picasso

Wszystko pomyślnie wykonane, obecnie w raporcie FRST poprawne DNS pobierane z routera: Tcpip\Parameters: [DhcpNameServer] 194.204.152.34 194.204.159.1 Tcpip\..\Interfaces\{4A7C0DD9-0A9A-4826-9480-DC4943605CF1}: [DhcpNameServer] 194.204.152.34 194.204.159.1 Sprawa wygląda na w pełni rozwiązaną (aktualizowałeś też firmware), więc tylko kroki końcowe: 1. Z rozpędu zapominałam dołączyć wejścia rejestru starego rozszerzenia HP, niekompatybilnego i niepodpisanego cyfrowo (blokowane przez FF) oraz martwe wpisy w msconfig. Do Notatnika wklej: FF HKLM-x32\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 => nie znaleziono FF HKU\S-1-5-21-4205273032-1347332236-2747156817-1001\...\Firefox\Extensions: [smartwebprinting@hp.com] - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 => nie znaleziono DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\MBAMScheduler DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\services\MBAMService3 DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\EaseUS EPM tray Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). 2. Poczęstuj się DelFix, wyczyść foldery Przywacania systemu, zaktulizuj Adobe Flash Player ActiveX. Wszystko opisane tu: KLIK.

Fix FRST pomyślnie wykonany. Skasuj z folderu "AAAA" na Pulpicie FRST i jego logi. Następnie zastosuj DelFix i wyczyść foldery Przywracania systemu: KLIK. To wszystko.

Problem rozwiązany, więc nie sądzę, że nowe dane coś wniosą do sprawy. Dla świętego spokoju możesz jeszcze dodać raporty FRST zrobione spod Windows, pod kątem oceny innych elementów.

Sprawdź czy te problemy nie wynikają z nieplanowanych "wielokrotnych klików" myszki, tak jak w tym temacie: KLIK. Tzn. uruchom linkowany tam Left Mouse Button Fix i podaj czy są zmiany.

Założyłeś drugi temat o tym samym, tematy połączyłam. Nowe logi nic nie wnoszą do sprawy. I nic nowego nie mam do dodania względem poprzedniego wątku. Jak mówiłam już, podejrzewam Kaspersky Internet Security. Skoro nie pomaga proste wyłączanie modułów, to sprawdź pełną deinstalację programu. Zawsze będzie go można przywrócić.

Temat przenoszę do działu Hardware. To na pewno nie jest problem infekcji, w raportach brak też jakichkolwiek śladów by ewentualnie aktywował się jakiś skrypt Autoit lub podobny wciskający określoną sekwencję. To wygląda na problem sprzętowy klawiatury. Tutaj podobne objawy samowciskającego się ENTERa rozwiązane wymianą klawiatury: KLIK. Czyli nasuwa się, by sprawdzić inną klawiaturę - czy to laptop czy komputer stacjonarny Asus?

Temat przenoszę do działu Windows. Tu nie ma żadnej infekcji. To jest poprawny proces sterowników AMD/ATI. Z Twojego raportu: ==================== Procesy (filtrowane) ================= (AMD) C:\Windows\System32\atiesrxx.exe (AMD) C:\Windows\System32\atieclxx.exe (Advanced Micro Devices Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe (ATI Technologies Inc.) C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe ==================== Zainstalowane programy ====================== ATI Catalyst Install Manager (HKLM\...\{6C47240C-016E-03B5-D13E-AECAED09F2E3}) (Version: 3.0.732.0 - ATI Technologies, Inc.) Podejrzewam, że koncepcja "wirusa" się przyplątała, bo proces w menedżerze zadań pozornie nie ma danych dodatkowych. To jest kwestia tego, że menedżer zadań działa domyślnie na niskich uprawnieniach bieżącego użytkownika, a proces AMD ma inny kontekst uprawnień (konto SYSTEM), by zobaczyć jego dane należy dopiero wykonać podniesienie uprawnień menedżera. Podobny temat: KLIK. Rozwiń ten wątek "utrudniania", o co właściwie chodzi. "Otwieranie nowych kart" też opisz, jakie karty masz na myśli. Uwagi dodatkowe: 1. Przywracanie Windows z Recovery (zupełnie niepotrzebne) przywróciło także bardzo stare zintegrowane z tym obrazem aplikacje, które są niebezpieczne. Luki w tych aplikacjach to pożywka dla infekcji szyfrujących dane. Do deinstalacji: Adobe Flash Player 10 ActiveX, Adobe Reader 9.1 - Polish, Java™ 6 Update 14 (64-bit), Java™ 6 Update 14. Najnowsze wersje linkowane w przyklejonym: KLIK. 2. Windows z Recovery w fatalnym stanie aktualizacji - brak SP1, IE11 i mnóstwa innych łat. Do wykonania kompleksowe Windows Update. Będzie ogromna ilość łat do pobrania (ponad kilkaset), a rundy z wyszukiwaniem i instalacją należy powtarzać, aż do momentu, gdy Windows Update nie znajdzie już nic do pobrania. Akcja aktualizacji może trwać bardzo długo, a proces svchost.exe hostujący Windows Update obciąży znacznie procesor (nawet do 100%), dopóki nie zakończy się wyszukiwanie aktualizacji. Z tym niestety nic nie da się zrobić, trzeba ukończyć aktualizację.

