picasso

Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor. * Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.

Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor. * Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.

Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor. * Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.

Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor. * Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.

Obecnie pliki TeslaCrypt w wersji 2 (rozszerzenia .vvv, .ccc, .zzz, .aaa, .abc, .xyz) jest w stanie odkodować jedno z tych narzędzi: TeslaDecoder * lub Trend Micro TeslacryptDecryptor. * Wymagana dość mozolna ręczna procedura odzysku prywatnego klucza, szczegółowo rozpisana w pliku Instructions.html.

To był prawdopodobnie tymczasowy stan, blokada przeglądarki / systemu po otworzeniu określonej szkodliwej strony, ustępująca po przeładowaniu systemu. W raportach brak oznak infekcji. SpyHunter (wątpliwy skaner) także pomyślnie usunięty. Do wykonania tylko drobne poboczne działania: 1. Odinstaluj starą niebezpieczną wersję Adobe Flash Player 10 ActiveX. 2. Zastosuj narzędzie Fix-it usuwające drobny błąd WMI: KLIK. 3. Mini skrypt czyszczący głównie lokalizacje tymczasowe. Otwórz Notatnik i wklej w nim: CloseProcesses: S3 NTIOLib_1_0_C; \??\D:\NTIOLib_X64.sys [X] RemoveDirectory: C:\MATS RemoveDirectory: C:\Program Files\HitmanPro EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są potrzebne.

Prawdopodobnie przesadziłeś. Należało zostawić domyślną (optymalną) konfigurację. Przywróć ją. Dodatkowo, im więcej filtrów, tym bardziej ociężała przeglądarka (dotyczy każdego blokera reklam) i wycisk zasobów.

Temat przenoszę do działu Windows, żadnych oznak infekcji. Sugestie: 1. W Dzienniku zdarzeń rozmnożone błędy wyprodukowane przez usługę Fastboot Lenovo. Sprawdź czy deinstalacja programu Nsd coś wniesie do sprawy. Dziennik Aplikacja: ================== Error: (06/01/2016 10:28:05 AM) (Source: NSDSvc) (EventID: 256) (User: ) Description: An error has occurred (---query POLICYVT key success failed with 0, The Code is:0x424.). Error: (06/01/2016 10:28:05 AM) (Source: NSDSvc) (EventID: 256) (User: ) Description: An error has occurred (---Get Poicy Open key suc failed with 0, The Code is:0x422.). vs. ==================== Usługi (filtrowane) ======================== S2 NSDSvc; C:\Windows\System32\NSDSvc.exe [120160 2011-12-23] (Lenovo) ===================== Sterowniki (filtrowane) ========================== R1 Nsdfltr; C:\Windows\System32\drivers\Nsdfltr.sys [59488 2011-12-21] (Lenovo Corporation) ==================== Zainstalowane programy ====================== Nsd (HKLM-x32\...\{4677B88C-CE16-4CBB-A2CB-B76E9D456C7F}) (Version: 1.0.1.7 - Lenovo) 2. Jeśli powyższe nie okaże się powiązane, sprawdź zachowanie systemu na tzw. "czystym rozruchu": KLIK. 3. W przypadku braku rezultatów przetestuj co się stanie po deinstalacji Kaspersky Internet Security. To starsza wersja z 2014.

Oceniając podane archiwalne materiały, na pewno tych obiektów nie było w finałowych raportach FRST, usuwałam jedynie drobne martwe odpadki po tej infekcji. Sądzę, że problem jest rozwiązany. Jeśli nie nastąpią żadne nawroty choroby, wykonasz końcowe kroki, tzn. zastosowanie DelFix oraz czyszczenie folderów Przywracania systemu: KLIK.

