picasso

Owszem, to jest miejsce z którego startuje crack i to część zestawu, uruchomienie następuje via Harmonogram zadań: Task: {767108ED-CD0D-4CBE-B996-C1D4F15C49ED} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe [2016-05-13] () Ale ten katalog prawdopodobnie nie zawiera deinstalatora i powinieneś posłużyć się tym czym wprowadziłeś crack, by go poprawnie odinstalować.

Temat przenoszę do działu Windows. Brak jakichkolwiek oznak infekcji. Z raportów nic nie wynika, a przetwarzanie drobnych pustych wpisów na razie pomijam (brak znaczenia). Czy te objawy na pewno nadal występują po deinstalacji AVG? Jedyne co mi przychodzi teraz do głowy, to deinstalacje zbędnych aplikacji preintegrowanych na Lenovo, tych z których nie korzystasz, co wyeliminowałoby przynajmniej niektóre obiekty startowe. Odrzucając sterowniki, diagnostyk i soft Recovery: Cisco EAP-FAST Module (HKLM-x32\...\{64BF0187-F3D2-498B-99EA-163AF9AE6EC9}) (Version: 2.2.14 - Cisco Systems, Inc.) Cisco LEAP Module (HKLM-x32\...\{AF312B06-5C5C-468E-89B3-BE6DE2645722}) (Version: 1.0.19 - Cisco Systems, Inc.) Cisco PEAP Module (HKLM-x32\...\{0A4EF0E6-A912-4CDE-A7F3-6E56E7C13A2F}) (Version: 1.1.6 - Cisco Systems, Inc.) CyberLink PowerDirector 10 (HKLM-x32\...\InstallShield_{B0B4F6D2-F2AE-451A-9496-6F2F6A897B32}) (Version: 10.0.0.2810 - CyberLink Corp.) Hightail for Lenovo (HKLM\...\{2F10E937-F6D7-4174-8AB9-B299E8FC5CEC}) (Version: 2.4.97.2857 - Hightail, Inc.) Lenovo FusionEngine (HKLM-x32\...\Lenovo FusionEngine) (Version: 1.0.13.0 - Lenovo, Inc.) Lenovo Mobile Phone Wireless Import (HKLM-x32\...\InstallShield_{DFB2E0D6-8DDE-49A4-B8F7-03C14DACCBA6}) (Version: 1.1.1.9 - Lenovo) Lenovo PhoneCompanion (HKLM-x32\...\InstallShield_{0F82EA83-B0C5-4AB9-9695-DFE92C5FD57B}) (Version: 1.2.0.0 - Lenovo) Lenovo Photo Master (HKLM-x32\...\InstallShield_{BC94C56A-3649-420C-8756-2ADEBE399D33}) (Version: 1.0.1823.01 - CyberLink Corp.) Lenovo PowerDVD10 (HKLM-x32\...\InstallShield_{DEC235ED-58A4-4517-A278-C41E8DAEAB3B}) (Version: 10.0.5630.52 - CyberLink Corp.) Lenovo SHAREit (HKLM-x32\...\Lenovo SHAREit_is1) (Version: 2.0.5.0 - Lenovo Group Limited) Lenovo Solution Center (HKLM\...\{4386A5EF-BD23-49F4-9DAD-CD76B4F6A8BF}) (Version: 2.8.006.00 - Lenovo Group Limited) Lenovo VeriFace Pro (HKLM\...\Lenovo VeriFace) (Version: 5.0.14.1061 - Lenovo) Metric Collection SDK 35 (x32 Version: 1.2.0001.00 - Lenovo Group Limited) Hidden Power2Go (HKLM-x32\...\{40BF1E83-20EB-11D8-97C5-0009C5020658}) (Version: 5.6.0.10525 - CyberLink Corp.) SHAREit (HKLM-x32\...\SHAREit_is1) (Version: 3.2.0.526 - Lenovo) Visual Studio 2012 x64 Redistributables (HKLM\...\{8C775E70-A791-4DA8-BCC3-6AB7136F4484}) (Version: 14.0.0.1 - AVG Technologies) Visual Studio 2012 x86 Redistributables (HKLM-x32\...\{98EFF19A-30AB-4E4B-B943-F06B1C63EBF8}) (Version: 14.0.0.1 - AVG Technologies CZ, s.r.o.) Wpis "Metric Collection SDK 35" jest ukryty, więc do jego usunięcia Program Install and Uninstall Troubleshooter.