Raporty wskazują na infekcję routera. Na forum widzę Cię pod polskim IP Neostrady, w logu zaś pobierane z routera angielskie serwery: Tcpip\Parameters: [DhcpNameServer] 31.3.244.141 31.3.244.135 31.3.244.140 Tcpip\..\Interfaces\{4A7C0DD9-0A9A-4826-9480-DC4943605CF1}: [DhcpNameServer] 31.3.244.141 31.3.244.135 31.3.244.140 Działania do przeprowadzenia: 1. Zaloguj się do routera: Zmień ustawienia DNS. Jeśli nie wiesz na jakie, możesz ustawić adresy Google: 8.8.8.8 + 8.8.4.4 Zabezpiecz router: zmień hasło oraz zamknij dostęp do panelu zarządzania od strony Internetu. Porównaj z tymi artykułami: KLIK, KLIK. Po konfiguracji uruchom test "modemu" mający potwierdzić zabezpieczenie: KLIK. Dopiero gdy router zostanie wyczyszczony i zabezpieczony: 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-4205273032-1347332236-2747156817-1001\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia HKU\S-1-5-21-4205273032-1347332236-2747156817-1001\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main FF Extension: HP Smart Web Printing - C:\Program Files (x86)\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3 [2016-04-08] [brak podpisu cyfrowego] U5 AppMgmt; C:\Windows\system32\svchost.exe [27136 2009-07-14] (Microsoft Corporation) S3 catchme; \??\C:\ComboFix\catchme.sys [X] S3 xhunter1; \??\C:\Windows\xhunter1.sys [X] CMD: ipconfig /flushdns EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt. Podaj model routera. Wypowiedz się też czy problemy ustąpiły.

1. Skrypt FRST nie został wykonany, zatrzymał się na drugiej komendzie (tworzenie punktu Przywracania systemu). Czy był jakiś błąd? Ponów go, ale z trybu awaryjnego. Klawisz z flagą Windows + I > Aktualizacja i zabezpieczenia > Odzyskiwanie > Uruchamianie zaawansowane > Uruchom teraz > system zrestartuje i pojawi się ekan z opcjami > Ustawienia zaawansowane > Ustawienia uruchamiania > tu jest Tryb awaryjny. Przedstaw wynikowy fixlog.txt. 2. SFC nic nie wykrył. Jako kolejny krok nasuwa się przebudowa aplikacji: Uruchom menedżer zadań > Plik > Uruchom nowe zadanie > w polu wklep powershell > zaznacz "Utwórz to zadanie z uprawnieniami administracyjnymi". W onie PowerShell wklej poniższe polecenie: Get-AppxPackage -AllUsers | Foreach {Add-AppxPackage -Register "$($_.InstallLocation)\AppXManifest.xml" -DisableDevelopmentMode} Zanotuj czy w oknie pokażą się błędy. Po akcji zresetuj system.

1. Uruchom AdwCleaner ponownie, wdróż sekwencję opcji Skanuj + Usuń. 2. Gdy powyższe się ukończy, zastosuj DelFix. 3. Zainstaluj IE8. Link podany także w powyższym wątku, gdzie jest DelFix. To wszystko.

Pliki się pomyślnie podstawiły. Skoro nadal jest problem, zrób skan sfc z poziomu RE: KLIK. Podaj co się pokazało w oknie (log z akcji niestety niedostępny w RE).

Fix uruchomiłeś dwa razy, to skrypt jednorazowego użytku i nie przetworzy po raz drugi tego samego (w tym logu wszystko "not found"). Jaki był powód podwójnego uruchomienia, jakiś błąd? W każdym razie fix prawie wszystko zrobił w pierwszym podejściu, z wyjątkiem usunięcia jednego chińskiego folderu. Kolejna porcja czynności: 1. Przez SHIFT+DEL (omija Kosz) skasuj ten chiński "replikat konta": C:\Documents and Settings\W艂a艣ciciel. 2. Uruchom AdwCleaner. Wybierz opcję Skanuj i dostarcz log wynikowy z folderu C:\AdwCleaner.

I podaj informację na czym konkretnie polega niemożność deinstalacji tych dwóch wymienionych delikwentów. Jakiś specyficzny błąd? Ten YAC to bardzo inwazyjny program (wpływa też niekorzystnie na działanie systemu i internetu) i najczystsza metoda pozbycia się go to właśnie poprawna deinstalacja, dlatego muszę wiedzieć gdzie leży trudność.