Na przyszłość: nazwy raportów FRST (główny + Addition) wskazują, że je wyciągnąłeś z folderu C:\FRST\Logs. To jest archiwum, bieżące powstają tam skąd uruchamiasz FRST, czyli tu katalog Pobrane. W starcie jest szkodliwy wpis "Draughts". Poza tym widać inne odpadki z tego miotu adware, ale nie wyglądają na czynne. Objawy sugerują uruchamianie innego profilu. Sytuacja w logu wygląda następująco: Chrome: ======= CHR Profile: C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default CHR Extension: (Przelewy24) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\aiicmmpkicnndkhlnnloilpgncbpkbjj [2015-10-03] CHR Extension: (Dokumenty Google) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\aohghmighlieiainnegkcijnfilokake [2015-02-04] CHR Extension: (Dysk Google) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\apdfllckaahabafndbhieahigkjlhalf [2015-10-21] CHR Extension: (YouTube) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2015-10-01] CHR Extension: (Adblock Plus) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\cfhdojbkjhnklbpkdaibdccddilifddb [2016-03-09] CHR Extension: (Google Search) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\coobgpohoikkiipiblmjeljniedjpjpf [2015-11-04] CHR Extension: (Adobe Acrobat) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\efaidnbmnnnibpcajpcglclefindmkaj [2016-01-15] CHR Extension: (Aktualizacja dodatku Flash) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\ekjjdohpclmnphcgdgdmhoikilfcaabe [2016-05-24] CHR Extension: (Transferuj.pl) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\gamjcgdmfcciglelnlngnknalhbhmkif [2015-09-07] CHR Extension: (Dokumenty Google offline) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-03-18] CHR Extension: (AdBlock) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\gighmmpiobklfepjocnamgkkbiglidom [2016-05-31] CHR Extension: (PoE Helper) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\lpdnfedfopfbealaokkpjbngaphfceoi [2014-11-18] [updateUrl: hxxps://raw.github.com/njs50/poe_ext/master/poe_updates.xml] CHR Extension: (Płatności w sklepie Chrome Web Store) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2016-04-13] CHR Extension: (Gmail) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Default\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2015-03-28] CHR Profile: C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 1 CHR Profile: C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 2 CHR Extension: (Prezentacje Google) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\aapocclcgogkmnckokdopfmhonfmgoek [2016-05-31] CHR Extension: (Dokumenty Google) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\aohghmighlieiainnegkcijnfilokake [2016-05-31] CHR Extension: (Dysk Google) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\apdfllckaahabafndbhieahigkjlhalf [2016-05-31] CHR Extension: (YouTube) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\blpcfgokakmgnkcojhhkbfbldkacnbeo [2016-05-31] CHR Extension: (Adobe Acrobat) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\efaidnbmnnnibpcajpcglclefindmkaj [2016-05-31] CHR Extension: (Arkusze Google) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\felcaaldnbdncclmgdcncolpebgiejap [2016-05-31] CHR Extension: (Dokumenty Google offline) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\ghbmnnjooekpmoecnnnilnnbdlolhkhi [2016-05-31] CHR Extension: (Płatności w sklepie Chrome Web Store) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\nmmhkkegccagdldgiimedpiccmgmieda [2016-05-31] CHR Extension: (Gmail) - C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Profile 2\Extensions\pjkljhegncpnkpknbcohdijeoejaedia [2016-05-31] CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx Są trzy profile (w opcjach Chrome widać inne nazwy): stary Default, pusty Profile 1 (prawdopodobnie nieistniejący), Profile 2 (przypuszczalnie bieżący). Nie jest pewne czy widać tu wszystkie profile, gdyż wczoraj wykryłam, że FRST nie widzi wszystkich i będę to sprawdzać. W każdym razie danych będziemy szukać w profilu który nie jest bieżącym, a na razie nie jest pewne który z nich nim jest. Wstępnie usuwanie widocznych śmieci (wliczając wpisy puste) oraz pobór dokładniejszych informacji o Chrome który profil jest bieżącym: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj: Adobe Shockwave Player 12.1 (stara wersja), Akamai NetSession Interface (zbędny downloader produktów Autodesk), Checkers (wygląda na adware), Facebook Video Calling 2.0.0.447 (stara wersja), Shared C Run-time for x64 (odpadek po odinstalowanym McAfee). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKU\S-1-5-21-543564396-1890180113-2280842612-1002\...\Run: [Draughts] => C:\Users\Mateusz\AppData\Roaming\Checkers\Draughts\Draughts.exe [1719960 2016-05-30] (Draughts) HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [332BigDog] => C:\Program Files (x86)\USB Camera2\VM332STI.EXE HKLM\...