picasso

Tym razem grupa Winsxs weszła. Wyniki wyszukiwania nie były mi potrzebne (w obu Fixlog widać co się działo i gdzie), ale one tylko potwierdzają że wszystkie kopie wyglądają już poprawnie. Czyli skan SFC nie powinien już notować tego uszkodzenia.

Na początek naprawa rekordów z Checksur: 1. Przesyłam pliki potrzebne do naprawy (pliki.zip): KLIK. Wszystkie pliki w katalogu "Manifests" przenieś do katalogu C:\Windows\Temp\CheckSur\WinSxS\Manifests, a te z "Packages" do C:\Windows\Temp\CheckSur\Servicing\Packages. 2. Uruchom ponownie "Narzędzie analizy gotowości aktualizacji systemu". Dostarcz nowy checksur.log do oceny.

Nie podmieniły się instancje w Winsxs. Kolejne podejście, ale z poziomu zewnętrznego środowiska. 1. Przygotuj w Notatniku plik fixlist.txt o treści: CMD: copy /y C:\PresentationFontCache.exe.config C:\Windows\winsxs\x86_presentationcore_31bf3856ad364e35_6.1.7601.23392_none_ae6965c00796eaf8\PresentationFontCache.exe.config CMD: copy /y C:\PresentationFontCache.exe.config C:\Windows\winsxs\x86_presentationcore_31bf3856ad364e35_6.1.7601.23149_none_aea6739607681656\PresentationFontCache.exe.config CMD: copy /y C:\PresentationFontCache.exe.config C:\Windows\winsxs\x86_presentationcore_31bf3856ad364e35_6.1.7601.21890_none_ae679c3a079876cb\PresentationFontCache.exe.config CMD: copy /y C:\PresentationFontCache.exe.config C:\Windows\winsxs\x86_presentationcore_31bf3856ad364e35_6.1.7601.18946_none_ae19fdcaee4cf745\PresentationFontCache.exe.config CMD: copy /y C:\PresentationFontCache.exe.config C:\Windows\winsxs\x86_presentationcore_31bf3856ad364e35_6.1.7601.17755_none_ae0e4090ee55e5f0\PresentationFontCache.exe.config CMD: copy /y C:\PresentationFontCache.exe.config C:\Windows\winsxs\x86_presentationcore_31bf3856ad364e35_6.1.7601.17514_none_ae387c2aee366287\PresentationFontCache.exe.config CMD: copy /y C:\PresentationFontCache.exe.config C:\Windows\winsxs\amd64_presentationcore_31bf3856ad364e35_6.1.7601.23392_none_0a880143bff45c2e\PresentationFontCache.exe.config CMD: copy /y C:\PresentationFontCache.exe.config C:\Windows\winsxs\amd64_presentationcore_31bf3856ad364e35_6.1.7601.23149_none_0ac50f19bfc5878c\PresentationFontCache.exe.config CMD: copy /y C:\PresentationFontCache.exe.config C:\Windows\winsxs\amd64_presentationcore_31bf3856ad364e35_6.1.7601.21890_none_0a8637bdbff5e801\PresentationFontCache.exe.config CMD: copy /y C:\PresentationFontCache.exe.config C:\Windows\winsxs\amd64_presentationcore_31bf3856ad364e35_6.1.7601.18946_none_0a38994ea6aa687b\PresentationFontCache.exe.config CMD: copy /y C:\PresentationFontCache.exe.config C:\Windows\winsxs\amd64_presentationcore_31bf3856ad364e35_6.1.7601.17755_none_0a2cdc14a6b35726\PresentationFontCache.exe.config CMD: copy /y C:\PresentationFontCache.exe.config C:\Windows\winsxs\amd64_presentationcore_31bf3856ad364e35_6.1.7601.17514_none_0a5717aea693d3bd\PresentationFontCache.exe.config Pliki fixlist.txt oraz FRST64.exe umieść na pendrive. 2. Uruchom FRST z poziomu WinRE: KLIK. Wybierz opcję Napraw. Na pendrive powstanie plik fixlog.txt. Przedstaw go.

