picasso

Log z USBFix to nie wszystko, należy też podać raporty z FRST. Pendrive owszem wykazuje częściowe ślady infekcji, tzn. skrót utworzony przez infekcję, tylko że na pendrive nie ma nic więcej niż folder System Volume Information (od Przywracania systemu): L:\ -> Removable disk # 4 Gb (1 Gb free - 31%) [Lexar] # FAT32 ################## | L:\ - Removable drive (FAT32) | [19/05/2016 - 13:34:02 | N | 1 Ko] - L:\Lexar (4GB).lnk [24/01/2016 - 23:28:18 | D] - L:\System Volume Information Należy usunąć plik Lexar (4GB).lnk (czyli ten skrót), co zlikwiduje błąd rundll, ale nie wiem co się stało z danymi, bo wg raportu nie występuje folder "bez nazwy" w którym powinny być dane przesunięte przez infekcję... Miejsce zajmuje pewnie zawartość System Volume Information. Mówisz, że podpatrywałaś podobne tematy - co konkretnie robiłaś na urządzeniu? Jedyne co mogę wywnioskować z raportu, to że prawdopodobnie uruchomiłaś komendę zdejmowania atrybutów HS, ponieważ wszystkie obiekty na pendrive są widoczne (w normalnych okolicznościach folder System Volume Information jest ukryty).

Po naprawie zmiennej Path ustąpiły rekordy "Brak pliku" i "Nie można uzyskać dostępu do BCD" w raporcie FRST. Prawie wszystkie pozostałe akcje też pomyślnie wykonane. Natomiast nie została wykonana operacja w msconfig, nadal widać multum wyłączonych usług Microsoftu: ==================== MSCONFIG/TASK MANAGER - Wyłączone elementy == MSCONFIG\Services: AdobeFlashPlayerUpdateSvc => 3 MSCONFIG\Services: AppIDSvc => 3 MSCONFIG\Services: AppMgmt => 3 MSCONFIG\Services: AxInstSV => 3 MSCONFIG\Services: BDESVC => 3 MSCONFIG\Services: BrYNSvc => 3 MSCONFIG\Services: Creative ALchemy AL6 Licensing Service => 3 MSCONFIG\Services: defragsvc => 2 MSCONFIG\Services: dot3svc => 3 MSCONFIG\Services: EFS => 3 MSCONFIG\Services: ehRecvr => 3 MSCONFIG\Services: ehSched => 3 MSCONFIG\Services: FDResPub => 3 MSCONFIG\Services: hkmsvc => 3 MSCONFIG\Services: HomeGroupListener => 3 MSCONFIG\Services: HomeGroupProvider => 3 MSCONFIG\Services: IDriverT => 3 MSCONFIG\Services: IPBusEnum => 3 MSCONFIG\Services: KtmRm => 3 MSCONFIG\Services: lltdsvc => 3 MSCONFIG\Services: MBAMService => 2 MSCONFIG\Services: MozillaMaintenance => 3 MSCONFIG\Services: msiserver => 3 MSCONFIG\Services: PerfHost => 3 MSCONFIG\Services: pla => 3 MSCONFIG\Services: PolicyAgent => 3 MSCONFIG\Services: ProtectedStorage => 3 MSCONFIG\Services: QWAVE => 3 MSCONFIG\Services: RasAuto => 3 MSCONFIG\Services: RasMan => 3 MSCONFIG\Services: SDRSVC => 2 MSCONFIG\Services: SharedAccess => 3 MSCONFIG\Services: SkypeUpdate => 2 MSCONFIG\Services: sppuinotify => 3 MSCONFIG\Services: SstpSvc => 3 MSCONFIG\Services: StorSvc => 3 MSCONFIG\Services: SwitchBoard => 3 MSCONFIG\Services: swprv => 3 MSCONFIG\Services: TapiSrv => 3 MSCONFIG\Services: TBS => 3 MSCONFIG\Services: THREADORDER => 3 MSCONFIG\Services: TrustedInstaller => 3 MSCONFIG\Services: UI0Detect => 3 MSCONFIG\Services: VaultSvc => 3 MSCONFIG\Services: vds => 3 MSCONFIG\Services: VSS => 3 MSCONFIG\Services: W32Time => 3 MSCONFIG\Services: wbengine => 2 MSCONFIG\Services: wcncsvc => 3 MSCONFIG\Services: wercplsupport => 3 MSCONFIG\Services: WwanSvc => 3

Zabrakło nowych raportów:

Do Twojej maszyny powinny być przypisane dwa klucze: OEM_SLP (używany do automatycznej aktywacji systemu z Recovery) oraz COA_SLP (na naklejce). I to ten klucz z naklejki powinien zostać zastosowany przy użyciu zwykłej płyty nie-Recovery. Przy użyciu klucza z naklejki prawdopodobnie trzeba będzie telefonicznie skontaktować się z Microsoftem, by aktywowali system. Podczas samej instalacji systemu można pominąć aktywację i dopiero po zainstalowaniu systemu ją przeprowadzić. Owszem, to nie wygląda normalnie. Nic więcej na tym komunikacie nie było pokazane? Przeklej z dziennika SpyShelter jak dokładnie ta akcja była sformułowana. Czy zezwoliłaś na nią, czy też ją zablokowałaś?

