picasso

1. Jedna wartość po tym fałszywym "Chrome" się nie usunęła, jakoś przeoczyłam, że to wartość domyślna. Mini poprawka, tzn. do Notatnika wklej: Reg: reg add HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Clients\StartMenuInternet /ve /t REG_SZ /d "FIREFOX.EXE" /f Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). 2. Wracając do problemu z kontem UpdatusUser od nVidia: folder C:\Users\TEMP nagle zniknął z nowego raportu, czy usuwałeś ręcznie ten folder? Uruchom Reprofiler i podaj czy widzisz konto UpdatusUser połączone z folderem C:\Users\UpdatusUser i czy program aby nie zgłasza, że to konto o charakterze "tymczasowym".

Wszystko wykonane, poprawki na wyniki wyszukiwania. Otwórz Notatnik i wklej w nim: DeleteKey: HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Clients\StartMenuInternet\IHeeaWAHTM DeleteKey: HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xht\UserChoice DeleteKey: HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xhtml\UserChoice DeleteKey: HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\Roaming\OpenWith\FileExts\.htm\UserChoice DeleteKey: HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\Roaming\OpenWith\FileExts\.html\UserChoice DeleteKey: HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\Roaming\OpenWith\FileExts\.shtml\UserChoice DeleteKey: HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\Roaming\OpenWith\FileExts\.xht\UserChoice DeleteKey: HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\Roaming\OpenWith\FileExts\.xhtml\UserChoice DeleteKey: HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\Roaming\OpenWith\UrlAssociations\ftp\UserChoice DeleteKey: HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\ftp\UserChoice Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Clients\StartMenuInternet /v IHeeaWAHTM /f Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\RegisteredApplications /v IHeeaWAHTM /f Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Classes\.htm\OpenWithProgids /v IHeeaWAHTM /f Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Classes\.html\OpenWithProgids /v IHeeaWAHTM /f Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Classes\.shtml\OpenWithProgids /v IHeeaWAHTM /f Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Classes\.xht\OpenWithProgids /v IHeeaWAHTM /f Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Classes\.xhtml\OpenWithProgids /v IHeeaWAHTM /f Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v IHeeaWAHTM_.htm /f Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v IHeeaWAHTM_.html /f Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v IHeeaWAHTM_.shtml /f Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v IHeeaWAHTM_.xht /f Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v IHeeaWAHTM_.xhtml /f Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v IHeeaWAHTM_https /f Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v IHeeaWAHTM_ftp /f Reg: reg delete HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Windows\CurrentVersion\ApplicationAssociationToasts /v IHeeaWAHTM_http /f CMD: del /q "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk" RemoveDirectory: C:\AdwCleaner RemoveDirectory: C:\FRST\Quarantine Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy fixlog.txt.

Temat przenoszę do innego działu. To nie jest problem infekcji, a z raportów FRST mało co wynika. Sugestie: 1. Zresetuj plik HOSTS do postaci domyślnej (obecnie mieli ponad 4 tysiące wpisów): KLIK. 2. Sprawdź czy efekt występuje też w czystym rozruchu: KLIK. PS. Potem można wdrożyć jeszcze mini korekty na puste / odpadkowe wpisy, w ogóle nie powiązane z problemami.

Wszystkie pliki zostały podstawione. Sprawdź czy sfc uruchomiony spod RE nadal zgłasza ten sam komunikat "Funkcja Ochrona zasobów systemu Windows odnalazła uszkodzone pliki, ale nie może naprawić niektórych z tych plików.". Jeśli tak, reinstaluj system. Jeśli komunikat będzie jednak inny, ewentualnie będzie można rozważać co jeszcze jest uszkodzone.

Jest kopia pliku ACPI.sys zgodna z wersją komponentów. Dla pozostałych plików brak poprawnych kopii, nie można użyć plików innej wersji komponentów. Podejście z podstawianiem plików: 1. Paczka Pliki.zip do pobrania: KLIK. Na pendrive utwórz katalog G:\Pliki i w nim umieść rozpakowane z ZIP pliki. Następnie przygotuj skrypt podstawiania plików, tzn. do Notatnika wklej: CMD: copy /y C:\Windows\System32\DriverStore\FileRepository\acpi.inf_amd64_neutral_aed2e7a487803437\acpi.sys C:\Windows\System32\drivers\acpi.sys CMD: copy /y G:\Pliki\nlasvc.dll C:\Windows\System32\nlasvc.dll CMD: copy /y G:\Pliki\nlasvc.dll C:\Windows\winsxs\amd64_microsoft-windows-nlasvc_31bf3856ad364e35_6.1.7601.18685_none_c561372a21c1c35c\nlasvc.dll CMD: copy /y G:\Pliki\rasmans.dll C:\Windows\System32\rasmans.dll CMD: copy /y G:\Pliki\rasmans.dll C:\Windows\winsxs\amd64_microsoft-windows-rasmanservice_31bf3856ad364e35_6.1.7601.17514_none_fce39bb0b7480d9a\rasmans.dll CMD: copy /y G:\Pliki\WUDFSvc.dll C:\Windows\System32\WUDFSvc.dll CMD: copy /y G:\Pliki\WUDFSvc.dll C:\Windows\winsxs\amd64_microsoft-windows-d..frameworks-usermode_31bf3856ad364e35_6.1.7601.17803_none_fb416b4f0bdbe260\WUDFSvc.dll Plik zapisz pod nazwą fixlist.txt na pendrive obok FRST64.exe. 2. Uruchom FRST, wybierz opcję Napraw (Fix) i przedstaw plik fixlog.txt utworzony na pendrive. 3. W zależności od wyników powyższej akcji: - Jeśli powyższa operacja się wykona poprawnie i system zastartuje, robisz sfc /scannow spod Windows i dostarczasz filtrowany raport zrobiony wg instrukcji w artykule. - Jeśli jednak zamiana plików nic nie wskóra, reinstalacja systemu, bo nie mam możliwości wykrycia wszystkich naruszeń w plikach.

