM] => D:\Origin\Origin.exe [3638768 2015-09-30] (Electronic Arts) Następnie w Autoruns w karcie Services także i te: R2 GfExperienceService; C:\Program Files\NVIDIA Corporation\GeForce Experience Service\GfExperienceService.exe [1155192 2015-08-27] (NVIDIA Corporation) R2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2909472 2015-08-24] (IObit) R2 NvNetworkService; C:\Program Files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe [1872504 2015-08-27] (NVIDIA Corporation) R2 NvStreamSvc; C:\Program Files\NVIDIA Corporation\NvStreamSrv\NvStreamService.exe [5544568 2015-08-27] (NVIDIA Corporation) Alternatywnie, te usługi nVidia zostałyby usunięte całkowicie na skutek deinstalacji aktualizatora NVIDIA GeForce Experience 2.5.14.5 - to nie jest komponent niezbędny. W karcie Scheduled Tasks (cFosSpeedTR i AutoKMS to cracki): Task: {02926DED-FCD1-413D-80D5-FA9B44DA1D93} - System32\Tasks\EVGAPrecisionX => C:\Program Files (x86)\EVGA\PrecisionX 16\PrecisionX_x64.exe [2015-07-21] (EVGA Corp.) Task: {1525DD1A-7946-4466-88D5-3F2337ACE825} - System32\Tasks\klcp_update => C:\Program Files (x86)\K-Lite Codec Pack\Tools\CodecTweakTool.exe [2015-08-24] () Task: {240BC021-9290-4123-8F4D-AE750E4C7A11} - System32\Tasks\cFosSpeedTR => C:\PROGRA~1\CFOSSP~1\CFSTR.exe Task: {D2121B13-30C1-49E7-A3DE-1E3070BF5348} - System32\Tasks\cFos\Registration Tasks\Open Browser => Chrome.exe "http://www.cfos.de/en/cfosspeed/documentation/driver-not-loaded.htm?sw-10.09.2232&days=1" Task: {DCC120B5-B7A7-4B48-B4EB-49551E0F3E47} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2015-08-07] () Po deaktywacjach restart systemu.

FRST i inne narzędzia są zablokowane techniką Image File Execution Options. Proszę zmień nazwę pobranego pliku FRST na dowolną inną. FRST się uruchomi. Gdy dostarczysz logi z FRST, przejdę do właściwego usuwania.

W systemie rzeczywiście widać mocno podejrzany zablokowany sterownik (w GMER jako "rootkit") oraz skomasowany atak adware. W pierwszej kolejności należy zdefiniować co to za "rootkit". Uruchom Kaspersky TDSSKiller. Jeśli coś wykryje, przyznaj akcję Skip i dostarcz log wynikowy. Jeśli nic nie wykryje, log zbędny.