\Run: [synLenovoGestureMgr] => "%ProgramFiles%\Synaptics\SynTP\SynLenovoGestureMgr.exe" /m Winlogon\Notify\igfxcui: igfxdev.dll [X] HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1 Task: {020C5683-6168-4A7E-8167-89FB6CADD175} - System32\Tasks\{009A842B-BFDA-4C8B-8E2D-D991C7196773} => pcalua.exe -a C:\Users\Mateusz\Downloads\dsj3_skoczkowie_[www.pobieralnia.org].exe -d C:\Users\Mateusz\Downloads Task: {0A2417FF-5623-48F7-8641-F03C196F3D4B} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {0D1ED7BA-414D-458D-B414-74902A8BED1B} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {19B147D3-C847-4C70-BAFC-C6F98FBC3729} - System32\Tasks\{DC2981FF-1787-4F1C-AAD1-8CEF35FECDFB} => pcalua.exe -a "C:\ProgramData\Download keepuer\LM5_OuoK.exe" -c /s /n /i:"ExecuteCommands;UninstallCommands" "" Task: {27B60221-2A0E-4555-B765-DE4B6278B342} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {2A162675-79EC-4BE6-AE81-87B2BA376BFC} - System32\Tasks\Ateredomkefisp Cache => C:\Program Files (x86)\Ateredomkefisp\AteredomkefispCchtask.exe Task: {317C5032-67EA-472B-916C-ED062B08D81C} - System32\Tasks\Synaptics TouchPad Enhancements => Program Files\Synaptics\SynTP\SynTPEnh.exe Task: {31915649-D4E1-405B-93FD-65CBFB00CE0E} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {4C6341A0-9672-4DC3-BA88-8957CC359CCE} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {56B99869-37F2-43AE-B139-4EA673E0B3D3} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {597E9041-E96C-4F38-AD12-FC9A35CD3A26} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {5E770B03-1937-4892-AD85-A5FB76945FF7} - System32\Tasks\{7D31756F-263E-4B5F-8BDD-4B9285691539} => pcalua.exe -a "C:\Users\Mateusz\Downloads\user_files (1).exe" -d C:\Users\Mateusz\Downloads Task: {5FEE9EFB-86E7-4064-887A-DDE6E1278C8B} - \CCleanerSkipUAC -> Brak pliku Task: {808096E1-9F8F-456A-97FA-8D577767AEE7} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-543564396-1890180113-2280842612-1002UA => C:\Users\Mateusz\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: {9587C137-EFD3-498A-BC20-291578EB2A75} - System32\Tasks\FacebookUpdateTaskUserS-1-5-21-543564396-1890180113-2280842612-1002Core => C:\Users\Mateusz\AppData\Local\Facebook\Update\FacebookUpdate.exe Task: {AAA2AF8C-9EC2-4263-8E37-2E93D92C305A} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {CEF0505E-6B8E-4148-980F-E58D8FF14326} - System32\Tasks\{CBD4585B-6D24-4B3C-985A-DC56320EF94E} => pcalua.exe -a C:\WINDOWS\lsb_un20.exe -c /C=UC /N=Tunatic Task: {D21434B4-1ADB-428B-BDEB-078A653C2D75} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {DAB10B24-3C90-427F-8C21-47388CA7E881} - System32\Tasks\{51F15548-928A-4BD7-AC11-A15A1BE9FEB6} => pcalua.exe -a C:\Users\Mateusz\Downloads\dsj3_skoczkowie_.exe -d C:\Users\Mateusz\Downloads Task: {E4726C40-79A7-4A4A-A41A-8474E9DCBF78} - \FoxTab -> Brak pliku Task: {E643D43B-8A7E-4BE9-9321-89DCCD21E12C} - System32\Tasks\{D5DC2E01-A36D-44D5-87FE-FE91CD4C8EDF} => Chrome.exe hxxp://ui.skype.com/ui/0/6.14.73.104.456/pl/abandoninstall?page=tsProgressBar Task: {F3FBF589-4FE2-4085-AF4E-4B4E52BDE7D5} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {F8AFF733-75A1-4CE3-A9D0-EFE131BFC689} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku S2 AGSService; "C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGSService.exe" [X] HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank HKU\S-1-5-21-543564396-1890180113-2280842612-1002\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=166 SearchScopes: HKLM-x32 -> DefaultScope - brak wartości SearchScopes: HKU\S-1-5-21-543564396-1890180113-2280842612-1002 -> DefaultScope {0D4E4FA4-840F-43EA-9909-8099981EB9FB} URL = SearchScopes: HKU\S-1-5-21-543564396-1890180113-2280842612-1002 -> {0D4E4FA4-840F-43EA-9909-8099981EB9FB} URL = FF HKLM-x32\...\Firefox\Extensions: [FFPDFArchitectConverter@pdfarchitect.com] - C:\Program Files (x86)\PDF Architect\FFPDFArchitectExt FF HKLM-x32\...\Thunderbird\Extensions: [eplgTb@eset.com] - C:\Program Files\ESET\ESET Smart Security\Mozilla Thunderbird => nie znaleziono DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Akamai NetSession Interface" /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Autodesk Sync" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v HotKeysCmds /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v IgfxTray /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v Persistence /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Avira Systray" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v "Dolby Home Theater v4" /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v mcpltui_exe /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 /v mcui_exe /f Reg: reg delete HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\StartupFolder /v Bluetooth.lnk /f C:\Program Files (x86)\Amazon C:\Program Files (x86)\Ateredomkefisp C:\Program Files (x86)\Nimaiedchdsp C:\Program Files (x86)\Pucupy C:\ProgramData\Temp C:\Users\Mateusz\AppData\Roaming\Checkers C:\Users\Mateusz\Desktop\Checkers.lnk CMD: dir /a "C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data" CMD: type "C:\Users\Mateusz\AppData\Local\Google\Chrome\User Data\Local State" RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Ten Fix FRST (a konkretnie komenda ipconfig /flushdns) to miał być wykonany dopiero po czyszczeniu właściwego routera siedząc dokładnie w środowisku w którym występowały reklamy. W razie czego będzie do powtórzenia ta konkretna linia ze skryptu. Nie wiem do czego to podpiąć. Ja nie widzę żadnego aktywnego malware w raportach, poza już zakreślonymi adresami DNS.