Rzecz jasna nie. Ten plik powinien mieć następujące parametry we wszystkich miejscach: C:\Windows\Microsoft.NET\Framework64\v3.0\WPF\PresentationFontCache.exe.config [2009-07-14 03:01][2009-06-10 22:30] 0000161 ____A () C0856EC51C8C75B8FDF02C1BBCFE7B93 [Plik podpisany cyfrowo] Przesyłam plik z mojej wirtualnej maszyny x64. Umieść go wprost na C:\. Do Notatnika wklej: Replace: C:\PresentationFontCache.exe.config C:\Windows\winsxs\x86_presentationcore_31bf3856ad364e35_6.1.7601.23392_none_ae6965c00796eaf8\PresentationFontCache.exe.config Replace: C:\PresentationFontCache.exe.config C:\Windows\winsxs\x86_presentationcore_31bf3856ad364e35_6.1.7601.23149_none_aea6739607681656\PresentationFontCache.exe.config Replace: C:\PresentationFontCache.exe.config C:\Windows\winsxs\x86_presentationcore_31bf3856ad364e35_6.1.7601.21890_none_ae679c3a079876cb\PresentationFontCache.exe.config Replace: C:\PresentationFontCache.exe.config C:\Windows\winsxs\x86_presentationcore_31bf3856ad364e35_6.1.7601.18946_none_ae19fdcaee4cf745\PresentationFontCache.exe.config Replace: C:\PresentationFontCache.exe.config C:\Windows\winsxs\x86_presentationcore_31bf3856ad364e35_6.1.7601.17755_none_ae0e4090ee55e5f0\PresentationFontCache.exe.config Replace: C:\PresentationFontCache.exe.config C:\Windows\winsxs\x86_presentationcore_31bf3856ad364e35_6.1.7601.17514_none_ae387c2aee366287\PresentationFontCache.exe.config Replace: C:\PresentationFontCache.exe.config C:\Windows\winsxs\amd64_presentationcore_31bf3856ad364e35_6.1.7601.23392_none_0a880143bff45c2e\PresentationFontCache.exe.config Replace: C:\PresentationFontCache.exe.config C:\Windows\winsxs\amd64_presentationcore_31bf3856ad364e35_6.1.7601.23149_none_0ac50f19bfc5878c\PresentationFontCache.exe.config Replace: C:\PresentationFontCache.exe.config C:\Windows\winsxs\amd64_presentationcore_31bf3856ad364e35_6.1.7601.21890_none_0a8637bdbff5e801\PresentationFontCache.exe.config Replace: C:\PresentationFontCache.exe.config C:\Windows\winsxs\amd64_presentationcore_31bf3856ad364e35_6.1.7601.18946_none_0a38994ea6aa687b\PresentationFontCache.exe.config Replace: C:\PresentationFontCache.exe.config C:\Windows\winsxs\amd64_presentationcore_31bf3856ad364e35_6.1.7601.17755_none_0a2cdc14a6b35726\PresentationFontCache.exe.config Replace: C:\PresentationFontCache.exe.config C:\Windows\winsxs\amd64_presentationcore_31bf3856ad364e35_6.1.7601.17514_none_0a5717aea693d3bd\PresentationFontCache.exe.config Replace: C:\PresentationFontCache.exe.config C:\Windows\Microsoft.NET\Framework64\v3.0\WPF\PresentationFontCache.exe.config Replace: C:\PresentationFontCache.exe.config C:\Windows\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe.config Replace: C:\PresentationFontCache.exe.config C:\Windows\assembly\GAC_64\PresentationCore\3.0.0.0__31bf3856ad364e35\PresentationFontCache.exe.config Replace: C:\PresentationFontCache.exe.config C:\Windows\assembly\GAC_32\PresentationCore\3.0.0.0__31bf3856ad364e35\PresentationFontCache.exe.config Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw. Przedstaw wynikowy fixlog.txt.

Spróbuj jeszcze tego: Opcje internetowe > Zaawansowane > w sekcji Przyśpieszana grafika zaznacz "Użyj renderowania programowego zamiast renderowania GPU" > zresetuj system.

Process Monitor sugeruje to samo co już próbowałam, czyli problem z wartością Config - notowany BUFFER OVERFLOW podczas próby odczytu tej wartości: 12:21:01.3872392 AM svchost.exe 572 RegQueryValue HKLM\System\CurrentControlSet\Control\Network\Config BUFFER OVERFLOW Length: 144 12:21:01.3872500 AM svchost.exe 572 RegQueryValue HKLM\System\CurrentControlSet\Control\Network\Config BUFFER OVERFLOW Length: 144 Spróbuj zresetować ponownie konfigurację: 1. Uruchom regedit i w kluczu HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network skasuj wartość Config. 2. Uruchom Menedżer urządzeń, w menu Widok włącz pokazywanie ukrytych urządzeń. Odinstaluj wszystkie interfejsy sieciowe, wliczając ewentualne "duchy" pokazane po włączeniu opcji ukrytych. 3. Zresetuj system.