Przecież wyraźnie mówiłam: "log z naprawy nie jest dostępny w RE". To samo jest opisane w instrukcjach do których Cię odesłałam. Niestety nie ma możliwości sprawdzić co narzędzie wykryło. Jedyne więc co mogę zrobić, to spróbować naprawić widziane w FRST naruszone pliki (ten ACPI.sys jest przypuszczalną przyczyną niemożności bootowania), a jeśli to nie pomoże, szykuje się reinstalacja systemu. Na razie podaj wyniki wyszukiwania na wystąpienia uszkodzonych plików. Uruchom FRST, w polu Szukaj wklep co poniżej, klik w Szukaj plików i dostarcz wynikowy log. ACPI.sys;nlasvc.dll;rasmans.dll;WUDFSvc.dll Przypuszczalnie w systemie nie będzie żadnej poprawnej kopii, co oznacza, że będę musiała przesłać wierne kopie plików z mojej wirtualnej maszyny do zamiany. Analiza tego niestety zajmie mi czas i nie obiecuję szybkiej odpowiedzi.

Na chwilę obecną zakładam, że powyższe nie ma związku, gdyż w systemie owszem widać niepożądane instalacje, w tym aktywny sterownik adware grupy Sambreel oraz "skaner" Bytefence (replika Reason Core Security, MBAM i nie wiadomo czego jeszcze). Rozpocznij od: 1. Deinstalacje: - Przez Panel sterowania odinstaluj adware/PUP: Booking.com version 1.1.0.5019, ByteFence Anti-Malware, Native Info, Sparta, WarThunder. A także stare wersje: Adobe Flash Player 10 Plugin, Adobe Flash Player 12 ActiveX, Adobe Shockwave Player 12.1, Bonjour, Gadu-Gadu 10, Java 8 Update 65. - Uruchom narzędzie Microsoftu: KLIK. Zaakceptuj > Wykryj problemy i pozwól mi wybrać poprawki do zastosowania > Odinstalowywanie > zaznacz na liście wpis Metric Collection SDK > Dalej. 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: R1 {3f538614-b636-4023-9ec2-564ada4b07b3}w64; C:\Windows\System32\drivers\{3f538614-b636-4023-9ec2-564ada4b07b3}w64.sys [61112 2014-07-08] (StdLib) S3 catchme; \??\C:\ComboFix\catchme.sys [X] S1 wfdrvr_vt_1_10_0_28; system32\drivers\wfdrvr_vt_1_10_0_28.sys [X] Task: {1E256B6A-6D10-487A-A0A0-0CC946F36863} - System32\Tasks\{4C7644A2-F2F9-422B-9760-2334D06628B6} => Chrome.exe hxxp://www.skype.com/go/downloading?source=lightinstaller&ver=6.6.0.106&LastError=2 Task: {3192F00F-178A-4ADF-BBEE-621F31C9B25E} - System32\Tasks\ByteFence Scan => C:\Program Files\ByteFence\ByteFence.exe [2016-03-29] (Byte Technologies LLC) Task: {38681C30-FA96-421F-B136-8236F0AB0AC1} - System32\Tasks\ByteFence => C:\Program Files\ByteFence\ByteFence.exe [2016-03-29] (Byte Technologies LLC) Task: {4023F048-50A4-479F-A50C-9651F4538CC2} - System32\Tasks\{13906C8A-E5DE-41AA-AFE4-092A6784890D} => pcalua.exe -a C:\Users\Gabrysia\Downloads\Minecraft-Setup.exe -d C:\Users\Gabrysia\Downloads Task: {42A61F4A-8440-4906-AEF4-168B84E78AA1} - System32\Tasks\{5AE06147-A4BA-448F-87EB-195589D923F8} => pcalua.exe -a "C:\Users\kacper i martyna\AppData\Roaming\webssearches\UninstallManager.exe" -c -ptid=amt -simple=0 Task: {4E9967DC-75A3-4CBC-A39E-BC7B00B057C1} - System32\Tasks\RunAsStdUser Task => C:\Users\Gabrysia\AppData\Local\Temp\{86D4B82A-ABED-442A-BE86-96357B70F4FE}\RunIE.exe Task: {6D2917A2-F962-4F0A-863C-5C9554837FBE} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 => C:\Program Files (x86)\Lenovo\Customer Feedback Program\Lenovo.TVT.CustomerFeedback.Agent.exe [2015-07-08] (Lenovo) Task: {91F8F384-1EE5-4000-8553-CC0549FA7512} - \Dealply -> Brak pliku Task: {A3D6DD62-F9CB-4D8A-B210-8BC622617910} - \EPUpdater -> Brak pliku Task: {B2FFCD6A-6D6B-427C-A452-2E0EB58CF3F6} - System32\Tasks\AmiUpdXp => C:\Users\kacper i martyna\AppData\Local\3584\Updater.exe Task: {DA025766-3B8D-47C5-8602-04747BCA9400} - System32\Tasks\ReimageUpdater => C:\Program Files\Reimage\Reimage Protector\ReiGuard.exe Task: C:\Windows\Tasks\AmiUpdXp.job => C:\Users\kacper i martyna\AppData\Local\3584\Updater.exe HKLM-x32\...\Run: [fst_en_103] => [X] HKLM-x32\...