To nie jest związane z infekcją. Raporty nie dostarczają żadnych konkretów pod kątem tego problemu. Ten czarny ekran pojawia się, gdy ma się załadować BIOS, czy już potem gdy ma się pokazać ekran z logo Windows? Pierwszy przypadek mógłby sugerować usterkę sprzętową, drugi ingerencję sterowników. Np. tu w starcie jest bardzo archaiczny sterownik (z 2001) od SekretNIKa G Data. Przeglądarka Google Chrome została przekonwertowana przez adware z wersji stabilnej do developerskiej i jest konieczna jej reinstalacja od zera. Ale Google Chrome nawet nie można poprawnie odinstalować, zniknęły wszystkie skróty deinstalacyjne, brak Chrome w Panelu sterowania, brak skrótów w Menu Start. Na dodatek są też polityki blokujące w Google określone funkcje. W Firefox nic nie widać szkodliwego, ale efekt reklam we wszystkich przeglądarkach może pochodzić z infekcji DNS. Są tu izraelskie adresy DNS: KLIK + KLIK. Tcpip\..\Interfaces\{6F468DF3-9FC6-4D52-8807-B755750CA70A}: [NameServer] 199.203.131.145,82.163.143.167 Tcpip\..\Interfaces\{97CAEDFD-707E-4B2E-88A2-86625625E93A}: [NameServer] 199.203.131.145,82.163.143.167 Raport AdwCleaner jest zapisywany automatycznie bez interwencji użytkownika. Na dysku jest widoczny folder C:\AdwCleaner - czyli jest pusty i nie ma tam raportu? Przeprowadź następujące działania: 1. Panel sterowania > Sieć i internet > Centrum sieci i udostępniania > z boku klik w Zmień ustawienia karty sieciowej > w folderze połączeń prawoklik na każde połączenie po kolei > Właściwości > zmień adresy DNS wg instrukcji: KLIK. 2. Przez Panel sterowania odinstaluj stare wersje Adobe AIR, Adobe Flash Player 12 ActiveX, Adobe Flash Player 18 NPAPI, Adobe Reader XI (11.0.12), Gadu-Gadu 10, Java™ 6 Update 22 oraz "firmowy PUP" McAfee Security Scan Plus. Jeśli nie są używane, to też stare programy szyfrujące / hasłujące dane: SekretNIK, WinGuard Pro 2012 beta. 3. Akcje tyczące Google Chrome: - Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. - Klawisz z flagą Windows + R i w polu Uruchom wklej komendę deinstalacji, pod x.x.x.x podstawiając wersję którą widzisz w tym folderze: "C:\Program Files\Google\Chrome\Application\x.x.x.x\Installer\setup.exe" --uninstall --multi-install --chrome --system-level Przy deinstalacji zaznacz Usuń także dane przeglądarki. Na razie nie instaluj nowej wersji. 4. Napraw uszkodzony specjalny skrót IE. W pasku eksploratora wklej poniższą ścieżkę i ENTER: C:\Users\Szef\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories\System Tools Prawoklik na zlokalizowany tam skrót Internet explorer (bez dodatków) > Właściwości > w polu Element docelowy po ścieżce "C:\Program Files\Internet Explorer\iexplore.exe" dopisz dwie spacje i -extoff 5. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: DisableService: sptd CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HKU\S-1-5-21-1122351040-4140419860-1170980050-1000\SOFTWARE\Policies\Google: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130852533915636708&GUID=00000000-0000-0000-0000-000000000000 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-1122351040-4140419860-1170980050-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130852533918366865&GUID=00000000-0000-0000-0000-000000000000 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-1122351040-4140419860-1170980050-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-1122351040-4140419860-1170980050-1000 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 FF Plugin: @oberon-media.com/ONCAdapter -> C:\Program Files\Common Files\Oberon Media\NCAdapter\1.0.0.8\npapicomadapter.dll [brak pliku] FF Plugin: @pandonetworks.com/PandoWebPlugin -> C:\Program Files\Pando Networks\Media Booster\npPandoWebPlugin.dll [brak pliku] FF Plugin HKU\S-1-5-21-1122351040-4140419860-1170980050-1000: ubisoft.com/uplaypc -> C:\Program Files\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll Brak pliku CustomCLSID: HKU\S-1-5-21-1122351040-4140419860-1170980050-1000_Classes\CLSID\{035FBE31-3755-450A-A775-5E6BBD43D344}\InprocServer32 -> C:\Users\Szef\AppData\Local\Google\Update\1.3.21.135\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1122351040-4140419860-1170980050-1000_Classes\CLSID\{0F22A205-CFB0-4679-8499-A6F44A80A208}\InprocServer32 -> C:\Users\Szef\AppData\Local\Google\Update\1.3.25.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1122351040-4140419860-1170980050-1000_Classes\CLSID\{1423F872-3F7F-4E57-B621-8B1A9D49B448}\InprocServer32 -> C:\Users\Szef\AppData\Local\Google\Update\1.3.27.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1122351040-4140419860-1170980050-1000_Classes\CLSID\{1c492e6a-2803-5ed7-83e1-1b1d4d41eb39}\InprocServer32 -> C:\Program Files\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1122351040-4140419860-1170980050-1000_Classes\CLSID\{355EC88A-02E2-4547-9DEE-F87426484BD1}\InprocServer32 -> C:\Users\Szef\AppData\Local\Google\Update\1.3.23.9\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1122351040-4140419860-1170980050-1000_Classes\CLSID\{5C8C2A98-6133-4EBA-BBCC-34D9EA01FC2E}\InprocServer32 -> C:\Users\Szef\AppData\Local\Google\Update\1.3.28.1\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1122351040-4140419860-1170980050-1000_Classes\CLSID\{62A0D750-DED9-448C-B693-406B34BB0892}\InprocServer32 -> C:\Users\Szef\AppData\Local\Google\Update\1.3.21.145\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1122351040-4140419860-1170980050-1000_Classes\CLSID\{634059C0-D264-4B2C-AE80-F73E48D33E5B}\InprocServer32 -> C:\Users\Szef\AppData\Local\Google\Update\1.3.21.123\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1122351040-4140419860-1170980050-1000_Classes\CLSID\{6D7374DE-63AA-473C-8C02-60D9CDCD84C5}\InprocServer32 -> C:\Users\Szef\AppData\Local\Google\Update\1.3.21.153\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1122351040-4140419860-1170980050-1000_Classes\CLSID\{78550997-5DEF-4A8A-BAF9-D5774E87AC98}\InprocServer32 -> C:\Users\Szef\AppData\Local\Google\Update\1.3.28.13\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1122351040-4140419860-1170980050-1000_Classes\CLSID\{90B3DFBF-AF6A-4EA0-8899-F332194690F8}\InprocServer32 -> C:\Users\Szef\AppData\Local\Google\Update\1.3.24.15\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1122351040-4140419860-1170980050-1000_Classes\CLSID\{91EFB276-CEFE-48EC-BB3A-57795A7B4008}\InprocServer32 -> C:\Users\Szef\AppData\Local\Google\Update\1.3.21.149\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1122351040-4140419860-1170980050-1000_Classes\CLSID\{A45426FB-E444-42B2-AA56-419F8FBEEC61}\InprocServer32 -> C:\Users\Szef\AppData\Local\Google\Update\1.3.22.3\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1122351040-4140419860-1170980050-1000_Classes\CLSID\{A54D478D-4F70-4F72-9A74-17C9986E35AB}\InprocServer32 -> C:\Users\Szef\AppData\Local\Google\Update\1.3.21.165\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1122351040-4140419860-1170980050-1000_Classes\CLSID\{C3BC25C0-FCD3-4F01-AFDD-41373F017C9A}\InprocServer32 -> C:\Users\Szef\AppData\Local\Google\Update\1.3.26.9\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1122351040-4140419860-1170980050-1000_Classes\CLSID\{D0336C0B-7919-4C04-8CCE-2EBAE2ECE8C9}\InprocServer32 -> C:\Users\Szef\AppData\Local\Google\Update\1.3.25.11\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1122351040-4140419860-1170980050-1000_Classes\CLSID\{EB06378B-ABB6-4B3C-9B40-D488DD8A6E93}\InprocServer32 -> C:\Users\Szef\AppData\Local\Google\Update\1.3.22.5\psuser.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-1122351040-4140419860-1170980050-1000_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Szef\AppData\Local\Google\Update\1.3.24.7\psuser.dll => Brak pliku Task: {263AA3FD-FF40-47AF-9FCF-003DD16BE238} - System32\Tasks\{362E2E8E-B3FB-4A8C-8955-7A2F80F9044F} => pcalua.exe -a "D:\Downloads\The Sims 3 Island Paradise [MULTI5][PCDVD][P2P][WwW.GamesTorrents.CoM]\p2p-ts3ip\p2p-ts3ip\Sims3EP10\Sims3EP10Setup.exe" -d "D:\Downloads\The Sims 3 Island Paradise [MULTI5][PCDVD][P2P][WwW.GamesTorrents.CoM]\p2p-ts3ip\p2p-ts3ip\Sims3EP10" Task: {599EF42A-7C31-4F79-B276-B56EDFC8390B} - System32\Tasks\{E572A56D-C2EF-4110-B361-7FC19042A64B} => Chrome.exe http://ui.skype.com/ui/0/5.10.0.116/pl/abandoninstall?source=lightinstaller&page=tsInstall Task: {A0AA28F5-E19F-463B-A0CA-57A3F768A528} - System32\Tasks\{C66C4E78-573E-4B1D-95CE-A3302DF8DF93} => pcalua.exe -a "C:\Users\Szef\Downloads\Peggle_Deluxe_+_Crack\Peggle Installer.exe" -d C:\Users\Szef\Downloads\Peggle_Deluxe_+_Crack Task: {B5515103-D812-4BA1-B2F7-538FF49A057C} - System32\Tasks\{51C43854-E644-4E26-9D19-8286C6445670} => pcalua.exe -a F:\Autorun.exe -d F:\ Task: {C3902CD1-3645-4E1C-8A1C-2E5F7B67D6B5} - System32\Tasks\{4BD70306-B94B-4E3B-A954-EEACF3B924D0} => pcalua.exe -a M:\SETUP.EXE -d M:\ HKU\S-1-5-21-1122351040-4140419860-1170980050-1000\...\Run: [AdobeBridge] => [X] HKU\S-1-5-21-1122351040-4140419860-1170980050-1000\...\Policies\Explorer: [NoStartMenuMorePrograms] 0 S3 EagleXNt; \??\C:\Windows\system32\drivers\EagleXNt.sys [X] S3 XDva401; \??\C:\Windows\system32\XDva401.sys [X] C:\Program Files\prefs.js C:\Program Files\Google\Chrome C:\Program Files\Mozilla Firefox\plugins C:\Program Files\Pando Networks C:\Program Files\ReEipLIApp C:\Program Files\Smart File Advisor C:\ProgramData\pboojfacihcondefbgniobhljjfeabji C:\ProgramData\TEMP C:\ProgramData\Microsoft\Windows\GameExplorer\{AA03CC9C-3478-42F5-9E72-988477750080} C:\ProgramData\Microsoft\Windows\GameExplorer\{F1D923DB-0499-4DEA-83FB-74AED6C3DBB9} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ALLMediaServer C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Bethesda Softworks C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Crossfire Europe C:\ProgramData\Microsoft\Windows\Start Menu\Programs\EA Sports\UEFA EURO 2012 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Empire Total War C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ffdshow C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Fizzy C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\McAfee Security Scan Plus C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Mount&Blade Warband C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Peggle C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PESEdit.com 2013 Patch C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Razor 1911 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Smart File Advisor C:\ProgramData\Microsoft\Windows\Start Menu\Programs\T-Mobile Ekstraklasa Update C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Team17 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tibia C:\Users\Szef\AppData\Local\Google\Chrome C:\Users\Szef\AppData\Local\Microsoft\Windows\GameExplorer\{42D7F12A-414B-415D-8E90-99CEB204147F} C:\Users\Szef\AppData\Local\Microsoft\Windows\GameExplorer\{4FBAD63F-4AD6-45D8-8BFF-C83FD26C2C7F} C:\Users\Szef\AppData\Local\Microsoft\Windows\GameExplorer\{94E5DE8F-5872-4D49-91CF-35D318333F2A} C:\Users\Szef\AppData\Local\Microsoft\Windows\GameExplorer\{EFAFA11F-04C0-470C-B844-C291239BA6A1} C:\Users\Szef\AppData\Local\Microsoft\Windows\GameExplorer\{F1D923DB-0499-4DEA-83FB-74AED6C3DBB9} C:\Users\Szef\AppData\Roaming\appdataFr2.bin C:\Users\Szef\AppData\Roaming\appdataFr25.bin C:\Users\Szef\AppData\Roaming\Azureus C:\Users\Szef\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\ALL Media Server.lnk C:\Users\Szef\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\DC Universe Online Live.lnk C:\Users\Szef\Downloads\*.tmp C:\Windows\pss\McAfee Security Scan Plus.lnk.CommonStartup C:\Windows\pss\Tabs.lnk.CommonStartup Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 /f Reg: reg delete HKCU\Software\Google\Chrome /f Reg: reg delete HKCU\Software\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKCU\Software\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete HKLM\SOFTWARE\Google\Chrome /f Reg: reg delete HKLM\SOFTWARE\Google\Update\ClientState\{4DC8B4CA-1BDA-483e-B5FA-D3C12E15B62D} /f Reg: reg delete HKLM\SOFTWARE\Google\Update\ClientState\{8A69D345-D564-463C-AFF1-A69D9E530F96} /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AxAutoMntSrv" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\gusvc" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\IePluginService" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\McComponentHostService" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\StarWindServiceAE" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Update GrabRez" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Util GrabRez" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\winzipersvc" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Wpm" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Tabs.lnk" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\AlcoholAutomount" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\DAEMON Tools Lite" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Gadu-Gadu 10" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Update" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Pando Media Booster" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\PriceMeterW" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SFAUpdater" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched" /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Super Optimizer" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains" /f CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 6. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal występują problemy z reklamami.