Wprawdzie można dalej to drążyć, ale osobiście podjęłabym decyzję o nowej instalacji systemu. To system świeżo po formacie, który nie powinien wykazywać takich cech, nie wiadomo co się stało podczas instalacji, bo objawy na pewno nie mają związku z infekcją.

Na początku mówiłeś, że pokazuje się tam coś od Asusa, czy mam rozumieć, że obecnie komunikat jest ograniczony tylko do "Task Host Window" i nic poza tym? PS. Tego Cyberlinka trzeba będzie usunąć, ale muszę przemyśleć jak to zrobić, skoro nie mogę znaleźć oificjalnego czyściciela.

Tu ogólnie widać uszkodzenia plików związanych z agentem Windows Update - plik niepodpisany cyfrowo oraz parę innych bez sygnatury Microsoftu: S2 wuauserv; C:\Windows\system32\wuaueng.dll [2477536 2014-05-14] () [brak podpisu cyfrowego] (...) 2016-05-20 03:17 - 2014-05-14 18:23 - 02477536 _____ C:\Windows\system32\wuaueng.dll 2016-05-20 03:17 - 2014-05-14 18:23 - 00700384 _____ (Microsoft Corporation) C:\Windows\system32\wuapi.dll 2016-05-20 03:17 - 2014-05-14 18:23 - 00581600 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wuapi.dll 2016-05-20 03:17 - 2014-05-14 18:23 - 00058336 _____ C:\Windows\system32\wuauclt.exe 2016-05-20 03:17 - 2014-05-14 18:23 - 00044512 _____ C:\Windows\system32\wups2.dll 2016-05-20 03:17 - 2014-05-14 18:23 - 00038880 _____ (Microsoft Corporation) C:\Windows\system32\wups.dll 2016-05-20 03:17 - 2014-05-14 18:23 - 00036320 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wups.dll 2016-05-20 03:17 - 2014-05-14 18:21 - 02620928 _____ C:\Windows\system32\wucltux.dll 2016-05-20 03:17 - 2014-05-14 18:20 - 00097792 _____ (Microsoft Corporation) C:\Windows\system32\wudriver.dll 2016-05-20 03:17 - 2014-05-14 18:17 - 00092672 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wudriver.dll 2016-05-20 03:17 - 2014-05-14 09:23 - 00198600 _____ (Microsoft Corporation) C:\Windows\system32\wuwebv.dll 2016-05-20 03:17 - 2014-05-14 09:23 - 00179656 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wuwebv.dll 2016-05-20 03:17 - 2014-05-14 09:20 - 00036864 _____ (Microsoft Corporation) C:\Windows\system32\wuapp.exe 2016-05-20 03:17 - 2014-05-14 09:17 - 00033792 _____ (Microsoft Corporation) C:\Windows\SysWOW64\wuapp.exe 2016-05-20 03:16 - 2016-05-20 22:04 - 00000000 ___HD C:\Program Files (x86)\InstallShield Installation Information 2016-05-20 03:16 - 2016-05-20 03:16 - 00000000 ____D C:\Users\Archix\Documents\realtek_pcielan_7_mb 2016-05-20 03:16 - 2016-05-20 03:16 - 00000000 ____D C:\Program Files (x86)\Realtek (...) Są następujące punkty Przywracania systemu: ==================== Punkty Przywracania systemu ========================= 20-05-2016 03:16:20 Zainstalowane Realtek Ethernet Controller Driver 20-05-2016 03:17:32 Windows Update 20-05-2016 03:20:20 Windows Update 20-05-2016 03:29:22 Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.21005 20-05-2016 03:34:01 Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.30501 20-05-2016 03:37:07 Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.21005 20-05-2016 03:37:38 Microsoft Visual C++ 2013 Redistributable (x64) - 12.0.30501 20-05-2016 22:04:35 Installed Hi-Rez Studios Games 20-05-2016 23:25:22 Installed AVG 2016 20-05-2016 23:25:41 Installed AVG Cofnij system przy udziale najstarszego punktu "Zainstalowane Realtek Ethernet Controller Driver", co powinno odkręcić niekorzystne zmiany podczas felernego Windows Update.

Poproszę o raporty z FRST.

Z opisu wynika, że to nie są skutki infekcji tylko użycia CCleanera. Czy posiadasz kopię zapasową usuniętych wpisów? Bez związku z problemem.