Masa uszkodzonych plików i jest do nie do naprawienia automatycznie bez przesłania idealnych wersji komponentów ze sprawnego systemu. Wyników jest jednak tak dużo, a skan nawet niepełny, że ta robota raczej odpada i klaruje się przeinstalowanie Windows. Z tym że niemożność ukończenia skanu SFC brzmi niepokojąco i może być oznaką problemów grubszego kalibru z dyskiem twardym (złe bloki). Toteż przesuwam temat na diagnostykę dysku do działu Hardware. Dostarcz dane wymagane działem: KLIK.

Skrypt FRST wykonany. Mała poprawka. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\Mozilla\Seamonkey C:\Users\Administrator\AppData\Roaming\c* C:\Windows\system32\java.exe C:\Windows\system32\javaw.exe Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Czy na pewno oba wpisy są na różowym tle? Rekordy typu "not found" powinny być na żółtym, natomiast pliki nie podpisane cyfrowo na różowym.

1. Jeśli chodzi o błąd ShellExperienceHost, spróbuj przeinstalować tę aplikację. Uruchom menedżer zadań > Plik > Uruchom nowe zadanie > w polu wklep powershell > zaznacz "Utwórz to zadanie z uprawnieniami administracyjnymi". W onie PowerShell wklej poniższe polecenie: Get-AppxPackage -allusers Microsoft.Windows.ShellExperienceHost | Foreach {Add-AppxPackage -DisableDevelopmentMode -Register "$($_.InstallLocation)\AppXManifest.xml"} Jeśli komenda się poprawnie wykona, zrestartuj system i podaj czy nadal są problem z Menu Start. 2. Natomiast nie jestem pewna co sądzić o błędzie Cortany. Cortana nie jest aktywna na polskich Windows 10 (niedostępna dla tego regionu): KLIK. Aczkolwiek u mnie diagnostyk MS nie zwraca błędu związanego z Cortaną.

DelFix wykonał robotę. Skasuj z dysku plik raportu C:\delfix.txt. Temat rozwiązany. Zamykam. I wielkie dzięki za ewenualne wsparcie.

BSOD, więc brak zmian, nadal te same wpisy w raporcie. Powtarzaj całą operację od początku, tylko w punkcie 1 Fix wywołaj z poziomu Trybu awaryjnego, a ze skryptu wytnij komendę CreateRestorePoint: (nie działa w Trybie awaryjnym).

Temat przenoszę do działu Windows. Brak oznak, by problemy były pochodną infekcji. Podejrzenia za to mogą budzić programy zabezpieczające (Avast i IOBit), z tym że IOBit został co dopiero zainstalowany, więc go wykluczam. 1. Zacznij od testu czy Avast jest powiązany, tzn. go tymczasowo odinstaluj. Przy okazji pozbądź się też IObit Malware Fighter 4 ze względu na reputację ogólną producenta: KLIK. Sugeruję wywalić też pozostałe programy IOBit. 2. W spoilerze dodatkowe poboczne czyszczenie wpisów odpadkowych / pustych oraz Tempów. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy po usunięciu Avast jest jakaś zmiana. PS. Widzę, że niedawno zainstalowałeś trupa Gadu-Gadu 6.1, w którym prawie nic nie działa jak powinno ze względu na ogromne zmiany w protokole GG. Jaki był powód tego działania, skoro posiadasz WTW?