Brakuje trzeciego obowiązkowego raportu FRST Shortcut, nie ma też raportu GMER. Infekcja "Ads by name" w Firefox powinna być zlokalizowana w sferze globalnej matrycy preferencji, tylko że log FRST w ogóle tego nie pokazuje. I widać, że Firefox był reinstalowany. Czy na pewno problem "Ads by name" nadal występuje w Firefox? Natomiast samoistna reinstalacja adware zapewne pochodzi z czynnego zadania "netupodtep" w Harmonogramie zadań. Na razie te działania do przeprowadzenia: 1. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście ukryty wpis adware globalupdate Helper > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {F291F419-2A8C-4904-9D42-B4F0FB3AC087} - System32\Tasks\netupodtep => C:\Windows\system32\config\systemprofile\AppData\Local\Goldensoft [2015-10-01] () Task: {F582B5A0-6807-4593-AA40-02B567A16FC1} - System32\Tasks\GoogleUpdateTaskMachineCore => C:\Program Files (x86)\Google\Update\GoogleUpdate.exe AppInit_DLLs: C:\ProgramData\Saophase\Keytom.dll => Brak pliku AppInit_DLLs-x32: C:\ProgramData\Saophase\Coffax.dll => Brak pliku S2 Saophase; C:\ProgramData\\Saophase\\Saophase.exe -f "C:\ProgramData\\Saophase\\Saophase.dat" -l -a S3 avchv; \SystemRoot\system32\DRIVERS\avchv.sys [X] S1 BAPIDRV; system32\DRIVERS\BAPIDRV64.sys [X] GroupPolicy: Ograniczenia - Chrome HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54V4419_WDCWD5000LPVX-22V0TT0&tm=1443701668 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54V4419_WDCWD5000LPVX-22V0TT0&tm=1443701668 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54V4419_WDCWD5000LPVX-22V0TT0&tm=1443701668 HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54V4419_WDCWD5000LPVX-22V0TT0&tm=1443701668 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://www.google.com HKU\S-1-5-21-3679323292-2381456270-572968583-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.aqovd.com?oem=sunadplv3&uid=WD-WX21E54V4419_WDCWD5000LPVX-22V0TT0&tm=1443701668 SearchScopes: HKU\S-1-5-21-3679323292-2381456270-572968583-1001 -> {98B4F0C1-E3B7-45CA-845E-48519D6FCDED} URL = StartMenuInternet: IEXPLORE.EXE - iexplore.exe IE trusted site: HKU\S-1-5-21-3679323292-2381456270-572968583-1001\...\localhost -> localhost IE trusted site: HKU\S-1-5-21-3679323292-2381456270-572968583-1001\...\webcompanion.com -> hxxp://webcompanion.com C:\Program Files\Common Files\2efgtdgq.exe C:\Program Files\Common Files\i0veoalc C:\Program Files (x86)\Google C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\Temp C:\Users\MAGDA\AppData\Local\Unodox.exe.config C:\Users\MAGDA\AppData\Local\Google C:\Users\MAGDA\AppData\Local\Tempfolder C:\Users\MAGDA\AppData\LocalLow\BitTorrent C:\Users\MAGDA\AppData\LocalLow\Company C:\Users\MAGDA\AppData\Roaming\BitTorrent C:\Users\MAGDA\AppData\Roaming\RunDir C:\Users\MAGDA\AppData\Roaming\shortCutStore C:\Users\MAGDA\AppData\Roaming\YouSendIt C:\Windows\system32\config\systemprofile\AppData\Local\Goldensoft C:\Windows\SysWOW64\029B560A371F4E00AB32838EBC01B9E7 Folder: C:\Program Files (x86)\Mozilla Firefox Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v BitTorrent /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v abDocsDllLoader /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan) - zaznacz pola Addition + Shortcut, by powstał brakujący log. Dołącz też plik fixlog.txt.

Na razie pomiń Fix-it i przejdź do wykonania pozostałych akcji. Czekam na wynikowe logi.

Jaki dziwny plik - podaj nazwę. Przy tym błędzie zwykle pomaga wybór alternatywnej wersji: "Zaawansowane — pobierz narzędzie do uruchomienia na innym lub niepołączonym komputerze" (pobiera się MicrosoftFixit-portable.exe). Jeśli uda się pobrać i uruchomić Fix-it, za jego pomocą możesz usunąć także dane instalacyjne opornego HijackThis. Ten błąd sugeruje, że uszkodzenia są również w innych miejscach, tzn. że usługa nie jest zdefiniowana w grupie Svchost. Start > Uruchom > regedit Wejdź do klucza: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost Prawoklik na wartość netsvcs > Edytuj > na liście musi być dodana pozycja winmgmt: Po edycji zresetuj system. Reszta operacji nadal aktualna.