\Run: [fst_pl_139] => [X] IFEO\bitguard.exe: [Debugger] tasklist.exe IFEO\bprotect.exe: [Debugger] tasklist.exe IFEO\bpsvc.exe: [Debugger] tasklist.exe IFEO\browserdefender.exe: [Debugger] tasklist.exe IFEO\browserprotect.exe: [Debugger] tasklist.exe IFEO\browsersafeguard.exe: [Debugger] tasklist.exe IFEO\dprotectsvc.exe: [Debugger] tasklist.exe IFEO\jumpflip: [Debugger] tasklist.exe IFEO\protectedsearch.exe: [Debugger] tasklist.exe IFEO\searchinstaller.exe: [Debugger] tasklist.exe IFEO\searchprotection.exe: [Debugger] tasklist.exe IFEO\searchprotector.exe: [Debugger] tasklist.exe IFEO\searchsettings.exe: [Debugger] tasklist.exe IFEO\searchsettings64.exe: [Debugger] tasklist.exe IFEO\snapdo.exe: [Debugger] tasklist.exe IFEO\stinst32.exe: [Debugger] tasklist.exe IFEO\stinst64.exe: [Debugger] tasklist.exe IFEO\umbrella.exe: [Debugger] tasklist.exe IFEO\utiljumpflip.exe: [Debugger] tasklist.exe IFEO\volaro: [Debugger] tasklist.exe IFEO\vonteera: [Debugger] tasklist.exe IFEO\websteroids.exe: [Debugger] tasklist.exe IFEO\websteroidsservice.exe: [Debugger] tasklist.exe GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://searchinterneat-a.akamaihd.net/hm?eq=U0EeCFZVBB8SRghFI1sAWVxCQxhFJQkKTA1BFAUOIQgOBRRCRwBHcQsPUQkQRAcFIk0FA1ADB0VXfVBdFElXTwhtIU1RF1w4T1NM HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = HKU\S-1-5-21-1180481510-4086299747-2033843143-1015\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://searchinterneat-a.akamaihd.net/h?eq=U0EeCFZVBB8SRghFI1sAWVxCQxhFJQkKTA1BFAUOIQgOBRRCRwBHcQsPUQkQRAcFIk0FA1ADB0VXfVBdFElXTwhtIU1RF1w4T1NM SearchScopes: HKLM -> DefaultScope {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfV9bAwFJRAZBbV9dUQtcFQUWcBRZUA8VDAZFdV0JUw5BEVRGch9aFQQTSEcFME0FCFwEURNNfXdZFVAHRHxNJlY=&q={searchTerms} SearchScopes: HKLM -> OldSearch URL = SearchScopes: HKLM -> {0191A6B0-1154-4C22-9182-23A95BBE92D9} URL = hxxp://searchinterneat-a.akamaihd.net/s?eq=U0EeE1xZE1oZB1ZEfV9bAwFJRAZBbV9dUQtcFQUWcBRZUA8VDAZFdV0JUw5BEVRGch9aFQQTSEcFME0FCFwEURNNfXdZFVAHRHxNJlY=&q={searchTerms} SearchScopes: HKLM -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://v9.com/web?type=ds&ts=1450270928&from=zzgbkk123&uid=st9500325as_s2w7k24vxxxxs2w7k24v&z=4b5a878395111bc5b8f17d4g4z5w8e1o1m8e5tfc0e&q={searchTerms} SearchScopes: HKLM -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = hxxp://www.default-search.net/search?sid=476&aid=175&itype=n&ver=13001&tm=394&src=ds&p={searchTerms} SearchScopes: HKLM-x32 -> {425ED333-6083-428a-92C9-0CFC28B9D1BF} URL = hxxp://v9.com/web?type=ds&ts=1450270928&from=zzgbkk123&uid=st9500325as_s2w7k24vxxxxs2w7k24v&z=4b5a878395111bc5b8f17d4g4z5w8e1o1m8e5tfc0e&q={searchTerms} SearchScopes: HKLM-x32 -> {9BB47C17-9C68-4BB3-B188-DD9AF0FD2476} URL = hxxp://www.default-search.net/search?sid=476&aid=175&itype=n&ver=13001&tm=394&src=ds&p={searchTerms} SearchScopes: HKLM-x32 -> {FDC320A9-B4B2-491E-B140-815C11613CB6} URL = hxxp://search.yahoo.com/search?p={searchTerms} BHO-x32: Treasure Track -> {1ef422df-c387-4f0d-88d1-b75bdfd51013} -> C:\Program Files (x86)\Treasure Track\Extensions\1ef422df-c387-4f0d-88d1-b75bdfd51013.dll => Brak pliku BHO-x32: Native Info -> {20ffc3e2-8613-4800-a80c-73ae470177af} -> C:\Program Files (x86)\Native Info\Extensions\20ffc3e2-8613-4800-a80c-73ae470177af.dll [2016-02-02] () Toolbar: HKLM - Brak nazwy - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - Brak pliku DPF: HKLM-x32 {166B1BCA-3F9C-11CF-8075-444553540000} hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab DPF: HKLM-x32 {D27CDB6E-AE6D-11CF-96B8-444553540000} hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab CHR HKLM\...\Chrome\Extension: [noajmlkipclmeolfcnflkjhijkigpfjh] - C:\Users\Gabrysia\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh.crx [2014-12-29] CHR HKLM-x32\...