Nie wiem skąd pobierałeś FRST, użyta starsza wersja FRST, nowa pochodzi z wczoraj... Temat zostaje przeniesiony pod bardziej dopasowanym do problemu tytułem do działu Windows, żadnych oznak, by problemy były wynikiem infekcji. W Chrome owszem adware APSuggestor, ale to nie jest powiązane. DNS_PROBE_FINISHED_NXDOMAIN to błąd Google Chrome, nic nie wypowiadasz się na temat innych przeglądarek. Kolejna sprawa to kontekst konta z poziomu którego zrobionoi raporty z FRST, pochodzą z konta Piotr, ale w systemie są jeszcze dwa dodatkowe Michal i Pitek, nie wiadomo czy błędy widzisz na wszystkich. Jeśli chodzi o użycie ComboFix (brak raportu), to prawdopodobnie uszkodził te skróty deinstalacyjne wywalając powiązane pliki z dysku (o ile pamięć mnie nie myli, usuwa tego rodzaju pliki): G:\Documents and Settings\All Users\Menu Start\Programy\WYSIWYG Web Builder 8\Uninstall WYSIWYG Web Builder 8.lnk -> G:\WINDOWS\iun6002.exe (Brak pliku) G:\Documents and Settings\All Users\Menu Start\Programy\Sabrina - Nastoletnia czarownica\Magiczna czapka\Odinstaluj grę Sabrina.lnk -> G:\WINDOWS\IsUn0415.exe (Brak pliku) G:\Documents and Settings\All Users\Menu Start\Programy\Gry\Invictus\Usunięcie gry Invictus.lnk -> G:\WINDOWS\IsUn0415.exe (Brak pliku) Wstępnie rozwiąż problemy widziane w raportach: 1. Masowe oznaczenia Brak podpisu cyfrowego dla usług i sterowników Microsoftu, co oznacza uszkodzenie bazy Usług kryptograficznych. Uruchom narzędzie Fix It 50202 (działa na XP): KLIK. Zaznacz tryb agresywny, który m.in. zawiera reset bazy catroot2. 2. Przez Dodaj/Usuń programy odinstaluj stare niebezpieczne wersje z lukami: Adobe Flash Player 11 ActiveX, Adobe Flash Player 21 NPAPI, Bonjour, Gadu-Gadu 7.6, Google Talk Plugin (nie działa już), Java 7 Update 21, Java 7 Update 6, Opera 12.17, QuickTime, Real Alternative 1.32, Safari, Visual C++ Runtime for Dragon NaturallySpeaking (odpadek). 3. Usunięcie odpadkowych i pustych wpisów (w tym skrótów): 4. Czyszczenie przeglądarek na koncie Piotr: Przed czyszczeniem wyeksportuj z przeglądarek zakładki, zaimportujesz je potem na świeże profile. Zamknij Firefox. Start > Uruchom > wklej komendę "G:\Program Files\Mozilla Firefox\firefox.exe" -p i w menedżerze profilów załóż całkiem nowy a wszystkie pozostałe skasuj. W Google Chrome menu Ustawienia > karta Ustawienia > Osoby > załóż całkowicie nowy profil i się na niego zaloguj. Okno poprzedniego zamknij. Pousuwaj pozostałe profile w opcjach. Po założeniu nowych profilów na razie nie instaluj żadnych rozszerzeń w przeglądarkach. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy widzisz jakieś zmiany.