Malware w firmware (BIOS/UEFI) owszem możliwe, z tym że to rozwiązania bardzo rzadkie, niekiedy tylko koncepcja teoretyczna, a celem są raczej instytucje a nie pojedyncze komputery domowe. Orientacyjnie ten i ten materiał. Osobiście nigdy nie natknęłam się na taki przypadek na komputerze domowym. Bardzo wątpię, że z tym mam tu do czynienia.

Nie ma raportów z okresu który opisujesz. Podany w pierwszym poście log AdwCleaner to był ostatni z serii i w nim nie było żadnych detekcji (a dwa resety Tracing + Winsock tam figurują, bo to ogólne resety robione "w ciemno", jeśli wybrano opcje dodatkowe w menu). Jak mówiłam, w raportach FRST również nie było żadnego aktywnego elementu. Tak więc oczekuję teraz na potwierdzenie, że żadne śmieci się nie odtwarzają. A skrypt FRST pomyślnie wykonany.

Skrypt pomyślnie wykonany. Kolejna porcjaczynności: 1. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu z folderu POBRANE FRST oraz jego logi. 2. Przeprowadź skan za pomocą Hitman Pro. Dostarcz log tylko jeśli narzędzie coś wykryje.

Nie wiem w jaki sposób robiłeś fixlist, ale proszę otwórz fixlog i porównaj z moim postem. Przy przeklejaniu do Notatnika wyzerowałeś wszystkie kropki i slesze w ścieżkach, w związku z tym FRST prawie nic nie wykonał... Skrypt do zrobienia od nowa i wykonania. PS. I jak mówiłam, to są poboczne działania. Problemy wyglądające na bardziej sprzętowe oczekują na analizę przez moderatora działu Hardware.

Nie widać nic od Arcabit, więc możesz przejść do wykonania skryptu FRST.

W Centrum Sieci i udostępniania > z boku klik w Zarządzaj połączenia sieciowymi > pokaże się lista połączeń. Pogrubione ma usunąć mój Fixlist do FRST, gdyż to są martwe odpadki adware i nie ma już pełnych deinstalatorów. Reszta to poprawne obiekty, usuwanie jeśli nie korzystasz z nich: http://answers.microsoft.com/en-us/windows/forum/windows8_1-performance/can-i-remove-cisco-eap-fast-module-cisco-leap/8fc13157-99ec-4215-bc2b-49c03b48b396?page=1 https://pl.wikipedia.org/wiki/ASP.NET_MVC + od gier: PunkBuster Services (HKLM\...\PunkBusterSvc) (Version: 0.993 - Even Balance, Inc.) Infestation: Survivor Stories (HKLM\...\Steam App 226700) (Version: - Hammerpoint Interactive)