\Chrome\Extension: [noajmlkipclmeolfcnflkjhijkigpfjh] - C:\Users\Gabrysia\AppData\Local\Google\Chrome\User Data\Default\Extensions\noajmlkipclmeolfcnflkjhijkigpfjh.crx [2014-12-29] DeleteKey: HKCU\Software\1Q1F1S1C1P1E1C1F1N1C1T1H2UtF1E1I DeleteKey: HKCU\Software\dobreprogramy DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\AdobeFlashPlayerUpdateSvc DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Amsp DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Bonjour Service DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\dealplylive DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\dealplylivem DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\IePluginService DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\TiMiniService DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\winzipersvc DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\Wpm DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnUpdater DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ASUSWebStorage DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Nuance PDF Reader-reminder DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SunJavaUpdateSched DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\swg DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Trend Micro Titanium DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\VizorHtmlDialog.exe DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Lenovo DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes C:\Firefox C:\Program Files (x86)\Lenovo C:\Program Files (x86)\Native Info C:\ProgramData\{262E20B8-6E20-4CEF-B1FD-D022AB1085F5}.dat C:\ProgramData\175B47DD6.zot C:\ProgramData\mntemp C:\ProgramData\oqztiqep.adk C:\ProgramData\074d595f-0c31-4ea0-91ea-d03ba1a766fb C:\ProgramData\Temp C:\Users\Alicja.asus1\AppData\Roaming\WarThunder C:\Users\Alicja.asus1\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WarThunder.lnk C:\Users\Alicja.asus1\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\WarThunder.lnk C:\Users\Alicja.asus1\Downloads\*-dp*.exe C:\Users\Gabriela ♥\AppData\Roaming\WarThunder C:\Users\Gabriela ♥\Downloads\*-dp*.exe C:\Windows\System32\drivers\{3f538614-b636-4023-9ec2-564ada4b07b3}w64.sys C:\Windows\System32\Tasks\Lenovo CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Wyczyść przeglądarki z adware: Google Chrome: Ustawienia > karta Ustawienia > Osoby > załóż nowy profil i zaloguj się na niego, a poprzedni usuń całkowicie. Pobierz instalator Google Chrome i nadpisz nim pliki Chrome (są prawdopodobnie zainfekowane) Opera: Odłącz synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj adware Native Info, o ile nadal będzie widoczne po w/w deinstalacjach. 4. W systemie są dwa aktywne konta, na razie dostarczono tylko logi z konta Alicja: ==================== Konta użytkowników: ============================= Alicja (S-1-5-21-1180481510-4086299747-2033843143-1015 - Administrator - Enabled) => C:\Users\Alicja.asus1 Gabriela ♥ (S-1-5-21-1180481510-4086299747-2033843143-1019 - Administrator - Enabled) => C:\Users\Gabriela ♥ Po kolei zaloguj się na każde poprzez pełny restart systemu i na każdym zrób nowy log FRST z opcji Skanuj (Scan), włącznie z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt. Mam też pytanie dodatkowe związane z kontami. Wg wykazu są tylko te dwa powyższe i Gość, ale na dysku widać ogromną ilość folderów nie powiązanych z kontami. Czy można je usunąć? 2016-05-01 05:15 - 2016-02-25 09:12 - 00000000 ____D C:\Users\Gabriela ♥ 2016-05-01 05:15 - 2016-02-15 12:07 - 00000000 ____D C:\Users\Gabrysia.asus1 2016-05-01 05:15 - 2016-02-07 12:14 - 00000000 ____D C:\Users\Alicja.asus1 2016-05-01 05:15 - 2015-12-09 17:56 - 00000000 ____D C:\Users\Rodzina.asus1 2016-05-01 05:15 - 2015-12-03 16:14 - 00000000 ____D C:\Users\Goscie 2016-05-01 05:15 - 2015-11-08 12:24 - 00000000 ____D C:\Users\Gabriela 2016-05-01 05:15 - 2014-02-01 16:09 - 00000000 ____D C:\Users\Mateusz 2016-05-01 05:15 - 2012-08-11 10:32 - 00000000 ____D C:\Users\alicja 2016-05-01 05:15 - 2012-06-23 07:43 - 00000000 ____D C:\Users\Gość 2016-05-01 05:15 - 2012-05-20 15:25 - 00000000 ____D C:\Users\Gabrysia