Logi FRST niepotrzebnie zrobione na wyłączonym filtrowaniu, to tylko utrudnia analizę wstępną. Na początek wykonaj sfc /scannow i dostarcz przefiltrowany log wynikowy: KLIK. Link kieruje zwrotnie do Twojego własnego tematu. Opisz co konkretnie wykonywałeś. W Harmonogramie owszem braki, ale to stan typowy po aktualizacji Windows 7 do Windows 10. Windows Media Center zostało usunięte aktualizacją, gdyż komponent nie występuje już w Windows 10. U mnie też takie odpadkowe zadania były, ale nie generowały widocznych błędów. W każdym razie można wstępnie przeczyścić Harmonogram, a przy okazji inne puste / odpadkowe wpisy: Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {0230C453-EA65-4E66-96B3-C71F85D290F9} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {0F7472A4-EB56-4D1E-8BA2-E344C8D0596F} - System32\Tasks\CreateChoiceProcessTask => C:\Windows\System32\browserchoice.exe Task: {102B4E68-5D51-4DCE-A659-50104FFE8D4E} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe Task: {1A0F8C06-73BB-48F7-8BD3-24782AEAA821} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe Task: {1D6822B2-994D-460E-BE81-602EF245E620} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe Task: {32968974-0795-47D0-BB35-C5795D9570FC} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe Task: {35D5C22E-0267-4E2E-9A37-59DF70C9B735} - System32\Tasks\{E271C738-B031-463E-9C02-4D3D8CE1465B} => pcalua.exe -a "E:\win7 insp\Chipset_Intel_W74_X01_A00_Setup-4WC50_ZPE.exe" -d "E:\win7 insp" Task: {3821A284-A1E6-48A5-9E36-1B55819B892B} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {398533CC-14C5-4D89-9BA5-F0D19FD86B35} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe Task: {3D9757F2-894B-4334-AFDB-07E25CF4C0EA} - System32\Tasks\{A360818E-E2FF-4B01-B005-EA20B3F2023F} => pcalua.exe -a C:\Users\amaliszewski\Desktop\U209-000-R\uninst.exe -d C:\Users\amaliszewski\Desktop\U209-000-R Task: {4E8375C3-2F73-4E31-8CF0-30FA7A92BA84} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe Task: {592EA391-C9A0-4481-AAFF-7B7B2F8BF437} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe Task: {6C067AA1-CD26-4F6E-B8CF-54C6C1E0F7C4} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe Task: {7202152C-3EF9-4691-87EB-D6AC9801431D} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe Task: {79963BC9-BD63-42C0-B53D-C5C60527FF5E} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe Task: {A05D2788-6106-4C8F-941F-B4DFB8365DF2} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {A465E6C7-7F50-4240-8CCD-ACFB3D11F96D} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe Task: {AD91ECC3-C02D-48CB-9A71-232A66FF60B0} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe Task: {ADB2D660-E36C-4F5A-85CB-CF7C01D39C1D} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe Task: {BC2A43EE-F857-4F7F-8F4F-F0B29CC08617} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe Task: {C9D905A9-F222-473B-9190-21AB160A8FEC} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe Task: {EEF05EC2-1DAE-4D89-A743-4179ACB75BB0} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe Task: {EF32FA0D-72C0-4088-A7CD-ADDA83A01DDF} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe Task: {F3BEED5D-2153-4F91-A3FD-6E1A8B787392} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe Task: {F991EBA4-6755-479B-938F-CD77C93B4FAD} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe Task: {FCFDFA9F-1E1A-4434-B0B4-AE6DA6794498} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe Task: C:\WINDOWS\Tasks\DriverToolkit Autorun.job => C:\Program Files (x86)\DriverToolkit\DriverToolkit.exe U3 idsvc; Brak ImagePath U3 wpcsvc; Brak ImagePath HKLM\...\Run: [HotKeysCmds] => "C:\Windows\system32\hkcmd.exe" HKLM\...\Run: [Persistence] => "C:\Windows\system32\igfxpers.exe" HKLM-x32\...\Run: [] => [X] HKLM\...\Policies\Explorer\Run: [btvStack] => C:\Program Files (x86)\Dell Wireless\Bluetooth Suite\BtvStack.exe HKU\S-1-5-21-2696065332-222997301-4208161583-2133\...\Run: [sidebar] => C:\Program Files\Windows Sidebar\sidebar.exe /autoRun HKU\S-1-5-18\Control Panel\Desktop\\SCRNSAVE.EXE -> CustomCLSID: HKU\S-1-5-21-2696065332-222997301-4208161583-2133_Classes\CLSID\{073CB204-6B29-46FC-AB98-451F1D068741}\InprocServer32 -> C:\dane\Autodesk\3ds Max 2015\Inventor Server\Bin\TestServer.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2696065332-222997301-4208161583-2133_Classes\CLSID\{0E270DAA-1BE6-48F2-AC49-E49F7B83E56F}\InprocServer32 -> %%systemroot%%\system32\shell32.