Fixlog pokazuje błąd, bo zapomniałam, że masz rozwalone Zmienne środowiskowe i nie zadziała komenda "reg query" bez pełnej ścieżki. A filtry to na dłoni widać (LowerFilters po usuniętym starym sterowniku pfc.sys uprzednio zgłaszanym w Dzienniku zdarzeń jako niekompatybilny). Kolejne poprawki: 1. W powyższym kluczu pokazanym na obrazku skasuj wartość LowerFilters. 2. Panel sterowania > System i zabezpieczenia > System > Zaawansowane ustawienia systemu > Zmienne środowiskowe > w sekcji Zmienne systemowe zaznacz Path i klik w Edytuj. Zastąp widoczny tam ciąg tym blokiem: %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;%SystemRoot%\System32\WindowsPowerShell\v1.0\ Zresetuj system. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, już bez Shortcut.

Jeśli chodzi o napęd, to pewnie filtry sprzętowe. Dodaj mi skan informacyjny pod tym kątem (zanim przejdę do napraw). Tzn. do Notatnika wklej: Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E965-E325-11CE-BFC1-08002BE10318} /s Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Przedstaw wynikowy log fixlog.txt.

Kończymy: Zastosuj DelFix, wyczyść foldery Przywracania systemu, zaktualizuj Adobe Reader (posiadasz wersję Adobe Reader XI 11.0.03). Wszystko opisane tu: KLIK.

Ale ja mówię o tym co jest w spoilerze, czyli: Otwierasz stronę Techbench: https://www.microsoft.com/en-us/software-download/techbench Następnie w Firefox CTRL+SHIFT+K, by otworzyć konsolę. W konsoli na spodzie w linii komend wpisujesz i zatwierdzasz: "zezwalaj na wklejanie" Następnie w linii komend wklejasz kod podany na tej stronie w oknie i zatwierdzasz: https://gist.github.com/revunix/97fb532323a4e66f87ff Odświeżasz stronę Techbench i menu pokaże duży wybór edycji. Wybierasz tę samą którą masz obecnie, czyli Windows 7 Home Premium SP1 (nie wybieraj edycji oznaczonych jako "K" czy "KN"), po potwierdzeniu wyboru pokaże się wybór języka (wybierasz Polish), a następnie linki pobierania (wybierasz edycję 64-bit).

Nie, FRST skanuje tylko i wyłącznie dysk systemowy i w raporcie nic się nie pokaże związanego z zawartością Recovery. Poza tym, partycja Recovery nie zawiera "Windows" w stanie bezpośrednim, tylko spakowany do obrazu instalacyjnego (standardowy WIM lub format niedomyślny stosowany przez danego producenta, obraz może być też podzielony na mniejsze części), który jest zrzucany podczas instalacji. Jak mówiłam, szczerze wątpię w modyfikacje w obrazie Windows, o ile komputer nie został otrzymany w prezencie od tej samej osoby, która Cię prześladuje. To nie jest prosta operacja dla osoby mało zaawansowanej technicznie. Wymagane kroki: skopiowanie obrazu VAIO do edycji, zedytowanie obrazu Windows, wstawienie z powrotem na partycję Recovery i uzgodnienie danych ładowania obrazu (są systemy Recovery które odrzucą obraz nie mający pewnych cech ustalonych na sztywno w dodatkowych plikach Recovery). Przy czym jeszcze ta modyfikacja w obrazie musiałaby być jakaś bardzo szczególna i zrobiona w miejscach nie skanowanych przez FRST, w przeciwnym wypadku po zrzuceniu obrazu z Recovery FRST po prostu by i tak pokazał określone ładowane komponenty. Drążysz tę partycję Recovery. Dla świętego spokoju, by się kategorycznie odczepić od tego wątku, możesz pobrać instalator Windows ze strony Microsoftu (gwarancja braku modyfikacji, poza tym bez bloatware VAIO): https://www.fixitpc.pl/topic/29567-legalne-pobieranie-obrazów-instalacyjnych-windows/. Popatrz na spodzie do spoilera, po zastosowaniu hacku na stronie Techbench w menu będzie bezpośredni pobór obrazu Windows 7 - w razie niejasności mogę podać detale jak to zrobić. Zrobić płytę instalacyjną, podczas instalacji systemu skasować wszystkie partycje (wliczając Recovery) i zainstalować świeży system. Jeśli nadal będą jakieś "śledzenia", to całkowicie wykluczam system operacyjny jako przyczynę. PS. I proszę odpowiedz na nasze pytania.