Wszystko zrobione, problem rozwiązany. Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu folder frst z programem i jego logami, a także GMER z Pobranych. Następnie skorzystaj z DelFix i wyczyść foldery Przywracania systemu: KLIK. 2. Materiał edukacyjny na co uważać, przypuszczalnie PriceFountain weszło z "Asystenta pobierania" dobrychprogramów: KLIK.

Zostały tylko odpadki po instalacjach adware. Poza tym, jest problem z kontem aktualizatora nVidia, zostało rozlinkowane z folderem C:\Users\UpdatusUser i obecnie ma charakter tymczasowy, ale tym wątkiem zajmę się potem. UpdatusUser (S-1-5-21-27256294-3351816481-630482978-1002 - Limited - Enabled) => C:\Users\TEMP Akcje wstępne do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {5C7B3621-DC94-4002-B270-08E57D6D2290} - System32\Tasks\IHeeaWABrowserUpdateCore => C:\Program Files (x86)\IHeeaWA\IHeeaWA\bin\IHeeaWA_server.exe Task: {7C440D8F-427A-4254-A228-37596E206593} - System32\Tasks\AutoKMS => C:\Windows\AutoKMS\AutoKMS.exe Task: {8630F342-2BB4-47D3-A361-72F85240FE95} - System32\Tasks\IHeeaWACheckTask => C:\Program Files (x86)\IHeeaWA\IHeeaWA\bin\IHeeaWA_server.exe Task: {B347B652-86EB-45B1-B655-7C8A9BEAEC87} - System32\Tasks\IHeeaWABrowserUpdateUA => C:\Program Files (x86)\IHeeaWA\IHeeaWA\bin\IHeeaWA_server.exe Task: C:\Windows\Tasks\AutoKMS.job => C:\Windows\AutoKMS\AutoKMS.exe R2 LiveUpdateSvc; C:\Program Files (x86)\IObit\LiveUpdate\LiveUpdate.exe [2909472 2015-10-08] (IObit) S3 X6va031; \??\C:\Windows\SysWOW64\Drivers\X6va031 [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\str => ""="service" HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> HKU\S-1-5-21-27256294-3351816481-630482978-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=188 FF HKLM-x32\...\Firefox\Extensions: [arthurj8283@gmail.com] - C:\Users\Kasia\AppData\Roaming\Mozilla\Firefox\Profiles\zmo9a9aj.default\extensions\arthurj8283@gmail.com => nie znaleziono DeleteKey: HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\WinZip C:\$AVG C:\Program Files (x86)\IHeeaWA C:\Program Files (x86)\IObit C:\ProgramData\IHeeaWA C:\ProgramData\MFAData C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip C:\Users\Kasia\AppData\Local\Avg C:\Users\Kasia\AppData\Local\AvgSetupLog C:\Users\Kasia\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Google Chrome.lnk C:\Users\Kasia\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Google Chrome.lnk C:\Users\Public\Documents\IHeeaWA C:\Windows\system32\log C:\Windows\SysWOW64\pl.html CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść Firefox z adware: Odłącz synchronizację (o ile włączona): KLIK. Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone, ale uBlock trzeba będzie przeinstalować. Używasz zresztą nierozwijanej gorszej edycji, powinieneś zainstalować uBlock Origin, a nie uBlock. Menu Historia > Wyczyść całą historię przeglądania. 3. Zrób nowy logwe logi z FRST: - Log z opcji Skanuj (Scan), bez Addition i Shortcut. - Log z wynikami szukania na szczątki po fałszywym Google Chrome. Uruchom FRST, w oknie Szukaj wklej co poniżej, klik w Szukaj w rejestrze i dostarcz log. IHeeaWA Dołącz też plik fixlog.txt.