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2696065332-222997301-4208161583-2133_Classes\CLSID\{6D7AE628-FF41-4CD3-91DD-34825BB1A251}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2011\acad.exe /Automation => Brak pliku CustomCLSID: HKU\S-1-5-21-2696065332-222997301-4208161583-2133_Classes\CLSID\{8C23B656-4E6E-4B45-9920-9617168D39A3}\InprocServer32 -> C:\dane\Autodesk\3ds Max 2015\Inventor Server\Bin\TestServer.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2696065332-222997301-4208161583-2133_Classes\CLSID\{C92FB640-AD4D-498A-9979-A51A2540C977}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2011\acad.exe /Automation => Brak pliku CustomCLSID: HKU\S-1-5-21-2696065332-222997301-4208161583-2133_Classes\CLSID\{D70E31AD-2614-49F2-B0FC-ACA781D81F3E}\localserver32 -> C:\Program Files\Autodesk\AutoCAD 2011\acad.exe => Brak pliku CustomCLSID: HKU\S-1-5-21-2696065332-222997301-4208161583-2133_Classes\CLSID\{E2C40589-DE61-11ce-BAE0-0020AF6D7005}\InprocServer32 -> C:\Program Files\Autodesk\AutoCAD 2011\acadficn.dll => Brak pliku CustomCLSID: HKU\S-1-5-21-2696065332-222997301-4208161583-2133_Classes\CLSID\{E5B0515D-48D2-4F04-906D-0192ED65A2DD}\InprocServer32 -> C:\dane\Autodesk\3ds Max 2015\Inventor Server\Bin\TestServer.dll => Brak pliku DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupfolder DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center DeleteKey: HKLM\SOFTWARE\Mozilla DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Windows\ehome C:\Windows\System32\Tasks\Microsoft\Windows\Media Center CMD: netsh advfirewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Gdy Fix ukończy pracę, nastąpi restart. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Zdefiniuj czy ten obciążony svchost.exe hostuje usługę Windows Update: z prawokliku na proces > Przejdź do usług > w podświetlonych wynikach zweryfikuj obecność tej usługi. Jeśli będzie tam Windows Update, to obawiam się że nie za bardzo można "ulżyć" i trzeba przeczekać, aż proces aktualizowania się w pełni ukończy. Co dopiero nadziałam się na to: KLIK. Widać, że tu proces wyszukiwania aktualizacji nie jest ukończony, bo stoi stara wersja Internet Explorer 8. Oceniając po wersji, gruba ilość aktualizacji nadal oczekuje na wyszukiwanie i/lub pobranie.... Ogólnie też od końca 2015 nastąpiły jakieś zmiany w systemie wyszukiwania aktualizacji, trwa ono znacznie dłużej na systemach Windows 7 i Vista. Zdarzyło mi się kilka razy aktualizować systemy Vista znajomych i to był koszmar, kilka dni to zajęło, a procesor spocony jak mysz. Jeśli chodzi o błędy w Dzienniku zdarzeń: Error: (04/28/2016 01:00:38 PM) (Source: Microsoft-Windows-HAL) (EventID: 12) (User: ) Description: Oprogramowanie układowe platformy spowodowało uszkodzenie pamięci podczas poprzedniego przejścia do innego trybu zasilania systemu. Sprawdź dostępność zaktualizowanego oprogramowania układowego przeznaczonego do tego systemu. Prawdopodobnie klaruje się aktualizacja BIOS/firmware. Do wglądu artykuł Technet: KLIK. Error: (04/28/2016 05:02:51 PM) (Source: BugCheck) (EventID: 1001) (User: ) Description: 0x000000d1 (0x00000201, 0x00000002, 0x00000001, 0x8ef55c98)C:\Windows\MEMORY.DMP042816-23961-01 Error: (04/28/2016 04:52:04 PM) (Source: BugCheck) (EventID: 1001) (User: ) Description: 0x000000d1 (0x00000201, 0x00000002, 0x00000001, 0x91963c98)C:\Windows\MEMORY.DMP042816-20826-01 Error: (04/28/2016 11:52:08 AM) (Source: BugCheck) (EventID: 1001) (User: ) Description: 0x000000d1 (0x00000201, 0x00000002, 0x00000001, 0x90569c98)C:\Windows\MEMORY.DMP042816-19437-01 Do analizy pliki DMP (z datą inną niż czas uruchamiania GMER): KLIK. I mimo wszystko sprawdziłabym czy na pewno BSOD będą się powtarzać po ukończeniu instalacji wszystkich dostępnych aktualizacji. Error: (05/02/2016 08:13:37 PM) (Source: Software Protection Platform Service) (EventID: 1012) (User: ) Description: Pozyskanie certyfikatu produktu nie powiodło się. hr=0xC004C003 Identyfikator SKU=cfb3e52c-d707-4861-af51-11b27ee6169c Error: (05/02/2016 08:13:37 PM) (Source: Software Protection Platform Service) (EventID: 8200) (User: ) Description: Szczegóły błędu pozyskiwania licencji. hr=0xC004C003 Nie wiem do czego to podpiąć. Są jakieś widoczne problemy z aktywacją systemu? Error: (05/02/2016 07:26:54 PM) (Source: WinMgmt) (EventID: 10) (User: ) Description: //./root/CIMV2SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 990x80041003 Bez znaczenia. W ramach "kosmetyki" Dziennika możesz go pozbyć narzędziem Fix-it: KLIK. EDIT: Znów pisałam nie widząc odpowiedzi Groszexxx. Co do: Do zignorowania. Ten rekord powtarza się w wielu moich maszynach VM, masa innych logów na forum też tym dysponuje.