Ale który problem masz na myśli? Opisz dokładnie o który wątek Ci chodzi. W raportach nie widać żadnego aktywnego adware czy innej infekcji, są tylko całkowicie martwe mini szczątki nie mające żadnego wpływu na stan systemu. Operacje porządkowe: 1. Odinstaluj stare niebezpieczne wersje (luki): Acrobat.com, Adobe AIR, Adobe Reader 9.1 MUI, Java 7 Update 79. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: AppInit_DLLs-x32: C:\ProgramData\ApppaznoZ\Zamfax.dll => Brak pliku SearchScopes: HKLM-x32 -> DefaultScope - brak wartości BHO: Brak nazwy -> {83FF80F4-8C74-4b80-B5BA-C8DDD434E5C4} -> Brak pliku DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /ve /t REG_SZ /d Bing /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v URL /t REG_SZ /d "http://www.bing.com/search?q={searchTerms}&FORM=IE8SRC" /f Reg: reg add "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" /v DisplayName /t REG_SZ /d "@ieframe.dll,-12512" /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\ProgramData\ApppaznoZ RemoveDirectory: C:\ProgramData\Kaspersky Lab RemoveDirectory: C:\Users\Lusia\DoctorWeb EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Poprawki. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\DriverToolkit DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.apk DeleteKey: HKLM\SOFTWARE\Classes\metnsd DeleteKey: HKLM\SYSTEM\ControlSet001\Services\TSKSP Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /v "C:\ProgramData\Tencent\QQPCMgr\Quarantine\QMQuarantine.exe.FriendlyAppName" /f RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\Program Files (x86)\DriverToolkit RemoveDirectory: C:\Users\Sławomir\AppData\Local\DriverToolkit Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nie powinno być restartu. Przedstaw wynikowy fixlog.txt.

Podstawową instalacją jest uBlock Origin. Opcjonalnym dodatkiem do uBlock Origin jest uBlock Origin WebSocket (nie będzie działać bez uBlock Origin). Służy do blokowania dodatkowych reklam typu WebSocket. Opis co ten dodatek robi: https://github.com/gorhill/uBO-WebSocket

Nieaktywowany system bez przeszkód się aktualizuje (z wyłączeniem pewnych opcjonalnych aktualizacji), więc brak aktywacji w owym czasie nie jest dowodem że nie wykonywało się w tle Windows Update, jeśli było połączenie z siecią. I nie ma kontroli gdzie Windows Update rozpakowuje łaty przed ich instalacją, takie foldery będą powstawać przed instalacją aktualizacji zawsze tam gdzie jest więcej wolnego miejsca (w kontekście ogólnych proporcji dysku). Po instalacji aktualizacji te losowe foldery raczej nie znikają same, a niekiedy nawet nie można ich ręcznie skasować ze względu na blokadę uprawnień. Jak rozumiem, wszystkie akcje wykonane. Czy po przeładowaniu całego systemu od zera nadal są problemy ze "śledzeniem"?

Temat przenoszę do działu Windows, zero oznak infekcji na koncie marek_2 (nie sprawdzone konta marek i julia). A jedyne co wynika z raportu FRST, to poniższe powtarzające się błędy w Dzienniku zdarzeń, które można ewentualnie skojarzyć z wolnym startem. Przyczyna zawieszenia usług nieznana. Dziennik System: ============= Error: (05/30/2016 03:32:20 PM) (Source: DCOM) (EventID: 10010) (User: ) Description: {F9717507-6651-4EDB-BFF7-AE615179BCCF} Error: (05/30/2016 01:41:04 PM) (Source: Service Control Manager) (EventID: 7022) (User: ) Description: Usługa Windows Update zawiesiła się podczas uruchamiania. Error: (05/30/2016 01:38:11 PM) (Source: Service Control Manager) (EventID: 7022) (User: ) Description: Usługa Windows Image Acquisition (WIA) zawiesiła się podczas uruchamiania. Error: (05/29/2016 10:03:51 AM) (Source: Service Control Manager) (EventID: 7022) (User: ) Description: Usługa Windows Update zawiesiła się podczas uruchamiania. Error: (05/29/2016 09:57:31 AM) (Source: Microsoft-Windows-WLAN-AutoConfig) (EventID: 10000) (User: ZARZĄDZANIE NT) Description: Uruchomienie modułu rozszerzalności sieci WLAN nie powiodło się. Ścieżka modułu: C:\windows\System32\bcmihvsrv64.dll Kod błędu: 21 Ewentualnie może jeszcze zastanawiać instalacja AVG - czy sprawdzałeś jak system działa po tymczasowej deinstalacji całego majdanu AVG? PS. Odinstaluj zbędny Bing Bar, co odetnie przynajmniej jeden proces, a w spoilerze kosmetyczne usunięcie wpisów pustych (nie przyniesie to żadnej widocznej poprawy):