System jest zainfekowany adware, które używa filtra Privoxy i proxy ładowanego tym filtrem, co wyjaśnia problemy z siecią oraz długie zamykanie systemu (jeden z obiektów siedzi w Harmonogramie zadań). A tak poza tym to możesz wywalić więcej programów Asusa, by ograniczyć ilość ładowanych elementów. Działania do przeprowadzenia: 1. Odinstaluj stare wersje Adobe, zbędny Akamai oraz niepotrzebne programy ASUS. Poniżej lista programów ASUS które można usunąć (o ile nie korzystasz): ==================== Installed Programs ====================== Acrobat.com (Version: 1.6.65 - Adobe Systems Incorporated) Adobe AIR (Version: 19.0.0.213 - Adobe Systems Incorporated) Adobe Flash Player 10 ActiveX (Version: 10.0.42.34 - Adobe Systems Incorporated) Adobe Media Player (Version: 1.8 - Adobe Systems Incorporated) Akamai NetSession Interface (Version: - Akamai Technologies, Inc) ASUS AP Bank (Version: 1.0.0.0 - ASUSTEK) > "sklep" z softem ASUS CopyProtect (Version: 1.0.0015 - ASUS) > zabezpieczenie przed nieautoryzowanym kopiowaniem danych ASUS Data Security Manager (Version: 1.00.0014 - ASUS) > szyfrowanie danych ASUS FancyStart (Version: 1.0.8 - ASUSTeK Computer Inc.) > wymiana grafiki ekranu bootowania ASUS LifeFrame3 (Version: 3.0.20 - ASUS) > zrzuter ekranu / edytor powiązany z kamerą ASUS Live Update (Version: 2.5.9 - ASUS) > autoaktualizacja sterowników/BIOS ASUS MultiFrame (Version: 1.0.0021 - ASUS) > system dzielenia okien ASUS Power4Gear Hybrid (Version: 1.1.35 - ASUS) > tweaker zasilania ASUS SmartLogon (Version: 1.0.0008 - ASUS) > logowanie do komputera za pomocą rozpoznawania twarzy ASUS Virtual Camera (Version: 1.0.19 - asus) ASUS WebStorage (Version: 2.0.46.1429 - eCareme Technologies, Inc.) > "dysk wirtualny" (problematyczny i generujący błędy explorer.exe) CyberLink LabelPrint (Version: 2.5.1908 - CyberLink Corp.) CyberLink Power2Go (Version: 6.1.3602c - CyberLink Corp.) Fast Boot (Version: 1.0.5 - ASUS) > Asusowy menedżer startu Windows Live Essentials (Version: 14.0.8050.1202 - Microsoft Corporation) Windows Live Sign-in Assistant (Version: 5.000.818.6 - Microsoft Corporation) Windows Live Sync (Version: 14.0.8050.1202 - Microsoft Corporation) Windows Live Upload Tool (Version: 14.0.8014.1029 - Microsoft Corporation) 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: RemoveProxy: R2 PrivoxyService; C:\Program Files (x86)\Softcomp Software\privoxy.exe [371200 2015-06-02] (The Privoxy team - www.privoxy.org) [File not signed] Task: {7F537B1F-A2B4-4B56-BC74-F7C9FFD0F728} - System32\Tasks\Softcomp Software Viewer => C:\Program Files (x86)\Softcomp Software\swjob.exe [2015-06-02] (SecureSoft) U3 tmlwf; no ImagePath U3 tmwfp; no ImagePath HKU\S-1-5-21-3595127932-1541083318-131603667-1001\...\Run: [AdobeBridge] => [X] HKLM\...\Run: [setwallpaper] => c:\programdata\SetWallpaper.cmd HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = HKU\S-1-5-21-3595127932-1541083318-131603667-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki SearchScopes: HKU\S-1-5-21-3595127932-1541083318-131603667-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3595127932-1541083318-131603667-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = SearchScopes: HKU\S-1-5-21-3595127932-1541083318-131603667-1001 -> {67A2568C-7A0A-4EED-AECC-B5405DE63B64} URL = SearchScopes: HKU\S-1-5-21-3595127932-1541083318-131603667-1001 -> {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = Toolbar: HKU\S-1-5-21-3595127932-1541083318-131603667-1001 -> No Name - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File FF Homepage: hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki FF NetworkProxy: "type", 5 FF HKLM-x32\...\Firefox\Extensions: [sp@avast.com] - C:\Program Files\AVAST Software\Avast\SafePrice\FF CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx [2015-12-10] DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher C:\Program Files (x86)\Mozilla Firefox\distribution C:\Program Files (x86)\Softcomp Software C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Warcraft III C:\Users\Default\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\adam\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\adam\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Play Games Online.url C:\Users\adam\Desktop\shorts\ControlDeck.lnk C:\Users\adam\Desktop\shorts\Splendid Utility.Lnk C:\Users\adam\Desktop\shorts\syncables desktop SE.lnk C:\Users\UpdatusUser\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Google Chrome.lnk C:\Users\UpdatusUser\Desktop\Warcraft III.lnk CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście odpadkowy wpis Google Update Helper > Dalej. 4. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, już bez Shortcut. Dołącz też plik fixlog.txt. Podsumuj jak działa system po naprawach.

Wielkie dzięki za ewentualne dorzucenie do skarbonki. Temat rozwiązany. Zamykam.

Załączyłeś plik Shortcut.txt zamiast Addition.txt... AdwCleaner znalazł sporo odpadków adware. Uruchom program ponownie, po kolei wybierz opcje Skanuj + Usuń. Dostarcz log z wynikami czyszczenia.