Dziennik zdarzeń czyściutki. Koniec tematu. Pousuwaj z dysku FRST i jego logi, wliczając C:\FRST. Wyczyść też foldery Przywracania systemu.

vs. Dziennik System: ============= Error: (05/05/2016 09:00:51 PM) (Source: Service Control Manager) (EventID: 7000) (User: ) Description: Nie można uruchomić usługi System zdarzeń COM+ z powodu następującego błędu: %%1079 To wytyczne dla starego XP. W nowszych systemach są inne parametry. Usługa System zdarzeń COM+ domyślnie na Windows 7 ma przypisaną Usługę lokalną. Tak więc to jest poprawne ustawienie, nie należy go zmieniać, i jak rozumiem już je przywróciłeś. Wracając do problemu, jest w oknie pokazywany conajmniej jeden obiekt, więc usterka zdaje się być nie na poziomie globalnych elementów (wtedy spodziewane całkowicie puste okno), lecz w obszarze konfiguracji sieciowej. Podaj dane o bieżącej konfiguracji: Otwórz Notatnik i wklej w nim: Reg: reg query HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network /s Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Narzędzie autonaprawcze mówi o uszkodzonym pliku. W logu FRST pośrednio widać uszkodzenia conajmniej 4 plików, brak producenta Microsoft: ==================== Usługi (filtrowane) ======================== S2 NlaSvc; C:\Windows\System32\nlasvc.dll [303616 2014-12-06] () S3 RasMan; C:\Windows\System32\rasmans.dll [344064 2010-11-20] () S3 wudfsvc; C:\Windows\System32\WUDFSvc.dll [84992 2012-07-26] () ===================== Sterowniki (filtrowane) ========================== S0 ACPI; C:\Windows\System32\drivers\ACPI.sys [334208 2010-11-20] () Raport FRST jest mocno ograniczony i uszkodzeń może być znacznie więcej w miejscach nie obejmowanych skanowaniem. Rozpocznij od wykonania skanu SFC spod RE: KLIK. Opisz co pokazało się w oknie (log z naprawy nie jest dostępny w RE).

Uwagi: 1. Zainstalowane programy: Do deinstalacji próchna QuickTime Alternative 3.2.2, Real Alternative 2.0.2. Doinstaluj też najnowszą łatkę 11.0.15 dla Adobe Reader oraz wymień wersję Java. Ponadto, widzę Sunrise Seven - ostrzegam przed użyciem opcji czyszczenia FileRepository, to ma skutki uboczne. 2. Dziennik zdarzeń: Są różne błędy, być może niektóre nieaktualne po przywróceniu rejestru. Na pewno jednak jeden błąd WMI przetrwał, bo jest na innym poziomie, usuń go narzędziem: KLIK. Po zastosowaniu tego narzędzia wyczyść Dzienniki zdarzeń: Start > w polu szukania wklep eventvwr.msc > z prawokliku Uruchom jako Administrator. W gałęzi Dzienniki systemu Windows z prawokliku wyczyść Aplikacja i System. Zresetuj system i zrób nowy log FRST Addition (tylko Addition dostarcz).

Opcje folderów i wyszukiwania > Widok > Podczas wpisywania w widoku listy > przestaw z "Automatycznie wpisz w okienku wyszukiwania" na "Zaznacz wpisany element w widoku".

Problem z UAC rozwiązany, to był osobny defekt nie związany z WMI. Jeśli chodzi o usterkę WMI: Logi z FRST nie są mi tu na razie potrzebne i je usuwam. Natomiast w tym świeżym odczycie z Wmidiag pojawił się nowy typ błędu opowiadający o "braku implementacji uługi". Poproszę o ponowne uruchomienie RegBak, zrzucenie rejestru i dostarczenie paczki ZIP z tymi nowymi plikami rejestru. W międzyczasie nic nie kombinuj, nie uruchamiaj żadnych programów "resetujących WMI", ani innych "fiksujących". I nie obiecuję ani szybkiej analizy, ani rozwiązania problemu WMI.

Kończymy: 1. Przez SHIFT+DEL (omija Kosz) skasuj z Pulpitu folder frst oraz z folderu D:\Download\Chrome pobrany AdwCleaner. 2. Zastosuj narzędzie DelFix. To wszystko.

AdwCleaner wykrył drobnostki po adware (wliczając ten wspominany eCyber). Uruchom ponownie program, po kolei wybierz opcje Skanuj + Usuń i dostarcz wynikowy log z czyszczenia.