Usługa Winmgmt odtworzona, tylko że usługa nie została uruchomiona - czy na pewno po restarcie systemu jest ten sam błąd przy próbie uruchomienia Zapory? Jeśli chodzi o adware oraz puste wpisy i skróty, do przeprowadzenia następujące akcje - na każdym koncie z osobna, a konta logować poprzez pełny restart komputera: NA KONCIE ALEX: 1. Deinstalacje: Google Chrome zostało przekonwertowane przez adware z grupy MultiPlug z wersji stabilnej do developerskiej. Wymagana reinstalacja Chrome od zera. Na razie przeprowadź tylko deinstalację i nie instaluj nowej wersji, gdyż Fix zaplanowany w punkcie 3 będzie usuwał komponenty Google. Upewnij się, że nie masz włączonej synchronizacji, która załaduje złe ustawienia z serwera po reinstalacji przeglądarki: KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Ponadto: - Przez Dodaj/Usuń programy odinstaluj stare wersje: Adobe Acrobat 5.0, Adobe Flash Player 16 ActiveX, Adobe Flash Player 18 NPAPI, HiJackThis, Java™ 6 Update 22, Java™ 6 Update 31, Java 7 Update 45. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowe ukryte wpisy Google Update Helper (o ile nadal będzie po w/w deinstalacji) oraz dwie pozycje Grand Theft Auto > Dalej. Narzędzie należy uruchomić tyle razy, ile wpisów, gdyż nie jest możliwa akcja hurtowa. 2. Wyczyść Operę z adware: w Operze CTRL+SHIFT+E i na liście rozszerzeń za pomocą "iksów" usuń FTdownloader V9.0, hdtotal1.3. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: CMD: type "C:\Program Files\Mozilla Firefox\defaults\pref\itms.js" S2 gupdate; "C:\Program Files\Google\Update\GoogleUpdate.exe" /svc [X] S3 gupdatem; "C:\Program Files\Google\Update\GoogleUpdate.exe" /medsvc [X] S3 FairplayKD; \??\C:\Documents and Settings\All Users\Dane aplikacji\MTA San Andreas All\Common\temp\FairplayKD.sys [X] S3 IDriverT; "C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe" [X] S2 mi-raysat_3dsmax9_32; "D:\Program Files\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe" [X] S3 MBAMSwissArmy; \??\C:\WINNT\system32\drivers\MBAMSwissArmy.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] S2 Util DiVapton; "C:\Program Files\DiVapton\bin\utilDiVapton.exe" [X] S2 Util Jump Flip; "C:\Program Files\Jump Flip\bin\utilJumpFlip.exe" [X] S3 WmdmPmSN; C:\WINDOWS\system32\mspmsnsv.dll [X] Task: C:\WINNT\Tasks\Ad-Aware Update (Weekly).job => C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe Task: C:\WINNT\Tasks\At2.job => C:\DOCUME~1\Adam\DANEAP~1\Bonanza\UPDATE~1\UPDATE~1.EXE Task: C:\WINNT\Tasks\At3.job => C:\DOCUME~1\NETWOR~1\DANEAP~1\FoxTab\UPDATE~1\UPDATE~1.EXE Task: C:\WINNT\Tasks\At4.job => C:\DOCUME~1\NETWOR~1\DANEAP~1\UPDATE~1\UPDATE~1\UPDATE~1.EXE Task: C:\WINNT\Tasks\AVG_SYS_TASK_0615tb_DELETE.job => C:\Documents and Settings\All Users\Dane aplikacji\Avg_Update_0615tb\AVG-Secure-Search-Update_0615tb.exe Task: C:\WINNT\Tasks\GoogleUpdateTaskMachineCore1d09a3730f62b64.job => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\WINNT\Tasks\GoogleUpdateTaskMachineCore1d0bf3fd84dbcc4.job => C:\Program Files\Google\Update\GoogleUpdate.exe Task: C:\WINNT\Tasks\Software Removal Tool logs upload retry.job => C:\Documents and Settings\Adam\Ustawienia lokalne\Temp\70.exe HKLM\...\Run: [fst_pl_31] => [X] HKLM\...\Run: [iSUSScheduler] => "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start HKLM\...\Run: [iSUSPM Startup] => "C:\Program Files\Common Files\InstallShield\UpdateService\isuspm.exe" -startup HKLM\...\Run: [GPUTemp] => "C:\DOCUME~1\Adam\USTAWI~1\Temp\GPUTemp.exe" HKLM\...\Run: [GPULoader] => "C:\Program Files\VLC Player GPU+\GPULog.exe" HKLM\...\Policies\Explorer: [] HKU\S-1-5-21-1801674531-413027322-839522115-1003\...\Run: [RGSC] => E:\Program Files\Rockstar Games\Grand Theft Auto IV\Rockstar Games Social Club\RGSCLauncher.exe /silent HKU\S-1-5-21-1801674531-413027322-839522115-1003\...\Run: [iPLA!] => C:\Program Files\ipla\ipla.exe /autorun HKU\S-1-5-21-1801674531-413027322-839522115-1003\...\Run: [Gadu-Gadu 10] => "C:\Program Files\Gadu-Gadu 10\gg.exe" HKU\S-1-5-18\...\RunOnce: [Del702468] => cmd.exe /Q /D /c del "C:\WINNT\TEMP\0.del" HKU\S-1-5-18\...\RunOnce: [Del41633812] => cmd.exe /Q /D /c del "C:\WINNT\TEMP\0.del" HKU\S-1-5-18\...\RunOnce: [FlashPlayerUpdate] => C:\WINNT\system32\Macromed\Flash\FlashUtil32_15_0_0_246_Plugin.exe -update plugin GroupPolicyScripts: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1801674531-413027322-839522115-1003\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia URLSearchHook: HKLM -> Domyślne = {FE69C007-C452-4d3e-86D2-1730DF8BC871} DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab FF Plugin: @adobe.com/ShockwavePlayer -> C:\WINNT\system32\Adobe\Director\np32dsw_1209149.dll [2014-01-29] (Adobe Systems, Inc.) FF Plugin: @java.com/JavaPlugin -> C:\Program Files\Java\jre7\bin\new_plugin\npjp2.dll [brak pliku] FF HKLM\...\Firefox\Extensions: [{20a82645-c095-46ed-80e3-08825760534b}] - C:\WINNT\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension C:\Documents and Settings\All Users\Dane aplikacji\adfc26000006ffe C:\Documents and Settings\All Users\Dane aplikacji\d5c9de4000072aa C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{F80BAD69-DF55-4314-8FD7-D1DCD4203ADD} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{F01D03DE-D48F-49A1-A2D8-A163E3D4B627} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{EC5DFCE0-FF6E-4C05-8682-02175132C136} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{DAC88CE2-66D7-404D-9EB5-EDF07544E49A} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{D5C1C528-8143-473C-9FB4-FFDE451145E0} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{C05D8CDB-417D-4335-A38C-A0659EDFD6B8} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{AC51CB69-993C-4E73-B325-23BA1F7E5B88} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{9F9B361C-779D-48D9-853E-5A707C8FBEB7} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{9F9B361C-779D-48D9-853E-5A707C8FBEB7} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{8DA35D5C-9109-4C5D-8BBC-2DC4765138D0} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{8B64CFC6-DC6A-43A1-A6DF-0CD5993E08EB} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{89A3876A-F619-4209-BC84-BD08689265A3} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{82A31F39-7205-4285-A541-B38636052FC7} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{6A22BB36-6B84-4FE3-96FB-9EE815D0E6B1} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{69D0DE2B-3ED1-42B1-9CFE-2FDD6014B3C6} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{415B0FC6-FEF2-477E-9F76-87459A7C2393} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{3DAF0DF0-1057-438B-9492-62761FCBB25F} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{357618BD-0AA3-4AEC-8AD6-DBAD45C6165A} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{26534BCF-7AB8-471A-9839-9CCE1B010217} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{243AEFAE-2D63-400E-B14D-A783F39F954E} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{1D7A9986-B855-4920-9C79-4071DB28F780} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{13462434-6DF9-405E-898C-E8246546DFB4} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{12ACDB34-CCEC-4FF7-A877-AFDEACDDBB46} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{11E44E6E-F819-4189-A28C-C8B70273966E} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{0FF59498-FCC8-4055-A53E-EE737FC01D1A} C:\Documents and Settings\All Users\Dane aplikacji\Microsoft\Windows\GameExplorer\{04745A90-6F3C-4DC0-B630-D1552F03D6F0} C:\Documents and Settings\All Users\Menu Start\Programy\Activision C:\Documents and Settings\All Users\Menu Start\Programy\Free Lunch Design C:\Documents and Settings\All Users\Menu Start\Programy\Goat Simulator C:\Documents and Settings\All Users\Menu Start\Programy\Google Chrome C:\Documents and Settings\All Users\Menu Start\Programy\InfraRecorder C:\Documents and Settings\All Users\Menu Start\Programy\KONAMI\Pro Evolution Soccer 2012 C:\Documents and Settings\All Users\Menu Start\Programy\MaxPayne3 C:\Documents and Settings\All Users\Menu Start\Programy\Minecraft\Minecraft.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Rockstar Games\GTA San Andreas\Instrukcja do gry.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Rockstar Games\GTA San Andreas\Zagraj w GTA San Andreas.lnk C:\Documents and Settings\All Users\Menu Start\Programy\Rockstar Games\Episodes From Liberty City C:\Documents and Settings\All Users\Menu Start\Programy\www.GameModding.net C:\Documents and Settings\All Users\Pulpit\Goat Simulator.lnk C:\Documents and Settings\All Users\Ulubione\Mail.Ru Агент - используй для общения!.url C:\Documents and Settings\All Users\Ulubione\Mail.Ru.url C:\Documents and Settings\alex\Dane aplikacji\appdataFr25.bin C:\Documents and Settings\alex\Dane aplikacji\Bricsys C:\Documents and Settings\alex\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Samsung New PC Studio.lnk C:\Documents and Settings\alex\Pulpit\AVS Video Editor 4.lnk C:\Documents and Settings\alex\Pulpit\Gadu-Gadu 10.lnk C:\Documents and Settings\alex\Pulpit\OnlineHDTV.lnk C:\Documents and Settings\alex\Pulpit\San Andreas Multiplayer.lnk C:\Documents and Settings\alex\Pulpit\Slender - The Arrival v1.0.lnk C:\Documents and Settings\alex\Menu Start\Programy\Counter-Strike C:\Documents and Settings\alex\Ustawienia lokalne\Dane aplikacji\Google C:\ProgramData C:\Program Files\Google C:\Program Files\Mozilla Firefox\browser\defaults C:\Program Files\Mozilla Firefox\extensions C:\Program Files\Mozilla Firefox\plugins C:\Program Files\Magnet.TV C:\Program Files\MeraccurryGRips C:\Program Files\MERcuryGrips C:\Program Files\MEtreoCleainerr C:\Program Files\MetroCleeaner C:\Program Files\ProcessMaker C:\Program Files\softutiful E:\Program Files\RegCleaner C:\WINNT\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKLM\SOFTWARE\Google /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{1146AC44-2F03-4431-B4FD-889BC837521F}{60e3e858} /f Reg: reg delete "HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main" /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f CMD: net user Gość /active:no CMD: net user ASPNET /delete RemoveDirectory: C:\Documents and Settings\TEMP.ALEX RemoveDirectory: C:\Documents and Settings\alex\Pulpit\Stare dane programu Firefox RemoveDirectory: C:\found.000 EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Posprzątaj puste skróty w folderze games na Pulpicie. 5. Zrób nowy log FRST z opcji Skanuj (Scan) - zaznacz pole Addition, Shortcut już zbędny. Dołącz też plik fixlog.txt. NA KONCIE ADAM: 1. Wyczyść przeglądarki z adware: Firefox: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale używane rozszerzenia trzeba będzie przeinstalować. Menu Historia > Wyczyść historię przeglądania Opera: Ustawienia > Po uruchomieniu przeglądarki > Otwórz wybraną stronę lub zestaw stron Wybierz strony > usuń adres mail.ru. 2. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-1801674531-413027322-839522115-1009\...\Run: [NextLive] => C:\WINNT\system32\rundll32.exe ",EntryPoint -m l HKU\S-1-5-21-1801674531-413027322-839522115-1009\...\Run: [RGSC] => E:\Program Files\Rockstar Games\Rockstar Games Social Club\RGSCLauncher.exe /silent HKU\S-1-5-21-1801674531-413027322-839522115-1009\...\Run: [PriceMeterW] => "C:\Documents and Settings\Adam\Ustawienia lokalne\Dane aplikacji\PriceMeter\pricemeterw.exe" HKU\S-1-5-21-1801674531-413027322-839522115-1009\...\Run: [MailRuUpdater] => C:\Documents and Settings\Adam\Ustawienia lokalne\Dane aplikacji\MailRu\MailRuUpdater.exe HKU\S-1-5-21-1801674531-413027322-839522115-1009\...\Run: [DAEMON Tools Lite] => "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun HKU\S-1-5-21-1801674531-413027322-839522115-1009\...\Run: [updateAdmin] => C:\Documents and Settings\Adam\Ustawienia lokalne\Dane aplikacji\UpdateAdmin\UpdateAdmin.exe /RUN HKU\S-1-5-21-1801674531-413027322-839522115-1009\...\Run: [super Optimizer] => C:\Program Files\Super Optimizer\SupOptLauncher.exe HKU\S-1-5-21-1801674531-413027322-839522115-1009\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki HKU\S-1-5-21-1801674531-413027322-839522115-1009\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-1801674531-413027322-839522115-1009\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://start.qone8.com/?type=hp&ts=1398274451&from=ild&uid=WDCXWD3200AAJS-00B4A0_WD-WMAT1040563005630 URLSearchHook: HKU\S-1-5-21-1801674531-413027322-839522115-1009 - (Brak nazwy) - {84FF7BD6-B47F-46F8-9130-01B2696B36CB} - Brak pliku SearchScopes: HKU\S-1-5-21-1801674531-413027322-839522115-1009 -> DefaultScope {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg&gp=openpr2 SearchScopes: HKU\S-1-5-21-1801674531-413027322-839522115-1009 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.qone8.com/web/?type=ds&ts=1398274451&from=ild&uid=WDCXWD3200AAJS-00B4A0_WD-WMAT1040563005630&q={searchTerms} SearchScopes: HKU\S-1-5-21-1801674531-413027322-839522115-1009 -> {8EEAC88A-079B-4b2c-80C1-7836F79EB40A} URL = hxxp://pl.search.yahoo.com/search?p={searchTerms}&fr=chr-comodo SearchScopes: HKU\S-1-5-21-1801674531-413027322-839522115-1009 -> {FFEBBF0A-C22C-4172-89FF-45215A135AC7} URL = hxxp://go.mail.ru/search?q={SearchTerms}&fr=ntg&gp=openpr2 FF Plugin HKU\S-1-5-21-1801674531-413027322-839522115-1009: ubisoft.com/uplaypc -> C:\Program Files\Ubisoft\Ubisoft Game Launcher\npuplaypc.dll Brak pliku FF HKU\S-1-5-21-1801674531-413027322-839522115-1009\...\Firefox\Extensions: [{0907207a-22a3-46c9-a11d-f187e4fd7a0c}] - C:\Program Files\Show-Password\150.xpi => nie znaleziono C:\Documents and Settings\Adam\Dane aplikacji\appdataFr25.bin C:\Documents and Settings\Adam\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Mail.Ru.lnk C:\Documents and Settings\Adam\Menu Start\Programy\Autostart\OpenOffice.org 3.3.lnk C:\Documents and Settings\Adam\Menu Start\Programy\Counter Strike 1.6 C:\Documents and Settings\Adam\Menu Start\Programy\Counter Strike 1.6 BF Edition C:\Documents and Settings\Adam\Menu Start\Programy\GTA IV The Lost and Damned oraz The Ballad of Gay Tony PL C:\Documents and Settings\Adam\Menu Start\Programy\GTA SA PATCH 1.00us C:\Documents and Settings\Adam\Menu Start\Programy\InfraRecorder C:\Documents and Settings\Adam\Menu Start\Programy\Minecraft C:\Documents and Settings\Adam\Menu Start\Programy\Revo Uninstaller C:\Documents and Settings\Adam\Menu Start\Programy\Spring Season 2.0 C:\Documents and Settings\Adam\Menu Start\Programy\WinRAR C:\Documents and Settings\Adam\Pulpit\CCleaner.lnk C:\Documents and Settings\Adam\Pulpit\Counter Strike 1.6 BF Edition.lnk C:\Documents and Settings\Adam\Pulpit\RegCleaner.lnk C:\Documents and Settings\Adam\Pulpit\Skrót do gta3.lnk C:\Documents and Settings\Adam\Pulpit\Skrót do Mafia2.lnk C:\Documents and Settings\Adam\Ustawienia lokalne\Dane aplikacji\Google C:\Documents and Settings\Adam\Ustawienia lokalne\Dane aplikacji\TrackSaver Reg: reg delete HKCU\Software\Google /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Bonanza /f Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt (ten nie musi być w UTF-8) i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem będzie bez restartu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Posprzątaj w folderach Pulpitu games & modifications + Nieużywane skróty pulpitu, usuwając stamtąd puste skróty. 4. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Problem z Zaporą systemu Windows i Centrum zabezpieczeń wynika z uszkodzenia usługi systemowej Winmgmt, od której omawiane komponenty zależą - została usunięta z systemu, prawdopodobnie była kiedyś infekcja w tym miejscu i któryś skaner ją niestety niepoprawnie "wyleczył". Poza tym, do czyszczenia jest jeszcze adware. Akcje zostaną rozbite na dwie fazy. Wstępnie: 1. Odbudowa usługi. Otwórz Notatnik i wklej w nim: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt] "Type"=dword:00000020 "Start"=dword:00000002 "ErrorControl"=dword:00000000 "ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\ 74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\ 00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\ 6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,00,00 "DisplayName"="Instrumentacja zarządzania Windows" "DependOnService"=hex(7):52,00,50,00,43,00,53,00,53,00,00,00,00,00 "DependOnGroup"=hex(7):00,00 "ObjectName"="LocalSystem" "FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,02,00,00,00,41,00,4d,\ 00,01,00,00,00,60,ea,00,00,01,00,00,00,60,ea,00,00 "Description"="Dostarcza interfejs i model obiektowy w celu uzyskiwania dostępu do informacji zarządzania o systemie operacyjnym, urządzeniach, aplikacjach i usługach. Jeśli ta usługa zostanie zatrzymana, większość oprogramowania opartego na systemie Windows nie będzie działać właściwie. Jeśli ta usługa zostanie wyłączona, uruchomienie usług od niej zależnych nie powiedzie się." [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Parameters] "ServiceDll"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,\ 00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\ 77,00,62,00,65,00,6d,00,5c,00,57,00,4d,00,49,00,73,00,76,00,63,00,2e,00,64,\ 00,6c,00,6c,00,00,00 "ServiceMain"="ServiceMain" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Security] "Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,\ 00,1c,00,01,00,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,\ 00,00,02,00,60,00,04,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,\ 05,12,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\ 20,02,00,00,00,00,14,00,8d,01,02,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,\ 00,18,00,fd,01,02,00,01,02,00,00,00,00,00,05,20,00,00,00,23,02,00,00,01,01,\ 00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\winmgmt\Enum] "0"="Root\\LEGACY_WINMGMT\\0000" "Count"=dword:00000001 "NextInstance"=dword:00000001 Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG Uruchom plik przez dwuklik, potwierdź import do rejestru, zresetuj system. Zapora i Centrum powinny zacząć działać, ale zrób na wszelki wypadek nowy log z Farbar Service Scannner. 2. W logach jest widoczny pewien obiekt adware niekompletnie wykrywany przez FRST. Jest już nowsza wersja FRST, która ma to ponoć naprawione. Proszę pobierz ponownie najnowszą wersję FRST z przyklejonego: KLIK. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut, z poziomu konta alex.