Żadnych nowych obiektów infekcji, natomiast w Firefox zostały masowo domontowane różne rozszerzenia, więc to one budzą podejrzenia: FF Extension: Google Translator for Firefox - C:\Users\Agata\AppData\Roaming\Mozilla\Firefox\Profiles\jgsdud32.default-1468599369378\extensions\translator@zoli.bod.xpi [2016-07-15] FF Extension: Online Convert - C:\Users\Agata\AppData\Roaming\Mozilla\Firefox\Profiles\jgsdud32.default-1468599369378\extensions\firefox@online-convert.com.xpi [2016-07-15] FF Extension: To Google Translate - C:\Users\Agata\AppData\Roaming\Mozilla\Firefox\Profiles\jgsdud32.default-1468599369378\Extensions\jid1-93WyvpgvxzGATw@jetpack.xpi [2016-07-15] FF Extension: YouTube™ HD Plus - C:\Users\Agata\AppData\Roaming\Mozilla\Firefox\Profiles\jgsdud32.default-1468599369378\Extensions\jid1-wkCmfgboni3B1Q@jetpack.xpi [2016-07-15] FF Extension: uBlock Origin - C:\Users\Agata\AppData\Roaming\Mozilla\Firefox\Profiles\jgsdud32.default-1468599369378\Extensions\uBlock0@raymondhill.net.xpi [2016-07-15] FF Extension: Video DownloadHelper - C:\Users\Agata\AppData\Roaming\Mozilla\Firefox\Profiles\jgsdud32.default-1468599369378\Extensions\{b9db16a4-6edc-47ec-a1f4-b86292ed211d}.xpi [2016-07-15] FF Extension: Adblock Plus - C:\Users\Agata\AppData\Roaming\Mozilla\Firefox\Profiles\jgsdud32.default-1468599369378\Extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}.xpi [2016-07-15] Np. skoro masz uBlock Origin to Adblock Plus zbędny. Nie jest też wiadome ile filtrów załadowałaś w obu blokerach, tzn. czy zachowałaś standardową instalację, czy zmieniłaś coś. Im więcej filtrów zaznaczonych, tym bardziej ociężała przeglądarka. Dotyczy to każdego blokera reklam. I na koniec ponownie zastosuj DelFix. To wszystko.