Temat przenoszę do działu Windows. Problem zasadniczy nie jest pochodną infekcji. Owszem, w systemie rozmaite źle doczyszczone ślady adware (czym również się zajmę), ale to bez związku. ==================== Wadliwe urządzenia w Menedżerze urządzeń ============= Name: Urządzenie klawiatury HID Description: Urządzenie klawiatury HID Class Guid: {4d36e96b-e325-11ce-bfc1-08002be10318} Manufacturer: (Klawiatury standardowe) Service: kbdhid Problem: : Windows cannot load the device driver for this hardware. The driver may be corrupted or missing. (Code 39) Resolution: Reasons for this error include a driver that is not present; a binary file that is corrupt; a file I/O problem, or a driver that references an entry point in another binary file that could not be loaded. Uninstall the driver, and then click "Scan for hardware changes" to reinstall or upgrade the driver. vs. ===================== Sterowniki (filtrowane) ========================== S3 kbdhid; C:\Windows\System32\drivers\kbdhid.sys [0 2015-10-30] () Niektóre zerobajtowe pliki/foldery: ========================== C:\Windows\System32\Drivers\kbdhid.sys Uszkodzony plik systemowy. Swoją drogą to jedna z ostatnich akcji 17 maja to Driver Booster zainstalowany z Advanced System Care. Program ten masowo aktualizował sterowniki w systemie. Pomijając to, że sama marka IOBit jest u mnie na czarnej liście (marna reputacja producenta), takie automatyczne aktualizowanie sterowników hurtem może prowadzić do większych kłopotów, bo wcale nie ma gwarancji, że są instalowane tylko te potrzebne i idealnie dobrane. Sterowników nie aktualizuje się przy udziale automatów. Niestety nie posiadasz żadnych punktów Przywracania systemu, by odwrócić zmiany zrobione przez "boostera". Wstępnie: 1. Wykonaj sprawdzanie plików sfc /scannow opisane w artykule na forum: KLIK. Nie musisz filtrować raportu, to wydrukuję sobie w wynikach skryptu FRST w punkcie 3. 2. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj stare wersje Adobe AIR, Adobe Flash Player 16 NPAPI, Adobe Media Player, Facebook Video Calling 3.1.0.521, Java 7 Update 55, YTD Video Downloader 4.8.8 (adware) i wszystkie programy IOBit. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 wfdrvr_vw_1_10_0_25; C:\Windows\System32\drivers\wfdrvr_vw_1_10_0_25.sys [57712 2015-09-30] (WF) R1 wfdrvr_vw_1_10_0_28; C:\Windows\System32\drivers\wfdrvr_vw_1_10_0_28.sys [57712 2015-10-30] (WF) Task: {06C7B280-C73A-4300-AB4D-890254736FFB} - System32\Tasks\{6EA5FA75-A435-4F05-9B32-80D6F0C270C7} => pcalua.exe -a C:\Users\Wacław\AppData\Roaming\sweet-page\UninstallManager.exe -c -ptid=sof -simple=0 Task: {094E3FC4-B5B6-4DB8-9E21-BB3D9D410DD8} - System32\Tasks\WordFly Auto Updater 1.10.0.28 Core => C:\Program Files (x86)\WordFly_1.10.0.28\Update\WordflyAutoUpdateClient.exe Task: {0BBCCF9A-983D-4537-AF25-6C8F292088A4} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {1B766A69-6EA7-41F3-8CE6-9E3B1489EBCD} - System32\Tasks\{C12637B1-0695-4CAF-B741-D6C7940DB5D7} => pcalua.exe -a "C:\Program Files (x86)\Microsoft Silverlight\5.1.20125.0\Silverlight.Configuration.exe" -c -uninstallApp 3431967327.portal.qtrax.com Task: {23B82FCE-F18D-4E2A-96A7-B9CB1A933BD0} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {38738271-1399-4C6C-8058-1F8CAAACD029} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\BrowserChoice\browserchoice.exe Task: {395924F8-0376-4FE2-B6C3-DE27E1551CBF} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {43D7C717-05C9-46C3-B4A0-D70BFE231B9E} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {46C3B067-6787-408A-832B-7AEB6153F1DF} - System32\Tasks\WordFly Auto Updater 1.10.0.25 Core => C:\Program Files (x86)\WordFly_1.10.0.25\Update\WordflyAutoUpdateClient.exe Task: {4A8F3C2F-C6EB-42EE-A6A0-7D0EE6A8913B} - System32\Tasks\{FBD869E0-D6EB-4EBA-8195-68C7241A4EB2} => pcalua.exe -a C:\Users\Wacław\AppData\Roaming\do-search\UninstallManager.exe -c -ptid=cor Task: {52F299EE-FF33-4B31-91EB-6F7DF1D9C053} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {54FE7E8A-B8BE-4D39-84AC-76333F2BD24A} - \BackgroundContainer Startup Task -> Brak pliku Task: {5B12CFEF-5AF6-4428-AF49-7723D3E4F6AD} - System32\Tasks\WordFly Auto Updater 1.10.0.25 Pending Update => C:\Program Files (x86)\WordFly_1.10.0.25\Update\WordflyAutoUpdateClient.exe Task: {65529C1A-6151-478C-9BD7-AEAC5C6E7E7D} - System32\Tasks\ASC8_PerformanceMonitor => C:\Program Files (x86)\IObit\Advanced SystemCare 8\Monitor.exe Task: {65F361FE-B9DE-4295-8948-72DD4F3BD1E9} - System32\Tasks\{248C73D1-DF13-43F7-A2FA-040A629596B1} => pcalua.exe -a C:\Users\Wacław\AppData\Roaming\istartsurf\UninstallManager.exe -c -ptid=smt Task: {78D5701B-531B-44BA-BF54-BDA3B1F6523A} - System32\Tasks\ASC8_SkipUac_Wacław => C:\Program Files (x86)\IObit\Advanced SystemCare 8\ASC.exe Task: {92E5FC1C-9893-4F4D-98CA-5BB9651DF42E} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {BF2F3B15-81D2-4592-B996-A305AF67CE32} - System32\Tasks\WordFly Auto Updater 1.10.0.28 Pending Update => C:\Program Files (x86)\WordFly_1.10.0.28\Update\WordflyAutoUpdateClient.exe Task: {C1B94AC3-985D-4B5B-8B75-B5CF46551EB9} - System32\Tasks\{97693B34-C697-4AD2-9E9D-DE5065BEB9C9} => pcalua.exe -a C:\ProgramData\BrowserDefender\2.6.1339.144\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\uninstall.exe -c /Uninstall /{15D2D75C-9CB2-4efd-BAD7-B9B4CB4BC693} /su=6d3732efdbd56826 /um Task: {C2A21F7C-2242-43E6-8ABD-3B19E1ADF150} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {C457335B-DDD7-44B2-8872-6DBC53D4439B} - System32\Tasks\{B8AFE151-6D4D-46ED-9A94-D60BA66F53B4} => pcalua.exe -a "C:\Users\Wacław\AppData\Roaming\0D1F1S1C1P0P1C1F1N1C1T1H2UtF1E1I\GIMP Packages\uninstaller.exe" -c /Uninstall /NM="GIMP Packages" /AN="0D1F1S1C1P0P1C1F1N1C1T1H2UtF1E1I" /MBN="GIMP Packages" Task: {D74068C1-C508-4093-B7BF-2F0111C88324} - System32\Tasks\DSite => C:\Users\WACAW~1\AppData\Roaming\DSite\UPDATE~1\UPDATE~1.EXE Task: {E5486E76-6536-4DF4-ABBD-8144BE2AA042} - System32\Tasks\QtraxPlayer => 3431967327.portal.qtrax.com Task: {E94956BB-7649-4AC1-BE72-9A9E177829E8} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {F6E085F2-3476-445F-8A67-90E7B3107AFE} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {FD116C7B-8D37-468B-A8F1-E542168274AB} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku Task: {FD5639CB-4DDD-4E75-AE9D-F246F4531E25} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: C:\Windows\Tasks\ASC8_SkipUac_Wacław.job => C:\Program Files (x86)\IObit\Advanced SystemCare 8\ASC.exe HKU\S-1-5-21-1334447352-3934307352-2162786359-1001\...\Run: [bingSvc] => C:\Users\Wacław\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-04-07] (© 2015 Microsoft Corporation) GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-1334447352-3934307352-2162786359-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.interia.pl/#utm_source=instalki1&utm_medium=installer&utm_campaign=instalki1&iwa_source=installer_instalki HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.com HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.com DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main SearchScopes: HKU\S-1-5-21-1334447352-3934307352-2162786359-1001 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3250620A_5QE2SDCCXXXX5QE2SDCC&ts=1433852232&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1334447352-3934307352-2162786359-1001 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3250620A_5QE2SDCCXXXX5QE2SDCC&ts=1433852232&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1334447352-3934307352-2162786359-1001 -> {2023ECEC-E06A-4372-A1C7-0B49F9E0FFF0} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3250620A_5QE2SDCCXXXX5QE2SDCC&ts=1433852232&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1334447352-3934307352-2162786359-1001 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://do-search.com/web/?type=dspp&ts=1433852218&z=4df2c7c60aba7c2484f82f9g0zfc5c3b5waofofgaw&from=cor&uid=ST3250620A_5QE2SDCCXXXX5QE2SDCC&q={searchTerms} SearchScopes: HKU\S-1-5-21-1334447352-3934307352-2162786359-1001 -> {62D754A3-3AC8-452C-80A6-B1D3495429FA} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3250620A_5QE2SDCCXXXX5QE2SDCC&ts=1433852232&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1334447352-3934307352-2162786359-1001 -> {E733165D-CBCF-4FDA-883E-ADEF965B476C} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3250620A_5QE2SDCCXXXX5QE2SDCC&ts=1433852232&type=default&q={searchTerms} SearchScopes: HKU\S-1-5-21-1334447352-3934307352-2162786359-1001 -> {szukaj.gazeta.pl} URL = hxxp://do-search.com/web/?utm_source=b&utm_medium=cor&utm_campaign=install_ie&utm_content=ds&from=cor&uid=ST3250620A_5QE2SDCCXXXX5QE2SDCC&ts=1433852232&type=default&q={searchTerms} BHO-x32: Brak nazwy -> {BA0C978D-D909-49B6-AFE2-8BDE245DC7E6} -> Brak pliku CHR HKU\S-1-5-21-1334447352-3934307352-2162786359-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx DeleteKey: HKCU\Software\Mozilla\Firefox DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32 DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla\Firefox DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v BingSvc /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v KiesAirMessage /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v KiesPreload /f Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v "Spybot-S&D Cleaning" /f Reg: reg query HKLM\SYSTEM\CurrentControlSet\Control\Class\{4D36E96B-E325-11CE-BFC1-08002BE10318} /s C:\Program Files (x86)\Mozilla Firefox C:\Users\Wacław\AppData\Local\Microsoft\BingSvc C:\Users\Wacław\AppData\Local\Mozilla\Firefox C:\Users\Wacław\AppData\Local\Opera Software C:\Users\Wacław\AppData\Roaming\LiveSupport.exe_log.txt C:\Users\Wacław\AppData\Roaming\msregsvv.dll C:\Users\Wacław\AppData\Roaming\regsvr32.exe_log.txt C:\Users\Wacław\AppData\Roaming\Mozilla\Firefox C:\Users\Wacław\AppData\Roaming\Opera Software C:\Users\Wacław\Desktop\Continue Memtest86 installation.lnk C:\Users\Wacław\Links\BUKOWINA — skrót.lnk C:\Windows\System32\drivers\wfdrvr_vw_1_10_0_25.sys C:\Windows\System32\drivers\wfdrvr_vw_1_10_0_28.sys CMD: findstr /c:"[sR]" %windir%\logs\cbs\cbs.log EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Google Chrome jest zainfekowane adware. Przeinstaluj kompletnie wg tych kroków: Zresetuj synchronizację (o ile włączona): KLIK. Jeśli potrzebne, wyeksportuj zakładki: CTRL+SHIFT+O > Organizuj > Eksportuj zakładki do pliku HTML. Odinstaluj Google Chrome. Przy deinstalacji zaznacz Usuń także dane przeglądarki. Zainstaluj najnowszą wersję Google Chrome. 5. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, już bez Shortcut. Dołącz też plik fixlog.txt.