W logu brak jawnych oznak infekcji, do usunięcia będą tylko puste wpisy aplikacji (bez znaczenia pod kątem problemu). Podaj o jakie próby łączenia chodzi - jakie adresy i kiedy to się dzieje, tzn. czy przy korzystaniu z przeglądarki Firefox, czy niezależnie od tego czy jest uruchomiona. Jeśli działoby się to tylko przy korzystaniu z Firefox, należałoby sprawdzić zainstalowane rozszerzenia, mimo że wszystkie są autoryzowane w Mozilla Add-ons: FF Extension: WOT - C:\Users\MarcinJ\AppData\Roaming\Mozilla\Firefox\Profiles\nw0bgy06.default\Extensions\{a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7} [2015-07-14] FF Extension: Яндекс Next - C:\Users\MarcinJ\AppData\Roaming\Mozilla\Firefox\Profiles\nw0bgy06.default\Extensions\yandexnext@everhelper.me.xpi [2015-01-22] FF Extension: X-notifier - C:\Users\MarcinJ\AppData\Roaming\Mozilla\Firefox\Profiles\nw0bgy06.default\Extensions\{37fa1426-b82d-11db-8314-0800200c9a66}.xpi [2014-02-25] FF Extension: Video DownloadHelper - C:\Users\MarcinJ\AppData\Roaming\Mozilla\Firefox\Profiles\nw0bgy06.default\Extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}.xpi [2015-03-16] FF Extension: Adblock Plus - C:\Users\MarcinJ\AppData\Roaming\Mozilla\Firefox\Profiles\nw0bgy06.default\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2014-02-24] Należy podejrzewać programy zabezpieczające. Jest tu inwazyjny ESET skombinowany z MBAM, SUPERAntiSpyware i Spybot - Search & Destroy. Ten ostatni od razu odinstalować, przestarzała konstrukcja, przydatność na dzień dzisiejszy mniejsza niż konkurenta MBAM. Zastanowił mnie też NetWorx - to też jest program oparty o sterowniki sieciowe.