1. AdwCleaner czepia się programu DriverToolkit version 8.5.0.0. Owszem, on może być przemycany w niechciany sposób. Odinstaluj go w normalny sposób poprzez Panel sterowania. 2. Otwórz Notatnik i wklej w nim: DeleteKey: HKCU\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\Tencent DeleteKey: HKCU\Software\Microsoft\Internet Explorer\DOMStorage\mpc.am DeleteKey: HKCU\Software\Microsoft\Internet Explorer\DOMStorage\search.mpc.am DeleteKey: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{1B5D5DBD-C857-4377-A755-06E50B4AC2B0} DeleteKey: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{639B74F1-0594-432C-97C8-68C8C17A1E1D} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{50F4150A-48B2-417A-BE4C-C83F580FB904} DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{29B6CFD5-0064-411A-8C42-9890C83F9921} DeleteKey: HKLM\SOFTWARE\Classes\.apk DeleteKey: HKLM\SOFTWARE\Classes\.qbox DeleteKey: HKLM\SOFTWARE\Classes\PCMgrRepairIEExtensions DeleteKey: HKLM\SOFTWARE\Classes\qmbfile DeleteKey: HKLM\SOFTWARE\Classes\QMContextUninstall.QMContextUninstallMenu DeleteKey: HKLM\SOFTWARE\Classes\QMContextUninstall.QMContextUninstallMenu.1 DeleteKey: HKLM\SOFTWARE\Classes\qmgcfiles DeleteKey: HKLM\SOFTWARE\Classes\qpakfile DeleteKey: HKLM\SOFTWARE\Classes\qqapp DeleteKey: HKLM\SOFTWARE\Classes\QQAppIEAgentEx.AgentForAndroid DeleteKey: HKLM\SOFTWARE\Classes\QQAppIEAgentEx.AgentForAndroid.1 DeleteKey: HKLM\SOFTWARE\Classes\QQPCMgr.qbox DeleteKey: HKLM\SOFTWARE\Classes\qqpro DeleteKey: HKLM\SOFTWARE\Classes\TencentAndroidAssistant DeleteKey: HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\QMContextUninstall DeleteKey: HKLM\SOFTWARE\Classes\Folder\ShellEx\ContextMenuHandlers\QMContextUninstall DeleteKey: HKLM\SOFTWARE\Classes\AppID\QMContextScan.DLL DeleteKey: HKLM\SOFTWARE\Classes\AppID\QMContextUninstall.DLL DeleteKey: HKLM\SOFTWARE\Classes\AppID\{1E9BD312-7C8C-4422-906D-897F6D7714F2} DeleteKey: HKLM\SOFTWARE\Classes\AppID\{51BEE30D-EEC8-4BA3-930B-298B8E759EB1} DeleteKey: HKLM\SOFTWARE\Classes\AppID\{7A30415C-ABEE-4674-B64B-4CA145EEB0CA} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{29B6CFD5-0064-411A-8C42-9890C83F9921} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{63332668-8CE1-445D-A5EE-25929176714E} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{70DE12EA-79F4-46bc-9812-86DB50A2FD64} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{754DF2CE-51E8-4895-B53C-6381418B84AE} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{D4801E96-E7A1-45F6-B124-7A36DFB40B81} DeleteKey: HKLM\SOFTWARE\Classes\CLSID\{E52EB753-1F56-4DF7-BE53-2C314AC5F8A1} DeleteKey: HKLM\SOFTWARE\Classes\lnkfile\shellex\ContextMenuHandlers\QMContextUninstall DeleteKey: HKLM\SOFTWARE\Classes\Interface\{E52EB753-1F56-4DF7-BE53-2C314AC5F8A1} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{E7270EC6-0113-4A78-B610-E501D0A9E48E} DeleteKey: HKLM\SOFTWARE\Classes\Interface\{D4801E96-E7A1-45F6-B124-7A36DFB40B81} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{35627C7C-DB28-4772-9A6F-7607FFCBF9FF} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{445E3964-15B0-472A-95F4-6242DD2EA066} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{573F9869-D92C-4B7E-A9C3-F042278D5078} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{593BE60A-1C6A-44F9-946D-A5EAB2D53511} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{6E1533F0-E0B5-465A-9F16-98FF0C76D493} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{C049F583-D724-4BAB-8F47-F13BCA41B808} DeleteKey: HKLM\SOFTWARE\Classes\TypeLib\{DA624F8F-98BF-4B03-AD11-A12D07119E81} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\.apk DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\.qbox DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\metnsd DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\PCMgrRepairIEExtensions DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\qmbfile DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\QMContextUninstall.QMContextUninstallMenu DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\QMContextUninstall.QMContextUninstallMenu.1 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\qmgcfiles DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\qpakfile DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\qqapp DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\QQAppIEAgentEx.AgentForAndroid DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\QQAppIEAgentEx.AgentForAndroid.1 DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\QQPCMgr.qbox DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\qqpro DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TencentAndroidAssistant DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\QMContextUninstall DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Folder\ShellEx\ContextMenuHandlers\QMContextUninstall DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\AppID\DownloadProxy.EXE DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\AppID\QMContextScan.DLL DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\AppID\QMContextUninstall.DLL DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{1E9BD312-7C8C-4422-906D-897F6D7714F2} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{51BEE30D-EEC8-4BA3-930B-298B8E759EB1} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\AppID\{7A30415C-ABEE-4674-B64B-4CA145EEB0CA} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{29B6CFD5-0064-411A-8C42-9890C83F9921} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{63332668-8CE1-445D-A5EE-25929176714E} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{70DE12EA-79F4-46bc-9812-86DB50A2FD64} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{754DF2CE-51E8-4895-B53C-6381418B84AE} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{E52EB753-1F56-4DF7-BE53-2C314AC5F8A1} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{E52EB753-1F56-4DF7-BE53-2C314AC5F8A1} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{E7270EC6-0113-4A78-B610-E501D0A9E48E} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{D4801E96-E7A1-45F6-B124-7A36DFB40B81} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\lnkfile\shellex\ContextMenuHandlers\QMContextUninstall DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{35627C7C-DB28-4772-9A6F-7607FFCBF9FF} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{445E3964-15B0-472A-95F4-6242DD2EA066} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{573F9869-D92C-4B7E-A9C3-F042278D5078} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{593BE60A-1C6A-44F9-946D-A5EAB2D53511} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{6E1533F0-E0B5-465A-9F16-98FF0C76D493} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{C049F583-D724-4BAB-8F47-F13BCA41B808} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Classes\TypeLib\{DA624F8F-98BF-4B03-AD11-A12D07119E81} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{16EE6530-8649-4F42-A9E4-F6A3295AF975} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{365ADADE-814B-400C-877C-95E9F684BBEB} DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\11598763487076930564 DeleteKey: HKU\S-1-5-21-4002679962-1221417142-4111111163-1001_Classes\.apk Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /v "C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCAVSetting.exe.FriendlyAppName" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /v "C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCAVSetting.exe.ApplicationCompany" /f Reg: reg delete "HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache" /v "C:\ProgramData\Tencent\QQPCMgr\Quarantine\QMQuarantine.exe.ApplicationCompany" /f Reg: reg delete "HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store" /v "C:\ProgramData\Tencent\QQPCMgr\Quarantine\QMQuarantine.exe" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION" /v "AndroidServer.exe" /f Reg: reg delete "HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION" /v "QQPhoneManager.exe" /f Reg: reg add HKLM\SOFTWARE\Classes\Unknown\shell\openas\command /ve /t REG_EXPAND_SZ /d "%SystemRoot%\system32\rundll32.exe %SystemRoot%\system32\shell32.dll,OpenAs_RunDLL %1" /f RemoveDirectory: C:\FRST\Quarantine RemoveDirectory: C:\Users\Sławomir\AppData\Local\app RemoveDirectory: C:\Users\Sławomir\AppData\Local\VirtualStore\Program Files (x86)\tencent RemoveDirectory: C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\tencent Tym razem zapis w UTF-8 nie jest wymagany. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nie powinno być restartu. Przedstaw wynikowy fixlog.txt. 3. Jeśli punkt 2 wykona się poprawnie, powinno być zero wyników wyszukiwania FRST na poprzednio zadane warunki Szukaj w rejestrze. AdwCleaner zaś powinien ewentualnie tylko wykryć odpadkowe obiekty po deinstalacji DriverToolkit i wtedy po prostu uruchom go ponownie i zastosuj po kolei opcje Szukaj + Usuń.