Brakuje trzeciego obowiązkowego pliku FRST Shortcut. Był tu stosowany ComboFix i na przyszłość: KLIK. Obecnie nie jest to nawet zbyt dobry program do usuwania adware/PUP, większą specjalizację w tej materii ma np. (również tu stosowany) AdwCleaner. Jedyne co widać w raporcie, to 3 podejrzane sterowniki gamzexalias + viavkrext + vonetframe i związane z nimi moduły. Przy okazji będę także adresować poniższe błędy w Dzienniku zdarzeń poprzez reset plików idstore.*: Dziennik System: ============= Error: (07/21/2016 12:13:21 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Grupowanie sieci równorzędnej zależy od usługi Protokół rozpoznawania nazw równorzędnych, której nie można uruchomić z powodu następującego błędu: %%-2140993535 Error: (07/21/2016 12:13:21 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Protokół rozpoznawania nazw równorzędnych zakończyła działanie; wystąpił następujący błąd: %%-2140993535 Error: (07/21/2016 12:13:21 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Grupowanie sieci równorzędnej zależy od usługi Protokół rozpoznawania nazw równorzędnych, której nie można uruchomić z powodu następującego błędu: %%-2140993535 Error: (07/21/2016 12:13:21 PM) (Source: Service Control Manager) (EventID: 7023) (User: ) Description: Usługa Protokół rozpoznawania nazw równorzędnych zakończyła działanie; wystąpił następujący błąd: %%-2140993535 Error: (07/21/2016 12:13:21 PM) (Source: PNRPSvc) (EventID: 102) (User: ) Description: 0x80630801 Działania do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R2 gamzexalias; C:\Windows\system32\drivers\trayftptd.sys [140400 2009-07-14] () R1 viavkrext; C:\Windows\system32\drivers\viavkrext.sys [545384 2016-05-09] () [Brak podpisu cyfrowego] R1 vonetframe; C:\Windows\system32\drivers\vonetframe.sys [851560 2016-05-23] () [Brak podpisu cyfrowego] ShellIconOverlayIdentifiers: [BaiduAntivirusIconLock] -> {0A93904A-BB1E-4a0c-9753-B57B9AE272CC} => C:\Program Files (x86)\Baidu Security\Baidu Antivirus\5.4.3.133394.0\BavShx64.dll Brak pliku CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <======= UWAGA HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-3860599293-1058024457-1363361982-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <======= UWAGA HKU\S-1-5-21-3860599293-1058024457-1363361982-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch SearchScopes: HKU\S-1-5-21-3860599293-1058024457-1363361982-1000 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main FF Plugin HKU\S-1-5-21-3860599293-1058024457-1363361982-1000: @tools.google.com/Google Update;version=3 -> C:\Users\7\AppData\Local\Google\Update\1.3.29.5\npGoogleUpdate3.dll [Brak pliku] FF Plugin HKU\S-1-5-21-3860599293-1058024457-1363361982-1000: @tools.google.com/Google Update;version=9 -> C:\Users\7\AppData\Local\Google\Update\1.3.29.5\npGoogleUpdate3.dll [Brak pliku] CustomCLSID: HKU\S-1-5-21-3860599293-1058024457-1363361982-1000_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\7\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3860599293-1058024457-1363361982-1000_Classes\CLSID\{CC182BE1-84CE-4A57-B85C-FD4BBDF78CB2}\InprocServer32 -> C:\Users\7\AppData\Local\Google\Update\1.3.29.1\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3860599293-1058024457-1363361982-1000_Classes\CLSID\{D1EDC4F5-7F4D-4B12-906A-614ECF66DDAF}\InprocServer32 -> C:\Users\7\AppData\Local\Google\Update\1.3.28.15\psuser_64.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-3860599293-1058024457-1363361982-1000_Classes\CLSID\{E8CF3E55-F919-49D9-ABC0-948E6CB34B9F}\InprocServer32 -> C:\Users\7\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => Brak pliku C:\ProgramData\winfirewall C:\Users\7\AppData\Local\{F2A0BBF0-D7F0-4519-B9E9-7ABE6EE6A10D} C:\Users\7\AppData\Local\5DE9302D0D38 C:\Users\7\AppData\Local\BIT2E71.tmp C:\Windows\viavkrextHelp.dll C:\Windows\viavkrextHelp(40).dll C:\Windows\vonetframeHelp.dll C:\Windows\vonetframeHelp(41).dll C:\Windows\system32\drivers\viavkrext.sys C:\Windows\system32\drivers\vonetframe.sys C:\Windows\ServiceProfiles\LocalService\AppData\Roaming\PeerNetworking\idstore.* EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Dzienniki zdarzeń. Start > w polu szukania wpisz eventvwr.msc > z prawokliku Uruchom jako Administrator. W sekcji Dzienniki systemu Windows z prawokliku wyczyść gałęzie Aplikacja i System. W sekcji Dzienniki aplikacji i usług > Microsoft > Windows > CodeIntegrity > z prawokliku wyczyść Operational. Po akcji zresetuj system, by nagrały się nowe błędy w Dzienniku zdarzeń. 3. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut. Dołącz też plik fixlog.txt. Wypowiedz się czy nadal występują problemy.

Wszystko wygląda na zrobione. Dla świętego spokoju możesz zrobić dla potwierdzenia ostatnie logi FRST (FRST.txt + Addition.txt, bez Shortcut).

1. Na koncie Biuro nie widać nic ciekawego. Tylko w Firefox przekonfiguruj w opcjach stronę startową, obecnie ustawiona sponsorowana: FF Homepage: hxxp://www.interia.pl/#utm_source=instalki&utm_medium=installer&utm_campaign=instalki 2. Na koniec pousuwaj z obu kont pobrane narzędzia i ich logi. Następnie na dowolnym z kont zapuść DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To wszystko.

Podejrzewam, że problem tworzyły pozostałości po infekcji DNS Unlocker (izraelskie adresy DNS): Tcpip\..\Interfaces\{A8A3C5F9-E5DC-43E3-821F-22660015189D}: [NameServer] 82.163.143.187,82.163.142.187 Wpis ten pojawił się dopiero w drugim logu FRST i go jakoś przeoczyłam.