Miałam pełne zaćmienie umysłu. Oczywiście "proces w użyciu", ponieważ jest to konsekwencja uruchomienia FRST (i to bez podejmowania w nim żadnych czynności). Uruchomienie FRST automatycznie montuje pliki SOFTWARE i SYSTEM w rejestrze RE, by FRST mógł je przeskanować. Problem "w użyciu" wystąpi zawsze, gdy zostanie uruchomiony FRST, niezależnie od tego czy zamiana plików jest robiona skryptem FRST czy "z palca". Sprawę już wydedukowałeś. Ten rejestr z Repair, pomimo że powinien być w stanie "czystym", jednak zawiera różne wtórne instalacje, więc ubytków zbyt dużych nie powinieneś notować. Ale notowalna rozbieżność wersji Internet Explorer: FRST wykrywa jako bieżącą wersję archaiczny IE6, przy czym na liście zainstalowanych pozycja "Windows Internet Explorer 8". Poza tym, widać tu błąd charakterystyczny dla naruszonego repozytorium WMI i repozytorium będzie resetowane: Dziennik Aplikacja: ================== Error: (05/02/2016 04:16:44 PM) (Source: SecurityCenter) (EventID: 1802) (User: ) Description: Usługa Centrum zabezpieczeń systemu Windows nie może ustanowić kwerend zdarzeń z WMI, aby monitorować zaporę i program antywirusowy innej firmy. Zapomniałam wcześniej zapytać jaki był powód uruchamiania SpyHunter, tzn. czy podejrzewałeś jakąś infekcję? W podanych raportach brak oznak czynnej infekcji, widać odpadki po starych adware (adware PriceMInuus w Firefox, ślady po Google Chrome typu "dev" i jakieś inne drobnostki) oraz szczątki SpyHuntera. Możesz więc sobie doczyścić różne wpisy śmieciowe / puste. Akcje do wdrożenia: 1. W Firefox w menedżerze dodatków wymontuj adware PriceMInuus. 2. Odinstaluj stare wersje, zbędne programy i naruszony IE: Adobe AIR, Adobe Flash Player 20 ActiveX, Adobe Flash Player 20 NPAPI, Adobe Flash Player 20 PPAPI, Adobe Shockwave Player 12.0, AVG Security Toolbar, Google Talk Plugin (już nie działa i jest też uszkodzony), Java 7 Update 51, Java SE Development Kit 7 Update 21, Opera 12.17, Windows Internet Explorer 8. 3. Otwórz Notatnik i wklej w nim: CloseProcesses: GroupPolicyScripts: Ograniczenia GroupPolicyScripts\User: Ograniczenia Task: C:\WINDOWS\Tasks\AVG-Secure-Search-Update_JUNE2013_TB_rmv.job => C:\WINDOWS\TEMP\{9554DDB6-5D5F-439B-B464-1CA5742166B3}.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-117609710-854245398-725345543-1003Core.job => C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe Task: C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-117609710-854245398-725345543-1003UA.job => C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Google\Update\GoogleUpdate.exe S2 Apache2.2; "C:\xampp\apache\bin\httpd.exe" -k runservice [X] S3 AvgAMPS; "C:\Program Files\AVG\Av\avgamps.exe" [X] S0 BMLoad; system32\drivers\BMLoad.sys [X] HKLM\...\Run: [KernelFaultCheck] => %systemroot%\system32\dumprep 0 -k HKLM\...\Run: [iSkysoft Helper Compact.exe] => C:\Program Files\Common Files\iSkysoft\iSkysoft Helper Compact\ISHelper.exe [1667072 2012-02-28] (iSkySoft) HKU\S-1-5-21-117609710-854245398-725345543-1003\...\Run: [LightShot] => C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\Skillbrains\lightshot\Lightshot.exe Toolbar: HKU\S-1-5-21-117609710-854245398-725345543-1003 -> Brak nazwy - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - Brak pliku DeleteKey: HKCU\Software\Google DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2 DeleteKey: HKCU\Software\Microsoft\Internet Explorer\SearchScopes DeleteKey: HKCU\Software\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Google DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Update DeleteKey: HKLM\SOFTWARE\Mozilla\Firefox\Extensions DeleteKey: HKLM\SOFTWARE\MozillaPlugins C:\Documents and Settings\admin\Dane aplikacji\LiveSupport.exe_log.txt C:\Documents and Settings\admin\Dane aplikacji\regsvr32.exe_log.txt C:\Documents and Settings\admin\Dane aplikacji\Enigma Software Group C:\Documents and Settings\admin\Pulpit\SpyHunter-Installer.exe C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\uninstall.html C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\updater.log C:\Documents and Settings\admin\Ustawienia lokalne\Dane aplikacji\UserProducts.xml C:\Documents and Settings\All Users\Dane aplikacji\TEMP C:\Program Files\Mozilla Firefoxavg-secure-search.xml C:\Program Files\Enigma Software Group C:\Program Files\Mozilla Firefox\plugins C:\Program Files\Common Files\iSkysoft C:\sh4ldr C:\WINDOWS\system32\Drivers\EsgScanner.sys CMD: netsh firewall reset CMD: rundll32 wbemupgd, UpgradeRepository EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 4. Zainstaluj IE8 i nowe wersje Adobe Flash oraz zaktualizuj Adobe Reader. Instalatory w przyklejonym: KLIK. 5. Wyczyść Dzienniki zdarzeń: Start > Uruchom > eventvwr.msc i opróżnij z prawokliku gałęzie Aplikacja i System. Zresetuj system, by nagrały się nowe rekordy. 6. Zrób nowy log FRST z opcji Skanuj (Scan), ponownie z Addition oraz Shortcut którego poprzednio zabrakło. Dołącz też plik fixlog.txt.