Proponuję jednak sięgać po artykuły źródłowe, w których są precyzyjniejsze sformułowania: Simplifying updates for Windows 7 and 8.1 + KB3125574. Z punktu widzenia instalacji to jest pojedyncza aktualizacja KB3125574. Jeśli rzecz o "niepolecanych dodatkach", w komentarzach pod pierwszym artykułem: A tutaj dodatkowe dane nieoficjalne:

No właśnie nie mogłam znaleźć wersji Cyberlink Cleaner dla LabelPrint. Każdy produkt Cyberlink ma odrębnego czyściciela. Deinstalacje ASUS już zredukowały zadania Asus w Harmonogramie. W ostatnim Addition było widać tylko to co poniżej: Task: {2AA49770-BDE7-492E-9619-F5554CD3A5B6} - System32\Tasks\AVAST Software\Avast settings backup => C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe [2016-03-21] (AVAST Software)Task: {47F232CF-74F0-43CC-9CB7-59800D992A90} - System32\Tasks\avast! Emergency Update => C:\Program Files\AVAST Software\Avast\AvastEmUpdate.exe [2015-12-10] (AVAST Software) Task: {4B6EE67A-8379-4E09-A66D-D416F431CACB} - System32\Tasks\Adobe Flash Player Updater => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe [2016-04-30] (Adobe Systems Incorporated) Task: {9AB6EC50-94F2-4AA8-86A8-5B30CEB46B3D} - System32\Tasks\WC3 => C:\Program Files (x86)\ASUS\Wireless Console 3\wcourier.exe [2010-01-05] () Task: {C7CF7F7F-748F-4429-9E8B-B1805883D97B} - System32\Tasks\AdobeAAMUpdater-1.0-pointblank-adam => C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe [2010-03-06] (Adobe Systems Incorporated) Task: {EF755520-6D82-4F23-928F-BDD6B8A87723} - System32\Tasks\Adobe Acrobat Update Task => C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe [2015-10-28] (Adobe Systems Incorporated) Task: C:\Windows\Tasks\Adobe Flash Player Updater.job => C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe Proponuję więc przetestować czy coś się zmieni po wyłączeniu tego zadania Asus (a przy okazji i od Adobe). Start > w polu szukania wklep taskschd.msc > z prawokliku Uruchom jako Administrator > wyszukaj podane powyżej zadania (omiń te od Avast) i z prawokliku wyłącz. Zresetuj system. Po resecie wykonaj kolejny, by sprawdzić czy błędy nadal występują. Po pierwsze, problem jest pochodną uruchomienia jakiegoś "downloadera": KLIK. Po drugie, ogólna lista softu pomocniczego, przyjrzyj się na Unchecky: KLIK.

Z plikami winload.exe wszystko zdaje się być w porządku, SFC też nic nie notuje. Podaj mi proszę jeszcze skan BCD, tzn. uruchom FRST, zaznacz opcję Lista BCD i dostarcz wynikowy log.

Podaj spis plików wraz z ich sumami kontrolnymi. W FRST w polu Szukaj wklej co poniżej i klik w Szukaj plików. PresentationFontCache.exe.config

DelFix zrobił co należy. Skasuj plik raportu C:\delfix.txt, a także pobrany GMER. To wszystko. Temat rozwiązany. Zamykam.

Kończymy: Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu z "Nowego folderu" FRST i jego logi. Następnie zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

Wszystko zrobione. Problemy powinny ustąpić. Końcowe poprawki: Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-4224239710-356568986-1269608211-1001\...\Run: [Akamai NetSession Interface] => "C:\Users\Aga\AppData\Local\Akamai\netsession_win.exe" S3 MBAMSwissArmy; C:\Windows\system32\drivers\MBAMSwissArmy.sys [192216 2016-05-19] (Malwarebytes) C:\ProgramData\Comodo C:\ProgramData\Malwarebytes C:\Windows\system32\Drivers\MBAMSwissArmy.sys C:\Windows\System32\Tasks\CIS_{81EFDD93-DBBE-415B-BE6E-49B9664E3E82} Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie powinno być restartu. Przedstaw wynikowy fixlog.txt. Nowe skany nie są potrzebne.

Na koniec zastosuj DelFix oraz wyczyść foldery Przywracania systemu: KLIK.