Temat przenoszę do właściwego działu Windows, to nie są problemy infekcji. A z raportów FRST nic nie wynika. Najbardziej mi się z tym kojarzy potężna instalacja Bitdefender Total Security 2016, ale to spekulacje. W Dzienniku zdarzeń z kolei powtarzalne błędy elementu nVidia: Dziennik Aplikacja: ================== Error: (05/05/2016 09:40:54 AM) (Source: Application Error) (EventID: 1000) (User: ) Description: Nazwa aplikacji powodującej błąd: NvNetworkService.exe, wersja: 2.2.0.50, sygnatura czasowa: 0x54b0652e Nazwa modułu powodującego błąd: NvNetworkService.exe, wersja: 2.2.0.50, sygnatura czasowa: 0x54b0652e Kod wyjątku: 0xc0000005 Przesunięcie błędu: 0x000a90f6 Identyfikator procesu powodującego błąd: 0x1398 Godzina uruchomienia aplikacji powodującej błąd: 0xNvNetworkService.exe0 Ścieżka aplikacji powodującej błąd: NvNetworkService.exe1 Ścieżka modułu powodującego błąd: NvNetworkService.exe2 Identyfikator raportu: NvNetworkService.exe3 Dziennik System: ============= Error: (05/05/2016 09:40:54 AM) (Source: Service Control Manager) (EventID: 7034) (User: ) Description: Usługa NVIDIA Network Service niespodziewanie zakończyła pracę. Wystąpiło to razy: 4. Zatrzymaj + wyłącz usługę NVIDIA Network Service z poziomu services.msc. vs. 2016-04-26 16:45 - 2016-04-26 16:45 - 00162824 _____ C:\Windows\Minidump\042616-11356-01.dmp 2016-04-22 13:40 - 2016-04-26 16:45 - 312785083 _____ C:\Windows\MEMORY.DMP 2016-04-22 13:40 - 2016-04-22 13:40 - 00162832 _____ C:\Windows\Minidump\042216-10920-01.dmp Do analizy pliki DMP: KLIK. Jak najbardziej jest to prawdopodobne. Definicje AV to spore aktualizacje. PS. I jeszcze jest drobny błąd WMI, ale on nie ma na nic wpływu. Niemniej możesz go usunąć narzędziem Fix-it: KLIK. Dodatkowo w spoilerze usuwanie martwych zadań w Harmonogramie i kilku innych drobnostek, bez związku z problemami.

Wszystko pomyślnie usunięte. Pojawił się na dysku nowy folder "eCyber", ale to powinno być zaadresowane poniższym działaniem. Teraz: Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

Wprawdzie z Firefox sprawa rozwiązana, ale pojawiły się nowe śmieci w Chrome: CHR StartupUrls: Profile 2 -> "hxxp://www.google.pl/","hxxp://www.gazeta.pl/0,0.html?p=164","hxxp://www.gazeta.pl/0,0.html?p=166","hxxp://do-search.com/?type=hp&ts=1425999708&from=cor&uid=SAMSUNGXHM320JI_S1HQJD0S410033","hxxp://www.istartpageing.com/?type=hp&ts=1449753250&z=21e223b3f0c97db3c281da1g7zccaefozzjcktmlma&from=cornl&uid=SAMSUNGXHM320JI_S1HQJD0S410033","hxxp://www.gazeta.pl/0,0.html?p=188","hxxp://www.yessearches.com/?mode=nnnb&ptid=ior&uid=B08C9057F8B9BB9D0C6D8687E7D0B421&v=20160202&ts=AHEpB3YoB3EmBU.." 1. W opcjach Chrome do wykonania następujące czynności: Zresetuj synchronizację: KLIK. Ustawienia > karta Ustawienia > Po uruchomieniu > Otwórz konkretną stronę lub zestaw stron > usuń wszystkie adresy z wyjątkiem google.pl, przestaw na "Otwórz stronę nowej karty" 2. Przez SHIFT+DEL (omija Kosz) skasuj z dysku martwe usunięte profile Chrome oraz folder powstały po resecie Firefox: C:\Users\Marcin\AppData\Local\Google\Chrome\User Data\Default C:\Users\Marcin\AppData\Local\Google\Chrome\User Data\Profile 1 C:\Users\Marcin\Desktop\Stare dane programu Firefox 3. Skorzystaj z DelFix oraz wyczyść foldery Przywracania systemu: KLIK. To wszystko.