Ten klucz wstawia do rejestru właśnie szczepionka BitDefender. U mnie po uruchomienie programu także powstały te dwa klucze: HKEY_CURRENT_USER\Software\9BHj2gdsQ0 HKEY_CURRENT_USER\Software\Locky Tak więc wyniki w CCleaner do zignorowania. Prawy klik na ten svchost, opcja Przejdź do usług, potwierdź w podświetlonych wynikach, że figuruje tam pozycja "Windows Update". W raportach brak oznak infekcji, ale są tu owszem rzeczy do interwencji. Widzę pośrednie znaki uszkodzenia zmiennej środowiskowej Path, wyłączone za dużo usług via msconfig (niektóre nie powinny zostać wyłączone), niepoprawnie odinstalowany McAfee, a także inne odpadkowe wpisy, stare 32-bitowe sterowniki programów zewnętrznych blokowane przez system (poniżej błędy z Dziennnika), niekompletnie zaktualizowany system (stoi stara niewspierana już wersja IE10 zamiast IE11). Dziennik System: ============= Error: (05/18/2016 10:10:28 PM) (Source: Service Control Manager) (EventID: 7026) (User: ) Description: Nie można załadować następujących sterowników startu rozruchowego lub systemowego: nvport Error: (05/18/2016 10:10:17 PM) (Source: Application Popup) (EventID: 1060) (User: ) Description: Ładowanie sterownika \SystemRoot\SysWow64\drivers\pfc.sys zostało zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania w celu uzyskania zgodnej wersji sterownika. Error: (05/18/2016 10:10:15 PM) (Source: Application Popup) (EventID: 1060) (User: ) Description: Ładowanie sterownika \??\C:\Windows\SysWow64\Drivers\nvport.sys zostało zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania w celu uzyskania zgodnej wersji sterownika. Poza tym, masz zainstalowane różne stare programy, a także programy wątpliwej konduity (DLL-Files Fixer i Driver Booster IOBit). Marka IOBit w ogóle nie jest tu polecana ze względu na reputację producenta. Swoją drogą, to ten "Driver Booster" niby w wersji portable, tylko że w Harmonogramie zadań utworzył obiekty rozruchowe (będę je usuwać), co przeczy naturze "portable" (utworzone dodatkowe wpisy rejestru oraz obiekty na dysku poza katalogiem programu). Czyli wstępnie: 1. W msconfig w karcie Usługi odwróć poprzednie działania, tzn. zaznacz odznaczone usługi Microsoftu. 2. Zastosuj McAfee Consumer Product Removal Tool. 3. Odinstaluj stare niebezpieczne wersje Java 7 Update 76 (64-bit), Java 7 Update 76. Natomiast DLL-Files Fixer i Driver Booster "portable" usuń z dysku. 4. W przeglądarkach: - W Firefox w menedżerze dodatków odinstaluj trupa CoolPreviews. Od lat rozszerzenie martwe, nie podpisane cyfrowo i nie będzie akceptowane w najnowszym FF. - W Google Chrome zresetuj cache wtyczek, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz. 5. Posługujesz się starą wersją FRST z 27-02-2016. Trzeba pobrać ręcznie najnowszą z przyklejonego tematu, gdyż Twoja się samoistnie już nie zaktualizuje (zmiany w linkach aktualizacji, stare wersje FRST nie rozpoznają ich). Po aktualizaji FRST otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: S3 ATITool; C:\Windows\System32\DRIVERS\ATITool64.sys [30720 2006-11-10] () [brak podpisu cyfrowego] S3 GenericMount; C:\Windows\System32\DRIVERS\GenericMount.sys [54320 2009-09-21] (Symantec Corporation) S1 nvport; C:\Windows\SysWOW64\Drivers\nvport.sys [4608 2006-05-05] (NVIDIA Corporation.) [brak podpisu cyfrowego] S3 pfc; C:\Windows\SysWOW64\drivers\pfc.sys [9856 2006-03-29] (Padus, Inc.) [brak podpisu cyfrowego] S3 PortTalk; C:\Windows\SysWOW64\Drivers\PortTalk.sys [3567 2002-01-12] (Beyond Logic hxxp://www.beyondlogic.org) [brak podpisu cyfrowego] S3 cpuz132; \??\C:\Users\Dudek\AppData\Local\Temp\cpuz132\cpuz132_x64.sys [X] Task: {6302761C-F4EE-45B9-848B-B34F8F5F31E5} - System32\Tasks\Driver Booster SkipUAC (Dudek) => D:\IObit Driver Booster Pro\App\Driver Booster\DriverBooster.exe [2015-10-16] (IObit) Task: {7633AB18-18D4-4F40-8954-02A3E73F5347} - System32\Tasks\{DAFCE646-E615-4D45-B7CB-48106FB7974E} => pcalua.exe -a "D:\FreeRapid Downloader\frd.exe" -d "D:\FreeRapid Downloader" Task: {9D308604-70AC-406D-932A-50B0356E7425} - System32\Tasks\Driver Booster Scheduler => D:\IObit Driver Booster Pro\App\Driver Booster\Scheduler.exe [2015-10-16] (IObit) Task: {E2F10B0B-D9A5-4D0C-989D-14E5166C431E} - System32\Tasks\Opera scheduled Autoupdate 1445176897 => D:\Opera\launcher.exe HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PAexec => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfehidk.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfetdi2k => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfetdi2k.sys => ""="Driver" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfevtp => ""="Service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PAexec => ""="Service" HKLM-x32\...\Winlogon: [userinit] [X] HKU\S-1-5-21-3109523066-2476599016-3366156518-1000\Software\Classes\.exe: => ProxyServer: [s-1-5-21-3109523066-2476599016-3366156518-1000] => localhost:8080 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\RealProtect DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Program Files (x86)\GUT1BAB.tmp C:\ProgramData\Microsoft\Windows\GameExplorer\{11BCFDD7-21E9-4B70-A512-F56A5066AFEE} C:\ProgramData\Microsoft\Windows\GameExplorer\{8146C1DF-E311-4B6F-B348-3AC31EA1DF60} C:\ProgramData\Microsoft\Windows\GameExplorer\{BA590910-03EC-4F7B-8760-DDB39076496C} C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Engelmann Media C:\Users\Dudek\AppData\Local\Microsoft\Windows\GameExplorer\{AFEA67F0-6FAE-4F68-845B-AC6DFF6C4363} C:\Users\Dudek\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Cinema HD 2.0.lnk C:\Users\Dudek\Desktop\PROGRAMY\Odtwarzacze\Total Video Player.lnk C:\Windows\System32\Drivers\ATITool64.sys C:\Windows\System32\Drivers\GenericMount.sys C:\Windows\SysWOW64\Drivers\nvport.sys C:\Windows\SysWOW64\Drivers\pfc.sys C:\Windows\SysWOW64\Drivers\PortTalk.sys CMD: netsh advfirewall reset CMD: set EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. O nowy skan FRST to dopiero poproszę po korekcie Path, która się odbędzie na podstawie wyników Fixlog.