W Harmonogramie zadań są szkodniki pochodzące z pakietu adware używającego Privoxy, które dbają o odnawianie modyfikacji proxy. Działania do przeprowadzenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj Adobe Flash Player 10 Plugin (stary i zbędny, to wtyczka dla Firefox który nie jest zainstalowany) oraz Akamai NetSession Interface (zbędny). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {285D4BBE-8CD6-4B8E-9FD8-75C65EF03811} - System32\Tasks\Full Updater => C:\Users\Aga\AppData\Roaming\Full Updater\Full Updater.exe [2016-05-04] () Task: {75394081-8021-4F8E-ACF6-E5435A27353D} - System32\Tasks\Omega Secure Web Cleaner => C:\Program Files (x86)\Omega Secure Web\gtrsecure.exe [2016-05-19] () Task: {7796DE37-D44E-4D51-9DFA-8EBBE40EF610} - System32\Tasks\Full Updater Logon => C:\Users\Aga\AppData\Roaming\Full Updater\Full Updater.exe [2016-05-04] () Task: {904E7540-B860-418C-9D35-652B2F304FFF} - System32\Tasks\{D0A22AC0-AFA7-42E6-9B93-94A3A4E6B6EC} => pcalua.exe -a D:\Gry\Planetside2\Uninstaller.exe Task: {C1113AC6-969D-46E7-8116-64010AD25F72} - System32\Tasks\COMODO\COMODO Signature Update {B9D5C6F9-17D2-4917-8BD0-614BAA1C6A59} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe Task: {D0B7291E-9218-4A9E-8B7A-D7970FDA7F5E} - System32\Tasks\COMODO\COMODO Cache Builder {0FB77674-7905-4F34-A362-C5A9A26F8CF9} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe Task: {D19BA57B-5F91-4AA8-99CA-C35A40BD58F2} - System32\Tasks\COMODO\COMODO Autostart {D5EFF3B3-E126-4AF6-BCE9-852A72129E10} => C:\Program Files\COMODO\COMODO Internet Security\cistray.exe Task: {D2CE5314-B751-4941-8E93-004AD91E1A39} - System32\Tasks\Alfasistem Memory Job => C:\Program Files (x86)\Alfasistem Memory\ tmjob.exe Task: {DC956988-D81C-4D18-AC86-FC154853E406} - System32\Tasks\COMODO\COMODO Scan {F140D794-60B6-4F00-9235-D6457AA25B22} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe Task: {E150FB51-2830-4C2F-AE58-0D3C024A4970} - System32\Tasks\COMODO\COMODO Update {A6D52E4F-569B-4756-B3D8-DF217313DA85} => C:\Program Files\COMODO\COMODO Internet Security\cfpconfg.exe Task: {F3919DED-9790-4BF6-ABDE-E4DADD83046D} - System32\Tasks\Common Service Job => C:\Program Files (x86)\Common Service\CommonService.exe [2016-05-19] () CustomCLSID: HKU\S-1-5-21-4224239710-356568986-1269608211-1001_Classes\CLSID\{793EE463-1304-471C-ADF1-68C2FFB01247}\InprocServer32 -> C:\Users\Aga\AppData\Local\Google\Update\1.3.29.5\psuser_64.dll => Brak pliku HKLM-x32\...\Run: [] => [X] S3 MSICDSetup; \??\F:\CDriver64.sys [X] S3 NTIOLib_1_0_C; \??\F:\NTIOLib_X64.sys [X] DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\COMODO C:\Program Files (x86)\Alfasistem Memory C:\Program Files (x86)\Common Service C:\Program Files (x86)\Omega Secure Web C:\Program Files (x86)\Security Task Manager C:\Users\Aga\AppData\Local\CrashRpt C:\Users\Aga\AppData\Local\Microsoft Help C:\Users\Aga\AppData\Local\TaskMan.cmd.done C:\Users\Aga\AppData\Local\TaskMan.cmd.errors C:\Users\Aga\AppData\Roaming\Full Updater C:\Users\Aga\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\Aga\Desktop\CCleaner-13061-dp.exe C:\Users\Aga\Downloads\SecurityTaskManager_Setup.exe C:\Windows\system32\Drivers\*.tmp C:\Windows\SysWOW64\*.tmp C:\Windows\System32\Tasks\COMODO RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