Ten zestaw to niewątpliwie pochodna instalacji sponsorowanych. Akcja: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj adware qksee, WinZip. Tak, qksee jest nadal na liście zainstalowanych i wygląda na w pełni zainstalowany (załadowane moduły i czynna usługa). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 BugreportW; C:\Program Files (x86)\yesbnd\mbat.exe [988240 2016-04-14] () R2 IhPul; C:\Users\Darnok\AppData\Roaming\TSv\TSvr.exe [377104 2016-05-03] (tsvr.com) S2 jjcscheduleservice; C:\Program Files (x86)\Jejochclipasp\jjcscheduleservice.exe [310840 2016-04-15] () R2 qkseeService; C:\Program Files (x86)\qksee\qkseeSvc.exe [751384 2016-05-03] (Qksee Pvt Ltd.) R2 WdMan; C:\ProgramData\dwinpd\WFini.exe [534712 2016-05-03] (WFini LIMITED) R2 winzipersvc; C:\Program Files (x86)\WinZipper\winzipersvc.exe [703536 2016-05-03] (Winzipper Pvt Ltd.) R2 yahoochrometechnology; C:\ProgramData\yahoochrome\desktop25.exe [236768 2016-05-02] (YahooChrome) Task: {9BCE7094-C9B9-47D4-8FE0-9779A2700CD7} - System32\Tasks\Jejochclipasp Schedule => C:\Program Files (x86)\Jejochclipasp\jjcscheduletask.exe [2016-04-15] () HKU\S-1-5-21-2929675-3619444295-2465087848-1001\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.gazeta.pl/0,0.html?p=190 CHR HomePage: Default -> hxxp://www.wp.pl/ CHR StartupUrls: Default -> "hxxp://www.wp.pl/","hxxp://www.gazeta.pl/0,0.html?p=190" DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Program Files (x86)\Elex-tech C:\Program Files (x86)\Jejochclipasp C:\Program Files (x86)\qksee C:\Program Files (x86)\QQBrowser C:\Program Files (x86)\WinZipper C:\Program Files (x86)\yesbnd C:\ProgramData\dwinpd C:\ProgramData\yahoochrome C:\ProgramData\Microsoft\Windows\Start Menu\Programs\qksee C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WinZip C:\Users\Darnok\AppData\Local\3810282D-6C19-47B0-8283-5C6C29A7E108 C:\Users\Darnok\AppData\Roaming\Elex-tech C:\Users\Darnok\AppData\Roaming\qksee C:\Users\Darnok\AppData\Roaming\TSv C:\Users\Darnok\AppData\Roaming\WinZiper C:\Users\Darnok\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\Pełne czyszczenie śmieci.lnk C:\Users\Darnok\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu\YAC.lnk C:\Users\Public\Documents\dmp C:\Windows\system32\log C:\Windows\SysWOW64\pl.html C:\Windows\SysWOW64\tmp0.html C:\Windows\SysWOW64\tmp4.html EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, już bez Shortcut. Dołącz też plik fixlog.txt.

Prawie wszystko zrobione (w tym wersja IE uzgodniona i po resecie repozytorium nie pojawił się już błąd WMI w Dzienniku), z wyjątkiem: 1. W Firefox nadal widzę adware PriceMInuus. On siedzi w drugim profilu Firefox "tzd2h352.Tomek". Zamknij Firefox. Start > Uruchom > wklej "C:\Program Files\Mozilla Firefox\firefox.exe" -p i w menedżerze profilów usuń ten profil z dysku. 2. Nadal stoi stara wersja Adobe Reader 11.0.00. Z przyklejonego trzeba domontować dwie łaty podbijające do wersji 11.0.15. Montaż ręczny powinien się udać na XP, to automatyczna aktualizacja blokuje instalację do wersji "08". Zapomniałam też podać do deinstalacji bardzo stary Real Alternative 2.0.2. 3. W pliku Shortcut rekordy "brak pliku". Otwórz ten plik w Notatniku i na podstawie wyszukiwania tej frazy ręcznie pousuwaj elementy z dysku. A programy które przestały działać po zrzuceniu wcześniejszej postaci rejestru trzeba przeinstalować.

PriceFountain jest zainstalowany globalnie w Harmonogramie zadań, więc efekt dotyka wszystkie przeglądarki i ich czyszczenie / usuwanie nie pomoże. Operacje do przeprowadzenia: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {803ED9DB-3FAB-43F4-9FD9-DC549D1C8C6A} - System32\Tasks\Microsoft\Office\Office 15 Subscription Heartbeat => C:\Program Files\Common Files\Microsoft Shared\Office15\OLicenseHeartbeat.exe Task: {81633227-0A45-4F00-82E1-77567CE7A5FE} - System32\Tasks\NowakiNeuropathyMournfulnessV2 => Rundll32.exe TrailingSeedy.dll,main 7 1 Task: {FD2000B8-DF2D-4B07-9BDE-3CA3A960B2F4} - System32\Tasks\ASUS InstantOn Config => C:\Program Files\ASUS\P4G\InsOnCfg.exe ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => Brak pliku ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => Brak pliku HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia FF Plugin-x32: @microsoft.com/Lync,version=15.0 -> C:\Program Files (x86)\Mozilla Firefox\plugins\npmeetingjoinpluginoc.dll [brak pliku] DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg C:\Program Files\Lavasoft C:\Program Files\Common Files\Lavasoft C:\ProgramData\BitDefender C:\ProgramData\Lavasoft C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft C:\Users\Nowaki\AppData\Local\NeuropathyMournfulness C:\Users\Nowaki\AppData\Roaming\Lavasoft C:\Users\Nowaki\AppData\Roaming\LavasoftStatistics EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition, bez Shortcut. Dołącz też plik fixlog.txt.

Skasuj z dysku plik raportu C:\delfix.txt. Tak, to już wszystko. Nie raportujesz dodatkowych problemów.

To problem myszy ("switch bounce"). Spróbuj zaktualizować sterowniki sprzętowe lub zmienić mysz. Jeśli to nic nie wskóra, niestety nie ma rozwiązania i musisz polegać na stałej obecności programów, które wykonują "debouncing" - albo już próbowany Left Mouse Button Fix, albo XMouse Button Control (Settings > Advanced > De-bounce (ignore) rapid mouse button clicks). Ja do dzisiaj borykam się z tym na Windows 10. Nic nie pomogło i jestem zmuszona posługiwać się jednym z w/w programów.