Tak, to już wszystko. Temat rozwiązany. Zamykam.

Niestety zgodnie z przypuszczeniem te wpisy wracają z routera, więc sprawa routera to już do rozwiązania potem, gdy sąsiad wróci. Być może trzeba będzie wykonać też aktualizację firmware urządzenia. A czyszczenie Twojego systemu skończyłyśmy. Zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK.

cukier, w raporcie Addition stoją następujące dane: ==================== Inne obszary ============================ Zapora systemu Windows [funkcja włączona] Dziennik System: ============= Error: (05/16/2016 09:00:16 PM) (Source: Service Control Manager) (EventID: 7001) (User: ) Description: Usługa Zapora systemu Windows zależy od usługi Podstawowy aparat filtrowania, której nie można uruchomić z powodu następującego błędu: %%6 Podstawowy aparat filtrowania (BFE) to nadrzędna zależność dla Zapory (a także wielu programów zabezpieczających / antywirusów). Czy wykonałeś operacje odtwarzania Zapory (m.in. tam jest kompletne przeładowanie BFE i uprawnień), do których linkowałam? A jeśli tak, to czy są jakieś skutki? PS. I sugeruję opuścić tymczasową instalację Comodo jako metodę "naprawy" Zapory systemowej. Comodo podczas instalacji / deinstalacji po prostu przestawia stan Zapory w rejestrze, co można wykonać ręcznie, to działanie jednak nie naprawia innych usterek zapory (np. problemu uprawnień, zdekompletowanych usług, etc).

Sytuacja jest tu taka: system został przeinstalowany z Recovery, w raportach nie ma oznak uruchamiania czegoś "dodatkowego", SpyShelter nie alarmuje o niczym, hasła ponoć wszędzie zmienione, ale prowadzisz jakieś "rozmowy" nieznanej natury w których są pokazywane dane jakie przeglądasz. Dlatego drażę ten temat, bo to właśnie ta "rozmowa" może być dokładnie tym o co chodzi tej osobie i drogą, by pobrać dane w jej trakcie (np. jakiś skrypt inicjowany w trakcie który ciągnie dane z otwartej przeglądarki internetowej). Dlatego proszę odpowiedz na moje poprzednie pytania i wyraźnie sformułuj do czego jest ograniczona "rozmowa" (czysto tekstowe dane, żadnych obiektów dodatkowych typu obrazki / emotikony / klikalne odnośniki / pobierane pliki, etc) oraz czy zawsze odbywa się w identyczny sposób a nie przy udziale różnych dróg.