Fix FRST pomyślnie wykonany. Pokaż zrzut ekranu z tego miejsca. Skrypt FRST automatycznie zabija procesy głównych przeglądarek (i to bez użycia komendy CloseProcesses:). To jest zaplanowane przez autora działanie, którego nie da się zmanipulować. W tym obszarze nic nie było grzebane. Na pewno problem występuje po restarcie systemu?

Całość wygląda jak czynne "przetwarzanie polityk", pomimo iż nie są one ustawione. W tych folderach nie ma nic wyraźnego, tylko inicjujące gpt.ini i pusty registry.pol. Nasuwa się też pytanie czy komputer był migrowany z domeny. Zauważyłam, że w kluczach Group Policy masz dużo podkluczy SID nieistniejących w systemie kont, co wygląda jak cache jakiegoś poprzedniego układu. W tej sytuacji spróbuj zresetować stan lokalnych polityk (degradacja kluczy History, State, Status i wszystkich SID). Klucze State, Status i SID relatywny do konta Asus powinny się zregenerować od zera po restarcie. 1. Zaimportuj poprzedni FIX.REG. Nie resetuj komputera, to wdroży poniższy punkt. 2. Do Notatnika wklej: DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\{35378EAC-683F-11D2-A89A-00C04FBBCFA2} DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\History\{426031c0-0b47-4852-b0ca-ac3d37bfcb39} DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\S-1-5-21-3268135465-591020038-312475966-1000 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\S-1-5-21-3268135465-591020038-312475966-1004 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\S-1-5-21-3268135465-591020038-312475966-1007 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\S-1-5-21-3268135465-591020038-312475966-1008 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\S-1-5-21-3268135465-591020038-312475966-1010 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\S-1-5-21-3268135465-591020038-312475966-1011 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\S-1-5-21-3268135465-591020038-312475966-1012 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\S-1-5-21-3268135465-591020038-312475966-500 DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\State DeleteKey: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Status DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy DeleteKey: HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy Editor C:\Windows\system32\GroupPolicy\Machine C:\Windows\system32\GroupPolicy\User C:\Windows\system32\GroupPolicy\gpt.ini C:\Windows\SysWOW64\GroupPolicy\gpt.ini Reboot: Zapisz jako fixlist.txt tam gdzie siedzi FRST, w FRST klik w Napraw (Fix), nastąpi restart. Przedstaw fixlog.txt i wypowiedz się czy zmiany UAC się utrzymały.