W raportach brak jakichkolwiek oznak infekcji. Możesz wykonać poboczne działania: 1. Odinstaluj AVG Web TuneUp. To zbędny element instalacji, klasyfikowany nawet jako "PUP", rekonfigurujący przeglądarki na sponsorowane wyszukiwarki. 2. Kosmetyczny skrypt usuwający odpadkowe wpisy i czyszczący Temp. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {17CB82BC-C80D-4BD5-AC89-FB78F8142C46} - System32\Tasks\0615tbUpdateInfo => C:\ProgramData\Avg_Update_0615tb\0615tb_{EC2EB56D-F61B-4254-8F63-EFCEE17F9E9C}.exe Task: {61BB74E3-58A1-48D0-8E1C-078D1BC2431E} - System32\Tasks\{62EA9FEC-E775-4805-A002-0B779236C781} => pcalua.exe -a D:\Gry\starwars\LaunchEAW.exe -d D:\Gry\starwars Task: {8F839BB0-1271-447F-9AD7-BA643BCD9DCB} - System32\Tasks\{A5CB3A00-34C1-4BD5-9DB7-771D985143DC} => pcalua.exe -a D:\Gry\hp1\System\HP.exe -d D:\Gry\hp1 Task: {9A9579F2-03D1-440F-A88E-D0D9099C5EC5} - System32\Tasks\{29D8F6CF-8987-44FE-81F8-7657B0F45C5F} => pcalua.exe -a E:\EASetup.exe -d E:\ DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\ProgramData\Microsoft\Windows\GameExplorer\{3D7FECFA-0EDB-470B-BBCD-43570D110DE0} C:\ProgramData\Microsoft\Windows\GameExplorer\{71F82E73-0EF4-48C7-B50A-E16E920EB8A5} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Paradox Interactive C:\Users\Admin\AppData\Local\GG EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.

To nie zmienia faktu, że crack jest nadal w systemie, a czy on będzie wykrywany w określonych programach to inne zagadnienie. Oczywiście to Twój wybór, że crack zatrzymujesz, ale ja nadal sugeruję się go pozbyć (eliminacja obiektu startowego). Nadal reszta zdań do wykonania, skrypt do FRST po ominięciu wpisów cracka: CloseProcesses: (CreateRestorePoint: HKU\S-1-5-21-1408775573-1599534048-231330914-1001\...\Run: [AdobeBridge] => [X] AppInit_DLLs-x32: Ȇ噎䵒䉐̄ => Brak pliku GroupPolicyScripts: Ograniczenia GroupPolicyScripts\User: Ograniczenia CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia FF Plugin HKU\S-1-5-21-1408775573-1599534048-231330914-1001: ubisoft.com/uplaypc -> C:\Program Files\ubigówno\Ubisoft Game Launcher\npuplaypc.dll [brak pliku] Task: {8116136B-BC96-4957-9346-97F633F47838} - System32\Tasks\{963232E4-DBED-42E4-B745-F5FCE371D9D8} => pcalua.exe -a "C:\Program Files (x86)\Codemasters\FUEL\FUEL.exe" -d "C:\Program Files (x86)\Codemasters\FUEL" Task: {AE03CE59-1109-4DE3-BA89-C621A2448530} - System32\Tasks\{452ECBCA-52B4-46CE-B76C-AAE86E580A42} => pcalua.exe -a "D:\Games\Dying Light The Following Enhanced Edition\unins000.exe" Task: {F42D3399-76DB-45E5-A61D-A359DEB08014} - System32\Tasks\{180C0E80-14D6-4D4B-B422-E901D41231D2} => pcalua.exe -a "C:\Program Files (x86)\VIA\VIAudioi\VDeck\VDeck.exe" -d "C:\Program Files (x86)\VIA\VIAudioi\VDeck" S3 EsgScanner; C:\Windows\System32\DRIVERS\EsgScanner.sys [22704 2016-07-17] () S3 AsrOcDrv; \??\C:\Windows\SysWOW64\Drivers\AsrOcDrv.sys [X] R4 hitmanpro37; \??\C:\Windows\system32\drivers\hitmanpro37.sys [X] S3 VBoxNetFlt; \SystemRoot\system32\DRIVERS\VBoxNetFlt.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PAexec => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PAexec => ""="Service" DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Google C:\ProgramData\Microsoft\Windows\GameExplorer\{154432E0-8AC3-4F23-A60D-22E0F39C257B} C:\Users\Capri\AppData\Local\Microsoft\Windows\GameExplorer\{7F27935C-F3C4-4E97-9EA1-C68457B09A6C} C:\Users\Capri\AppData\Roaming\msregsvv.dll C:\Windows\system32\Drivers\EsgScanner.sys EmptyTemp:

Jak mówię, wersja Firefox nie powinna mieć nic do rzeczy, gdyż nie mam żadnego problemu na dokładnie tej samej wersji (klik na ikonę otwiera menu w którym mogę otworzyć linki do aplikacji Google). Firefox był odświeżany u Ciebie. Mimo wszystko ten nowy profil nie jest tożsamy z utworzeniem od zera profilu, gdyż część danych jest kopiowana ze starego profilu do nowego. Sprawdź czy na zupełnie nowym profilu jest ten sam problem. Zamknij Firefox. Klawisz z flagą Windows + R i w polu Uruchom wklej komendę: "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -p W oknie menedżera profilów załóż nowy, zaznacz i zaloguj się na niego. Podaj czy na tym profilu jest różnica.

Oba tematy sklejam i przenoszę do działu Windows. Nie ma oznak, by problemy produkowała infekcja. Prędzej można podejrzewać zainstalowane oprogramowanie (wliczając preintegrowane na Acer), nie jest też wykluczony Avast jako przyczyna. 1. Sugeruję rozpocząć od redukcji oprogramowania (m.in. MyWinLocker, Pokki, Symantec, WildTangent), co powinno wyeliminować kilka elementów startowych. Do deinstalacji: ==================== Zainstalowane programy ====================== Game Channels (HKLM-x32\...\WildTangentGameProvider-acer-main) (Version: 7.1.0.17 - WildTangent, Inc.) Host App Service (HKU\S-1-5-21-3220214097-2296122819-1731893859-1002\...\SweetLabs_AP) (Version: 0.269.7.800 - Pokki) HP Officejet 7500 E910 — badanie mające na celu poprawę produktów (HKLM\...\{E8985C89-8043-458F-933B-80EECF4AB099}) (Version: 28.0.1315.0 - Hewlett-Packard Co.) Java 7 Update 51 (HKLM-x32\...\{26A24AE4-039D-4CA4-87B4-2F83217051FF}) (Version: 7.0.510 - Oracle) Java 7 Update 55 (64-bit) (HKLM\...\{26A24AE4-039D-4CA4-87B4-2F86417055FF}) (Version: 7.0.550 - Oracle) MyWinLocker Suite (HKLM-x32\...\InstallShield_{17DF9714-60C9-43C9-A9C2-32BCAED44CBE}) (Version: 4.0.14.24 - Egis Technology Inc.) Norton Online Backup (HKLM-x32\...\{40A66DF6-22D3-44B5-A7D3-83B118A2C0DC}) (Version: 2.2.3.51r - Symantec Corporation) Shared C Run-time for x64 (HKLM\...\{EF79C448-6946-4D71-8134-03407888C054}) (Version: 10.0.0 - McAfee) Start Menu (HKU\S-1-5-21-3220214097-2296122819-1731893859-1002\...\SweetLabs_Start_Menu) (Version: 0.269.7.800 - Pokki) WildTangent Games (HKLM-x32\...\WildTangent wildgames Master Uninstall) (Version: 1.0.3.0 - WildTangent) [Jeśli nie korzystasz, można też odinstalować programy do kopii zapasowej Acer oraz różne multimedialne aplikacje integrowane na Acer] 2. Po akcji zrób nowe raporty FRST (FRST.txt + Addition.txt) i wypowiedz się czy są zmiany.