Być może SpaceSniffer też nie miał dostępu, a być może są błędy struktury plików. Skoro pliki już odzyskałaś i zabezpieczyłaś (rozumiem, że gdzie indziej niż na pendrive), to proponuję sformatować urządzenie. Jeśli chodzi o Fix FRST, to pomyślnie wykonany. Jeszcze na wszelki wypadek uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Prawie wszystko usunięte. Poprawki: 1. Otwórz Notatnik i wklej w nim: Task: {E2BDC824-485E-44FA-9FFA-F357F4AD0134} - \Softcomp Software Viewer -> No File HKLM\...\Run: [ASUS WebStorage] => C:\Program Files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSService.exe HKLM-x32\...\Run: [ASUS Screen Saver Protector] => C:\Windows\AsScrPro.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ADSMTray Google Update Helper (x32 Version: 1.2.183.13 - Google Inc.) Hidden C:\Windows\(÷ś Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt. 2. Po w/w akcji wpis Google Update Helper powinien się pokazać na liście deinstalacji w Panelu sterowania. Spróbuj go w normalny sposób odinstalować. Poza tym, ominąłeś deinstalację starej niebezpiecznej wersji Adobe Flash Player 10 ActiveX. Spróbuj zastosować narzędzie Cyberlink Cleaner. Wersja dla Power2Go: KLIK. Po użyciu narzędzia sprawdź czy da się normalnie odinstalować Cyberlinka. Jak widoczne powyżej, dobrana alternatywna metoda usuwania. Widzę, że Firefox dodatkowo już zresetowałeś. Czy nadal występują problemy opisane w pierwszym poście? Jeśli tak, to sprawdź jakie rezultaty przyniesie deinstalacja Avast.

vs. Foldery System Volume Information są domyślnie ograniczone przez uprawnienia, a to oznacza także że nie ma dostępu do faktycznego rozmiaru folderu. Uruchom SpaceSniffer. Konieczny prawy klik i "Uruchom jako administrator", by został obliczony ten element. Do skanu wprowadź ścieżkę pendrive. Wyniki zajętości pokazane w SpaceSniffer powinny być różne od tego co widzisz z poziomu eksploratora Windows. Czy on na pewno był "pusty" (może były tam dane tylko ukryte)? Czy mam rozumieć, że ten "pusty" folder usunęłaś? Ja nie widzę obecnie na pendrive żadnych innych danych, więc jeśli były na nim wcześniej jakieś dane (nie wiadomo gdzie), to już tylko soft do odzyskiwania danych. W instrukcji tworzenia raportów FRST było wyraźnie napisane, by nie wyciągać raportów z folderu C:\FRST\Logs, raporty bieżące są tworzone tam skąd uruchamiasz FRST (w tym przypadku folder Pobrane). Brakuje też trzeciego obowiązkowego pliku FRST Shortcut. Ale to sobie już darujmy. System jest zainfekowany adware PriceFountain, przypuszczanie nabytym z dobrychprogramów: KLIK. To nie ma żadnego związku z problemem pendrive, ale wymaga interwencji. Pod tym kątem: 1. Odinstaluj starą wersję Adobe Flash Player 10 ActiveX oraz zbędny program HP Customer Participation Program 13.0. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {377C3AB5-051C-4370-AAC8-5CCD4ACF38BB} - System32\Tasks\{327C31B6-8F85-31D4-D058-4A3E52DB21AA} => C:\Users\Dawid\AppData\Roaming\{327C3~1\Updater.exe Task: {67F5F982-903C-496A-90A6-4186D3FB1FB2} - System32\Tasks\DawidEditorializersRetrogressV2 => Rundll32.exe ProgrammingCaveator.dll,main 7 1 Task: C:\Windows\Tasks\{327C31B6-8F85-31D4-D058-4A3E52DB21AA}.job => C:\Users\Dawid\AppData\Roaming\{327C3~1\Updater.exe DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy FF NewTab: FF Homepage: hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki FF user.js: detected! => C:\Users\Dawid\AppData\Roaming\Mozilla\Firefox\Profiles\fl2qoffh.default\user.js [2016-03-09] FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 FF HKU\S-1-5-21-1530226690-3561010622-3088273119-1000\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 C:\Program Files (x86)\Temp C:\Users\Dawid\AppData\Local\EditorializersRetrogress EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany FRST nie są mi potrzebne.

Problemem jest proxy pozostawione przez Privoxy, ale zanim przejdę do usuwania proszę dostarcz wszystkie obowiązkowe logi FRST (FRST.txt, Addition.txt i Shortcut.txt), a nie tylko jeden plik. I dostarcz oryginały a nie przeklejanki, tzn. pliki umieszczone za pomocą załączników forum.

Nie widzę załączonych raportów FRST i Fixlog... To rozszerzenie pewnie instalował zewnętrzny pakiet adware, zwykle programy adware instalowane w "downloaderach" są niedostępne w inny sposób.