Ale właśnie dla nas nie jest. Jest tu za mało informacji, np. w jaki sposób jest prowadzona rozmowa (przy udziale jakiego medium / programu / czy może online na jakiejś specyficznej stronie np. Facebook Messenger) i co w tej rozmowie występuje poza samym prostym pokazaniem Twoich danych. Przecież równie dobrze jest możliwe, że to właśnie ta "rozmowa" to jest monitoring per se, tzn. podczas tej "rozmowy" odbywa się ciągnięcie danych w jakiś nieznany mi sposób, może coś w rozmowie jest podawane / może jakiś trik socjotechniczny skłaniający Cię do wykonania określonej czynności (np. kliknięcia linka). Pytaniem jest: czy jest jakiś inny dowód, że pobór danych odbywa się w czasie, gdy nie prowadzisz tych "rozmów"? Tak swoją drogą to mnie nieco dziwi fakt rozmów ze "szpiegiem".

1. Zapomniałam dodać, że jest jeszcze drobny błąd WMI w Dzienniku. Zlikwiduje go narzędzie Fix-it: KLIK. 2. Przez SHIFT+DEL (omija Kosz) skasuj foldery C:\FRST + FRST z Pulpitu. Na koniec wyczyść foldery Przywracania systemu (punkty zrobione skryptem FRST i narzędziem Fix-it): KLIK. To tyle z mojej strony.

Proszę aktywuj ponownie usługę Windows Update i zrób kompletne wyszukiwanie + instalacje aktualizacji (system automatycznie i tak pomija "opcjonalne", nie są zaznaczane), powtórzone wielokrotnie do czasu aż nic więcej nie zostanie znalezione na Windows Update. Etap aktualizacji obciąży procesor, ale trzeba to przeczekać. A Fix FRST pomyślnie wykonany.

Wykonaj sobie jeszcze poboczne działania nie związane z problemem: 1. Deinstalacje starych niebezpiecznych wersji i innych zbędnych programów: - Przez Panel sterowania: Adobe Flash Player 19 ActiveX, Apple Application Support (32-bit), Apple Application Support (64-bit), Apple Mobile Device Support, Apple Software Update, Bonjour, DivX Setup, DLL Suite 2013, DLL Suite 9.0, Java 8 Update 60, QuickTime, Real Alternative 2.0.2, SHAREit, Spybot - Search & Destroy, WarThunder (to nie gra tylko adware). Apple / QuickTime - ostatnio wykryta poważna luka i wycofane wsparcie dla Windows, o czym jest w przyklejonym: KLIK. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK 35 (to ukryty program od niechcianej instalacji programu Lenovo SHAREit) > Dalej. 2. Usunięcie odpadkowych wpisów (w tym szczątków adware). Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {BED82284-40F1-467E-B2A8-AD8B19551625} - System32\Tasks\DivXUpdate => C:\Program Files (x86)\Common Files\DivX Shared\Qt4.8\DivXUpdate.exe Task: {F1513523-1B58-423E-A1AE-4A57F9C9663B} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2015-07-06] (Lenovo) HKLM-x32\...\Run: [updReg] => C:\Windows\UpdReg.EXE S3 gdrv; \??\C:\Windows\gdrv.sys [X] DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Lenovo C:\Users\User\AppData\Local\Lenovo C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Sparta.lnk C:\Users\User\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Users\User\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Sparta C:\Windows\System32\Tasks\Lenovo CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

To było oczywiste, że jeśli wyłączysz urządzenie, sterownik przestanie być ładowany. Windows notuje, że "aktualny", ale mnie chodziło nie o wyszukiwanie automatyczne aktualizacji sterownika, tylko o ręczne nakierowanie na folder z pobranym INF (pod warunkiem, że rzeczywiście wersja pobrana jest inna / wyższa niż zainstalowana). Na wszelki wypadek podaj mi jaka wersja pliku jest obecnie w systemie. Do Notatnika wklej: File: C:\Windows\system32\drivers\athurx.sys Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Sprawdź czy da się zaktualizować sterownik via Menedżer urządzeń (wskazując w dialogu folder z pobranym sterownikiem i jego INF).

Póki co, to wszystkie pliki Minidump zawierają tę samą informację, że przyczynowym sterownikiem jest athurx.sys (Atheros Wireless) - czyli to co notujesz podczas wchodzenia w awaryjny z obsługą sieci. Rozpocznij od próby aktualizacji sterownika, on powinien być częścią tego pakietu: ==================== Zainstalowane programy ====================== TP-LINK TL-WN721N_TL-WN722N Driver (HKLM-x32\...\{38A1E3ED-D913-41D2-9953-A93D5ACE3ADF}) (Version: 1.3.1 - TP-LINK) TP-LINK Wireless Configuration Utility (HKLM-x32\...\{319D91C6-3D44-436C-9F79-36C0D22372DC}) (Version: 1.3.1 - TP-LINK) Sam goły sterownik athurx.sys jest w tych paczkach (TL-WN722N_V1_140918 | TL-WN721N_V1_140915): http://www.tp-link.com/lk/download/TL-WN722N.html#Driver http://www.tp-link.com/en/download/TL-WN721N.html#Driver