Infekcja została pomyśnie usunięta, MBAM nie powinien nic już wykrywać, a przekierowania powinny ustać. Na zakończenie usuń używane narzędzia za pomocą DelFix, wyczyść foldery Przywracania systemu, oraz zainstaluj najnowszą Java (o ile w ogóle jest potrzebna): KLIK.

MBAM wykrywa tylko folder adware, a nie jego wpisy startowe (usługa + AppInit_DLLs) i być może to jest przyczyna niemożności pełnego usunięcia. Przeprowadź następujące działania: 1. Z klawiatury klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje: Acrobat.com, Adobe AIR, Java 8 Update 51. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S2 Driptax; C:\ProgramData\\Driptax\\Driptax.exe [441856 2015-09-20] () [brak podpisu cyfrowego] AppInit_DLLs: C:\ProgramData\Driptax\Runair.dll => C:\ProgramData\Driptax\Runair.dll [883200 2015-09-26] () AppInit_DLLs-x32: C:\ProgramData\Driptax\Dombam.dll => C:\ProgramData\Driptax\Dombam.dll [738816 2015-09-26] () HKLM\...\Run: [HotKeysCmds] => "C:\Windows\system32\hkcmd.exe" HKLM\...\Run: [Persistence] => "C:\Windows\system32\igfxpers.exe" HKLM-x32\...\Run: [] => [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com SearchScopes: HKU\S-1-5-21-1405971000-2417884801-2386588982-1001 -> {8073BC3A-14B2-4591-A25F-F270CAD6D460} URL = CustomCLSID: HKU\S-1-5-21-1405971000-2417884801-2386588982-1001_Classes\CLSID\{E68D0A55-3C40-4712-B90D-DCFA93FF2534}\InprocServer32 -> C:\Users\MD\AppData\Roaming\GG\ggdrive\ggdrive-menu.dll => Brak pliku Task: {05022457-F664-4F1D-B0E9-925417F81FFA} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {311C6ABC-0922-466B-A48F-BD972885BB3F} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {667C1D3C-4B61-4726-9F5D-C0A3ED909B0A} - System32\Tasks\{DE30885E-839E-44FF-8F5F-15173587157D} => pcalua.exe -a C:\Users\MD\AppData\Roaming\do-search\UninstallManager.exe -c -ptid=cor Task: {6CEB1BFF-1E48-4F7C-901D-259D5DA272BA} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {86A613BD-4CF0-41BC-B386-6C6BC38BDA65} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {87394EE6-B17C-445C-8937-DA2C8C652B02} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {9493304A-2109-4CA7-98BB-733A9E1BBA0E} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {99FC16F4-C582-4AC4-939C-8FA899BA15D2} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {9CBEDC04-61CC-4ACA-ACA9-2CE8E504BCA7} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {A143145B-DDDB-427F-AEA1-A24597C97CCF} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {C942D634-B20B-4B62-BA79-6ADCD286DABF} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {D6E4A09F-C8BC-424F-98E3-CB848B3DB473} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe Task: {E54A7DFE-CAE0-40A9-9151-2B3E4D3C271D} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku C:\ProgramData\Driptax C:\ProgramData\TEMP Reg: reg delete HKLM\SOFTWARE\Wow6432Node\Google\Chrome /f Reg: reg delete "HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes" /f Reg: reg delete "HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes" /f EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

QQPCTray to nie jest wirus, lecz niechciany program zainstalowany przez nieuwagę podczas pobierania programów (metoda typu "downloader" portalowy lub podobne zjawisko). Na początek proszę: 1. Uruchom plik C:\Program Files\Tencent\QQPCMgr\10.10.16434.218\Uninst.exe, by sprawdzić czy to usunie większą partię Tencent. W przypadku braku skutków, zajmę się siłowym usunięciem Tencent z systemu. 2. Przez Dodaj/Usuń programy odinstaluj: - Adware: CinemaP-1.9cV26.09, CinemaPlus-3.2cV26.09, GoHD - Stare wersje: J2SE Development Kit 5.0 Update 12, J2SE Runtime Environment 5.0 Update 12, Java 7 Update 55 Jeśli podczas deinstalacji któregoś wejścia wystąpi błąd, kontynuuj z kolejną pozycją. 3. Zrób nowy log FRST z opcji Skanuj (Scan) - zaznacz ponownie pole Addition, by powstały dwa raporty.

Dostarcz raporty z FRST, GMER pomiń, a także raport z MBAM pokazujący wspominane detekcje.

Debug zrzutów pamięci *.DMP Wskazanym krokiem jest też zdebugowanie obecnych w systemie kilku ostatnich zrzutów pamięci i podanie końcowego raportu tekstowego. W zależności od ustawienia wyżej pokazanej opcji Zapisywanie informacji o debugowaniu pliki *.DMP są w: C:\Windows\Minidump (Mały zrzut pamięci) lub C:\Windows\MEMORY.DMP (pozostałe typy). By odczytać ten typ plików, jest wymagana specjalna aplikacja: BlueScreenView (podstawowy program dla mniej zaawansowanych) lub Debugging Tools for Windows (dla zaawansowanych, o wiele większe możliwości). BlueScreenView Strona domowa Platforma: Windows XP do Windows 10 32-bit i 64-bit Licencja: freeware Nie wymaga Microsoft Debugging Tools i instalacji, ale ma limitowane możliwości i może być konieczne skorzystanie jednak z narzędzia Microsoftu. BlueScreenView potrafi otworzyć lokalizację plików Minidump i przekonwertować zrzuty pamięci na czytelną formę umożliwiającą wytypowanie przyczyny dla krytycznych błędów / restartów komputera. Dla każdego z zrzutów są podawane informacje: nazwa pliku, czas / data powstania, podstawowe informacje wyświetlane na ekranie śmierci (Bug Check Code i 4 parametry), detale o sterownikach lub modułach będących przypuszczalną przyczyną. W dolnej części okna widok prezentuje sterowniki załadowane podczas wystąpienia błędu z opcjonalnym wyróżnianiem kolorem wytypowanych obiektów tworzących problem lub graficzny BSOD w stylu XP. Program jest ustawiony na automatyczne skanowanie lokalizacji C:\Windows\Minidump, podając listę wszystkich wykrytych tam plików zrzutów pamięci. Lokalizację można przekonfigurować w opcjach, co umożliwi odczytywanie np. plików przeniesionych z innego komputera, lub pochodzących z równoleglej instalacji Windows. Również dostępna opcja bezpośredniego otwierania pojedynczego pliku. BlueScreenView potrafi odczytywać pliki Minidump wersji 64-bit. By skopiować dane, podświetl dane wejście i z menu kontekstowego wybierz Save selected items. Wynikowy plik TXT zaprezentuj za pomocą Załączników forum. ================================================== Dump File : 020215-57860-01.dmp Crash Time : 2015-02-02 01:46:25 Bug Check String : DRIVER_POWER_STATE_FAILURE Bug Check Code : 0x1000009f Parameter 1 : 00000000`00000004 Parameter 2 : 00000000`00000258 Parameter 3 : fffffa80`07332040 Parameter 4 : fffff800`049d23d0 Caused By Driver : WudfPf.sys Caused By Address : WudfPf.sys+6500 File Description : Product Name : Company : File Version : Processor : x64 Crash Address : ntoskrnl.exe+79d8a Stack Address 1 : Stack Address 2 : Stack Address 3 : Computer Name : Full Path : D:\DMP\020215-57860-01.dmp Processors Count : 4 Major Version : 15 Minor Version : 7601 Dump File Size : 442 624 Dump File Time : 2015-02-02 09:58:57 ================================================== Debugging Tools for Windows Strona domowa Platforma: Windows XP do Windows 10 32-bit i 64-bit Licencja: darmowa Windows SDK for Windows 10 [Do instalacji na Windows 7 i nowszych] Windows SDK for Windows 7 and .NET Framework 4.0 [Do instalacji na XP i Vista] Wsparcie XP i Vista zostało usunięte z najnowszych edycji. Ostatnia wersja obsługująca te systemy to SDK for Windows 7 and .NET Framework 4.0. Debugging Tools for Windows są składową potężnego SDK, aczkolwiek pobrany plik jest typem instalatora webowego, w którym można skonfigurować instalowane składniki. Należy odznaczyć wszystko z wyjątkiem omawianej tu aplikacji: Windows SDK for Windows 10: Windows SDK for Windows 7 and .NET Framework 4: 1. Po instalacji w Menu Start pojawi się stosowna pozycja, w której wybieramy uruchomienie graficznego interfejsu WinDbg: 2. Następnym krokiem jest doinstalowanie tzw. symboli, które umożliwią dokładniejszą diagnozę. Z menu File > Symbol File Path: Wpisujemy następującą ścieżkę: SRV*Ścieżka*http://msdl.microsoft.com/download/symbols W kolorowe miejsce wstawiamy wybrany przez siebie folder np. C:\Symbole. Debuger, o ile to będzie konieczne, samodzielnie pobierze z internetu wymagane symbole do tegoż właśnie folderu. 3. Czas na otworzenie w debugerze wybranego zrzutu pamięci. Z menu File > Open Crash Dump: Wskazujemy istniejący plik z lokalizacji ustawionej w konfiguracji Zapisywanie informacji o debugowaniu. 4. Wynikowo pojawi się przetransformowana zawartość zrzutu, którą należy uszczegółowić poprzez kliknięcie w !analyze -v. Całość należy przekleić do posta. Jeśli nie potrafisz tego samodzielnie wykonać, zapakuj pliki *.DMP w ZIP i shostuj podając link do pliku. -------------------------------------------------------------------------- PLIKI DO POKAZANIA NA FORUM -------------------------------------------------------------------------- ZIP > zewnętrzny serwis hostingowy