Myślę, że skan GMER możemy sobie darować. Prawie wszystko usunięte (Tencent nieczynny w odpadkach), ale jeszcze mamy tu co robić. Kolejna porcja działań: 1. Otwórz Notatnik i wklej w nim: CloseProcesses: S2 BugreportW; C:\Program Files\hohobnd\ghabuk.exe [989728 2016-04-18] () [brak podpisu cyfrowego] R2 IhPul; C:\Documents and Settings\Właściciel\Dane aplikacji\TSv\TSvr.exe [376592 2016-04-25] (tsvr.com) S2 AppMgr2.12.4036661; "C:\Documents and Settings\All Users\Dane aplikacji\AppMgr2.12.4036661\AppMgr.exe" [X] S2 qkseeService; C:\Program Files\qksee\qkseeSvc.exe [X] S2 Util Checked List; Brak ImagePath S2 WdMan; C:\Documents and Settings\All Users\Dane aplikacji\9winp9\WFini.exe -svr [X] S3 TSSK; C:\WINDOWS\System32\tssk.sys [83576 2016-03-16] (电脑管家) R1 QMUdisk; \??\C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\QMUdisk.sys [X] R3 softaal; \??\C:\Program Files\Tencent\QQPCMgr\11.5.17490.219\softaal.sys [X] S4 sptd; \SystemRoot\System32\Drivers\sptd.sys [X] R4 TAOKernelDriver; \??\C:\WINDOWS\system32\Drivers\TAOKernelXP.sys [X] R4 TsFltMgr; System32\drivers\TsFltMgr.sys [X] HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\QQPCRTP => ""="service" HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\QQPCRTP => ""="service" HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=90098758_hao_pg HKU\S-1-5-21-1409082233-1844823847-842925246-1003\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.hao123.com/?tn=90098758_hao_pg C:\Documents and Settings\Administrator\Dane aplikacji\eCyber C:\Documents and Settings\Administrator\Dane aplikacji\Uncheckit C:\Documents and Settings\Administrator\Dane aplikacji\WinZiper C:\Documents and Settings\All Users\TXQMPC C:\Documents and Settings\All Users\Dane aplikacji\9winp9 C:\Documents and Settings\All Users\Dane aplikacji\MFAData C:\Documents and Settings\All Users\Dane aplikacji\Tencent C:\Documents and Settings\All Users\Dane aplikacji\uckt C:\Documents and Settings\All Users\Dane aplikacji\Uncheckit C:\Documents and Settings\LocalService\Dane aplikacji\Tencent C:\Documents and Settings\LocalService\Dane aplikacji\Uncheckit C:\Documents and Settings\NetworkService\Dane aplikacji\Tencent C:\Documents and Settings\Właściciel\Dane aplikacji\GiftBag.db C:\Documents and Settings\Właściciel\Dane aplikacji\eCyber C:\Documents and Settings\Właściciel\Dane aplikacji\FreeVPN C:\Documents and Settings\Właściciel\Dane aplikacji\qksee C:\Documents and Settings\Właściciel\Dane aplikacji\Tencent C:\Documents and Settings\Właściciel\Dane aplikacji\TSv C:\Documents and Settings\Właściciel\Dane aplikacji\Uncheckit C:\Documents and Settings\Właściciel\Dane aplikacji\Microsoft\Internet Explorer\Quick Launch\Sparta.lnk C:\Documents and Settings\Właściciel\Menu Start\Programy\Sparta C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\3810282D-6C19-47B0-8283-5C6C29A7E108 C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Avg C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Avg2015 C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\AvgSetupLog C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\MFAData C:\Documents and Settings\Właściciel\Ustawienia lokalne\Dane aplikacji\Sparta C:\Documents and Settings\W砤渃iciel C:\Program Files\hohobnd C:\Program Files\QQBrowser C:\Program Files\Tencent C:\Program Files\Common Files\Tencent C:\WINDOWS\QMNetworkMgr.ini C:\WINDOWS\system32\pl.html C:\WINDOWS\system32\TSSK.sys C:\WINDOWS\system32\Drivers\TS888.sys C:\WINDOWS\Tasks\Browser Updater Task(Core).job CMD: netsh firewall reset EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Z menu Notatnika > Plik > Zapisz jako > wprowadź nazwę fixlist.txt > Kodowanie zmień na UTF-8 Plik fixlist.txt umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 2. Wyczyść przeglądarki z adware: Firefox: Start > Uruchom > wklej polecenie "C:\Program files\Mozilla Firefox\firefox.exe" -p i ENTER. Usuń drugi nieużywany profil. Na bieżącym profilu zaś poniższe akcje: Menu Pomoc > Informacje dla pomocy technicznej > Odśwież program Firefox. Zakładki i hasła nie zostaną naruszone. Menu Historia > Wyczyść całą historię przeglądania. Google Chrome: Zresetuj synchronizację (o ile włączona): KLIK. Ustawienia > karta Rozszerzenia > odinstaluj 电脑管家上网防护, Quick Searcher. Ustawienia > karta Ustawienia > Pokaż ustawienia zaawansowane > zjedź na sam spód i uruchom opcję Resetowanie ustawień. Zakładki i hasła nie zostaną naruszone. Ustawienia > karta Ustawienia > sekcja Szukaj > klik w Zarządzanie wyszukiwarkami > skasuj z listy wszystko z wyjątkiem Google. 3. Zrób nowy log FRST z opcji Skanuj (Scan), bez Addition i Shortcut. Dołącz też plik fixlog.txt.

Przejrzałam na szybko log. Log sugeruje, że masz czynne jakieś polityki grup. Oto wyciąg z ProcMon pokazujący, że cały klucz "Policies" tnie z rejestru svchost.exe (instancja typu GPSvcGroup), a zaraz po tym odtwarza klucz (jako niepełny) lsass.exe: Poproszę o przesłanie mi całych folderów spakowanych do ZIP (o ile nie są puste): C:\Windows\System32\GroupPolicy C:\Windows\System32\GroupPolicyUsers C:\Windows\SysWOW64\GroupPolicy C:\Windows\SysWOW64\GroupPolicyUsers

Wszystko zrobione, problem rozwiązany. Drobne poprawki: 1. W Google Chrome: Ustawienia > karta Ustawienia > Wygląd i zaznacz "Pokaż przycisk strony startowej" > klik w Zmień i usuń adres www.msn.com (dodany przez sponsorowanego Binga, wcześniej uruchamianego w starcie). 2. Otwórz Notatnik i wklej w nim: HKU\S-1-5-21-3098602006-2938289800-2830118032-1002\...\Run: [Akamai NetSession Interface] => "C:\Users\Ł\AppData\Local\Akamai\netsession_win.exe" AppInit_DLLs: prio.dll => Brak pliku Reg: reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run /v BingSvc /f DeleteQuarantine: Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Tym razem nie będzie restartu. Przedstaw wynikowy plik fixlog.txt.

Jak powiedziałam, wszystkie pliki które utworzył Procmon podczas tej procedury.

Wszystko spakuj do ZIP i podaj link. Nie wiem czy dziś zdążę to sprawdzić.

Założyłam, że obecny FIX.REG już był zaimportowany i nie restartowałeś systemu (tzn. zmiany są już w rejestrze zapisane). - Jeśli tak, to tylko uruchamiasz Process Monitor > Enable Boot Logging > restart. - Jeśli jednak wcześniej zrestartowałeś komputer i zmiany znów wyzerowane, to importujesz FIX.REG > uruchamiasz Process Monitor > Enable Boot Logging > restart.