Nie przedstawiłeś raportów ze skanerów pokazujących dokładne ścieżki dostępu. Był tu też używany ComboFix i nie ma wyników jego działań. W dostarczonych raportach FRST widać tylko jeden wpis startowy infekcji, ale nie na tym koncie (Biuro) z poziomu którego zrobiłeś raporty FRST (GALA). 1. Odinstaluj starą dziurawą wersję Adobe Flash Player 11 ActiveX. 2. Otwórz Notatnik i wklej w nim: CreateRestorePoint: HKU\S-1-5-21-2238361084-2985199460-1943500991-1006\...\Run: [luGVx3jKo] => rundll32.exe C:\Users\Biuro\AppData\Roaming\94A1.tmp k6Kd0Yh6G8fgt00v HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-2238361084-2985199460-1943500991-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-2238361084-2985199460-1943500991-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch HKU\S-1-5-21-2238361084-2985199460-1943500991-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\PDF Architect 3 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\PDF Architect 3 CrashHandler DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\PDF Architect 3 Creator DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\VideoDownloadConverter_4zService DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpeechEngines DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VideoDownloadConverter EPM Support DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VideoDownloadConverter Home Page Guard 64 bit DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VideoDownloadConverter Search Scope Monitor DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VideoDownloadConverter_4z Browser Plugin Loader DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VideoDownloadConverter_4z Browser Plugin Loader 64 U3 catchme; \??\C:\ComboFix\catchme.sys [X] C:\$AVG C:\Program Files\Common Files\McAfee C:\Program Files (x86)\AVG C:\Program Files (x86)\McAfee C:\Program Files (x86)\McAfee Security Scan C:\Program Files (x86)\Opera C:\ProgramData\mntemp C:\ProgramData\AVG C:\ProgramData\MFAData C:\ProgramData\McAfee C:\Users\Administrator\AppData\Local\Avg C:\Users\Administrator\AppData\Local\AvgSetupLog C:\Users\Administrator\AppData\Local\MFAData C:\Users\Administrator\AppData\Roaming\AVG C:\Users\Administrator\AppData\Roaming\TuneUp Software C:\Users\Biuro\AppData\Local\Avg C:\Users\Biuro\Documents\PLAY ONLINE\Skrót do PLAY ONLINE.exe.lnk C:\Users\GALA\AppData\Local\AvgSetupLog C:\Users\GALA\AppData\Roaming\DVDVideoSoft C:\Users\GALA\Desktop\Audio CD\*.lnk C:\Users\Public\Music\Sample Music\*.lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób raporty FRST (FRST.txt i Addition.txt) będąc zalogowanym po kolei na pozostałych kontach: Administrator i Biuro. Czyli w sumie 4 raporty. Plik Shortcut nie jest potrzebny. Dołącz też plik fixlog.txt.

W raportach nie widać żadnych oznak infekcji szyfrującej dane. Do usunięcia będą tylko drobne odpadkowe wpisy nie związane z infekcją, ale to potem. Zacznij od: Plik Windows jest uszkodzony i nie tylko ten, w raporcie FRST widać także i to naruszenie: R2 CryptSvc; C:\Windows\SysWOW64\cryptsvc.dll [136192 2010-11-21] () [brak podpisu cyfrowego] Zrób skan sfc /scannow i dostarcz przefiltrowany log wynikowy: KLIK.

FRST wykonał pomyślnie zadanie. Problem rozwiązany. Na koniec zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

Temat przenoszę do działu diagnostyki malware. To adware uruchamiane via Harmonogram zadań. Potrzebne raporty z FRST.

Posiadam tę samą wersję Firefox 47.0.1 co Ty i otwierają mi się te same linki co u Ciebie, ale nie mam problemu z tym klikiem...

Jak mówiłam, na razie nie mam pomysłu dlaczego klik na tej ikonie nie działa.

SFC notuje dużo naruszeń systemowych skrótów LNK. Na razie to pomijam. W kwestii Menu Start uruchom Start menu troubleshooter (on reperuje też różne skróty).