Większość zrobiona, nie jest to jednak koniec czyszczenia. Kolejna porcja: 1. Na czas tej operacji wyłącz Avirę, gdyż zablokuje reset pliku Hosts (ponownie). Otwórz Notatnik i wklej w nim: CloseProcesses: DeleteKey: HKCU\Software\Tencent DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Safer-Networking DeleteKey: HKLM\SOFTWARE\Wow6432Node\Tencent DeleteKey: HKU\S-1-5-18\Software\Tencent S2 QQPCRTP; "C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCRTP.exe" -r [X] S2 QQRepair153c; "C:\Program Files (x86)\Tencent\QQPCMGR\QQRepair153c" [X] S2 QQRepair1567; "C:\Program Files (x86)\Tencent\QQPCMGR\QQRepair1567" [X] S2 QQRepairFixSVC; C:\Program Files (x86)\Tencent\QQPCMGR\QQRepairFixSVC [X] S2 QQSysMonX64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQSysMonX64.sys [X] S1 SRepairDrv; \??\C:\Program Files (x86)\Tencent\QQPCMGR\SRepairDrv [X] S3 TFsFlt; system32\Drivers\TFsFltX64.sys [X] S3 TS888x64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TS888x64.sys [X] S1 TSDefenseBt; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TSDefenseBT64.sys [X] S2 tsnethlpx64; \??\C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\TsNetHlpX64.sys [X] HKLM-x32\...\Run: [] => [X] HKLM-x32\...\Run: [ QQPCTray] => "C:\Program Files (x86)\Tencent\QQPCMgr\11.5.17490.219\QQPCTray.exe" /regrun HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = hxxp://hao.qq.com/?unc=o400493_1&s=o400493_1 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKU\S-1-5-21-4002679962-1221417142-4111111163-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://hao.qq.com/?unc=o400493_1&s=o400493_1 BHO-x32: Ó¦Óñ¦Ň»Ľü°˛×°˛ĺĽţ -> {50F4150A-48B2-417A-BE4C-C83F580FB904} -> C:\Program Files (x86)\Common Files\Tencent\QQPhoneManager\2.0.201.3192\npQQPhoneManagerExt.dll [2014-05-30] (腾讯公司) CHR StartupUrls: Default -> "hxxp://google.com/","hxxp://www.google.com/","hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki" CMD: for %i in ("C:\Program Files (x86)\Common Files\Tencent\QQPhoneManager\2.0.201.3192\*.dll") do regsvr32 /s /u %i C:\Program Files\Common Files\AV\Spybot - Search and Destroy C:\Program Files (x86)\Common Files\Tencent C:\Program Files (x86)\Spybot - Search & Destroy 2 C:\ProgramData\Spybot - Search & Destroy C:\ProgramData\TXQMPC C:\ProgramData\Microsoft\Windows\Start Menu\Programs\腾讯软件 C:\Users\Sławomir\AppData\Local\ACCCx3_6_0_248.zip.aamdownload C:\Users\Sławomir\AppData\Local\ACCCx3_6_0_248.zip.aamdownload.aamd C:\Users\Public\Desktop\Post Win10 Spybot-install.exe C:\Windows\System32\Tasks\Safer-Networking C:\Windows\SysWOW64\Drivers\TS888x64.sys Hosts: EmptyTemp: Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Nastąpi restart. Przedstaw wynikowy fixlog.txt. 2. Uruchom FRST, w polu Szukaj wklej co poniżej, klik w Szukaj w rejestrze, przedstaw wynikowy log. Tencent;QQPCMgr;QQPhoneManager 3. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Skoro Windows 7 startuje poprawnie, to nie wygląda na to by to był problem z wejściem Windows 7. Nie wiem dlaczego ten błąd nadal występuje na Windows 10, może wbrew pozorom usterka jest w innej części (bootcat.cache lub catroot). Podaj mi dodatkowy skan FRST: W Notatniku przygotuj plik fixlist.txt o następującej zawartości: Folder: C:\Windows\System32\CodeIntegrity Folder: C:\Windows\System32\catroot Folder: C:\Windows\System32\catroot2 Umieść go na pendrive gdzie siedzi FRST. Uruchom FRST, wybierz ładowanie Windows 10, następnie opcję Napraw (Fix). Przedstaw wynikowy fixlog.txt.