Kierowałam do konkretnej instrukcji wskazującej, że mają powstać trzy logi a nie dwa. Brakuje trzeciego FRST Shortcut. Tak jak już mówiłam, szkodnik zaimplementowany na poziomie Harmonogramu zadań (zadanie WindowsUpda2ta). Ponadto jeszcze w systemie różne obiekty adware tu i ówdzie. Działania do wdrożenia: 1. Klawisz z flagą Windows + X > Programy i funkcje > odinstaluj Akamai NetSession Interface (zbędny downloader produktów Autodesk), Host App Service, Pokki Start Menu (wątpliwej jakości aplikacje "Pokki") oraz Prio (to jest wtyczka dla menedżera zadań starych systemów, na Windows 10 zbędna i niekompatybilna). 2. Otwórz Notatnik i wklej w nim: CloseProcesses: CreateRestorePoint: Task: {16051948-848A-4AFF-97E9-64356DB77399} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku Task: {1E0FB330-3A17-42AA-8E09-27302E552298} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku Task: {390722A9-96BF-4B00-A62D-53B4B30C6485} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku Task: {6E4C5DE8-E3D3-4B37-AA5A-DCC946C007BF} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku Task: {93376BBA-D061-4F03-B13C-35F3B3B2AFE3} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku Task: {A7BE98AE-9C3B-4925-8DA8-F5DA50880A47} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku Task: {A9222943-FBA6-4589-9BDD-A50CFE3002B3} - System32\Tasks\WindowsUpda2ta => C:\Users\Ł\AppData\Roaming\MICROSOFT\home.vbe Task: {AAFC8023-1940-4954-A616-0BA6A8EF3CFA} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku Task: {B285F58B-D046-4C2B-80B4-69DA870DED46} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku Task: {B84773AA-AE7D-4964-966B-367C46335504} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku Task: {BA57C465-786B-4812-B0DE-C19277C83213} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku Task: {EAFB67F9-17A9-4593-9EFD-2B06C76157F1} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku HKLM-x32\...\Run: [] => [X] HKU\S-1-5-21-3098602006-2938289800-2830118032-1002\...\Run: [bingSvc] => C:\Users\Ł\AppData\Local\Microsoft\BingSvc\BingSvc.exe [144008 2015-04-07] (© 2015 Microsoft Corporation) HKU\S-1-5-21-3098602006-2938289800-2830118032-1002\...\Policies\Explorer: [] GroupPolicy: Ograniczenia - Chrome CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia CHR HomePage: Default -> hxxp://www.msn.com/?pc=__PARAM__&ocid=__PARAM__DHP&osmkt=pl-pl CHR HKU\S-1-5-21-3098602006-2938289800-2830118032-1002\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkID=617910&ResetID=130941689149221078&GUID=5C810724-79D5-4011-8B45-C013417334B5 HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://do-search.com/web/?type=ds&ts=1432803684&z=7325cde8a8920720c6b00fcgaz9c8o7b5efc6q9b2z&from=cor&uid=ST2000LM003XHN-M201RAD_S356J9DFA01096&q={searchTerms} HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://do-search.com/?type=hp&ts=1432803684&z=7325cde8a8920720c6b00fcgaz9c8o7b5efc6q9b2z&from=cor&uid=ST2000LM003XHN-M201RAD_S356J9DFA01096 HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://do-search.com/web/?type=ds&ts=1432803684&z=7325cde8a8920720c6b00fcgaz9c8o7b5efc6q9b2z&from=cor&uid=ST2000LM003XHN-M201RAD_S356J9DFA01096&q={searchTerms} HKU\S-1-5-21-3098602006-2938289800-2830118032-1002\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://do-search.com/?type=hp&ts=1432803684&z=7325cde8a8920720c6b00fcgaz9c8o7b5efc6q9b2z&from=cor&uid=ST2000LM003XHN-M201RAD_S356J9DFA01096 SearchScopes: HKLM -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://www.bing.com/search?q={searchTerms}&form=MSSEDF&pc=MSE1 SearchScopes: HKU\S-1-5-21-3098602006-2938289800-2830118032-1002 -> DefaultScope {847E873F-E6E5-4B8A-A636-0EE4CA7CF550} URL = SearchScopes: HKU\S-1-5-21-3098602006-2938289800-2830118032-1002 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL = hxxp://do-search.com/web/?type=ds&ts=1432803684&z=7325cde8a8920720c6b00fcgaz9c8o7b5efc6q9b2z&from=cor&uid=ST2000LM003XHN-M201RAD_S356J9DFA01096&q={searchTerms} SearchScopes: HKU\S-1-5-21-3098602006-2938289800-2830118032-1002 -> {847E873F-E6E5-4B8A-A636-0EE4CA7CF550} URL = BHO-x32: Crazy Score -> {f439aa7e-a2a0-4635-99a2-164180e848ca} -> C:\Program Files (x86)\Crazy Score\Extensions\f439aa7e-a2a0-4635-99a2-164180e848ca.dll => Brak pliku DeleteKey: HKLM\SOFTWARE\MozillaPlugins DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins C:\Users\Ł\AppData\Local\Microsoft\BingSvc C:\Users\Ł\Desktop\Niepotwierdzony 955907.crdownload CMD: netsh advfirewall reset RemoveProxy: EmptyTemp: Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, system zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. 3. Zrób nowy log FRST z opcji Skanuj (Scan), z zaznaczonymi polami Addition i Shortcut. Dołącz też plik fixlog.txt.