Konfiguracja ekranu z błędem i zrzutów pamięci *.DMP Domyślnie wszystkie Windows są skonfigurowane na automatyczny restart ukrywający BSOD, który może ewentualnie zbyt szybko mignąć, by dało się z niego coś odczytać. W przypadku wystąpienia tajemniczego autorestartu należy skonfigurować odpowiednią opcję, tak by w zamian zaczął się pokazywać konkretny błąd. Teksty ogólne na BSOD są powtarzalne i nas nie interesują, chodzi o detale błędu: - W Windows 7 i starszych ekran BSOD zawiera dokładny kod STOP z 4 parametrami. - W Windows 8 i nowszych ekran BSOD otrzymał nową formę i został ograniczony do przyjaznej nazwy błędu STOP. Brakujący kod STOP i parametry mogą być pozyskane z Dziennika zdarzeń lub zrzutów pamięci. Ekran ewentualnie może zostać zmodyfikowany, by pokazały się 4 parametry (w lewym górnym rogu ekranu) poprzez utworzenie w rejestrze wartości DisplayParameters. Na Windows 8 i 8.1 edycja wymaga instalacji hotfixów sprecyzowanych w KB2929742, na Windows 10 edycja możliwa out-of-box. Ta edycja nie przywraca starej formy ekranu, jak to sugerowane w niektórych opisach na Google. Podstawowa weryfikacja opcji systemowych Z klawiatury kombinacja + R i w polu Uruchom wklej następujące polecenie: Windows Vista do Windows 10: SystemPropertiesAdvanced Windows XP: rundll32.exe shell32.dll,Control_RunDLL sysdm.cpl,,3 To polecenie otworzy Właściwości systemu w karcie Zaawansowane: Należy przejść do sekcji Uruchamianie i odzyskiwanie: I dopasować wyliczane poniżej opcje. Po wykonaniu konfiguracji należy zatwierdzić zmiany poprzez reset systemu. 1. Odznacz Automatycznie uruchom ponownie. W okolicznościach ponawiających problem zamiast auto-restartu pojawi się plansza niebieskiego ekranu śmierci. Należy przepisać informacje typu nazwa i kod błędu oraz (o ile będzie podane) plik generujący błąd. Jak już powiedziane, na Windows 8 i nowszych dane ograniczone tylko do nazwy błędu, ale i to może być przydatne w sytuacji gdy system nie nagrywa z jakiś względów żadnych innych danych (brak rekordu w Dzienniku zdarzeń, czy zrzutów pamięci). 2. Upewnij się, że w Zapisywanie informacji o debugowaniu jest ustawione wykonywanie zrzutu pamięci, a nie (brak). Typy zrzutów pamięci DMP: Mały zrzut pamięci (Small memory dump) - Domyślne ustawienie na XP. Zrzut pamięci jądra (Kernel memory dump) - Domyślne ustawienie na Windows 7 i Vista. Pełny zrzut pamięci (Complete memory dump) - Ta opcja jest niewidoczna na niektórych konfiguracjach posiadających więcej niż 2GB pamięci. Wymaga ogromnego pliku pamięci i miejsca na dysku. W typowej diagnostyce "domowej" rzadko kiedy potrzebna. Automatyczny zrzut pamięci (Automatic memory dump) - Tylko w Windows 8 i Windows 10. Domyślne ustawienie na tych systemach. Aktywny zrzut pamięci (Active memory dump) - Tylko w Windows 10. Małe zrzuty są generowane w folderze C:\Windows\Minidump (pliki nie są zastępowane), wszystkie pozostałe są zapisywane do pliku C:\Windows\MEMORY.DMP (domyślnie jest zastępowany), o ile nie zmieniano ręcznie konfiguracji lokalizacji. Brak obecności plików zrzutów *.DMP, mimo prawidłowej konfiguracji systemu na zapis zrzutów, może wynikać z braku miejsca na dysku, nieprawidłowych ustawień pliku pamięci wirtualnej (brak pliku lub jest za mały), lub użycia czyściciela usuwającego pliki DMP (np. CCleaner). Dodatkowo, od Windows 7 na komputerach domowych nie podłączonych do domeny domyślnie Zrzut pamięci jądra nie jest zapisywany na dysku z mniej niż 25GB wolnego. Automatyczna konfiguracja systemu pod kątem Zrzutu pamięci jądra lub Pełnego zrzutu pamięci Do tego celu służy skrypt DumpConfigurator.hta. Uwzględnia także rozmaite edycje rejestru udokumentowane przez Microsoft.

:( Diagnostyka samoczynnych restartów i BSOD Materiały pomocnicze w diagnostyce na forum Konfiguracja ekranu z błędem i zrzutów pamięci *.DMP Debug zrzutów pamięci *.DMP Materiały referencyjne: KB254649 - Overview of memory dump file options for Windows KB969028 - How to generate a kernel or a complete memory dump file in Windows Server 2008 and Windows Server 2008 R2 KB2860880 - How to determine the appropriate page file size for 64-bit versions of Windows KB3106831 - Troubleshooting Stop error problems for IT Pros Getting Crash Dumps to Appear in Win7 Kernel dump storage and clean up behavior in Windows 7 Understanding Crash Dump Files Copyright @picasso fixitpc.pl Powielanie tej pracy zabronione.

Zadanie pomyślnie wykonane. Przypominam o aktualizacji modułu ESET, by zapobiec pojawieniu się usterki ponownie. Usuń plik C:\Windows\SetACL.exe oraz pobrany GMER. Następnie zastosuj DelFix.

Fix FRST pomyślnie przetworzony. Problem z ikonami Pulpitu jest też już jasny - tworzą go błędne ścieżki w kluczach InProcServer32: HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32 (Default) REG_EXPAND_SZ %SystemRoot%\system32\shell32.dll ThreadingModel REG_SZ Apartment HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32 (Default) REG_EXPAND_SZ %SystemRoot%\SysWow64\shell32.dll ThreadingModel REG_SZ Apartment W Windows 10 jest kierunek na plik windows.storage.dll. Kierunek na shell32.dll występuje w Windows 7 i starszych systemach. To nie jest infekcja, błąd musiał utworzyć program zewnętrzny. Mówiłeś, że ESET coś wykrywał - te wykryte rzeczy to błahe sprawy, które nie miały wpływu na system. Wbrew moim podejrzeniom w raporcie ESET nie było więc nic powiązanego, ale poszukałam informacji na oficjalnym forum ESET. To jest wina ESET, dowolna detekcja odpala tę usterkę: KLIK. To oznacza, że gdy naprawię problem, on się ponownie pojawi, gdyż skorzystasz z ESET. Naprawa: 1. Pobierz SetACL (na spodzie strony klik w "Administrators: Download the EXE version of SetACL 3.0.6 for 32-bit and 64-bit Windows"). Rozpakuj pobraną paczkę i z folderu x64 przekopiuj plik SetACL.exe do katalogu C:\Windows. 2. Otwórz Notatnik i wklej w nim: CMD: SetACL -on "HKLM\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32" -ot reg -actn setowner -ownr "n:Administratorzy" CMD: SetACL -on "HKLM\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32" -ot reg -actn ace -ace "n:Administratorzy;p:full" CMD: SetACL -on "HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32" -ot reg -actn setowner -ownr "n:Administratorzy" CMD: SetACL -on "HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32" -ot reg -actn ace -ace "n:Administratorzy;p:full" Reg: reg add HKLM\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32 /ve /t REG_EXPAND_SZ /d ^%SystemRoot^%\system32\windows.storage.dll /f Reg: reg add HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32 /ve /t REG_EXPAND_SZ /d ^%SystemRoot^%\SysWow64\windows.storage.dll /f CMD: SetACL -on "HKLM\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32" -ot reg -actn ace -ace "n:Administratorzy;p:read" -actn setowner -ownr "n:SYSTEM" CMD: SetACL -on "HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32" -ot reg -actn ace -ace "n:Administratorzy;p:read" -actn setowner -ownr "n:SYSTEM" Reboot: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nastąpi restart systemu. Powstanie kolejny plik fixlog.txt. Przedstaw go. 3. Jeśli punkt 2 poprawnie się wykona, po restarcie problem z ikonami powinien ustąpić. Ale Twój ESET znów to zepsuje, gdy nastąpi jakaś detekcja. Z tego co rozumiem z wątku na forum ESET, trzeba zaktualizować moduł "Cleaner" w ESET.

Caspa Temat zostaje przeniesiony do działu Windows 10. W raportach brak jakichkolwiek śladów infekcji, która mogłaby mieć z tym związek i szczerze powątpiewam, by problem był pochodną infekcji. Te objawy mogą być wynikiem różnych problemów, w tym zupełnie nie związanych z infekcją. Ważna sprawa, nie podałeś raportu z ESET co usuwał i skąd, a wytyczne działu wyraźnie wskazują by owe materiały dostarczyć. ZeroAccess to stara infekcja (nieaktywny botnet), która od jakiegoś czasu nie występuje, a określone warianty tej infekcji nawet nie mogą się zainstalować w Windows 10 ze względu na zmiany techniczne w tej platformie. W Twoim systemie nie występuje żadna z wersji ZeroAccess, wliczając wariant który powoduje opisywany problem - dowodem są logi z FRST (program specjalizowany w detekcji wszystkich znanych wariantów ZeroAccess). BSOD także nie może być z winy nieistniejącego ZeroAccess. Natomiast tu jest podejrzenie, że przyczyną usterki z ikonami Pulpitu może być ... ESET - błędna detekcja i edycja określonego klucza w rejestrze. Nie jest też pewne co dodatkowo robiłeś (widać pobrany SystemLook), czy się dodatkowo nie pogrążyłeś próbując "naprawiać" coś ręcznie i stosując wpisy rejestru niepasujące do Windows 10. Krok pierwszy to będzie pobranie określonych danych z rejestru w trybie "tylko do odczytu" - załączam pobór tych danych w skrypcie FRST podanym niżej. Druga sprawa: Twój system Windows 10 był instalowany techniką aktualizacji Windows 7, w konsekwencji w systemie pozostały śmieci po poprzednim systemie, głównie w Harmonogramie zadań. Jest to sprawa podrzędna, lecz dodatkowo będę sprzątać system z tych śmieci. Zwracam też uwagę, że aktualizacja Windows 10 wyłączyła Przywracanie systemu, miej tego świadomość. Do przeprowadzenia następujące operacje: 1. Otwórz Notatnik i wklej w nim: Task: {00CBB0B7-B00C-491C-AF49-52BA7CDD0174} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {1636749C-5D41-4834-A113-2F904EEB7337} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {1765BCFC-C7EB-4485-AF1E-6803AFD455C1} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {1DF2729B-6D6D-4CDC-B021-060005C89BA8} - System32\Tasks\{EDB1BC50-C530-46F4-BCDE-766C7AC5361D} => pcalua.exe -a D:\utorrnet\Dishonored\setup.exe -d D:\utorrnet\Dishonored Task: {2086D245-674E-4D61-8BA1-480EC16D7713} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {255B38F8-CDBA-4A24-96F8-A41A268964BE} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {27C5F0C2-3C94-45C7-B3E8-A23A643EF653} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {2AA35FC8-CBDF-43BB-A9DA-FBABE3A6750F} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {4A3FF6E4-EAC1-4E99-AB4B-8771DC30BDD2} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {57B6C199-1BA7-4466-A392-483D0B3397D2} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {5B2E3D90-9843-4C23-BBE8-AEFFBD324D59} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {604148F3-76BB-427B-AA8C-31E0A07704EA} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {622BA747-0B24-42BA-A7DA-9D4DD2C04F59} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {630803A1-E321-448B-94B7-A220C563D041} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {63E61DCB-731F-4FA9-8331-EA99CC49B982} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {6D3C31D6-8199-4FA8-9EE9-281A0C859654} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {6F56CCDC-70E7-497C-8A02-F1DA80F7ABF2} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {7153B9E4-FB56-4CC3-AD08-1657B1E7A974} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {7748C444-9625-45B9-A849-F03DE5030D54} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {7ADF769F-8706-4C99-9F34-A0C97696CABA} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {8DB910B8-204F-47E7-863F-15E6907A8710} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {A8427BEA-1214-4C4F-9ACF-4CCB48BBB2A0} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {A8E2669D-1DBD-444C-857E-230A4FC0C3A8} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {B1CB71DC-3F75-4A86-8DEF-81E8EE9DF5CD} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {BA91FB0B-8031-42EF-B001-004AF0B87A20} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {D0A4CCE7-5D56-4645-99C2-E6F80C67FE58} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {D1695A40-1AA8-4471-8E42-9AEA8A0B2702} - System32\Tasks\{DC37BBA6-2B1B-4AB3-989B-ECCAA1B9B4AA} => pcalua.exe -a "D:\The Sims 2\EAUninstall.exe" Task: {D52A02A2-4F51-4E88-8B99-EB1AD47C5CCF} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {DADC4D21-9F67-4BA9-8887-068A50F18246} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {DC23FDA8-ED61-476C-A755-5B039E328D63} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {E44EFBDE-75D0-45B3-89CB-BB71B566886B} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {EF5262B9-983E-4871-95B2-0FC235EFD683} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {F130609F-7B1E-4028-82CD-EACD2B96D906} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {F3705329-0CE2-41D4-AA52-ED5BD64887BD} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {F6781F84-A3D6-4B1F-84D1-D586BAA5C43B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku U3 fxtoipow; C:\Users\konto\AppData\Local\Temp\fxtoipow.sys [56496 2015-09-23] (GMER) [brak podpisu cyfrowego] U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath HKU\S-1-5-21-835746795-2319851380-3316763563-1000\...\Run: [Clownfish] => [X] FF Plugin: @esn/npbattlelog,version=2.6.2 -> C:\Program Files (x86)\Battlelog Web Plugins\2.6.2\npbattlelogx64.dll [brak pliku] FF Plugin: @esn/npbattlelog,version=2.7.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.7.0\npbattlelogx64.dll [brak pliku] FF Plugin-x32: @esn/npbattlelog,version=2.6.2 -> C:\Program Files (x86)\Battlelog Web Plugins\2.6.2\npbattlelog.dll [brak pliku] FF Plugin-x32: @esn/npbattlelog,version=2.7.0 -> C:\Program Files (x86)\Battlelog Web Plugins\2.7.0\npbattlelog.dll [brak pliku] DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center C:\Windows\System32\Tasks\Microsoft\Windows\Media Center Reg: reg query HKCU\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s Reg: reg query HKLM\SOFTWARE\Classes\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s Reg: reg query HKLM\SOFTWARE\Classes\Wow6432Node\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1} /s Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Drobny odpadek adware w Google Chrome: Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres feed.helperbar.com 3. Zrób nowy log FRST z opcji Skanuj (Scan), zaznacz ponownie pole Addition, by powstały dwa logi. Dołącz też plik fixlog.txt oraz przeklej raport ESET pokazujący co on usuwał.

Nowym pomocnikiem działu zostaje Nevan - ukończył kurs w jednej ze szkół bloku UNITE (Geeks2Go). Zostało omówione czego oczekuję i jak ma wyglądać praca tutaj.

Zemana AntiMalware Free Strona domowa Platforma: Windows XP, Vista, Windows 7, Windows 8/8.1, Windows 10 32-bit i 64-bit Darmowa edycja już niedostępna. Co więcej, Zemana jako całość to marka która obecnie cienko przędzie i jest prawdopodobnie na wylocie. Wszystkie komercyjne produkty wyglądają na nierozwijane/porzucone. Do wglądu dyskusja. Bezpłatna edycja programu Zemana, ograniczona do skanu i usuwania infekcji. Obecnie program ma także zintegrowany nasz główny skaner diagnostyczny używany na forum, czyli FRST (ukryty w opcjach Zaawansowanych).